Curtea de Justiție a UE a declarat joi ca nevalid un acord crucial ce permite transferul de date personale între Uniunea Europeană și SUA, așa-numitul 'Privacy Shield', din cauza riscului pe care îl reprezintă programele americane de supraveghere.

Acordul dintre UE și SUA face „posibile ingerințe în drepturile fundamentale ale persoanelor ale căror date sunt transferate” spre Statele Unite, întrucât autoritățile americane pot avea acces la ele fără ca aceasta să se limiteze 'la strictul necesar', consideră Curtea europeană în decizia sa.

Aceasta a fost primită ca o victorie de avocatul și activistul austriac Max Schrems, aflat la originea acestei cauze în urma plângerii sale împotriva Facebook. 'Pare perfect', a fost reacția spontană a lui Schrems atunci când știrea a ajuns la biroul său de la Viena.

Totuși, CJUE a menținut validitatea mecanismului de transfer de date cunoscut drept 'clauze contractuale standard', subliniind însă că autoritățile de supraveghere trebuie să suspende sau interzică transferurile în afara UE dacă protecția datelor nu poate fi asigurată.

Sute de mii de companii, printre care Facebook, giganți industriali și producători auto, folosesc aceste clauze pentru a transfera date personale ale europenilor în alte țări pentru servicii precum infrastructură cloud, găzduire de date, state de plată, finanțe și marketing.

Cauza - C-311/18 Facebook Irlanda și Schrems - a ajuns la CJUE din Luxemburg după ce austriacul Max Schrems a contestat în justiție folosirea de către Facebook a clauzelor standard, acuzând că acestea nu includ suficiente garanții de protecție a datelor.

O contestație separată în justiție a lui Max Schrems a avut drept rezultat abandonarea de către Comisia Europeană a fostului său cadru de protecție a datelor Safe Harbour în 2015 și înlocuirea lui cu noul sistem Privacy Shield, care include 'clauzele contractuale standard'.

După dezvăluirile făcute de Edward Snowden legate de practicile de supraveghere în masă ale serviciilor de informații din SUA, Max Schrems a depus o plângere la Autoritatea irlandeză pentru protecția vieții private de la Dublin, unde se află sediul pentru Europa al Facebook.

Aceasta a adus cazul în fața Înaltei Curți a Irlandei, care s-a adresat la rândul său CJUE.

În decembrie 2019, Avocatul general al CJUE a emis o opinie conform căreia astfel de mecanisme de transfer de date sunt legale, cu avertismentul că ele pot fi blocate dacă țările ce primesc informațiile nu îndeplinesc standardele europene în materie de protecție a datelor.

În UE, acestea sunt reunite în Regulamentul general privind protecția datelor (GDPR), introdus în 2018 pentru a crește controlul cetățenilor asupra datelor lor personale.

Companiile care nu se conformează pot primi amenzi de până la 4% din cifra lor de afaceri globală.