Ο νόμος CLOUD και οι ευρωπαϊκές εταιρείες: ποιο είναι το πεδίο εφαρμογής;

Νομική Παρακολούθηση Αρ. 40 – Οκτώβριος 2021

Ο νόμος CLOUD και οι ευρωπαϊκές εταιρείες: ποιο είναι το πεδίο εφαρμογής;Η αποϋλοποίηση των δεδομένων και η αποθήκευσή τους στα «σύννεφα» έχουν θεμελιώδεις και σύνθετες συνέπειες στις υποχρεώσεις των εταιρειών.

Ακόμα και όταν αποθηκεύονται στην Ευρώπη, τα δεδομένα δεν είναι απρόσβλητα από αίτημα γνωστοποίησης από τρίτη χώρα σε νομικό πλαίσιο.

Το ολοένα και πιο επίκαιρο ζήτημα της ψηφιακής κυριαρχίας βρίσκει ιδιαίτερη απήχηση στην εξέλιξη του δικαίου των Ηνωμένων Πολιτειών, με τον νόμο CLOUD και το εξωεδαφικό πεδίο εφαρμογής του.

Υπό ποιες προϋποθέσεις μπορεί η ευρωπαϊκή θυγατρική μιας αμερικανικής εταιρείας ή, αντίστροφα, η αμερικανική θυγατρική μιας ευρωπαϊκής εταιρείας να υποχρεωθεί να κοινοποιήσει τα δεδομένα της στις αμερικανικές αρχές;

Ο νόμος CLOUD (Διευκρίνιση της νόμιμης χρήσης δεδομένων στο εξωτερικό) εγκρίθηκε στις Ηνωμένες Πολιτείες τον Μάρτιο του 2018. Στόχος του είναι να επιτρέψει στις ποινικές αρχές των ΗΠΑ να έχουν πρόσβαση σε δεδομένα από παρόχους υπηρεσιών cloud των ΗΠΑ, ανεξάρτητα από το πού αποθηκεύονται τα δεδομένα, και χωρίς να χρειάζεται να κινήσουν διαδικασίες μέσω διεθνούς αμοιβαίας δικαστικής συνδρομής.

Λίγο πριν από την υιοθέτηση του νόμου CLOUD, η Microsoft είχε αρνηθεί να παράσχει στις αμερικανικές αρχές δεδομένα που ήταν αποθηκευμένα στο ιρλανδικό cloud της, επικαλούμενη τη μη εφαρμογή της αμερικανικής νομοθεσίας στα δεδομένα που ήταν αποθηκευμένα στην Ευρώπη, γεγονός που είχε οδηγήσει σε χρονοβόρες νομικές διαδικασίες.

Ο νόμος CLOUD διευκρινίζει και επεκτείνει το πεδίο εφαρμογής του για την πρόληψη αυτού του είδους καταστάσεων.

Το κείμενο επιτρέπει επίσης σε ξένα κράτη να έχουν πρόσβαση σε δεδομένα από παρόχους υπηρεσιών cloud με έδρα τις ΗΠΑ, χωρίς να χρειάζεται να υποβάλουν αίτημα αμοιβαίας δικαστικής συνδρομής, σε περίπτωση διμερούς συμφωνίας.

Μια συμφωνία αυτού του είδους συνήφθη πρόσφατα μεταξύ των Ηνωμένων Πολιτειών και του Ηνωμένου Βασιλείου, η πρώτη του είδους της.

Ο νόμος CLOUD εφαρμόζεται σε οποιαδήποτε εταιρεία των ΗΠΑ κατά την έννοια του δικαίου των ΗΠΑ, δηλαδή σε εταιρεία που έχει συσταθεί στις Ηνωμένες Πολιτείες και σε εταιρείες που ελέγχονται από αυτές.

Μια ευρωπαϊκή θυγατρική ή μια ευρωπαϊκή εταιρεία που ελέγχεται από μια αμερικανική εταιρεία ενδέχεται επομένως να υπόκειται σε αυτόν τον νόμο, κάτι που αναπόφευκτα θα προκαλέσει συγκρούσεις νόμων στο βαθμό που αυτές οι εταιρείες υπόκεινται επίσης στον ΓΚΠΔ.

