Cu o experiență de peste 15 ani ca avocat, rolul său de co-fondator al unui consiliu consultativ privind protecția datelor și participarea activă la procedurile în fața Curții Europene de Justiție – împreună cu Max Schrems și Thomas Lohninger – Katharina Raabe-Stuppnig este una dintre cele mai influente voci din legislația europeană privind protecția datelor. În cabinetul său de avocatură din Wickenburggasse din Viena, ea vorbește despre parcursul său profesional, provocările GDPR și complexitatea crescândă cauzată de noile legi digitale ale UE.
De la dreptul mass-media la protecția datelor: Expert în Austria
Katharina Raabe-Stuppnig și-a început cariera în domeniul dreptului mass-media. A consiliat edituri și companii de telecomunicații cu privire la dreptul concurenței, publicitate și responsabilitatea mass-media. Trecerea la protecția datelor a fost aproape automată: “Mulți clienți m-au abordat și mi-au spus: Cunoașteți procesele noastre și echilibrul intereselor noastre – ne puteți sprijini și în ceea ce privește protecția datelor?”
Atunci când GDPR a intrat în vigoare, protecția datelor s-a mutat mai mult în centrul realității corporative. Amenzile de milioane de euro au sporit presiunea. Companiile au nevoie de concepte clare – și se bazează pe parteneriatele existente. Ca urmare, legislația privind protecția datelor a evoluat de la un subiect marginal la punctul central al activității sale.
“Dorința mea ar fi să consolidăm economia europeană – prin alternative europene. Strategia digitală și Legea privind datele sunt un pas în direcția cea bună. Singura întrebare este: va veni la timp?”
Mag. Kathrina Raabe-Stuppnig
Protecția datelor ca factor favorizant
De la introducerea GDPR în 2018, nevoia de asistență juridică a crescut foarte mult – și rămâne ridicată. Aceasta nu în ultimul rând pentru că regulamentul nu face nicio distincție între corporațiile mari și companiile mici. Toate trebuie să îndeplinească aceleași standarde.
“Un sistem funcțional de gestionare a protecției datelor este astăzi un adevărat factor favorizant”, explică Raabe-Stuppnig. “Acesta oferă companiilor o imagine de ansamblu asupra sistemelor, proceselor și riscurilor – și constituie baza pentru optimizare și creșterea eficienței.”
În același timp, mediul devine din ce în ce mai complex: noua legislație, cum ar fi NIS-2, Legea privind reziliența cibernetică, Legea privind inteligența artificială sau Legea privind datele, impune cerințe suplimentare companiilor – din toate sectoarele. Cei care au creat deja o bază stabilă de protecție a datelor au un avantaj clar.
Strategii de transformare digitală
Întrebările cu care companiile apelează astăzi la cabinetul de avocatură sunt multiple:
- Cum mă afectează NIS-2 dacă sunt furnizor de infrastructură critică?
- De ce politici am nevoie pentru AI Act?
- Cum gestionez noile drepturi de acces la date în conformitate cu Legea privind datele – fără a pune în pericol nivelul de protecție a datelor pe care l-am construit până acum?
În plus față de evaluările juridice, întrebările strategice joacă un rol din ce în ce mai important: Unde trebuie localizate responsabilitățile în cadrul companiei? Cum se echilibrează conformitatea, securitatea cibernetică și inovarea? Raabe-Stuppnig și echipa sa sprijină companiile nu numai în implementare, ci și în poziționarea în noul cadru juridic.
UE vs. SUA: atitudini de bază diferite
Un aspect deosebit de sensibil este utilizarea de software din țări terțe – de exemplu, de către hiperscalerii americani. Deși există legi privind protecția datelor și în SUA, Raabe-Stuppnig a spus că protecția se aplică în primul rând cetățenilor americani. Pentru cetățenii UE, aceste reglementări sunt mult mai slabe.
“Problema constă în ponderare: Interesele de securitate ale NSA au adesea prioritate față de protecția datelor persoanelor care nu sunt americane. CEJ a constatat deja această disproporționalitate de două ori – și a anulat astfel principii centrale precum Safe Harbor și Privacy Shield.”
Schimbarea gradului de conștientizare în Europa începând cu 2018
De la intrarea în vigoare a GDPR, conștientizarea în Europa s-a schimbat simțitor. În prezent, întreprinderile sunt mult mai sensibile atunci când vine vorba de gestionarea datelor cu caracter personal. Atenția acordată de mass-media hotărârilor privind protecția datelor și cazurilor de profil a jucat un rol central în acest sens.
