Cu peste 15 ani de experiență în calitate de avocat, rolul său de co-fondator al unui consiliu consultativ privind protecția datelor și participarea activă la procedurile în fața Curții Europene de Justiție – alături de Max Schrems și Thomas Lohninger – Katharina Raabe-Stuppnig este una dintre cele mai influente voci din legislația europeană privind protecția datelor. În cabinetul său de avocatură de pe Wickenburggasse din Viena, ea vorbește despre parcursul său profesional, provocările GDPR și complexitatea crescândă a noilor legi digitale ale UE.
De la legislația privind mass-media la protecția datelor: expert în Austria
Katharina Raabe-Stuppnig și-a început cariera în domeniul dreptului mass-media. Ea a consiliat edituri și companii de telecomunicații cu privire la aspecte legate de dreptul concurenței, publicitate și responsabilitatea mass-media. Trecerea la protecția datelor s-a făcut aproape automat: “Mulți clienți m-au abordat și mi-au spus: ne cunoașteți procesele și echilibrul intereselor – ne puteți sprijini și în ceea ce privește protecția datelor?”
Odată cu intrarea în vigoare a GDPR, protecția datelor s-a mutat mai mult în centrul realității corporative. Amenzile de milioane de euro au sporit presiunea. Companiile aveau nevoie de concepte clare – și se bazau pe parteneriatele existente. Ca urmare, legislația privind protecția datelor a evoluat de la o problemă periferică la punctul central al activităților lor.
“Dorința mea ar fi să consolidăm economia europeană – prin alternative europene. Strategia digitală și Legea privind datele se îndreaptă în direcția cea bună. Singura întrebare este: va veni la timp?”
Mag. Kathrina Raabe-Stuppnig
Protecția datelor ca factor favorizant
De la introducerea GDPR în 2018, nevoia de asistență juridică a crescut foarte mult – și rămâne ridicată. Acest lucru se datorează nu în ultimul rând faptului că regulamentul nu face nicio distincție între corporațiile mari și companiile mici. Toate trebuie să îndeplinească aceleași standarde.
“Un sistem funcțional de gestionare a protecției datelor este astăzi un adevărat factor favorizant”, explică Raabe-Stuppnig. “Acesta oferă companiilor o imagine de ansamblu asupra sistemelor, proceselor și riscurilor – și constituie baza optimizării și creșterii eficienței.”
În același timp, mediul devine din ce în ce mai complex: noua legislație, cum ar fi NIS-2, Legea privind reziliența cibernetică, Legea privind inteligența artificială și Legea privind datele, impune cerințe suplimentare întreprinderilor din toate sectoarele. Cei care au creat deja o bază stabilă de protecție a datelor au acum un avantaj clar.
Strategii pentru transformarea digitală
Problemele pentru care companiile apelează astăzi la firmă sunt multe și variate:
- Cum mă afectează NIS-2 dacă sunt furnizor de infrastructură critică?
- De ce politici am nevoie pentru AI Act?
- Cum să gestionez noile drepturi de acces la date în temeiul Legii privind datele – fără a pune în pericol nivelul de protecție a datelor pe care l-am construit până acum?
Pe lângă evaluările juridice, întrebările strategice joacă un rol din ce în ce mai important: Unde ar trebui să fie repartizate responsabilitățile în cadrul companiei? Cum pot fi armonizate conformitatea, securitatea cibernetică și capacitatea de a inova? Raabe-Stuppnig și echipa sa sprijină companiile nu numai în ceea ce privește implementarea, ci și poziționarea în noul cadru juridic.
UE vs. SUA: atitudini de bază diferite
Utilizarea de software din țări terțe – de exemplu de către hiperscalerii din SUA – este o chestiune deosebit de sensibilă. Deși există legi privind protecția datelor și în SUA, explică Raabe-Stuppnig, protecția se aplică în primul rând cetățenilor americani. Aceste reglementări sunt semnificativ mai slabe pentru cetățenii UE.
“Problema constă în ponderare: interesele de securitate ale NSA au adesea prioritate față de protecția datelor persoanelor care nu sunt americani. CEJ a stabilit deja această disproporționalitate de două ori – și a răsturnat astfel principii centrale precum Safe Harbour și Privacy Shield.”
Schimbarea gradului de conștientizare în Europa începând cu 2018
De la intrarea în vigoare a GDPR, gradul de conștientizare în Europa s-a schimbat simțitor. Întreprinderile sunt acum mult mai sensibile atunci când vine vorba de gestionarea datelor cu caracter personal. Atenția acordată de mass-media hotărârilor judecătorești privind protecția datelor și cazurilor importante a jucat un rol esențial în acest sens.
