Οι περισσότερες μεταφορές δεδομένων μεταξύ ΕΕ και ΗΠΑ βασίζονται στο «Διατλαντικό Πλαίσιο Προστασίας Προσωπικών Δεδομένων» (TAFPF) ή στις λεγόμενες «Τυποποιημένες Ρήτρες Συμβάσεων» (SCC). Και τα δύο μέσα βασίζονται σε εύθραυστους νόμους των ΗΠΑ, μη δεσμευτικούς κανονισμούς και νομολογία που δέχεται επιθέσεις - και είναι πιθανό να ανατραπεί τους επόμενους μήνες. Καθώς η αστάθεια στο νομικό σύστημα των ΗΠΑ καθίσταται αναμφισβήτητη και οι ΗΠΑ δείχνουν εμφανή σημάδια εχθρότητας προς την ΕΕ, είναι καιρός να επανεξετάσουμε πού ρέουν τα δεδομένα μας - και για πόσο καιρό αντέχει ο νομικός «πύργος από τραπουλόχαρτα» που έχει χτίσει η ΕΕ.
Δημοσίευση ιστολογίου από τον Max Schrems
Επίπεδα νομοθεσίας των ΗΠΑ και της ΕΕ. Η «γέφυρα» που έχτισαν η Ευρωπαϊκή Επιτροπή και οι προηγούμενες Δημοκρατικές κυβερνήσεις των ΗΠΑ για να επιτρέψουν την επεξεργασία προσωπικών δεδομένων της ΕΕ στις ΗΠΑ δεν βασίζεται σε έναν απλό, σταθερό νόμο περί απορρήτου των ΗΠΑ. Αντίθετα, η ΕΕ και οι ΗΠΑ βασίστηκαν σε ένα άγριο συνονθύλευμα από τόνους εσωτερικών κατευθυντήριων γραμμών και κανονισμών, νομολογία του Ανωτάτου Δικαστηρίου, πραγματικές « πρακτικές » των ΗΠΑ ή εκτελεστικά διατάγματα.
Σε μια προσπάθεια να τα βγάλουν πέρα, αυτά τα επίπεδα δεν αλληλοϋποστηρίζονται, αλλά παρατάσσονται για να δημιουργήσουν την πιο λεπτή δυνατή σύνδεση μεταξύ της νομοθεσίας της ΕΕ και των ΗΠΑ - πράγμα που σημαίνει ότι η αποτυχία έστω και ενός από τα πολλά νομικά στοιχεία πιθανότατα θα καθιστούσε τις περισσότερες μεταφορές δεδομένων ΕΕ-ΗΠΑ αμέσως παράνομες. Όπως ακριβώς ένας πύργος από τραπουλόχαρτα, η αστάθεια οποιασδήποτε μεμονωμένης κάρτας θα προκαλέσει την κατάρρευση του σπιτιού.
Δεδομένης της εξαιρετικά καταστροφικής προσέγγισης της κυβέρνησης Τραμπ, πολλά στοιχεία των μεταφορών δεδομένων μεταξύ ΕΕ και ΗΠΑ δέχονται επίθεση – συχνά όχι λόγω άμεσων προθέσεων. Αντίθετα, η σημερινή κυβέρνηση των ΗΠΑ απλώς επιτίθεται ευρέως στο νομικό σύστημα και το συνταγματικό ιστό των ΗΠΑ (με τη βοήθεια ενός εξαιρετικά πολιτικοποιημένου Ανωτάτου Δικαστηρίου) – με πολλές πιθανές συνέπειες για τις ροές δεδομένων μεταξύ ΕΕ και ΗΠΑ.
1ο Πιθανό Σημείο Αποτυχίας: Η ανεξαρτησία της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC). Την περασμένη Δευτέρα, το Ανώτατο Δικαστήριο των ΗΠΑ εξέτασε μια υπόθεση σχετικά με την ανεξαρτησία της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC). Από μια υπόθεση του 1935 ( Humphrey's Executor ), η νομολογία του Ανωτάτου Δικαστηρίου των ΗΠΑ ορίζει ότι ο νομοθέτης των ΗΠΑ μπορεί να δημιουργήσει «ανεξάρτητα» όργανα εντός της εκτελεστικής εξουσίας, η οποία είναι κάπως απομονωμένη από τον Πρόεδρο των ΗΠΑ.
