Transferurile de date personale dintre Uniunea Europeană și Statele Unite sunt contestate din nou după ce organizația europeană pentru drepturi digitale noyb a cerut Comisiei Europene să retragă în mod ordonat actualul EU-US Data Privacy Framework. Solicitarea vine după o decizie a Curții Supreme americane în cazul Trump v. Slaughter, despre care noyb susține că afectează independența Federal Trade Commission, una dintre instituțiile pe care se bazează acordul transatlantic pentru protecția datelor europenilor în Statele Unite.
Pe scurt
-
noyb cere Comisiei Europene să retragă decizia de adecvare care permite transferurile de date personale din UE către Statele Unite prin EU-US Data Privacy Framework.
-
Organizația spune că decizia Curții Supreme americane în cazul Trump v. Slaughter pune sub semnul întrebării independența Federal Trade Commission.
-
Comisia Europeană s-a bazat pe FTC ca autoritate de aplicare pentru companiile americane participante la cadrul transatlantic de protecție a datelor.
-
Max Schrems, fondatorul noyb, este activistul care a declanșat dosarele Schrems I și Schrems II, prin care Curtea de Justiție a UE a anulat Safe Harbour și Privacy Shield.
-
noyb susține că problema poate afecta și transferurile bazate pe clauze contractuale standard sau reguli corporatiste obligatorii, dacă acestea se sprijină pe aceleași garanții americane.
noyb este o organizație europeană pentru protecția vieții private și aplicarea drepturilor digitale, fondată de Max Schrems. Numele vine de la formula „none of your business”, folosită pentru a exprima ideea că datele personale nu trebuie tratate ca un bun aflat la dispoziția nelimitată a companiilor sau autorităților. Organizația a devenit un actor important în dreptul european al protecției datelor pentru că folosește plângeri, acțiuni în instanță și litigii strategice pentru aplicarea GDPR.
Max Schrems nu este un critic marginal al transferurilor de date UE-SUA, ci figura centrală din cele mai importante două precedente judiciare în acest domeniu. În Schrems I, Curtea de Justiție a Uniunii Europene a anulat mecanismul Safe Harbour. În Schrems II, aceeași instanță a anulat Privacy Shield. În ambele cazuri, problema a fost dacă datele europenilor, odată transferate în Statele Unite, sunt protejate suficient împotriva accesului autorităților americane și dacă persoanele vizate au căi reale de contestare.
Actualul EU-US Data Privacy Framework este al treilea mecanism prin care Comisia Europeană încearcă să permită fluxuri largi de date personale către Statele Unite. El a fost adoptat în 2023, după anularea Safe Harbour și Privacy Shield. Pentru companii, instituții și platforme digitale, acest cadru este important deoarece permite transferuri mai simple de date către furnizori americani de cloud, software, publicitate online, servicii de suport, aplicații și infrastructură digitală.
Regulile europene nu interzic orice transfer de date în afara UE. Ele cer însă ca datele personale să beneficieze de un nivel de protecție comparabil cu cel din Uniunea Europeană sau ca transferul să se bazeze pe un instrument juridic valid. O rezervare la hotel în Statele Unite, un e-mail trimis unui destinatar american sau o comandă internațională pot necesita transferuri punctuale. Problema apare mai ales la transferurile structurale, când datele europenilor sunt procesate constant prin infrastructuri sau servicii americane.
noyb susține că decizia Curții Supreme americane lovește una dintre piesele centrale ale actualului acord. În dreptul UE, supravegherea protecției datelor trebuie făcută de o autoritate independentă. În relația cu Statele Unite, Comisia Europeană s-a bazat pe FTC ca instituție care poate supraveghea și aplica obligațiile asumate de companiile americane participante la cadrul transatlantic.
Potrivit noyb, Comisia Europeană face trimitere la FTC de 259 de ori în decizia privind EU-US Data Privacy Framework. Pentru organizație, această dependență arată cât de importantă este independența FTC pentru întreaga arhitectură a acordului. Dacă FTC nu mai poate fi considerată independentă, argumentul că Statele Unite oferă o protecție echivalentă pentru datele europenilor devine mult mai vulnerabil.
Decizia Curții Supreme este interpretată de noyb prin prisma teoriei executivului unitar, potrivit căreia președintele SUA trebuie să aibă control asupra agențiilor executive. În această logică, protecțiile care separă anumite agenții de controlul direct al președintelui pot fi considerate neconstituționale. noyb afirmă că, dacă FTC nu mai are independența pe care se baza Comisia Europeană, actualul acord UE-SUA pentru date personale nu mai poate fi susținut în forma sa actuală.
