Schrems II, πέντε χρόνια μετά

Η απόφαση που χρειάστηκε τρεις ώρες για να αλλάξει τους κανόνες

Στις 16 Ιουλίου 2020, γύρω στις δέκα και τέταρτο το πρωί ώρα Λουξεμβούργου, το Δικαστήριο της Ευρωπαϊκής Ένωσης δημοσιοποίησε την απόφαση στην υπόθεση C-311/18. Μέσα στις επόμενες τρεις ώρες, το νομικό καθεστώς που στήριζε την καθημερινή διαβίβαση προσωπικών δεδομένων από την Ευρώπη προς τις Ηνωμένες Πολιτείες —η λεγόμενη Ασπίδα Προστασίας, Privacy Shield στην επίσημη ονομασία της— έπαψε να υφίσταται. Όταν οι Ευρωπαίοι υπεύθυνοι προστασίας δεδομένων τελείωσαν το γεύμα τους εκείνη την ημέρα, το πλαίσιο υπό το οποίο λειτουργούσαν οι εταιρείες και οι διοικήσεις τους δεν ήταν πλέον σε ισχύ.

Η απόφαση είναι γνωστή σήμερα ως Schrems II, από τον Maximilian Schrems, τον Αυστριακό ακτιβιστή του οποίου η καταγγελία κατά του Facebook Ireland την πυροδότησε. Η καταγγελία, συγκεκριμένα, αφορούσε τις διαβιβάσεις μεταξύ Facebook Ιρλανδίας και Facebook Ηνωμένων Πολιτειών. Η απόφαση, γενικά, πηγαίνει πολύ παραπέρα: υπαγορεύει πώς και υπό ποιες προϋποθέσεις μπορεί να περάσει στις Ηνωμένες Πολιτείες οποιοδήποτε προσωπικό δεδομένο συλλέγεται σε ευρωπαϊκό έδαφος.

Σχεδόν έξι χρόνια μετά, το πλαίσιο αντικατάστασης υπάρχει —το EU-US Data Privacy Framework, που υιοθετήθηκε τον Ιούλιο του 2023— και βρίσκεται, επίσης, υπό νομική πίεση. Ένας νέος γύρος Schrems προετοιμάζεται. Εν τω μεταξύ, η ευρωπαϊκή μικρή και μεσαία επιχείρηση συνεχίζει να χρησιμοποιεί αμερικανικές υπηρεσίες cloud για καθημερινές εργασίες, στην πλειονότητά τους χωρίς να γνωρίζει ότι το νομικό ζήτημα επί του οποίου βασίζονται αυτές οι υπηρεσίες παραμένει ανοιχτό.

Τι ακριβώς έλεγε η απόφαση Schrems II

Η απόφαση στηρίζεται σε τρία κομμάτια. Το πρώτο είναι ο Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, ειδικότερα τα άρθρα του 7 (σεβασμός της ιδιωτικής και οικογενειακής ζωής), 8 (προστασία των δεδομένων προσωπικού χαρακτήρα) και 47 (δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου). Το δεύτερο είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων —ο RGPD που πολλοί Ευρωπαίοι θυμούνται μόνο από τις ειδοποιήσεις για τα cookies—, ειδικότερα το κεφάλαιο V, άρθρα 44 έως 50, σχετικά με τις διεθνείς διαβιβάσεις. Το τρίτο είναι η αμερικανική νομοθεσία πληροφοριών: το τμήμα 702 του Foreign Intelligence Surveillance Act, FISA 702 στη νομική αργκό, και το προεδρικό Εκτελεστικό Διάταγμα 12333.

Το δικαστήριο προχώρησε μέσω αντιπαραβολής. Ο Χάρτης Θεμελιωδών Δικαιωμάτων απαιτεί τα προσωπικά δεδομένα των Ευρωπαίων πολιτών να απολαμβάνουν, όταν εξέρχονται από την Ένωση, ενός επιπέδου προστασίας ουσιωδώς ισοδύναμου με εκείνο που εγγυάται ο RGPD. Η ερώτηση ήταν, κατά συνέπεια, εάν οι Ηνωμένες Πολιτείες προσφέρουν αυτό το ουσιωδώς ισοδύναμο επίπεδο.