Μια προηγουμένως περιθωριακή θεωρία ότι, σύμφωνα με το Σύνταγμα των ΗΠΑ, όλες οι εξουσίες της εκτελεστικής εξουσίας πρέπει να ανήκουν σε ένα μόνο πρόσωπο (τον Πρόεδρο) έχει πλέον κερδίσει έδαφος μεταξύ των συντηρητικών νομικών των ΗΠΑ. Αυτή η λεγόμενη « ενιαία εκτελεστική θεωρία » θα καθιστούσε οποιαδήποτε ανεξάρτητη αρχή, όπως η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC), συνήθως αντισυνταγματική. Όλες οι εξουσίες θα έπρεπε να συγκεντρώνονται στον Πρόεδρο.
Στην υπόθεση Trump εναντίον Slaughter , το Ανώτατο Δικαστήριο των ΗΠΑ άκουσε τώρα τα επιχειρήματα ενός επιτρόπου της FTC που απομακρύνθηκε από τον Trump παρά όλες τις εγγυήσεις ανεξαρτησίας στο άρθρο 15 USC § 41. Με βάση τα σχόλια και τις ερωτήσεις των δικαστών, πιστεύεται ευρέως (βλ. π.χ. The Guardian , CNN ή SCOTUS Blog ) ότι η συντηρητική πλειοψηφία στο Ανώτατο Δικαστήριο των ΗΠΑ θα ταχθεί υπέρ του Trump και (σε κάποιο βαθμό) θα ακολουθήσει τη «θεωρία της ενιαίας εκτελεστικής εξουσίας», ανατρέποντας την ανεξαρτησία της FTC.
Σε συνδυασμό με τις αποφάσεις του Ανώτατου Δικαστηρίου των ΗΠΑ σχετικά με την απόλυτη ασυλία του Προέδρου , οι ΗΠΑ θα κινηθούν ολοένα και περισσότερο προς ένα σύστημα όπου ο Πρόεδρος είναι απόλυτος «Βασιλιάς» - τουλάχιστον για τέσσερα χρόνια.
Από ευρωπαϊκή οπτική γωνία, η ανεξαρτησία της FTC είναι ένα κρίσιμο στοιχείο, επειδή το Άρθρο 8(3) του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ (CFR) απαιτεί η επεξεργασία δεδομένων προσωπικού χαρακτήρα να παρακολουθείται και να επιβάλλεται από έναν « ανεξάρτητο » φορέα. Στο TADPF (και προηγουμένως στα συστήματα «Ασφαλούς Λιμένα» και «Ασπίδα Προστασίας Προσωπικών Δεδομένων»), η ΕΕ και οι ΗΠΑ συμφώνησαν να δώσουν αυτές τις εξουσίες στην FTC στις ΗΠΑ – όντας ένας τέτοιος «ανεξάρτητος» φορέας. Το Τμήμα 2.3.4 της απόφασης TADPF της Ευρωπαϊκής Επιτροπής υπογραμμίζει τον ρόλο επιβολής που έχει η FTC. Η αιτιολογική σκέψη 61 και η υποσημείωση 92 αναφέρονται ρητά στο άρθρο 41 του άρθρου 15 του Κώδικα των Ηνωμένων Πολιτειών ως βάση για την ύπαρξη των απαραίτητων εγγυήσεων ανεξαρτησίας στις ΗΠΑ.
Κανένα άλλο στοιχείο του TADPF δεν διαθέτει τις απαραίτητες εξουσίες έρευνας και ανεξαρτησίας. Υπάρχει επίσης ιδιωτική διαιτησία, αλλά δεν διαθέτει καμία εξουσιοδότηση έρευνας ή σχετική εξουσία επιβολής. Κατά συνέπεια, κάθε συμμετέχων στο TADPF πρέπει να διέπεται είτε από την ανεξάρτητη FTC είτε από το DoT (για τους οργανισμούς μεταφορών).
Η υπόθεση Τραμπ εναντίον Σλότερ έχει προγραμματιστεί να εκδικαστεί τον Ιούνιο ή τον Ιούλιο του 2026 το αργότερο, αλλά θα μπορούσε να εκδικαστεί νωρίτερα. Επομένως, ήρθε η ώρα να «δέσουμε τα ηνία» μας σε αυτή την υπόθεση και να προετοιμαστούμε.
