Când vine vorba despre explicaţii referitoare la modul în care se fac transferurile de date cu caracter personal între Uniunea Europeană şi companiile din Statele Unite, românca Gabriela Zanfir-Fortuna se află printre cei care înţeleg cel mai bine ambele părţi. De altfel, ea acţionează ca un consultant pentru acestea, cu misiunea de a-i ajuta pe cetăţeni să beneficieze de avantajele tehnologiei, dar nu cu orice preţ. Cum a ajuns să o pasioneze domeniul protecţiei datelor încă din vremea în care bibliografia în limba română pe această temă nu era scrisă şi de unde vin îngrijorările curente ale giganţilor americani?

Ştirea că Facebook şi Instagram s-ar putea retrage din Europa i-a îngrijorat pe mulţi dintre aspiranţii la popularitate în online, pe reprezentanţii companiilor care au dezvoltat un nou model de advertising prin aceste platforme sau pe influencerii care au ajuns chiar să îşi câştige existenţa prin intermediul acestora.

Am găsit explicaţiile referitoare la această situaţie ale Gabrielei Zanfir-Fortuna, vicepreşedinte Global Privacy, Future of Privacy Forum, într-un articol al publicaţiei internaţionale Slate şi ne-am întrebat cum a ajuns să se numere ea printre persoanele care desluşesc cel mai bine domeniul din ce în ce mai important al protecţiei datelor. Nu a întârziat să ne răspundă printr-o poveste de carieră puţin atipică pentru un avocat ce îşi începe parcursul în Craiova, România.

„Domeniul protecţiei datelor personale este un domeniu de drept tehnic care atunci când a început pe mine să mă intereseze, în anul 2008, nu era interesant pentru aproape nimeni, nici din afara României, dar cu atât mai puţin din România”, îşi aminteşte Gabriela Zanfir-Fortuna. Interesul ei pentru domeniu a venit odată cu o competiţie de procese simulate, organizată de instituţii europene de prestigiu, în colaborare cu judecătorul britanic de la Curtea de Justiţie a UE.

Era o competiţie între studenţii la Drept din Europa Centrală şi de Est, iar ea coordona în acel moment echipa de studenţi ce reprezenta universitatea sa, Universitatea din Craiova. În acel an, în cadrul concursului au primit o speţă care avea legătură cu Directiva 95/46 de protecţie a datelor şi, în încercarea de a-i ajuta pe studenţii care participau la competiţie şi pe care îi coordona să rezolve acea speţă, a observat că nu găseşte niciun material în limba română pe această temă.

A surprins-o faptul că era o competiţie de înalt nivel, despre un domeniu despre care nu învăţaseră nimic la şcoală. A citit multe materiale în limba engleză pe această temă, iar de atunci, a tot citit.... „Era un domeniu care mi s-a părut fascinant. Pasiunea mea a început prin prisma directivei 95/46 (o directivă a Parlamentului şi a Consiliului European menită să protejeze drepturile şi libertăţile persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal n.red.), care a fost transpusă în România prin Legea 667/2001. Deşi aveam o lege din România care transpunea această directivă, aproape nimeni nu se ocupa cu aşa ceva, în niciun caz la nivel academic.”

⇒Œ Dr. Gabriela Zanfir-Fortuna este vicepreşedinte pentru Global Privacy în cadrul Future of Privacy Forum, unde conduce dezvoltările ce ţin de protecţia datelor cetăţenilor la nivel global.

⇒ Înainte să se mute în Statele Unite, în 2016, a lucrat pentru European Data Protection Supervisor din Bruxelles (Autoritatea Europeană pentru Protecţia Datelor).

⇒Ž A făcut parte din echipa care a consiliat organismele legislative ale UE referitor la procesul legislativ de implementare a GDPR.

⇒ Deţine un doctorat în Drept (2013), obţinut în cadrul Universităţii din Craiova; unde a absolvit de altfel şi studiile universitare, în 2009.

