USA Cloud Act: ο αντι-GDPR των Ηνωμένων Πολιτειών Αμερικής

Είναι κοινός τόπος ότι η απόφαση για την αντικατάσταση της Οδηγίας ΕΚ 95/46 για την προστασία των δεδομένων προσωπικού χαρακτήρα από ένα ισχυρό Κανονισμό όπως ο GDPR είχε ως μία εκ των γενεσιουργών της αιτίων -μεταξύ άλλων- και τον περιορισμό της συχνά άκρατης επεμβατικής τάσης των μυστικών υπηρεσιών της άλλης πλευράς του Ατλαντικού, επί προσωπικών δεδομένων κατοίκων της Ένωσης.

Το ρυθμιστικό πλέγμα του GDPR και η ουσιώδης διεύρυνση του τοπικού πεδίου εφαρμογής του στο άρθρο 3, κατά τρόπο ώστε να καταλαμβάνει υπό ευρείες προϋποθέσεις, σχεδόν οποιαδήποτε επεξεργασία προσωπικών δεδομένων κατοίκων της ΕΕ, ανεξαρτήτως του τόπου όπου αυτή λαμβάνει χώρα, παρέχει -θεωρητικά τουλάχιστον- τη δυνατότητα ο στόχος αυτός να επιτευχθεί.

Η Cloud Act των ΗΠΑ

Τον Μάρτιο του 2018 και δύο μήνες πριν τη θέση σε εφαρμογή του GDPR, οι ΗΠΑ ψήφισαν την «US Clarifying Lawful Overseas Use of Data Act» (US CLOUD Act).

Η ανάγκη της ψήφισης του Ομοσπονδιακού αυτού νόμου προέκυψε εξ αφορμής υπόθεσης που αφορούσε σε μια έρευνα για εμπορία ναρκωτικών το 2013, κατά τη διάρκεια της οποίας το FBI εξέδωσε ένταλμα βάσει του προηγούμενου αντίστοιχου νόμου (Stored Communications Act) του 1986, για την παραχώρηση μηνυμάτων ηλεκτρονικού ταχυδρομείου πολίτη των ΗΠΑ που είχαν αποθηκευτεί σε έναν από τους απομακρυσμένους διακομιστές της Microsoft στην Ιρλανδία.

Η Microsoft αρνήθηκε να παράσχει τα μηνύματα και η νομική διαμάχη οδηγήθηκε στο Ανώτατο Δικαστήριο (Microsoft Corp. κατά Ηνωμένων Πολιτειών). Το FBI ισχυρίστηκε ότι η Microsoft είχε πλήρη έλεγχο των δεδομένων και θα έπρεπε να υποχρεωθεί να παραδώσει τα μηνύματα σε συμμόρφωση με το ένταλμα, αλλά η Microsoft επικαλέστηκε ότι η SCA δεν κάλυπτε τα δεδομένα που αποθηκεύονται εκτός των Ηνωμένων Πολιτειών. Το FBI μπορούσε βέβαια να ζητήσει αμοιβαία δικαστική συνδρομή δια της διεθνούς συνθήκης ΕΕ-ΗΠΑ (MLAT) , κάτι που όμως μπορεί να αποδεικνυόταν εξαιρετικά χρονοβόρο και τελικά αναποτελεσματικό.

Στις ΗΠΑ είχαν προηγηθεί παρόμοιες προσπάθειες ανάλογης τροποποίησης της SCA το 2013 και το 2015, που όμως απέτυχαν να περάσουν από το Κογκρέσο.

Τελικά, η Cloud Act , όπως ψηφίστηκε, στοχεύει να επιτρέψει την αποτελεσματική διερεύνηση υποθέσεων των αμερικανικών αρχών, επιτάσσοντας τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών ή υπολογιστικών υπηρεσιών να διατηρούν, να δημιουργούν αντίγραφα ασφαλείας ή να αποκαλύπτουν τα περιεχόμενα ενσύρματων ή ηλεκτρονικών επικοινωνιών καθώς και οποιεσδήποτε άλλες πληροφορίες αφορούν πελάτη ή συνδρομητή που βρίσκονται υπό την κατοχή, την επιμέλεια ή τον έλεγχό τους, ανεξάρτητα από το εάν η επικοινωνία, το αρχείο ή οι λοιπές πληροφορίες βρίσκονται εντός ή εκτός των Ηνωμένων Πολιτειών.

Αυτό πολύ απλά σημαίνει ότι η CLOUD Act των ΗΠΑ συνεπάγεται την πιθανότητα τέτοιου είδους πάροχοι υπηρεσιών να είναι υποχρεωμένοι να απαντήσουν σε αίτημα των αμερικανικών αρχών που να οδηγεί σε αποκάλυψη προσωπικών δεδομένων, υποκείμενων στις διατάξεις του GDPR.