Μια λύση θα μπορούσε να είναι η μετάβαση σε SCC ή BCR, καθώς δεν απαιτούν ανεξάρτητο φορέα των ΗΠΑ για την επιβολή τους, αλλά επιτρέπουν επίσης την υπαγωγή της συμφωνίας σε μια αρχή προστασίας δεδομένων της ΕΕ. Ωστόσο, υπάρχουν επίσης τεράστια ερωτήματα σχετικά με το πώς τα δεδομένα που έχουν ήδη διαβιβαστεί μπορούν να «επαναφερθούν» σε οποιοδήποτε εγκεκριμένο από την ΕΕ σύστημα ή ακόμη και να «επαναφερθούν» στην ΕΕ γενικότερα. Επιπλέον, τα SCC και τα BRC ενδέχεται επίσης να επηρεαστούν από μαζικές αλλαγές στη νομοθεσία των ΗΠΑ (βλ. παρακάτω).
2ο Πιθανό Σημείο Αποτυχίας: Δικαστήριο Επανεξέτασης Προστασίας Δεδομένων. Σε άμεση σύνδεση με την υπόθεση Trump εναντίον Slaughter, η οποία ασχολείται με την εποπτεία στον ιδιωτικό τομέα, προκύπτει το παράλληλο ερώτημα σχετικά με το πώς μπορεί ακόμα να γίνει επίκληση στο λεγόμενο «Δικαστήριο Επανεξέτασης Προστασίας Δεδομένων» (DPRC) ως οποιαδήποτε μορφή ρεαλιστικής αποκατάστασης κατά της παρακολούθησης της κυβέρνησης των ΗΠΑ.
Η DPRC έχει πολλά νομικά ζητήματα (θα μπορούσατε εύκολα να γράψετε μια διδακτορική διατριβή με αυτά τα προβλήματα), αλλά το κρίσιμο είναι ότι η DPRC δεν είναι ένα πραγματικό δικαστήριο των ΗΠΑ - επίσης επειδή δεν έχει συσταθεί από το νόμο. Είναι στην πραγματικότητα μια ομάδα ανθρώπων εντός της εκτελεστικής εξουσίας που έχει συσταθεί αποκλειστικά με Εκτελεστικό Διάταγμα του Μπάιντεν ( EO 14.086 , βλέπε λεπτομέρειες παρακάτω). Αυτή η ομάδα ανθρώπων μπορεί στην καλύτερη περίπτωση να ονομαστεί «δικαστήριο» από την οπτική γωνία του Άρθρου 6 της ΕΣΔΑ, αλλά ακόμη και αυτός ο ισχυρισμός είναι πιθανώς υπερβολή.
Το κρίσιμο σημείο είναι ότι, σε σχέση με την υπόθεση Trump εναντίον Slaughter , η «ανεξαρτησία» αυτού του λεγόμενου «Δικαστηρίου» δεν κατοχυρώνεται καν από το νόμο (όπως το άρθρο 15 USC § 41 για την FTC), αλλά από το EO 14.086 , άρα πρόκειται για ένα απλό εσωτερικό Προεδρικό Διάταγμα που μπορεί να τροποποιηθεί ανά πάσα στιγμή.
Λογικά, εάν το Ανώτατο Δικαστήριο στην υπόθεση Trump εναντίον Slaughter κρίνει ότι τα ανεξάρτητα εκτελεστικά όργανα είναι αντισυνταγματικά, είναι πιθανό οποιοσδήποτε ισχυρισμός ανεξαρτησίας στο ίδιο το EO 14.086 να είναι (λογικά) επίσης αντισυνταγματικός. Αυτό εξαρτάται σε μεγάλο βαθμό από τη σειρά επιχειρημάτων που θα χρησιμοποιήσει το Ανώτατο Δικαστήριο στην υπόθεση Trump εναντίον Slaughter , αλλά είναι πολύ πιθανό να το δούμε αυτό ως άμεση συνέπεια οποιασδήποτε ευρύτερης απόφασης.
