Legea americană despre CLOUD, sau aprecierea trăsnet a Uniunii Europene
15 mai 2019 | Vlad BERCU
Vlad Bercu
Cauza Microsoft Corp. contra Statelor Unite
În anul 2013, în cadrul unei investigații privind traficul de droguri, guvernul SUA a cerut companiei Microsoft să ofere autorităților competente din SUA acces la e-mailurile unor clienți, care erau stocate în Irlanda, în baza unui mandat eliberat în conformitate cu secțiunea 2703 din Legea SUA privind comunicațiile stocate (Stored Communications Act – SCA). Microsoft a contestat în fond legalitatea mandatului emis, acțiune care s-a soldat cu eșec. Judecătorul instanței de fond a susținut că natura legii justifică accesul autorităților americane, în limita speței, la informațiile stocate pe serverele companiei din străinătate.
Microsoft a atacat Hotărârea instanței de fond la Curtea de Apel a Statelor Unite pentru Circuitul II, care a decis în favoarea Microsoft și a invalidat mandatul. Departamentul de Justiție a parat reușita corporației prin recurs la Curtea Supremă a Statelor Unite împotriva Deciziei Curții de Apel.
În timp ce cauza se afla pe rolul Curții Supreme, Congresul american a adoptat în 2018 Legea de clarificare a utilizării legale a datelor în străinătate (CLOUD Act[1]), care a modificat Legea SUA privind comunicațiile stocate. Scopul noii legi a fost facilitarea obținerii de către Guvern a informațiilor stocate de companiile din secorul IT pe serverele din străinătate. După adoptarea Legii CLOUD, Curtea a decis respingerea recursului, iar între timp guvernul american a reușit să obțină un nou mandat, de data aceasta bazat pe Legea CLOUD.
Ce reprezintă Legea CLOUD?
Din cele relatate supra, putem determina care a fost izvorul material al Legii CLOUD, și anume – necesitatea de a extinde competențele autorităților americane și străine de aplicare a reglementărilor legale pentru a viza și accesa datele persoanelor dincolo de frontierele internaționale, fără a recurge la instrumentele de asistență juridică reciprocă (MLAT), care prevăd garanții adecvate și respectă competențele judiciare ale țărilor în care sunt situate informațiile.
Legea CLOUD, conform unui White Paper emis în aprilie 2019[2] de Departamentul de Justiție al Statelor Unite, poate fi împărțită în două secțiuni esențiale.
1. În primul rând, legea autorizează Statele Unite să încheie acorduri cu executivele altor țări, care îndeplinesc anumite criterii (precum respectarea statului de drept), pentru a soluționa problema conflictului de lege. Așadar, în cazul infracțiunilor grave, acordurile CLOUD pot fi utilizate pentru a elimina restricțiile în conformitate cu legislația fiecărei țări, astfel încât furnizorii de servicii de comunicație dintr-un stat parte la un acord CLOUD să se poată conforma la ordinele legale (din eng. lawful orders) emise de celălalt stat, pentru dobândirea accesului la informațiilor electronice.
2. În al doilea rând, legea CLOUD reglementează expres principiul care stabilește că o societate aflată sub jurisdicția unei țări poate fi obligată să ofere acces la informațiile deținute, indiferent de locul stocării acesteia la un moment dat. În opinia Departamentului de Justiție, Legea CLOUD a reglementat expres un principiu care-l consideră statornicit și care tranșează clar această problemă.
În cadrul aceleeași lucrări, Departamentul de Justiție al Statelor Unite stabilește principalele efecte benefice ale Legii CLOUD:
1. Legea CLOUD oferă posibilitate statelor care sunt angajate în acorduri CLOUD să aibă acces imediat la informațiile stocate pe serverele statului parte al acordului.
Având în vedere că multe din companiile IT cu sediu în California dețin servere în afara Statelor Unite, în cazul investigării infracțiunilor grave, aceste acorduri ar permite SUA să solicite direct companiilor accesul la informațiile stocate în străinătate, fără necesitatea obținerii unor permisiuni sau intervenții din partea statului pe teritoriu căruia sunt amplasate serverele.