Η Cloud Act δε, ισχύει εξίσου και για δεδομένα περιεχομένου (contend data), όσο και για μετα-δεδομένα (metadata). Επιπλέον, ανοίγει τη δυνατότητα οι πάροχοι υπηρεσιών να παρεμποδίζουν ή να αποκαλύπτουν το περιεχόμενο ενσύρματων ή ηλεκτρονικών επικοινωνίας σε συμμόρφωση με εντολές από μια ξένη κυβέρνηση (παρακολούθηση σε πραγματικό χρόνο) αρκεί η ξένη αυτή κυβέρνηση να έχει συνάψει εκτελεστική συμφωνία με τις ΗΠΑ.

Η Cloud Act προβλέπει μεν τη δυνατότητα για τους παρόχους υπηρεσιών να υποβάλουν αίτημα για "ακύρωση" ή τροποποίηση του εντάλματος, πλην όμως αυτό ισχύει σε περιορισμένες περιπτώσεις και υπό διάφορες προϋποθέσεις. Το σημαντικότερο είναι ότι περιορίζει αυτή τη δυνατότητα στους παρόχους που ισχυρίζονται ότι το αίτημα θα παραβίαζε το δίκαιο μιας χώρας που έχει συνάψει εκτελεστικές συμφωνίες με τις ΗΠΑ και σε αιτήματα για δεδομένα που αφορούν μη Αμερικανούς πολίτες.

Αλληλεπίδραση μεταξύ GDPR και Cloud Act

Το άρθρο 48 του κεφαλαίου V του GDPR προβλέπει ότι «Κάθε απόφαση δικαστηρίου και κάθε απόφαση διοικητικής αρχής τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να διαβιβάσει ή να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα μπορεί να αναγνωρισθεί ή να είναι εκτελεστή καθ' οιονδήποτε τρόπο μόνο εάν βασίζεται σε διεθνή συμφωνία, όπως σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο.».

Ο λόγος της ύπαρξης του άρθρου αυτού είναι προφανής και σκοπό έχει να εμποδίσει την έμμεση παράκαμψη του προστατευτικού πλέγματος του Κανονισμού μέσω ξένων «δούρειων ίππων» κρυμμένων σε δικαστικές ή διοικητικές αποφάσεις. Παρόμοια πρόβλεψη περιέχεται ρητά στο άρθρο 6 παρ. 3 του GDPR σχετικά με την ερμηνεία του όρου «νομική υποχρέωση» του άρθρου 6 παρ. 1 γ’ του GDPR, αφού ως τέτοια νοείται μόνο η υποχρέωση που προκύπτει από νομοθέτημα της ΕΕ ή κράτους μέλους της.

Η Cloud Act προβλέπει το ακριβώς αντίστροφο, επιβάλλοντας δια ενταλμάτων στις εταιρίες που βρίσκονται υπό τη δικαιοδοσία των ΗΠΑ, να διαβιβάζουν στις αμερικανικές αρχές προσωπικά δεδομένα πολιτών, στην πράξη, ακόμα κι αν αυτά υπάγονται στην προστασία του GDPR.

Είναι σαφές από τα παραπάνω, ότι το αμερικανικό αυτό νομοθέτημα μπορεί εφαρμοζόμενο να θέσει σε κίνδυνο κάθε προστασία του GDPR, εκτείνοντας -κατά παράδοξα παρόμοιο με τον GDPR τρόπο- το πεδίο εφαρμογής του, πέραν των συνόρων των ΗΠΑ. Ό,τι ακριβώς επιχειρεί να εμποδίσει ο GDPR στα δύο προαναφερθέντα άρθρα (αρθ. 6 παρ. 3 και αρθ. 48), μπορεί τελικά να επιτευχθεί κατ΄ εφαρμογή της Cloud Act. Κάτι τέτοιο μπορεί οποιοσδήποτε να φανταστεί τις συνέπειες που θα είχε δυνητικά, με δεδομένη την πληθώρα των εκδιδόμενων ενταλμάτων στις ΗΠΑ για κάθε είδους υποθέσεις.

Ο προβληματισμός όσων επαϊόντων στην ευρωπαϊκή προστασία προσωπικών δεδομένων γνώριζαν την Cloud Act ήδη από την ψήφιση της ήταν -βάσει των παραπάνω - έντονος, όχι όμως ικανός να πιέσει σε μια επίσημη αντίδραση την ΕΕ, μέχρι πριν από λίγες ημέρες.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) εξέδωσαν στις 10-7-2019 την υπ’ αριθ. 1/2019 κοινή Γνώμη τους, απαντώντας σε σχετικό ερώτημα του Προέδρου της LIBE (Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων του Ευρωπαϊκού Κοινοβουλίου), όσον αφορά τη νομική αξιολόγηση του αντικτύπου της Cloud Act σε σχέση με το ευρωπαϊκό νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων.