Αυτό το πρόβλημα θα επεκτεινόταν πολύ πέρα από το TADPF, επειδή άλλα συστήματα μεταφοράς (SCC ή BCR) βασίζονται στις λεγόμενες «Εκτιμήσεις Επιπτώσεων Μεταφορών» (TIA) οι οποίες με τη σειρά τους συνήθως παραπέμπουν στο EO 14.086 και στο DPRC ως λόγο για τον οποίο οποιοσδήποτε υπεύθυνος επεξεργασίας της ΕΕ κατέληξε στο συμπέρασμα ότι το δίκαιο των ΗΠΑ δεν μπορεί να υπερισχύσει των SCC ή των BCR πέραν αυτού που επιτρέπεται βάσει των άρθρων 7, 8 και 47 του Χάρτη.
Εάν αυτά τα στοιχεία εξαφανιστούν, καταλήγουμε στο Άρθρο 49 του ΓΚΠΔ για τις «απαραίτητες» μεταφορές (π.χ. αποστολή email στις ΗΠΑ, υποβολή παραγγελίας ή κράτηση ξενοδοχείου ή πτήσης), αλλά οποιαδήποτε «εξωτερική ανάθεση» σε παρόχους cloud ή SaaS των ΗΠΑ συνήθως δεν θα έχει πλέον καμία βιώσιμη νομική βάση.
3ο Πιθανό Σημείο Αποτυχίας: Διάταγμα 14.086. Πέρα από τις αλλαγές στο συνταγματικό δίκαιο των ΗΠΑ, υπάρχει και ο ίδιος ο Τραμπ ως σημαντικός παράγοντας κινδύνου. Όπως εξηγήθηκε παραπάνω, ουσιαστικά όλες οι μορφές μεταφοράς δεδομένων ΕΕ-ΗΠΑ βασίζονται σε Εκτελεστικό Διάταγμα Μπάιντεν ( Διάταγμα 14.086 ). Ο Τραμπ έχει επανειλημμένα απειλήσει να ανατρέψει αυτό το Διάταγμα. Ήδη από την ημέρα της ορκωμοσίας του, δημοσιεύματα των μέσων ενημέρωσης ανέφεραν ότι θα ανατρέψει τυφλά όλα τα Διατάγματα 14.148 του Μπάιντεν. Τελικά υπέγραψε το Διάταγμα 14.148 , το οποίο ανέτρεψε μόνο 68 Διατάγματα 14.086 του Μπάιντεν και 11 Προεδρικά Μνημόνια του Μπάιντεν - αλλά όχι το Διάταγμα 14.086.
Το EO 14.148 απαιτεί όλες οι EO «εθνικής ασφάλειας» να έχουν αναθεωρηθεί εντός 45 ημερών από τον Σύμβουλο Εθνικής Ασφάλειας – αυτό θα έπρεπε να είχε συμβεί έως τις 06.03.2025. Δεν υπήρξαν αναφορές για τυχόν επακόλουθες αλλαγές. Αυτό δεν σημαίνει ότι το EO 14.086 δεν ανατράπηκε (μερικώς) εν τω μεταξύ, καθώς ο Πρόεδρος των ΗΠΑ μπορεί να εκδώσει « μυστικές » EO που αλλάζουν το δημοσιευμένο EO 14.086 . Δεδομένων των ακανόνιστων ενεργειών του Τραμπ, αυτό δεν είναι ένα απίθανο σενάριο.
Σε μια πρόσφατη έκρηξη σχετικά με τη χρήση του λεγόμενου Autopen από τον Μπάιντεν, ο Τραμπ κήρυξε άκυρες όλες τις υπογραφές του Μπάιντεν που υπογράφηκαν με autopens μέσω μιας ανάρτησης στο Truth Social . Δεν είναι απολύτως σαφές εάν η EO 14.086 είναι μια τέτοια «αυτόματη» EO και εάν οι αναρτήσεις του Τραμπ στα μέσα κοινωνικής δικτύωσης ισοδυναμούν με την επίσημη ανατροπή αυτών των EO. Ταυτόχρονα, αναρωτιέται κανείς εάν κάποιος αξιωματούχος της NSA αισθάνεται πλέον υπερβολικά δεσμευμένος από αυτές. Δεν είναι επίσης απίθανο η ανάρτηση στο Truth Social να ακολουθηθεί από μια επίσημη EO που θα ανατρέπει αυτές τις υπογραφές του Μπάιντεν.