“Am creat un standard de aur pentru protecția datelor în Europa”, rezumă Raabe-Stuppnig. “Și este plăcut să vedem cât de multe companii se străduiesc în mod activ nu numai să îndeplinească acest standard, ci și să îl folosească ca pe un avantaj competitiv.”
Ce face transferul de date către SUA atât de sensibil – și care este situația juridică actuală în UE?
Dezbaterea privind protecția datelor dintre UE și SUA este complexă și, mai presus de toate, foarte dinamică din punct de vedere juridic. Spre deosebire de țări precum Elveția, pentru care Comisia Europeană a emis o așa-numită decizie de adecvare, situația din SUA a fost și este mult mai complicată. O astfel de decizie prevede că datele cu caracter personal pot fi transferate către o țară terță deoarece nivelul de protecție a datelor din această țară este comparabil cu cel din UE. În țări precum China sau Rusia – și pentru o lungă perioadă de timp și în SUA – nu a existat o astfel de decizie.
Prelucrarea datelor în SUA – un act de echilibru juridic
De îndată ce companiile lucrează cu furnizori de servicii pentru prelucrarea datelor în SUA, de exemplu, acestea trebuie să ia măsuri de protecție suplimentare pentru a menține nivelul de protecție a datelor impus de GDPR. Acest lucru înseamnă mai mult efort, mai multe verificări obligatorii – și mai mult risc.
Un exemplu practic: chiar dacă alegeți o locație a serverului în UE pentru furnizorii de cloud din SUA, problema există în continuare – de exemplu, dacă filiala europeană se află sub controlul unei companii-mamă din SUA. În caz de urgență, autoritățile americane, cum ar fi NSA, ar putea solicita accesul la date – chiar și prin intermediul unui lanț de comandă intern. Un server amplasat în UE reduce riscul, dar nu îl elimină complet.
De la Safe Harbour la Cadrul privind confidențialitatea datelor: o privire retrospectivă
Istoria acordurilor privind protecția datelor dintre UE și SUA seamănă cu o serie de eșecuri juridice:
- Safe Harbor a fost primul acord care a impus anumite standarde de protecție a datelor companiilor americane pe bază voluntară. Acesta a fost abrogat în 2015 prin hotărârea Schrems I.
- Privacy Shield a fost succesorul – o versiune revizuită a Safe Harbour. Cu toate acestea, și acest acord a fost declarat invalid de Curtea Europeană de Justiție în hotărârea Schrems II din 2020.
- Ca răspuns, a intrat în vigoare Cadrul privind confidențialitatea datelor, pe baza căruia Comisia Europeană a adoptat din nou o decizie de adecvare pentru SUA.
Cu toate acestea, noua decizie se bazează din nou pe fundamente șubrede
Acest lucru se datorează faptului că Cadrul privind confidențialitatea datelor se bazează pe un ordin executiv al președintelui SUA – cu alte cuvinte, un ordin care, teoretic, poate fi revocat în orice moment. Prin urmare, criticii se îndoiesc de stabilitatea pe termen lung a acestui cadru. Un proces împotriva deciziei de adecvare a fost deja înaintat Curții Europene de Justiție – rezultatul este incert.
În plus, autoritatea de supraveghere responsabilă din SUA, PCLOB, este în prezent incapabilă să acționeze deoarece trei dintre cei cinci directori ai săi au fost demiși de fostul președinte Trump. Rezultatul: o mare incertitudine cu privire la cât de stabil este cu adevărat mecanismul de protecție a datelor în SUA.
Cât de important este Cadrul privind confidențialitatea datelor pentru întreprinderile din UE?
Dacă planificați pe termen lung și doriți să vă concentrați asupra securității datelor, nu ar trebui să vă bazați orbește pe Cadrul privind confidențialitatea datelor. Ca și în trecut, situația juridică se poate schimba rapid. Costul evaluărilor impactului transferului de date (TIA) este ridicat, iar încălcările pot duce la sancțiuni severe de până la 4% din cifra de afaceri anuală globală.
Serviciile cloud din SUA sunt (încă) utilizabile – dar nu fără riscuri
Serviciile cloud ale furnizorilor din SUA pot fi utilizate în prezent în conformitate cu **regulamentele privind protecția datelor, cu condiția **aplicării unor măsuri de protecție adecvate, precum clauze contractuale standard și măsuri tehnice de securitate. Dar există încă un risc rezidual. Este deosebit de problematic faptul că nu există încă o criptare end-to-end adecvată pentru utilizarea zilnică pentru toate tipurile de utilizare – de exemplu, pentru prelucrarea continuă a datelor (“date în uz”).