2. Aplicarea Legii CLOUD implică un șir de garanții privind protecția vieții private și respectarea unui angajament cu referire la principiile statului de drept.
În acest sens, acordurile încheiate în baza Legii CLOUD urmează a fi aplicabile doar în situațiile care implică obținerea de informații referitoare la prevenirea, detectarea, investigarea sau urmărirea penală ce privește infracțiunile grave, inclusiv terorismul.
3. Acordurile CLOUD vor reduce ineficiența sistemului MLAT[3].
MLAT reprezintă un acord între două sau mai multe țări în scopul colectării și schimbului de informații într-un efort de punere în aplicare a legilor penale. În cazul investigațiilor penale, acordurile MLAT necesită implicarea autorităților statului de unde se solicită a fi obținută informația, pe când acordurile CLOUD oferă carte blanche statelor participante de a acționa direct, prin emiterea acelorași mandate cu aplicabilitate în statul străin.
4. Noua lege nu urmează a fi înțeleasă în sensul lărgirii jurisdicției Statelor Unite în afara teritoriilor sale.
Legea CLOUD doar confirmă domeniul de aplicare al cerințelor din cadrul SCA pentru furnizorii de servicii de comunicații, care intră sub jurisdicției SUA, dar a căror servere se află în afara țării. De asemenea, conform Departamentului de Justiție, posibilele subiecte vizate de această lege nu vor fi afectate, ori condițiile pentru obținerea unui mandat pentru conținutul comunicațiilor electronice în SUA sunt, probabil, cele mai dificile din lume și protejează în mod deosebit viața privată.
Astfel, în viziunea Departamentului de Justiției al Statelor Unite, această nouă lege reprezintă un step forward în domeniul investigării și combaterii infracțiunilor grave.
O altă viziunea asupra Legii CLOUD
Conform Rezoluției Parlamentului European referitoare la caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA[4], Uniunea Europeană își exprimă profunda îngrijorare cu privire la adoptarea recentă a Legii de clarificare a utilizării legale a datelor în străinătate, care extinde competențele autorităților americane și străine de aplicare a legii pentru a viza și accesa datele persoanelor dincolo de frontierele internaționale, fără a recurge la instrumentele de asistență juridică reciprocă (MLAT), care prevăd garanții adecvate și respectă competențele judiciare ale țărilor în care sunt situate informațiile. Rezoluția subliniază faptul că Legea CLOUD ar putea avea implicații grave pentru UE, deoarece are un domeniu amplu de aplicare și poate intra în conflict cu legislația UE în materie de protecție a datelor.
Așadar, Uniunea nu împărtășește viziunea pozitivă Statelor Unite, ba din contra, vede în Legea CLOUD o modalitate de evitare forțată a unor înțelegeri internaționale în domeniul comunicațiilor electronice.
În concluzie, așteptăm aplicarea pe larg a Legii CLOUD, pentru a vedea care va fi reacția corporațiilor IT care vor fi vizate de noua reglementare și cum UE își va impune punctul de vedere când va fi vizată propria jurisdicție.
[1] Justice.gov (2018). CLOUD Act. [online] Disponibil aici. [Accesat 13 mai 2019].
[2] Justice.gov (2019). Promoting Public Safety, Privacy, and the Rule of Law Around the World: The purpose and Impact of the Cloud Act. White Paper. April 2019. [online] Disponibil aici. [Accesat 13 mai 2019].
[3] Din eng. Mutual Legal Assistance Treaties, sau Acorduri reciproce de asistență juridică.
[4] Europarl.europa.eu (2018). Rezoluția Parlamentului European referitoare la caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA (2018/2645(RSP)) [online] Disponibil aici [Accesat 13 mai 2019].
Vlad Bercu
Research assistant SĂVESCU & ASOCIAȚII
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