După ce a terminat facultatea a rămas la aceeaşi universitate să studieze într-un program masteral axat pe Drepturile Omului şi şi-a scris teza pe tema Dreptului la Protecţia Datelor Personale, iar apoi a finalizat şi doctoratul, în acelaşi domeniu. Îşi aminteşte însă că nu a primit niciun fel de încurajare când şi-a exprimat dorinţa de a-şi scrie teza de doctorat în domeniul protecţiei datelor personale. „A trebuit să mă lupt timp de un an cu coordonatorul meu de doctorat, care nu înţelegea de ce este o temă atât de interesantă la momentul respectiv, cu şase ani înainte să fie adoptat GDPR.”

Timp de un an a lucrat în paralel la teza sa, dar şi la subiectul pe care şi-l dorea profesorul, pentru ca într-un final să îl convingă să scrie această teză, pe drepturile persoanei vizate, convingându-l că va avea un impact major asupra vieţilor noastre, ale tuturor, dacă principiile sunt aplicate felului în care evoluează dezvoltările tehnologice din jurul nostru. Un rol în dezvoltarea carierei sale actuale l-a avut şi trecutul nostru istoric, cu repercusiuni asupra vieţii private asupra fiecărui individ. „Cele două domenii, protecţia vieţii private şi protecţia datelor personale sunt puternic conectate, deşi în Dreptul UE sunt domenii de drept diferite. Este esenţial să fie înţelese amândouă, iar dreptul de protecţie a vieţii private m-a interesat chiar înainte de facultate şi am citit foarte mult despre acesta.”

La doctorat a publicat şi un articol referitor la protecţia vieţii private, în care a observat efectul supravegherii constante în masă asupra psihicului populaţiei,  la nivel individual sau colectiv. „Am găsit câteva studii foarte interesante din anii ‘90 care au fost publicate de un psiholog ce vorbea despre cum în anii ‘80, atunci când situaţia în ţară era drastică şi au fost impuse foarte multe limitări populaţiei, oamenilor le era mai frică să vorbească despre faptul că le este frig şi foame, decât de faptul în sine. Se temeau de repercusiuni, se simţeau monitorizaţi tot timpul şi asta într-adevăr mă motivează şi acum să vorbesc despre asta destul de des în cariera mea actuală.”

„Fraţii mai mari” din mediul online vs. statul de drept

Trăim un fenomen similar într-o variantă digitală? „Da, trăim asta într-o variantă digitală şi sunt câteva diferenţe: există acea metaforă a fratelui celui mare, iar ce se întâmplă în prezent este că aproape trăim într-un Big Brother, dar privat, nu neapărat centralizat sub un guvern; ca rezultat al monitorizării constante a preferinţelor, a atenţiei utilizatorilor, astfel încât aceştia să continue să folosească serviciile online cât mai mult. Se pot trage paralele între fratele cel mare şi fratele cel mare privat sau o multitudine de fraţi mai mari privaţi.

Sunt şi alte tipuri de diferenţe, dar concluzia la care ajunsesem eu este că totuşi, ce se întâmplă acum cu această multitudine de fraţi mai mari privaţi se întâmplă într-un stat de drept, unde avem protecţie juridică şi totuşi avem valori democratice – şi în România, şi în alte state europene. În principiu, avem la îndemână uneltele necesare să ne protejăm drepturile.” La finalizarea tezei doctorale, în 2013, Gabriela Zanfir-Fortuna şi-a căutat un loc de muncă în România în acest domeniu şi nu a găsit nimic – cei de la universitate i-au propus să fie consilier juridic pe drepturile proprietăţii intelectuale la un centru de cercetare, ceea ce nu avea nicio legătură cu ce îşi dorea să facă. Le-a scris şi celor de la Autoritatea de Supraveghere a Datelor Personale din România în timpul ultimului an la doctorat, să îi întrebe dacă o primesc timp de două săptămâni ca intern neplătit, să vadă ce înseamnă de fapt această activitate. „Nu vedeam această disciplină manifestându-se nicăieri, nici în domeniul privat, nicăieri. Cei de la autoritatea respectivă nu au răspuns, prin urmare m-am uitat la ceea ce aş fi putut să fac peste hotare.”