Τα δύο όργανα της ΕΕ, εκκινούμενα από τους προεκτεθέντες προβληματισμούς επαναλαμβάνουν την προηγούμενη θέση του ΕΣΠΔ που συμπεριλαμβάνεται στις κατευθυντήριες αρχές υπ’ αριθ. 2/2018 σχετικά με το άρθρο 49-(παρεκκλίσεις για ειδικές καταστάσεις: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation_en), σύμφωνα με την οποία η πρόβλεψη του άρθρου 48 σημαίνει ότι:

«αποφάσεις διοικητικών αρχών και δικαστηρίων τρίτης χώρας δεν αποτελούν, καθαυτές, νόμιμους λόγους για τη διαβίβαση δεδομένων σε τρίτες χώρες. Επομένως, σε κάθε περίπτωση, η διαβίβαση δεδομένων ως αποτέλεσμα απόφασης αρχών τρίτων χωρών είναι σύννομη μόνον αν συνάδει με τις προϋποθέσεις που καθορίζονται στο κεφάλαιο V. Στις περιπτώσεις διεθνούς συμφωνίας, όπως σύμβασης αμοιβαίας δικαστικής συνδρομής (ΣΑΔΣ), οι εταιρείες της ΕΕ θα πρέπει γενικά να απορρίπτουν απευθείας αιτήματα και να παραπέμπουν την αιτούσα αρχή της τρίτης χώρας στην υφιστάμενη ΣΑΔΣ ή συμφωνία.».

Μάλιστα, το ΕΣΠΔ και ο ΕΕΠΔ ξεκαθαρίζουν ότι η ισχύουσα Διεθνής Σύμβαση Δικαστικής Συνδρομής μεταξύ ΕΕ και ΗΠΑ δεν πληροί τα κριτήρια της κατά το άρθρο 48 προβλεπόμενης διεθνούς συμφωνίας, καθώς δεν περιλαμβάνει τις απαιτούμενες προβλέψεις σχετικά με την εξασφάλιση εγγυήσεων για την προστασία των προσωπικών δεδομένων. Επισημαίνουν ρητά ότι επί του παρόντος καμία διεθνής συμφωνία μεταξύ της ΕΕ και των ΗΠΑ δεν πληροί τις προϋποθέσεις του άρθρου 48 κι επομένως δεν μπορεί να χρησιμοποιηθεί ως νομική βάση για διαβίβαση βάσει εντάλματος της Cloud Act.

Συνεπώς, η μόνη περίπτωση να υπάρχει επιτρεπτή διαβίβαση υπό τις συνθήκες αυτές, είναι εκείνη κατά την οποία συντρέχουν σωρευτικά μία νομική βάση του άρθρου 6 και μία από τις προβλεπόμενες παρεκκλίσεις του άρθρου 49 του GDPR. Το ΕΣΠΔ και ο ΕΕΠΔ, μετά από αναλυτική εξέταση των προϋποθέσεων των δύο αυτών άρθρων, καταλήγουν τελικά ότι η μόνη πιθανότητα να γίνει δεκτό αίτημα για διαβίβαση που ζητείται από ένταλμα εκδοθέν βάσει της Cloud Act είναι η εξαιρετική περίπτωση η διαβίβαση να είναι απαραίτητη για τη διαφύλαξη των ζωτικών συμφερόντων του υποκειμένου των δεδομένων (και όχι άλλου φυσικού προσώπου, όπου θα πρέπει να ακολουθηθεί η διαδικασία της δικαστικής συνδρομής).

Αμφότερα τα δύο όργανα, ΕΣΠΔ και ΕΕΠΔ εκφράζουν την ανησυχία τους σχετικά με το ενδεχόμενο μεμονωμένα κράτη-μέλη να συνάψουν διμερείς εκτελεστικές συμφωνίες της Cloud Act με τις ΗΠΑ και καλούν την Επιτροπή να μεριμνήσει ώστε να υπάρχει πανευρωπαϊκή εναρμονισμένη πολιτική στο ζήτημα.

Καταλήγοντας τα δύο όργανα επισημαίνουν ότι η μόνη λύση στο ζήτημα είναι η (άμεση) επίτευξη διεθνούς συμφωνίας μεταξύ ΕΕ και ΗΠΑ, τέτοιας που να περιέχει ισχυρές διασφαλίσεις προστασίας δεδομένων όπως, για παράδειγμα εγγυήσεις που βασίζονται στις αρχές της αναλογικότητας και της ελαχιστοποίησης των δεδομένων. Επιπλέον, θα πρέπει να ληφθεί μέριμνα ώστε να διατηρηθεί η αρχή του «διπλού αξιοποίνου» που παρέχει προστασία από την ασυμφωνία μεταξύ του τρόπου με τον οποίο ορίζεται το έγκλημα στον αλλοδαπό νόμο και στη νομοθεσία της ΕΕ.

Συγκυριακά ή μη, τον περασμένο Μάιο εγκρίθηκε από το Συμβούλιο το άνοιγμα διαπραγματεύσεων μεταξύ Κομισιόν και ΗΠΑ ακριβώς σχετικά με αιτήματα διασυνοριακής πρόσβασης σε ηλεκτρονικά αποδεικτικά στοιχεία. Έως την επίτευξη της συμφωνίας αυτής η Cloud Act και ο GDPR θα συνεχίσουν να αποτελούν αντίπαλα δέη.