Prin urmare, utilizarea serviciilor SUA ar trebui să fie întotdeauna evaluată individual: Cât de sensibile sunt datele prelucrate? Ce măsuri de securitate sunt luate? Și în ce măsură este compania în măsură să reducă riscurile?
Între alb și negru și realism: cum ar trebui să abordeze companiile protecția datelor și furnizorii de cloud
Întrebarea dacă întreprinderile ar trebui să utilizeze numai software și servicii cloud de origine europeană – un “complet sau deloc” – sună ca o poziție clară la prima vedere. Dar tocmai împotriva acestui lucru avertizează expertul în protecția datelor Katharina Raabe-Stuppnig. Un astfel de principiu nu este doar nepractic, ci și greu de justificat în fața autorităților. În schimb, fiecare decizie privind utilizarea de software sau servicii cloud trebuie luată de la caz la caz – în funcție de cât de sensibile sunt datele prelucrate și de măsurile de protecție specifice care pot fi luate.
Nu vă lăsați amăgiți de un fals sentiment de securitate – chiar și cu cadrul de confidențialitate
Un alt subiect care preocupă în prezent multe companii: Ce se întâmplă dacă Curtea Europeană de Justiție (CEJ) anulează noul cadru privind confidențialitatea datelor între UE și SUA – așa cum a făcut anterior cu “Safe Harbour” și “Privacy Shield”? Răspunsul este clar: ar apărea din nou o incertitudine juridică masivă. Acesta este tocmai motivul pentru care Kargl sfătuiește deja companiile să nu se bazeze doar pe cadru, ci să convină asupra unor clauze contractuale standard (SCC) suplimentare. Acestea ar trebui să includă întotdeauna o evaluare a impactului transferului (TIA) – și anume o analiză a riscului transferului de date către țări terțe.
Cu toate acestea, avocatul precizează, de asemenea, că, în cazul în care Cadrul privind confidențialitatea datelor ar cădea efectiv și proporționalitatea transferului de date către SUA ar fi fundamental pusă sub semnul întrebării, TIA și-ar atinge limitele. În acest caz, speranța se bazează pe măsuri tehnice și organizatorice suplimentare – în primul rând, pe criptare.
Criptare: afirmațiile și realitatea sunt divergente
Autoritățile de protecție a datelor și CEJ solicită o soluție clară din partea furnizorilor americani de servicii cloud: datele ar trebui să fie stocate numai în formă criptată, iar cheia ar trebui să fie gestionată în afara furnizorului – în mod ideal în Europa și sub controlul societății responsabile pentru date sau al unui mandatar european. Scopul acestei așa-numite soluții de “gestionare externă a cheilor” este de a garanta că, chiar și în cazul accesului autorităților americane, cum ar fi NSA, pot fi transmise numai date criptate, adică inutilizabile.
Totuși, în practică, potrivit Katharinei Raabe-Stuppnig, acest tip de criptare poate fi pus în aplicare doar pentru datele de rezervă. De îndată ce datele sunt prelucrate în mod activ în viața de zi cu zi, este necesar accesul la materialul necriptat. Tocmai aici este problema: tehnologia care permite prelucrarea completă a datelor în stare criptată există în prezent doar într-o măsură foarte limitată – de exemplu, pentru calcule simple sau estimări în scenarii specifice. Stadiul actual al tehnologiei nu este încă suficient pentru o utilizare pe scară largă, așa cum este necesar în economie.
Rolul Europei: oportunități prin Legea privind datele
În ciuda acestor provocări, avocatul este optimist cu privire la viitor: Legea UE privind datele va stabili un curs important. Furnizorii de cloud vor fi obligați să permită strategiile multi-cloud, adică să faciliteze trecerea de la un furnizor la altul – fără costuri ridicate de schimbare. Acest lucru va contribui activ la consolidarea suveranității europene în spațiul digital și la crearea mai multor alternative la hiperscalerii americani pe termen lung.
Rămâne întrebarea dacă Europa va fi capabilă în timp să acționeze mai independent și mai sigur în spațiul digital. Cu toate acestea, dna Raabe-Stuppnig este încrezătoare: “Voința politică există – și cu sprijin și reglementări specifice, ar putea apărea în curând alternative europene viabile.
O renunțare generală la soluțiile țărilor terțe nu este nici fezabilă și nici obligatorie din punct de vedere juridic. Companiile trebuie să evalueze cu atenție cât de sensibile sunt datele lor, care sunt partenerii potriviți și care sunt măsurile de protecție specifice pe care le pot implementa. Cei care se bazează deja pe SCC-uri, TIA-uri și criptare nu numai că sunt în siguranță din punct de vedere juridic, dar consolidează și poziția Europei în competiția digitală.
