UE incurajeaza companiile sa renunte la masurile actuale de protectie a datelor personale cu privire la „cloud computing”, pe fondul temerilor de supraveghere din SUA

Companiilor din Uniunea Europeana („UE”) nu ar trebui sa li se permita utilizarea mecanismelor existente pentru protejarea datelor cu caracter personal, atunci cand datele sunt trimise in afara UE, prin intermediul serviciilor de cloud computing, conform unui raport al Parlamentului European („Raportul”).

Potrivit Raportului, companiile ar trebui sa fie impiedicate sa foloseasca clauze contractuale standard si reguli corporatiste obligatorii (Binding Corporate Rules – BCR) ca mecanisme de prelucrare a datelor cu caracter personal stocate in cloud computing, deoarece acestea nu asigura o protectie adecvata, care sa impiedice autoritatile din SUA sa aiba acces la aceste informatii.

Raportul, comandat de Comisia pentru libertati civile, justitie si afaceri interne (LIBE) din cadrul Parlamentului European, mentioneaza ca UE a creat “derogari” de la regulile traditionale privind transferurile internationale de date cu caracter personal care, atunci cand este vorba de servicii de cloud computing, nu ar putea sa asigure o protectie adecvata a acestor informatii. Regulile corporatiste obligatorii (BCRs) si clauzele contractuale standard reprezinta astfel de “derogari”, ambele fiind “la fel de neadecvate pentru a preveni utilizarea datelor din cloud in scopuri de supraveghere“.

Se precizeaza, de asemenea, ca UE a facut anumite “erori”, in procesul de incheiere a unui acord cu Statele Unite cu privire la recunoasterea standardelor organizatiilor din SUA cu privire la protectia datelor. Astfel, prevederile acordului “Safe Harbor” incheiat de UE cu SUA nu permite UE sa verifice cine poate accesa datele cu caracter personal ale cetatenilor UE, odata ce acestea a fost incarcate pe servere cloud.

In aceste conditii se aprecieaza ca “Derogarile existente ar trebui sa nu mai fie aplicabile pentru Cloud, din cauza riscurilor sistemice de pierdere a suveranitatii asupra datelor“. Totodata, “UE ar trebui sa demareze noi negocieri cu SUA pentru recunoasterea dreptului omului la viata privata, care sa acorde cetatenilor europeni o protectie egala in fata instantelor de judecata din SUA“, se arata in Raport.

Raportul poate fi descarcat/vizionat pe site-ul Parlamentului European (www.europarl.europa.eu).

Acordul Safe Harbor dintre SUA si UE (SHA) permite transferurile de date cu caracter personal, in conditiile in care masurile de protectie a datelor respecta normele UE. Organizatiile din SUA care indeplinesc cerintele acestui acord sunt considerate ca indeplinesc standardele europene de siguranta mentionate in Directiva privind protectia datelor cu caracter personal.

Potrivit Directivei europene, companiile nu au dreptul sa transfere date personale in afara Spatiului Economic European (SEE), cu exceptia cazului in care au luate masuri adecvate de protectie sau in cazul in care tara de destinatie a fost pre-aprobata ca detinand un nivel de protectie adecvat.

Atunci cand o companie doreste sa trimita date cu caracter personal in tari din afara SEE (asa numitele „state terte”), aceasta trebuie sa se asigure ca exista masuri adecvate de protectie. „Masuri adecvate” inseamna, in acest context, cerinta ca datelor cu caracter personal sa li se acorde aceeasi protectie de care ar fi beneficiat conform legislatiei UE. Aceasta regula este aplicabila chiar si atunci cand transferul are loc intre companii din acelasi grup.

Unul dintre mecanismele aflate la dispozitia companiilor pentru a putea asigura masurile “adecvate” de protectie consta in posibilitatea implementarii unor reguli corporatiste obligatorii (BCRs). Acestea reprezinta angajamente, obligatorii din punct de vedere legal, pe care companiile si le asuma cu privire la transferul si prelucrarea datelor cu caracter personal in afara SEE. BCRs sunt cel mai adesea folosite pentru a permite transferurile “intra-grup” de date cu caracter personal.

Un alt mecanism de asigurare a protectiei consta in posibilitatea utilizarii unor clauze contractuale standard, care au fost aprobate de catre Comisia Europeana in acest scop.

Raportul avertizeaza, insa, cu privire la faptul ca autoritatile americane ar putea, “in mod legal“, sa aiba acces la datele personale ale cetatenilor UE care sunt stocate pe serverele cloud, in baza prevederilor legii „Patriot Act” sau cele ale Amendamentului de Supraveghere a Informatiilor din Strainatate (FISA) si, in consecinta, “suveranitatea” UE cu privire la aceste date este pierduta din momentul in care aceste date sunt incarcate pe serverele de tip cloud.