Σημειώστε ότι η ιδέα στοχεύει επίσης σε ευρωπαϊκές εταιρείες με «παρουσία» στις Ηνωμένες Πολιτείες, γεγονός που διευρύνει σημαντικά το πεδίο εφαρμογής της.

Αυτό επισημαίνει η Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων σε θέση που χρονολογείται από το 2019, καθώς και το Ελβετικό Υπουργείο Δικαιοσύνης σε μια πολύ πρόσφατη μελέτη της 17ης Σεπτεμβρίου 2021 σχετικά με τον νόμο CLOUD.

Αυτή η αβεβαιότητα σχετικά με το πεδίο εφαρμογής του νόμου CLOUD μεταφέρεται από το ίδιο το Υπουργείο Δικαιοσύνης των Ηνωμένων Πολιτειών σε μια λευκή βίβλο του Απριλίου 2019 σχετικά με το θέμα, της οποίας εδώ είναι ένα απόσπασμα (ανεπίσημη μετάφραση):

«Το κατά πόσον μια ξένη εταιρεία που βρίσκεται εκτός των Ηνωμένων Πολιτειών αλλά παρέχει υπηρεσίες στις Ηνωμένες Πολιτείες έχει επαρκείς επαφές με τις Ηνωμένες Πολιτείες ώστε να υπόκειται στη δικαιοδοσία των ΗΠΑ είναι μια έρευνα που βασίζεται σε συγκεκριμένα γεγονότα, η οποία βασίζεται στη φύση, την ποσότητα και την ποιότητα των επαφών της εταιρείας με τις Ηνωμένες Πολιτείες».

Όσο πιο σκόπιμα έχει κατευθύνει μια εταιρεία τη συμπεριφορά της προς τις Ηνωμένες Πολιτείες, τόσο πιο πιθανό είναι ένα δικαστήριο να κρίνει ότι η εταιρεία υπόκειται στη δικαιοδοσία των ΗΠΑ.

Τα δικαστήρια των ΗΠΑ που εφαρμόζουν αυτήν την ανάλυση σε αστικές υποθέσεις που αφορούν ιστότοπους, για παράδειγμα, έχουν επικεντρωθεί στον βαθμό αλληλεπίδρασης ενός ιστότοπου με τους πελάτες στην περιοχή δικαιοδοσίας τους, λαμβάνοντας υπόψη παράγοντες όπως η λειτουργία και οι μηχανισμοί του ιστότοπου, οποιαδήποτε συγκεκριμένη προώθηση προς τους πελάτες, η προσέλκυση πελατών μέσω του ιστότοπου και η πραγματική χρήση από τους πελάτες. 

Αυτή η ερμηνεία ενδεχομένως να υποβάλλει έναν πολύ μεγάλο αριθμό ευρωπαϊκών εταιρειών σε νομικές αξιώσεις των ΗΠΑ, ακόμη και όταν οι βάσεις δεδομένων βρίσκονται στην Ευρώπη. Ωστόσο, σύμφωνα με το άρθρο 48 του ΓΚΠΔ, το δίκαιο μιας ξένης χώρας δεν μπορεί να αποτελέσει επαρκή νομική βάση για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στις αρχές της εν λόγω χώρας.

Το κείμενο του ΓΚΠΔ ορίζει ρητά ότι τέτοιες διαβιβάσεις δεδομένων μπορούν να πραγματοποιηθούν μόνο στο πλαίσιο διεθνούς συμφωνίας, όπως μια συμφωνία αμοιβαίας δικαστικής συνδρομής.

Αυτή η αρχή στοχεύει στη διασφάλιση τόσο της προστασίας των διαβιβαζόμενων δεδομένων όσο και μιας ελάχιστης νομικής ασφάλειας.