O oportunitate a fost să aplice pentru un stagiu de practică la Autoritatea Europeană pentru Protecţia Datelor (AEPD). „Mi s-a părut fantastic să pot să fiu în Bruxelles mai ales pentru că, de un an, fusese publicat proiectul de lege pentru modernizarea directivei iniţiale în domeniu, modernizare care s-a transpus ulterior în GDPR.” A fost la un interviu la Bruxelles, iar în urma acestuia a primit cinci luni de stagiu plătit la AEPD. Aşa a ajuns să se mute acolo, la 27 de ani, ca intern, după ce a reuşit să îşi termine doctoratul. „A fost o experienţă extraordinară şi am reuşit în sfârşit să văd în ce constă protecţia datelor mai exact. Am reuşit să lucrez pe câteva dosare foarte importante, inclusiv în pregătirea adoptării GDPR, fiindcă la momentul respectiv instituţiile europene erau în mijlocul procesului de negociere, iar AEPD are rol consultativ pentru cele trei instituţii implicate în procesul de adoptare a legilor europene, respectiv Parlamentul European, Comisia Europeană, Consiliul European. Am avut noroc că era vorba despre drepturile persoanei vizate, exact subiectul tezei mele de doctorat.”

„În lipsa unui acord (între Statele Unite şi Uniunea Europeană), toate companiile care transferă date din Europa, dar şi toate companiile europene care transferă date în Statele Unite au un risc foarte ridicat şi continuu să fie sancţionate sau să primească un ordin de oprire a transferurilor de date.”

Dr. Gabriela Zanfir-Fortuna, vicepreşedinte Global Privacy, Future of Privacy Forum

După stagiu, a primit propunerea să rămână consilier juridic contractual pentru instituţii, ceea ce a şi făcut, vreme de trei ani. În cadrul acestei experienţe, s-a întâmplat să lucreze şi pentru Article 29 Working Party (un comitet în care se întâlneau toate autorităţile europene de protecţie a datelor şi care luau decizii despre cum se aplică directiva referitoare la acest domeniu  - iar apoi GDPR - , în mod conform şi în mod unitar la nivelul UE). Ea a făcut parte din câteva subgrupuri ale acestui comitet din partea AEPD, unul dintre acestea fiind axat pe  transferurile internaţionale de date. Aşa a luat pentru prima dată contact cu acest domeniu. „Am fost acolo când a fost anulat Safe Harbour, primul aranjament între Statele Unite şi UE care să permită transferurile de date nerestricţionate, am fost acolo când Comisia Europeană a negociat Privacy Shield cu Statele Unite care să permită în continuare transferul de date şi să înlocuiască Safe Harbour, de atunci sunt familiarizată cu transferul internaţional de date.”

În Statele Unite s-a mutat în 2016, din motive personale, soţul său fiind acolo. La început, a decis să lucreze 50% din timp pentru Future of Privacy Forum şi în restul timpului pentru o companie de consultanţă. „Mi-am dorit să văd dacă o să-mi placă mai mult să lucrez în think tank şi în policy making sau în consultanţă, să consiliez companii cu privire la modul în care să îşi adecveze practicile la GDPR”. A mers aşa în paralel vreme de un an, iar apoi a decis să rămână doar la Future of Privacy Forum.