Μια άλλη ένδειξη ότι το EO 14.086 μπορεί να διακυβεύεται είναι η ατζέντα του «Project 2025» για την συντηρητική κατάληψη της κυβέρνησης των ΗΠΑ. Στη σελίδα 225 , ο συγγραφέας επιτίθεται στο EO 14.086, την ΕΕ και την φερόμενη άδικη μεταχείριση των ΗΠΑ - επομένως το EO 14.086 είναι σαφώς στην ατζέντα. Για να γίνουν τα πράγματα ακόμη πιο παράλογα, ο συγγραφέας (Dustin Carmack) είναι τώρα ο νέος «Ρεπουμπλικάνος» λομπίστας της Meta - μιας εταιρείας που βασίζεται στο EO 14.086 για να δικαιολογήσει τις μεταφορές δεδομένων ΕΕ-ΗΠΑ που αμφισβητήθηκαν στις υποθέσεις Schrems I και Schrems II .
Συνολικά, το EO 14.086 θα μπορούσε να καταρρεύσει ανά πάσα στιγμή - και μαζί του το TADPF και μαζί του σχεδόν όλα τα TIAS και τα περισσότερα SCC, BCRs.
Πολλές άλλες επιλογές. Ενώ αυτό ξεπερνά τα όρια αυτής της ανάρτησης ιστολογίου, υπάρχουν πολλά πρόσθετα ερωτήματα σχετικά με τα πολλά άλλα στοιχεία που χρησιμοποιούνται στο TADPF.
Προφανώς εξακολουθούν να υπάρχουν τα κύρια ερωτήματα σχετικά με το αν το TADPF έχει επιτύχει ποτέ « ουσιαστική ισοδυναμία ». Για παράδειγμα:
- Οι προστασίες στο EO 14.086 ήταν σε μεγάλο βαθμό ένα αντίγραφο 1:1 ενός EO Obama που ονομάζεται PPD-28, το οποίο απορρίφθηκε από το ΔΕΕ στην υπόθεση Schrems II .
- Τα εξαιρετικά υψηλά βάρη για την αποκατάσταση ή η έλλειψη οποιουδήποτε πραγματικού δικαιώματος ακρόασης ενώπιον της DPRC απέχουν πολύ από το Άρθρο 47 του Χάρτη.
- Οι αρχές προστασίας εμπορικών δεδομένων του TADPF δεν απαιτούν καν νομική βάση (όπως απαιτείται στο άρθρο 8(2) του Χάρτη και στο άρθρο 6(1) του ΓΚΠΔ), αλλά απαιτούν μόνο να επιτρέπεται η εξαίρεση.
Επιπλέον, υπήρχαν ερωτήματα σχετικά με την ανεξαρτησία της PCLOB ή την έντονη εξάρτηση της ΕΕ από (άγραφες) « πρακτικές των ΗΠΑ » - όταν ο Τραμπ έχει δείξει ότι αυτός και η κυβέρνησή του δεν σέβονται καν τους νόμους, πόσο μάλλον προηγούμενες « πρακτικές ».
Τι μπορούμε να κάνουμε; Κατά την άποψή μου, Οι κυβερνήσεις και οι ελεγκτές της ΕΕ πρέπει (περισσότερο από ποτέ) να προετοιμαστούν επειγόντως για πολύ πιθανά χτυπήματα στις μεταφορές δεδομένων ΕΕ-ΗΠΑ τους επόμενους μήνες. Η Στρατηγική Εθνικής Ασφάλειας των ΗΠΑ έχει καταστήσει σαφές ότι η κυβέρνηση Τραμπ βλέπει την Ευρώπη περισσότερο ως εχθρό παρά ως εταίρο και ότι η ευρωπαϊκή ψηφιακή νομοθεσία αποτελεί βασικό σημείο εστίασης της πιθανής αμερικανικής επιθετικότητας.
Η μόνη μακροπρόθεσμη λύση είναι (δυστυχώς) ο περιορισμός τυχόν μεταφορών δεδομένων σε παρόχους των ΗΠΑ, στο βαθμό που έχουν « κατοχή, φύλαξη ή έλεγχο » ευρωπαϊκών προσωπικών δεδομένων. Ενδέχεται να υπάρχουν περισσότερες προσφορές όπου κάθε πραγματική πρόσβαση από τις ΗΠΑ είναι τεχνικά αδύνατη - ωστόσο, μέχρι στιγμής η μόνη ρεαλιστική προστασία που είναι διαθέσιμη στην αγορά είναι η μετάβαση σε ευρωπαίους παρόχους .