Ποιες λύσεις;

Από πολιτική άποψη, ας σημειώσουμε καταρχάς ότι η Ευρωπαϊκή Επιτροπή διαπραγματεύεται επί του παρόντος μια συμφωνία με τις Ηνωμένες Πολιτείες με στόχο τη διευκόλυνση της πρόσβασης σε ηλεκτρονικά αποδεικτικά στοιχεία σε ποινικές έρευνες, ενώ το Συμβούλιο της Ευρώπης βρίσκεται στη διαδικασία ανάπτυξης ενός δεύτερου πρωτοκόλλου στη Σύμβαση της Βουδαπέστης για το Κυβερνοέγκλημα... δύο κειμένων που θα διευκρινίσουν το νομικό πλαίσιο σχετικά με αυτές τις μεταφορές δεδομένων σύμφωνα με το ευρωπαϊκό δίκαιο.

Πιο συγκεκριμένα, ο νόμος περί cloud προβλέπει ότι μια εταιρεία που αντιμετωπίζει σύγκρουση νόμων μπορεί να επικαλεστεί το δίκαιο στο οποίο υπόκειται, εν προκειμένω τον GDPR, για να αμφισβητήσει το αμερικανικό αίτημα («ουσιώδης κίνδυνος παραβίασης ξένων νόμων»).

Αυτό, ωστόσο, συνεπάγεται διαδικασίες που μπορούν να αποδειχθούν χρονοβόρες και δαπανηρές, χωρίς καμία βεβαιότητα ως προς το αποτέλεσμά τους.

Στην πράξη, μπορούν να ληφθούν τεχνικά μέτρα για την προστασία των δεδομένων, εμπνευσμένα από τις συστάσεις της Ευρωπαϊκής Επιτροπής Προστασίας Δεδομένων.

Αποθήκευση δεδομένων στην Ευρώπη, μη διατήρηση δεδομένων «με σαφήνεια», συγκεκριμένα μέτρα κρυπτογράφησης όπως αυτά που περιγράφονται λεπτομερώς από τον ΕΕΠΔ στη γνωμοδότησή του του Ιουνίου 2021 σχετικά με τα εργαλεία μεταφοράς δεδομένων εκτός της Ευρωπαϊκής Ένωσης (σελ. 30) και η διατήρηση κλειδιών κρυπτογράφησης στην Ευρωπαϊκή Ένωση.

Ο νόμος CLOUD δεν απαγορεύει την κρυπτογράφηση (αν και οι Ηνωμένες Πολιτείες απαιτούν από τις εταιρείες να συνεργάζονται με τις κυβερνητικές αρχές σε αυτό το ζήτημα) και δεν λαμβάνει θέση σχετικά με τους κανόνες αποκρυπτογράφησης τρίτων χωρών.

Τέλος, ας προσθέσουμε ότι τα πρώτα ευρωπαϊκά cloud εγκρίθηκαν πρόσφατα από τις ευρωπαϊκές αρχές προστασίας δεδομένων: την περασμένη άνοιξη, η CNIL ενέκρινε τον πρώτο ευρωπαϊκό κώδικα δεοντολογίας αφιερωμένο στους παρόχους υπηρεσιών υποδομής cloud.

Επίσης, μόλις ενέκρινε το Εθνικό Εργαστήριο Μετρολογίας και Δοκιμών (LNE) και το Bureau Veritas Italia Spa να διενεργούν ελέγχους σχετικά με τη συμμόρφωση με αυτόν τον κώδικα δεοντολογίας.

Χωρίς να θεωρείται η έννοια «όλα τοπικά» ως η απόλυτη πανάκεια, τα ευρωπαϊκά «νέφη» έχουν το πλεονέκτημα ότι προσφέρουν αυξημένη νομική ασφάλεια, εφόσον δεν έχει διευκρινιστεί η κατάσταση με διεθνή συμφωνία.

Και επίσης

Γαλλία:

Η CNIL ενημέρωσε επίσημα την εταιρεία Γαλλία για την ασφάλεια των δεδομένων υγείας (εξετάσεις ελέγχου) που συλλέγει για λογαριασμό των φαρμακείων. Έχει επίσης προσεγγίσει περισσότερα από 300 φαρμακεία για να επαληθεύσει τη συμμόρφωσή τους με τον ΓΚΠΔ.