Ce este acesta? Organizaţia pentru care lucrează acum este un think tank creat în urmă cu aproximativ 15 ani în Washington DC, unde se află şi acum sediul central al acesteia, dar care, în ultimii doi ani şi jumătate s-a extins la nivel global. Au un birou în Bruxelles, unul în Tel Aviv şi cel mai recent deschis birou este în Singapore. „Future of Privacy Forum consideră că toată dezvoltarea tehnologiei care a avut loc în ultimele decenii poate fi benefică pentru societate şi pentru indivizi; organizaţia este optimistă cu  privire la ceea ce poate aduce tehnologia societăţii, dar, numai dacă în procesul acesta sunt avute în vedere drepturile oamenilor, comunităţilor, iar datele sunt prelucrate responsabil, în mod etic. Încearcă să se poziţioneze undeva la mijloc în spectrul acesta al politicilor publice în domeniu – nu vrem să fim nici pesimişti cu privire la ce aduce tehnologia, nici extrem de optimişti, astfel încât să ignorăm toate elementele acestea ce ţin de protecţia datelor, încercăm să găsim o soluţie de echilibru”, explică Gabriela Zanfir-Fortuna. 

Partea de „forum” din numele think tankului se referă la actorii numeroşi care sunt membri şi susţinători ai acestuia. „Vorbim despre foarte multe companii, peste 200 în prezent, din majoritatea industriilor care folosesc date, precum Microsoft, Apple, Meta; companii din industria auto precum Ford sau General Motors, companii din farma, de testare genetică, mari companii de avocatură; o mare plajă de actori care prelucrează date. Partenerii lor de discuţie din partea acestor companii sunt Data Protection Officers, Chief Privacy Officers şi, în general, persoane la nivel executiv din companie sau responsabili cu protecţia datelor care au, în descrierea jobului lor, în primul rând «Privacy» sau «Data Protection».” Apoi, în advisory boardul organizaţiei se află şi câţiva profesori din mediul academic din Statele Unite, ONG-uri, asociaţii. Sprijinul financiar vine de la companiile private, dar au şi proiecte în derulare cu fundaţii precum Bill and Melinda Gates Foundation, Sloan Foundation, Naţional Science Foundation. Gabriela Zanfir-Fortuna este co-principal investigator la un proiect finanţat de aceasta din urmă (este fundaţia prin care Guvernul Statelor Unite finanţează proiecte de cercetare substanţială), un parteneriat cu University of Michigan şi Penn State University într-un proiect pe care l-au început anul trecut şi se desfăşoară pe trei ani, cu o finanţare de peste 1 milion de dolari. „Este un proiect condus de câţiva cercetători în computer science de de la Penn State University care creează un motor de căutare şi un mare repozitoriu de politici de privacy – cataloghează, organizează informaţiile, urmăreşte evoluţia acestora în timp. Este un produs destul de tehnic şi noi vrem să îl facem cât mai util cercetărilor, companiilor, societăţii.” O altă linie de finanţare a organizaţiei pe care o reprezintă vine prin intermediul unei serii de traininguri. „Cu toate aceste linii de finanţare, încercăm acelaşi lucru, să avem  poziţia aceea de mijloc şi să putem să vorbim cu fiecare dintre actorii implicaţi, ajungând la un rezultat echilibrat.”

Statele Unite, în urma UE când vine vorba de protecţia datelor cetăţenilor?