Η απάντηση ήταν αρνητική, και όχι λόγω λεπτομερειών. Ο FISA 702 επιτρέπει στην αμερικανική κυβέρνηση να συλλέγει επικοινωνίες μη Αμερικανών που βρίσκονται εκτός της εθνικής επικράτειας χωρίς προηγούμενη ατομική δικαστική άδεια, χωρίς ειδοποίηση στον επηρεαζόμενο και χωρίς ένα πραγματικό μέσο προσφυγής συγκρίσιμο με το ευρωπαϊκό. Το Εκτελεστικό Διάταγμα 12333 διευρύνει αυτή την ικανότητα με ανάλογο τρόπο εκτός της εθνικής επικράτειας. Το δικαστήριο κατέληξε στο συμπέρασμα ότι ο Ευρωπαίος πολίτης, ενώπιον του αμερικανικού νομικού συστήματος, δεν διαθέτει την ουσιωδώς ισοδύναμη προστασία που απαιτεί ο Χάρτης. Η ισοδυναμία, επομένως, δεν υφίσταται.

Εξού και η άμεση συνέπεια: η Απόφαση 2016/1250 της Ευρωπαϊκής Επιτροπής, η οποία είχε επικυρώσει το Privacy Shield ως κατάλληλο πλαίσιο για τις διαβιβάσεις, κηρύχθηκε άκυρη. Κάθε διαβίβαση που καλυπτόταν αποκλειστικά από αυτό το πλαίσιο έμεινε χωρίς νομική βάση από εκείνη κιόλας τη στιγμή.

Τι επιβίωσε (και υπό ποιες προϋποθέσεις)

Η απόφαση Schrems II δεν εξάλειψε όλα τα εργαλεία. Οι Τυποποιημένες Συμβατικές Ρήτρες —οι SCC στη διεθνή αργκό, από τα αγγλικά Standard Contractual Clauses— επιβίωσαν. Πρόκειται για πρότυπα συμβάσεων εγκεκριμένα από την Ευρωπαϊκή Επιτροπή: ένας Ευρωπαίος εξαγωγέας και ένας εισαγωγέας της χώρας προορισμού τις υπογράφουν δεσμευόμενοι να επεξεργάζονται τα δεδομένα σύμφωνα με το ευρωπαϊκό πρότυπο. Η επιχείρηση που πίστεψε ότι έλυσε το πρόβλημα στις 17 Ιουλίου 2020 υπέγραψε SCC με τον πάροχό της και έμεινε ικανοποιημένη.

Η ενόχληση ήρθε διαβάζοντας την απόφαση προσεκτικά. Το δικαστήριο κατέστησε σαφές ότι οι SCC παραμένουν έγκυρες, αλλά η εγκυρότητά τους εξαρτάται από μια προϋπόθεση που είναι σκόπιμο να υπογραμμιστεί: να μπορεί ο εισαγωγέας των δεδομένων να τις τηρήσει στην πράξη. Εάν η εθνική νομοθεσία της χώρας προορισμού τον εμποδίζει να τηρήσει τις ρήτρες —επειδή, για παράδειγμα, μια εντολή υπό τον FISA 702 τον υποχρεώνει να παραδώσει τα δεδομένα χωρίς να ειδοποιήσει τον ευρωπαίο αντισυμβαλλόμενό του—, οι ρήτρες δεν προστατεύουν στην πραγματικότητα. Και τότε, λέει το δικαστήριο, ο Ευρωπαίος εξαγωγέας πρέπει να αναστείλει τη διαβίβαση.

Αυτό εισήγαγε ένα νέο αντικείμενο στην ευρωπαϊκή πρακτική προστασίας δεδομένων: την Transfer Impact Assessment, ή εκτίμηση αντικτύπου διαβίβασης, γνωστή με τα αγγλικά αρχικά TIA. Κάθε φορά που μια ευρωπαϊκή εταιρεία θέλει να μεταφέρει δεδομένα στις Ηνωμένες Πολιτείες υπό την κάλυψη των SCC, πρέπει να αξιολογεί επίσημα εάν ο αποδέκτης μπορεί να συμμορφωθεί με τις ρήτρες δεδομένης της νομοθεσίας που του εφαρμόζεται. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε λεπτομερείς κατευθυντήριες γραμμές για τον τρόπο διεξαγωγής της TIA. Η ειλικρινής πρακτική συνήθως δίνει το ίδιο αποτέλεσμα: εάν ο εισαγωγέας είναι μια αμερικανική θυγατρική ενός κολοσσού του cloud, η ειλικρινής απάντηση στην TIA είναι ότι οι ρήτρες δεν μπορούν να τηρηθούν όπως είναι γραμμένες.