Η αρχή δημοσίευσε επίσης στις αρχές Οκτωβρίου ένα Λευκή βίβλος σχετικά με τα δεδομένα και τις μεθόδους πληρωμήςκαι δημόσια διαβούλευση σχετικά με ένα προσχέδιο οδηγού προσλήψεων.

Τέλος, η CNIL μελετά την πιθανότητα Χρήση αναγνώρισης προσώπου για τους Ολυμπιακούς Αγώνες από το 2024.

Ευρώπη

Η Ολλανδική Αρχή Προστασίας Δεδομένων Στις 21 Οκτωβρίου, το Ηνωμένο Βασίλειο απέρριψε αίτημα για άδεια συμπερίληψης σε μαύρη λίστα ύποπτων περιπτώσεων απάτης στις τηλεπικοινωνίες και τις ηλεκτρονικές πληρωμές.

Ισπανική αρχή επέβαλε πρόστιμο 16.000 ευρώ στο άτομο που ήταν υπεύθυνο για την εφαρμογή συστήματος βιομετρικής αναγνώρισης στον χώρο εργασίας χωρίς προηγούμενη εκτίμηση επιπτώσεων.

Μετά από παραβίαση ασφαλείας στο πλαίσιο της χρήσης του συστήματος αναγνώρισης προσώπου Clearview AI, τοΦινλανδική Αρχή Προστασίας Δεδομένων έκρινε ότι η αστυνομία είχε χρησιμοποιήσει αυτό το λογισμικό χωρίς νομική βάση και διέταξε την αστυνομία να συμμορφωθεί με τον νόμο και να ενημερώσει τα εμπλεκόμενα άτομα.

Το Επαρχιακό Διοικητικό Δικαστήριο της Βαρσοβίας έκρινε παράνομη την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τράπεζα βάσει του άρθρου 6(1)(στ) του ΓΚΠΔ (εξισορρόπηση συμφερόντων), αποκλειστικά και μόνο λόγω της πιθανής μελλοντικής χρησιμότητάς τους. Πηγή εθνικών αποφάσεων: gdprhub

Η Amazon έχει συνάψει σύμβαση με την Βρετανική Μυστική Υπηρεσία (GCHQ, MI5, MI6), μέσω των οποίων η εταιρεία θα φιλοξενεί και θα διεξάγει αναλύσεις τεχνητής νοημοσύνης σε ευαίσθητα δεδομένα από υπηρεσίες πληροφοριών. 

Στην ΕλβετίαΗ Proton, η υπηρεσία ασφαλών μηνυμάτων και VPN, κέρδισε έφεση στις 22 Οκτωβρίου κατά της υποχρέωσης που της είχε επιβληθεί να παρακολουθεί και να αποθηκεύει τα δεδομένα των χρηστών της.

Το Ευρωπαϊκό Κοινοβούλιο Στις 6 Οκτωβρίου, η Γερουσία των ΗΠΑ ενέκρινε ψήφισμα που απέρριπτε την αναγνώριση προσώπου και την προγνωστική ανάλυση που βασίζεται στην τεχνητή νοημοσύνη στην αστυνόμευση.

Διεθνές:

Η 43η Διεθνές Συνέδριο Αρχών Προστασίας Δεδομένων πραγματοποιήθηκε στην Πόλη του Μεξικού και μέσω τηλεδιάσκεψης από τις 18 έως τις 21 Οκτωβρίου.

Η διάσκεψη ενέκρινε διάφορα ψηφίσματα, συμπεριλαμβανομένου ενός για τα ψηφιακά δικαιώματα των παιδιών και ενός άλλου σχετικά με την πρόσβαση των αρχών επιβολής του νόμου σε δεδομένα του ιδιωτικού τομέα.

Η Αρχή Προστασίας Δεδομένων Νότια Κορέα συνιστά αποζημίωση ύψους 257 δολαρίων μετά από παραβίαση ασφαλείας του Facebook (Meta) σε κάθε χρήστη του οποίου τα δεδομένα διαβιβάστηκαν ακατάλληλα σε τρίτους.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.