Peisajul american este mai prietenos cu companiile sau cu cetăţenii când vine vorba de protecţia datelor, prin comparaţie cu UE, unde sunt mult mai multe instituţii care reglementează aceste domenii? „În primul rând, peisajului american îi lipseşte o lege similară cu GDPR, adică o lege care să se aplice tuturor industriilor şi domeniului public de asemenea, universităţilor, spitalelor, care să protejeze drepturile persoanelor atunci când datele lor sunt folosite - colectate, prelucrate, folosite să creeze profiluri ş.a.m.d.p. Faptul că acest tip de lege lipseşte din Statele Unite a creat un mediu în care într-adevăr companiile şi alte instituţii au un avantaj faţă de drepturile indivizilor.” (GDPR – General Data Protection Regulation – a fost cel mai important element disruptiv din domeniul protecţiei datelor la nivel european şi are ca scop un control mai bun de către oameni când vine vorba de folosirea datelor lor personale. Oferă, de asemenea, autorităţilor de reglementare, posibilitatea să poată impune amenzi de până la 4% din veniturile globale pentru nerespectarea acestuia, n.red.) Gabriela Zanfir-Fortuna observă că există şi în Statele Unite câteva legi sectoriale, adoptate acum câteva decenii, cum ar fi, de exemplu, o lege care se aplică doar datelor medicale a unei persoane, dar doar atunci când sunt prelucrate de un profesionist din domeniul medical sau de un departament dintr-un spital; în niciun caz aplicaţiilor mobile care au acces la date medicale, la date cu privire la sănătatea cuiva. „În urmă cu trei ani, în 2018, după ce GDPR a devenit aplicabil, acesta a avut un efect extraordinar şi în Statele Unite, dar şi în restul lumii, fiindcă a inspirat foarte multe jurisdicţii să îşi modernizeze legile de protecţie a datelor sau să adopte legi noi.” De altfel, faptul că siguranţa datelor cetăţenilor europeni în Statele Unite nu este foarte bine reglementată reprezintă unul dintre principalele motive pentru care apar discuţiile din spaţiul public de tipul „Facebook părăseşte Europa”. Concret, în cel mai recent raport transmis către SEC, Meta preciza că „este puţin probabil să fie capabilă să furnizeze un număr mare din cele mai importante produse şi servicii, inclusiv Facebook şi Instagram, în Europa, dacă nu va fi posibil că aceste platforme să transfere date din regiunea europeană spre Statele Unite”. Ulterior, într-o clarificare trimisă către Bloomberg, reprezentanţii Meta au spus: „Nu avem absolut nicio dorinţă sau plan să ne retragem din Europa, însă realitatea simplă este că Meta, şi multe alte afaceri, organizaţii şi servicii, se bazează pe transferurile de date între UE şi Statele Unite”. „Ceea ce s-a întâmplat este că în contextul obligaţiilor de raportare pe care Facebook le are către autorităţile americane şi în special către SEC (US Securities and Exchange Commision  – autoritatea care supraveghează companiile publice, care au obligaţii foarte clare de raportare, prin care trebuie să divulge toate riscurile la care sunt supuse şi trebuie să fie foarte transparente pentru că nu e de glumit cu acest SEC), Facebook considera că toată situaţia aceasta a transferurilor de date reprezintă un risc major; au fost obligaţi să dezvăluie acest risc şi să facă o analiză a posibilelor consecinţe”, explică Gabriela Zanfir-Fortuna. Ea aminteşte şi de o amendă împotriva Amazon dată de autoritatea din Luxemburg, de aproape 800 de milioane de dolari, o amendă dată prin prisma GDPR, despre care s-a aflat tot prin prisma raportărilor către SEC. 

Dezbaterea despre felul în care datele cetăţenilor europeni sunt folosite în Statele Unite nu este însă una nouă şi are un istoric complicat. În inima nemulţumirilor Meta şi ale altor giganţi americani stau negocierile în desfăşurare dintre Uniunea Europeană şi Statele Unite în legătura cu lansarea unui nou pact transatlantic referitor la transferurile de date. Pactul anterior, cunoscut ca Privacy Shield, a fost invalidat de către Curtea de Justiţie a UE în 2020 din cauza îngrijorărilor că nu îi protejează pe cetăţenii UE de supravegherea Agenţiilor de Securitate Naţională din Statele Unite. Noul pact fusese lansat în contextul dezvăluirilor făcute de Edward Snowden, referitoare la spionajul de peste Ocean a acestor agenţii. De câteva luni, Statele Unite şi autorităţile reglementatoare din UE încearcă să negocieze o nouă înţelegere.