Το Privacy Framework και η εκκρεμής απόφαση Schrems III

Στις 10 Ιουλίου 2023, η Ευρωπαϊκή Επιτροπή εξέδωσε μια νέα Απόφαση Επάρκειας: την 2023/1795. Αντικαθιστά το εκλιπόν Privacy Shield και λειτουργεί υπό την ονομασία EU-US Data Privacy Framework. Οι Ηνωμένες Πολιτείες τροποποίησαν προηγουμένως το εσωτερικό τους καθεστώς μέσω του Εκτελεστικού Διατάγματος 14086, το οποίο περιορίζει το εύρος της συλλογής πληροφοριών σημάτων στο «αναγκαίο και αναλογικό» —ορολογία οικεία στον Ευρωπαίο αναγνώστη, όχι τόσο στην αμερικανική διοικητική πρακτική— και δημιουργεί ένα όργανο αναθεώρησης που ονομάζεται Data Protection Review Court (DPRC). Η Επιτροπή έκρινε ότι αυτές οι τροποποιήσεις ήταν αρκετές για την αποκατάσταση του ουσιωδώς ισοδύναμου επιπέδου προστασίας.

Η οργάνωση noyb, που ιδρύθηκε από τον Schrems, κατέθεσε καταγγελία στις 7 Σεπτεμβρίου 2023 κατά της νέας Απόφασης. Τα επιχειρήματα είναι τα αναμενόμενα: το DPRC δεν είναι ανεξάρτητο δικαστήριο κατά την έννοια του άρθρου 47 του Χάρτη· οι έννοιες «αναγκαίο και αναλογικό» δεν μεταφράζονται μηχανικά στα ευρωπαϊκά πρότυπα· και, τέλος, μια προστασία που στηρίζεται σε ένα Εκτελεστικό Διάταγμα μπορεί να ανακληθεί από το επόμενο Εκτελεστικό Διάταγμα. Μια απόφαση του TJUE για τη νέα Απόφαση —αυτή που πολλοί αποκαλούν ήδη, με κάποια παραίτηση, Schrems III— αναμένεται τα επόμενα χρόνια. Το αποτέλεσμα δεν μπορεί να προβλεφθεί. Η δομή του επιχειρήματος, σε κάθε περίπτωση, θυμίζει πολύ εκείνη του 2020.

Αυτά που η ευρωπαϊκή ΜΜΕ δεν ακούει

Ενώ η ολομέλεια του TJUE διαβουλεύεται, το μεσαίου μεγέθους δικηγορικό γραφείο συνεχίζει να ανταλλάσσει αλληλογραφία με τους πελάτες του μέσω του Microsoft 365 που φιλοξενείται σε ευρωπαϊκές περιοχές αλλά ανήκει σε μια αμερικανική εταιρεία που υπόκειται στον FISA 702. Το ιδιωτικό ιατρείο συγχρονίζει ραντεβού μέσω του Google Workspace. Ο φορολογικός σύμβουλος στέλνει υπογεγραμμένες δηλώσεις μέσω DocuSign. Ο ψυχολόγος τιμολογεί από ένα υπολογιστικό φύλλο στο Notion. Το εργατολογικό γραφείο αρχειοθετεί φακέλους στο Dropbox. Και πρακτικά όλοι τους, επιπλέον, εξυπηρετούν τους πελάτες τους μέσω WhatsApp. Όλα αυτά μπορούν να λειτουργούν υπό την κάλυψη, σύμφωνα με τους παρόχους, της Απόφασης Επάρκειας 2023/1795. Την ημέρα που η Απόφαση αυτή θα καταπέσει στην Schrems III, όλες αυτές οι σχέσεις μένουν έκθετες στο ίδιο δευτερόλεπτο.