“Am creat un standard de aur în protecția datelor în Europa”, rezumă Raabe-Stuppnig. “Și este îmbucurător să vedem cât de multe companii se străduiesc în mod activ nu numai să îndeplinească acest standard, ci și să îl folosească ca pe un avantaj competitiv.”
Ce face transferul de date către SUA atât de sensibil – și care este situația juridică actuală în UE?
Dezbaterea privind protecția datelor dintre UE și SUA este complexă și, mai ales, foarte dinamică din punct de vedere juridic. Spre deosebire de țări precum Elveția, pentru care a fost emisă o așa-numită decizie de adecvare a Comisiei UE, situația cu SUA a fost și este mult mai complicată. O astfel de decizie prevede că datele cu caracter personal pot fi transferate către o țară terță deoarece acolo există un nivel de protecție a datelor comparabil cu cel din UE. În țări precum China sau Rusia – și pentru o lungă perioadă de timp și în SUA – o astfel de decizie lipsea.
Prelucrarea datelor în SUA – un act de echilibru juridic
De exemplu, de îndată ce companiile lucrează cu furnizori de servicii de prelucrare a datelor din SUA, acestea trebuie să ia măsuri de protecție suplimentare pentru a menține nivelul de protecție a datelor impus de GDPR. Acest lucru înseamnă mai mult efort, mai multă obligație de a verifica – și mai mult risc.
Un exemplu practic: Chiar dacă alegeți o locație a serverului în UE pentru furnizorii de cloud din SUA, problema persistă – de exemplu, dacă filiala europeană este subordonată unei societăți-mamă din SUA. În caz de urgență, autoritățile americane, cum ar fi NSA, ar putea solicita accesul la date – inclusiv prin intermediul unui lanț de comandă intern. Un server amplasat în UE reduce riscul, dar nu îl elimină complet.
De la Safe Harbor la Cadrul privind confidențialitatea datelor: O revizuire
Istoria acordurilor privind protecția datelor dintre UE și SUA seamănă cu o succesiune de eșecuri juridice:
- Safe Harbor a fost primul acord care a impus în mod voluntar anumite standarde de protecție a datelor companiilor americane. Acesta a fost anulat în 2015 prin hotărârea Schrems I.
- Privacy Shield a fost succesorul – o versiune revizuită a Safe Harbor. Dar și acest acord a fost declarat invalid de Curtea Europeană de Justiție în 2020, în hotărârea Schrems II.
- Ca răspuns, a intrat în vigoare Cadrul privind confidențialitatea datelor, pe baza căruia Comisia Europeană a adoptat din nou o decizie de adecvare pentru SUA.
Cu toate acestea, noua decizie se bazează din nou pe temelii șubrede
Acest lucru se datorează faptului că Cadrul privind confidențialitatea datelor se bazează pe un ordin executiv al președintelui SUA – adică un ordin care, teoretic, poate fi revocat în orice moment. Prin urmare, criticii se îndoiesc de stabilitatea pe termen lung a acestui cadru. O acțiune în justiție împotriva deciziei privind caracterul adecvat a fost deja depusă la Curtea Europeană de Justiție – rezultatul este deschis.
În plus, autoritatea de supraveghere responsabilă din SUA, PCLOB, nu este în prezent în măsură să acționeze deoarece trei dintre cei cinci directori ai săi au fost demiși de fostul președinte Trump. Rezultatul: o mare incertitudine cu privire la cât de stabil este cu adevărat mecanismul de protecție a datelor în SUA.
Cât de important este Cadrul privind confidențialitatea datelor pentru întreprinderile din UE?
Dacă vă planificați pe termen lung și doriți să vă concentrați asupra securității datelor, nu trebuie să vă bazați orbește pe Cadrul privind confidențialitatea datelor. Situația juridică se poate schimba rapid – ca și în trecut. Evaluările impactului transferului de date (TIA) necesită mult efort, iar încălcările pot duce la sancțiuni severe: până la 4% din veniturile anuale globale.
Serviciile cloud din SUA sunt (încă) utilizabile – dar nu fără riscuri
În prezent, serviciile cloud ale furnizorilor din SUA pot fi utilizate în conformitate cu reglementările privind protecția datelor, cu condiția punerii în aplicare a unor măsuri de protecție adecvate, cum ar fi clauzele contractuale standard și măsurile tehnice de securitate. Rămâne însă un risc rezidual. Este deosebit de problematic faptul că nu există încă o criptare de la un capăt la altul adecvată pentru utilizarea zilnică pentru toate tipurile de utilizare – de exemplu, în prelucrarea continuă a datelor (“date în curs de utilizare”).