►Œ În primul rând, ce poate să facă un utilizator este să aibă grijă ca atunci când este pe o reţea socială să limiteze persoanele care au acces la ceea ce postează. Dacă nu au intenţia ca postările lor să fie publice şi accesate de oricine, să aibă grijă să îşi selecteze audienţa.

► Alt lucru pe care toată lumea ar trebui să îl aibă în minte este ca atunci când publică o fotografie sau o informaţie pe internet, aceea de obicei rămâne acolo şi poate fi diseminată, preluată, de actori cu intenţii mai mult sau mai puţin bune. Să se gândească de două ori când postează o fotografie, mai ales când e vorba de copii.

Ž► Să aibă o igienă a parolelor, dacă este posibil, să îşi schimbe parolele o dată la un an – sau la cel puţin doi ani.

► Să îşi limiteze accesul la locaţie - informaţiile cu privire la locaţie sunt foarte sensibile şi locaţia în care se află telefoanele oamenilor este foarte adesea accesată de aplicaţii la care nici nu te-ai gândi că au nevoie neapărat de locaţia ta. Atunci când sunt întrebaţi în legătură cu oferirea acestui acces, utilizatorul trebuie să se gândească bine dacă aplicaţia respectivă chiar are nevoie de locaţia lor ca să funcţioneze sau nu. De exemplu, dacă ai o aplicaţie de mobil care îţi oferă un joc cu buline colorate, nu are nevoie de locaţia ta, cum ar fi cazul  unei aplicaţii de ridesharing, de exemplu.

► Foarte important mi se pare şi ca oamenii să transmită către decidenţi de la orice nivel că aceste lucruri sunt importante pentru oameni, că îşi doresc mai multă siguranţă cu privire la cum sunt prelucrate datele lor personale pentru că, până la urmă, crearea unui cadru juridic relevant nu ţine atât de mult de ei, ci de decidenţii de la diferite niveluri; aceştia reacţionează la nevoile oamenilor şi atunci mi se pare important ca oamenii să semnalizeze că le pasă de aceste lucruri.

O primă decizie a Curţii de Justiţie a UE de invalidare a unui pact a apărut însă în 2015, când a fost anulată decizia de adecvare pe care Comisia Europeană o dăduse sub titulatura Safe Harbour. „Curtea de Justiţie a UE consideră că modul în care cadrul juridic în care agenţiile de securitate naţională din Statele Unite îşi desfăşoară activitatea nu are suficiente garanţii că drepturile fundamentale ale europenilor, atunci când datele lor sunt transferate în Statele Unite sunt protejate la nivel similar ca atunci când datele sunt în Europa, acesta este motivul principal pentru care avem foarte multă incertitudine cu privire la transferurile de date din UE în Statele Unite.”

După acea primă decizie a Curţii de Justiţie Europene referitoare la Safe Harbour, Comisia Europeană şi Guvernul american au ajuns la noul acord, Privacy Shield, care a adus îmbunătăţiri referitoare modul în care indivizii ar fi putut interacţiona cu organizaţiile din Statele Unite ce ar putea supraveghea modul în care agenţiile de securitate naţională accesează datele personale. „Practic, partea americană a creat un organism intern de control în aparatul acesta al securităţii naţionale prin care cetăţenii europeni ar fi putut să ridice întrebări cu privire la protecţia datelor şi drepturilor lor, dar Curtea de Justiţie UE a considerat că această modificare nu a fost suficientă.” Privacy Shield a fost prin urmare invalidat în anul 2020, iar de atunci se negociază pentru un acord care să îl înlocuiască.