Το ζήτημα δεν είναι ρητορικό. Μεταξύ 2022 και 2024, αρκετές ευρωπαϊκές αρχές εξέδωσαν αποφάσεις κατά υπευθύνων επεξεργασίας για τη χρήση του Google Analytics χωρίς κατάλληλο εργαλείο διαβίβασης, σε κατά γράμμα εφαρμογή του σκεπτικού του TJUE ακόμη και πριν τεθεί σε ισχύ το Privacy Framework. Η γαλλική αρχή, η CNIL, ήταν η πρώτη που επισημοποίησε το κριτήριο το 2022· οι αυστριακές, ιταλικές και άλλες αρχές ακολούθησαν λίγο μετά. Η μη συμμόρφωση, υπό τον τρέχοντα επιχειρησιακό σχεδιασμό της ευρωπαϊκής ΜΜΕ, τεκμηριώνεται σε πραγματικό χρόνο ενώπιον όποιου ξέρει να κοιτάξει.

Η TIA ως εργαλείο, όχι ως τελετουργικό

Ένα σημαντικό μέρος των TIA που κυκλοφορούν στα ευρωπαϊκά γραφεία είναι, αν διαβαστούν με προσοχή, τυπικές ασκήσεις. Παραθέτουν τα συμβατικά εργαλεία, απαριθμούν τις πιστοποιήσεις του παρόχου, αναφέρουν τις τεχνικές εγγυήσεις, τσεκάρουν το κουτάκι. Λίγες αναρωτιούνται σοβαρά εάν μια εντολή FISA 702 θα υποχρέωνε τον πάροχο να παραδώσει τα δεδομένα. Ακόμη λιγότερες αναρωτιούνται τι θα συνέβαινε με αυτή τη διαβίβαση υπό μια υποθετική αναθεώρηση του Privacy Framework. Το άρθρο 5 του RGPD απαιτεί από τον υπεύθυνο επεξεργασίας να είναι σε θέση να αποδείξει τη συμμόρφωση. Μια TIA που δεν γίνεται σοβαρά δεν αποδεικνύει τίποτα· αυτό που αποδεικνύει είναι η θέληση για συμμόρφωση στα χαρτιά ενώ στην πράξη γίνεται το αντίθετο.

Η ειλικρινής έκδοση της TIA ξεκινά με μια απλή ερώτηση: τι θα συνέβαινε εάν αύριο έφτανε σε αυτόν τον πάροχο μια εντολή FISA 702 για αυτά τα συγκεκριμένα δεδομένα; Εάν η ειλικρινής απάντηση είναι «θα έπρεπε να τα παραδώσει χωρίς να μας ειδοποιήσει», οι συμβατικές ρήτρες δεν λύνουν το πρόβλημα. Αυτό που το λύνει, στις περιπτώσεις που η ερώτηση έχει πραγματικά σημασία, είναι το να μην έχουν τεθεί τα δεδομένα στα χέρια αυτού του παρόχου.

Η πολιτική αλλαγή ως διαρθρωτικός κίνδυνος

Υπάρχει ένα επιπλέον επίπεδο, πολιτικό, που είναι σκόπιμο να κατονομαστεί χωρίς δραματοποίηση. Η Απόφαση Επάρκειας 2023/1795 βασίζεται, σε τελική ανάλυση, στο Εκτελεστικό Διάταγμα 14086, που υπογράφηκε από τον πρόεδρο Biden τον Οκτώβριο του 2022. Ένα Εκτελεστικό Διάταγμα υπογράφεται από έναν πρόεδρο και μπορεί να ανακληθεί, να τροποποιηθεί ή να κενωθεί περιεχομένου από τον επόμενο. Η προστασία των ευρωπαϊκών δεδομένων στις Ηνωμένες Πολιτείες εξαρτάται, έτσι, από μια διοικητική απόφαση που ούτε το αμερικανικό Κογκρέσο εγγυάται ούτε το αμερικανικό νομικό σύστημα προστατεύει με τη στιβαρότητα που προστατεύει άλλα εσωτερικά θέματα. Από τον Ιανουάριο του 2025 μια νέα κυβέρνηση διοικεί τις Ηνωμένες Πολιτείες και το ερώτημα για την πρακτική συνέχεια του EO 14086 έχει πάψει να είναι μια υπόθεση και έχει γίνει σύγχρονο. Οποιοδήποτε σενάριο στο οποίο η κυβέρνηση αποφασίσει να αποσύρει ή να αποδυναμώσει το Διάταγμα θα άφηνε την Ευρωπαϊκή Απόφαση χωρίς το κομμάτι πάνω στο οποίο οικοδομήθηκε.