Prin urmare, utilizarea serviciilor SUA ar trebui să fie întotdeauna evaluată individual: Cât de sensibile sunt datele prelucrate? Ce măsuri de siguranță sunt luate? Și în ce măsură este compania capabilă să reducă efectiv riscurile?
Între alb și negru și realism: cum ar trebui să abordeze companiile protecția datelor și furnizorii de cloud
Întrebarea dacă întreprinderile ar trebui să utilizeze numai software și servicii cloud de origine europeană – un “totul sau nimic” – sună ca o poziție clară la început. Dar exact împotriva acestui lucru avertizează expertul în protecția datelor Katharina Raabe-Stuppnig. Un astfel de principiu nu este doar nepractic, ci și greu de justificat în fața autorităților. Mai degrabă, orice decizie de a utiliza software sau servicii cloud trebuie luată de la caz la caz – în funcție de cât de sensibile sunt datele prelucrate și ce măsuri de protecție pot fi luate în termeni concreți.
Nu vă lăsați amăgiți de un fals sentiment de securitate – chiar și cu cadrul de confidențialitate
Un alt subiect care preocupă în prezent multe companii: Ce se întâmplă dacă Curtea Europeană de Justiție (CEJ) anulează noul cadru de confidențialitate a datelor între UE și SUA – așa cum au făcut-o anterior “Safe Harbor” și “Privacy Shield”? Răspunsul la această întrebare este clar: ar apărea din nou o incertitudine juridică masivă. Tocmai de aceea, Kargl sfătuiește deja companiile să nu se bazeze exclusiv pe acest cadru, ci să convină, în plus, asupra unor clauze contractuale standard (SCC). Acestea ar trebui să includă întotdeauna o așa-numită evaluare a impactului transferului (TIA) – și anume o analiză a riscurilor pentru transferul de date către țări terțe.
Dar avocatul este foarte clar: în cazul în care Cadrul de confidențialitate a datelor ar cădea și proporționalitatea transferului de date către SUA ar fi pusă sub semnul întrebării, TIA și-ar atinge limitele. În acest caz, speranța se bazează pe măsuri tehnice și organizatorice suplimentare – mai presus de toate criptarea.
Criptarea: Aspirațiile și realitatea sunt divergente
Autoritățile de protecție a datelor și CEJ solicită o soluție clară din partea furnizorilor americani de servicii cloud: datele ar trebui să fie stocate numai în formă criptată, iar cheia ar trebui să fie gestionată în afara furnizorului – în mod ideal în Europa și sub controlul societății responsabile de date sau al unui administrator european. Scopul acestei așa-numite soluții de “gestionare externă a cheilor” este de a garanta că, chiar și în cazul accesului autorităților americane, cum ar fi NSA, pot fi transmise numai date criptate, adică inutilizabile.
În practică, însă, potrivit Katharinei Raabe-Stuppnig, acest tip de criptare poate fi pus în aplicare doar pentru datele de rezervă. De îndată ce datele sunt prelucrate în mod activ în viața de zi cu zi, este necesar accesul la materialul necriptat. Tocmai aici se află problema: Tehnologia care permite prelucrarea completă a datelor într-o stare criptată există în prezent doar într-o măsură foarte limitată – de exemplu, pentru calcule simple sau estimări în scenarii specifice. Stadiul actual al tehnologiei nu este încă suficient pentru utilizarea pe scară largă necesară în afaceri.
Rolul Europei: Oportunități prin Legea privind datele
În ciuda acestor provocări, avocatul este optimist cu privire la viitor: Legea UE privind datele stabilește un curs important. Furnizorii de cloud vor fi obligați să permită strategii multicloud, adică să sprijine trecerea fără probleme de la un furnizor la altul – fără costuri ridicate de schimbare. Acesta este un efort activ de a consolida suveranitatea europeană în spațiul digital și de a crea mai multe alternative la hiperscalerii americani pe termen lung.
Rămâne întrebarea dacă Europa va mai fi capabilă să facă acest lucru la timp pentru a putea acționa mai independent și mai sigur în spațiul digital. Cu toate acestea, dna Raabe-Stuppnig este încrezătoare: Voința politică există – și cu finanțare și reglementare specifice, ar putea apărea în curând alternative europene viabile.
O renunțare generală la soluțiile din țările terțe nu este nici fezabilă, nici necesară din punct de vedere juridic. Întreprinderile trebuie să evalueze cu atenție cât de sensibile sunt datele lor, care sunt partenerii potriviți și care sunt măsurile de protecție pe care le pot pune în aplicare în termeni concreți. Cei care se bazează deja pe SCC-uri, TIA-uri și criptare nu numai că sunt în siguranță din punct de vedere juridic, dar își consolidează și poziția europeană în concurența digitală.