Max Schrems a spus că, în logica folosită chiar de Comisia Europeană, baza oricărui acord UE-SUA pentru transferuri de date este „moartă”. El cere Comisiei să înceapă o ieșire ordonată din dependența de cloud-ul american, pe care o descrie ca dificilă, dar inevitabilă.
Efectul nu este automat pentru toate firmele. Decizia de adecvare a Comisiei Europene rămâne formal în vigoare până când Comisia o retrage sau Curtea de Justiție a UE o anulează. Datele nepersonale pot circula în continuare, iar articolul 49 din GDPR permite anumite transferuri necesare către țări terțe. noyb subliniază însă că această excepție nu permite externalizarea permanentă și structurală a datelor personale către furnizori americani dacă transferul nu este strict necesar.
Miza practică este mare. Multe firme europene folosesc servicii americane pentru e-mail, cloud, aplicații de lucru, analiză de date, publicitate, servicii pentru clienți sau infrastructură IT. Dacă actualul cadru ar fi retras sau anulat, organizațiile care trimit date personale către Statele Unite ar trebui să își revizuiască rapid baza juridică, contractele, evaluările de risc și, în unele cazuri, furnizorii.
noyb susține că problema nu se limitează la companiile care folosesc direct EU-US Data Privacy Framework. Unele firme se bazează pe clauze contractuale standard sau pe reguli corporatiste obligatorii, dar aceste instrumente cer evaluări ale impactului transferului. În practică, asemenea evaluări se sprijină frecvent pe aceleași garanții americane invocate de Comisie, inclusiv pe mecanisme de supraveghere și căi de redresare create prin ordine executive.
Un alt element contestat este Data Protection Review Court, mecanismul creat de administrația Biden pentru plângeri legate de supravegherea americană. Deși are în nume cuvântul „Court”, noyb susține că nu este o instanță americană în sens propriu, ci un organism din interiorul executivului, creat prin ordin prezidențial. Dacă independența organismelor executive devine mai fragilă, și acest mecanism devine mai vulnerabil politic.
Într-un material anterior, Max Schrems descria sistemul transferurilor UE-SUA ca pe un „castel de cărți”. Argumentul său este că actualul cadru nu se bazează pe o lege federală americană clară și stabilă de protecție a datelor, ci pe o combinație de ordine executive, practici, interpretări juridice, instituții administrative și promisiuni politice. Căderea unei singure piese poate afecta întregul mecanism.
Una dintre aceste piese este Ordinul executiv 14.086 al administrației Biden, pe care se sprijină o mare parte din argumentația privind limitarea supravegherii americane. noyb avertiza încă din decembrie 2025 că acest ordin poate fi modificat sau revocat de administrația Trump. Organizația susține că instabilitatea politică și juridică din Statele Unite face nesigură menținerea garanțiilor pe care Bruxellesul le-a folosit pentru a aproba acordul.
Comisia Europeană nu este obligată automat să retragă decizia doar pentru că noyb a cerut acest lucru. Dar precedentele Safe Harbour și Privacy Shield arată că o decizie de adecvare poate fi anulată de instanța europeană dacă nu oferă protecții suficiente. noyb a transmis Comisiei o scrisoare formală și anunță că va iniția un nou proces în următoarele săptămâni, cu obiectivul de a permite instanței UE să examineze actualul acord.
Pentru cetățeni, disputa are o miză directă: cine poate accesa datele lor după ce ajung în Statele Unite și ce pot face dacă aceste date sunt folosite sau supravegheate abuziv. Datele personale pot include e-mailuri, documente de lucru, informații medicale, date educaționale, istoricul activității online, informații de plată sau date stocate în servicii cloud.
Pentru companii, problema este continuitatea operațională. O tranziție rapidă de la furnizori americani către furnizori europeni sau către infrastructuri care exclud accesul juridic al SUA poate fi costisitoare și dificilă. noyb susține totuși că soluția pe termen lung este limitarea transferurilor către furnizori americani atunci când aceștia au posesie, custodie sau control asupra datelor personale europene.
Subiectul se leagă și de discuția mai largă despre suveranitatea digitală europeană. Mai multe state și instituții europene caută alternative la dependența de infrastructuri digitale americane, mai ales în cloud și servicii esențiale pentru administrație, sănătate, educație și companii. O eventuală nouă anulare a cadrului UE-SUA ar accelera această presiune.
Transferurile de date UE-SUA rămân unul dintre cele mai fragile dosare ale economiei digitale transatlantice. Actuala contestare nu blochează imediat fluxurile de date, dar redeschide o întrebare pe care Curtea de Justiție a UE a pus-o deja de două ori: dacă Statele Unite pot oferi, în absența unor garanții independente și stabile, un nivel de protecție suficient pentru datele personale ale europenilor.