Δεν είναι ένα συνωμοσιολογικό επιχείρημα. Είναι η νηφάλια ανάγνωση του νομικού σχεδιασμού. Τα πλαίσια διατλαντικής προστασίας δεδομένων έχουν ήδη καταπέσει δύο φορές: το Safe Harbor το 2015 (απόφαση Schrems I), το Privacy Shield το 2020 (Schrems II). Το τρίτο βασίζεται σε ένα κομμάτι πιο εύθραυστο από τους δύο προκατόχους του. Μια ευρωπαϊκή επιχείρηση που ποντάρει σήμερα την επεξεργασία των δεδομένων της σε αυτό το κομμάτι παίρνει μια απόφαση διαχείρισης κινδύνου, όχι απλής κανονιστικής συμμόρφωσης.

Για τον επαγγελματία αναγνώστη

Οι επιχειρησιακές ερωτήσεις που είναι σκόπιμο να θέσει κανείς στον εαυτό του πριν επιλέξει μια υπηρεσία cloud για επαγγελματικά δεδομένα —με την αυστηρότητα που θα τις έθετε ένας επιθεωρητής προστασίας δεδομένων— είναι οι εξής:

1. Πού αποθηκεύονται φυσικά τα δεδομένα; Μια ευρωπαϊκή περιοχή δεν αποτελεί επαρκή απάντηση εάν ο πάροχος είναι αμερικανικός.
2. Ποιος λειτουργεί την υπηρεσία, σε ποια δικαιοδοσία έχει την έδρα του και σε ποιες νομικές εντολές μπορεί να υποβληθεί;
3. Ποιο εργαλείο διαβίβασης επικαλείται: Απόφαση Επάρκειας 2023/1795, SCC με TIA, παρέκκλιση του άρθρου 49 του RGPD; Είναι υπερασπίσιμη αυτή η επιλογή ενώπιον μιας επιθεώρησης;
4. Εάν η Απόφαση Επάρκειας έπεφτε αύριο, ποιο επιχειρησιακό σχέδιο υπάρχει για τη διατήρηση της δραστηριότητας;
5. Υπάρχει ευρωπαϊκή ή αυτοφιλοξενούμενη εναλλακτική λύση για αυτή τη λειτουργία και ποιο θα ήταν το πραγματικό κόστος της μετάβασης;

Δεν απαιτούν όλες οι λειτουργίες του καθημερινού γραφείου την ίδια απάντηση. Ένα υπολογιστικό φύλλο για την εσωτερική λογιστική πιθανώς δεν ανεβάζει την ερώτηση σε αυτό το επίπεδο. Ο ποινικός φάκελος ενός πελάτη, το ιατρικό ιστορικό, η μισθοδοσία των εργαζομένων, ναι. Η αναλογικότητα είναι θεμιτή· η συλλογική αδράνεια με την οποία η ευρωπαϊκή ΜΜΕ παρέμεινε σε αμερικανικούς παρόχους για όλα —ακόμη και για τα πιο ευαίσθητα— δεν είναι.

---

Η απόφαση Schrems II κλείνει έξι χρόνια αυτόν τον Ιούλιο. Η απόφαση δεν άλλαξε τις καθημερινές συνήθειες της πλειονότητας των ευρωπαϊκών επιχειρήσεων. Άλλαξε, ωστόσο, τον χάρτη κινδύνων στους οποίους εκτίθενται αυτές οι επιχειρήσεις. Όταν μια αμερικανική διοικητική απόφαση παρεμβάλλεται μεταξύ του ευρωπαϊκού κανονισμού και της πραγματικής λειτουργίας μιας ΜΜΕ, είναι σκόπιμο τουλάχιστον να γνωρίζουμε ότι η απόφαση είναι εκεί και ότι είναι εύθραυστη. Όσοι από εμάς επιλέξαμε μια αρχιτεκτονική χωρίς ενδιάμεσο πάροχο —το νήμα που διατρέχει το Cuadernos Lacre— θα προτιμούσαμε να μην χρειάζεται να γράφουμε αυτού του είδους την ανάλυση κάθε φορά που ένας Schrems κάθεται να καταθέσει μια προσφυγή. Αλλά θα συνεχίσουμε να τις κάνουμε.