„Dificultatea constă în faptul că guvernul american trebuie să modifice cadrul legislativ în care agenţiile de securitate naţională îşi desfăşoară activitatea fără o intervenţie a Congresului, ceea ce este foarte dificil. Pentru a avea o modificare pe termen lung, soluţia cea mai sigură ar fi o soluţie legislativă la nivelul Congresului. Dar acesta nu are deloc apetit să intervină în legile respective,  prin urmare guvernul american se concentrează pe soluţii la nivel executiv – directive, ordine care pot fi date de Guvern”, explică specialistul.  În prezent există discuţii cu Comisia Europeană pentru a vedea ce ajustări pot fi făcute pentru ca viitorul acord să reziste totuşi, având în vedere faptul că şi aceasta este mai prudentă şi încearcă să se asigure că soluţia găsită este una pe termen lung, pe care Curtea de Justiţie UE să o poată valida.

De ce le este de fapt frică giganţilor americani de deciziile UE?

Discuţiile referitoare la părăsirea Meta a spaţiului european vin pe fondul lipsei acestui acord, care creează incertitudine pentru businessul din Europa al acestor companii. „Dacă ar exista un acord, atunci nu ar exista o incertitudine juridică referitoare la transferurile de date. Un astfel de acord ar anula riscul de non-compliance.”

Practic, în lipsa acestui acord, toate companiile care transferă date din Europa, dar şi toate companiile europene care transferă date în Statele Unite au un risc foarte ridicat şi continuu să fie sancţionate sau să primească un ordin de oprire a transferurilor de date. Spre exemplu, în 2019, Autoritatea franceză de supraveghere a felului în care sunt folosite datele de către cetăţenii europeni a amendat Alphabet, compania mamă a Google, cu 57 de milioane de dolari pentru încălcarea regulilor de protecţie a datelor la nivelul UE – organizaţia spunea că Google nu oferă transparenţă şi claritate referitoare la felul în care îşi informează utilizatorii despre felul în care sunt folosite datele lor personale.

„Future of Privacy Forum consideră că toată dezvoltarea tehnologiei care a avut loc în ultimele decenii poate fi benefică pentru societate şi pentru indivizi şi este optimist cu  privire la ceea ce poate aduce tehnologia societăţii, dar, numai dacă în procesul acesta sunt avute în vedere drepturile oamenilor, comunităţilor, iar datele sunt prelucrate responsabil, în mod etic.”

Dr. Gabriela Zanfir-Fortuna, vicepreşedinte Global Privacy, Future of Privacy Forum

„Dincolo de amenzi, foarte recent, câteva autorităţi de supraveghere, autoritatea din Austria, din Franţa, autoritatea europeană a protecţiei datelor, AEPD, au emis ordine sau au avut cazuri în care a fost discutată folosirea Google Analytics, (un program de măsurare a audienţei unui website n.red.) care a fost ţintit de organizaţia lui Max Schrems (activist austriac cunoscut pentru campaniile sale împotriva felului în care Facebook foloseşte datele utilizatorilor n.red), imediat după o decizie din 2020. Au fost 101 plângeri pe care organizaţia le-a transmis tuturor autorităţilor europene de protecţie a datelor referitoare la faptul că, deşi nu este cel mai riscant transfer de date, este totuşi un transfer de date personale care are loc către Statele Unite.” Toate aceste plângeri au fost depuse în august 2020, iar nu de puţin timp (în ianuarie), a sosit o primă hotărâre de la autoritatea austriacă, ce a confirmat că, într-adevăr are loc un transfer de date personale, prin simpla folosire a Google Analytics. „Prin tot raţionamentul din hotărârea respectivă se înţelege că website-ul austriac care folosea Google Analytics nu va putea să folosească programul în continuare.” Autoritatea de protecţie a datelor din Franţa a emis decizia într-un caz similar recent şi a fost aceeaşi concluzie: site-ul care a făcut obiectul plângerii trebuie să oprească folosirea Google Analytics şi să îşi aducă prelucrările în conformitate. „Ne aşteptăm ca decizii similare să apară în toate cele peste 100 de cazuri, sunt hotărâri care practic sunt date împotriva organizaţiilor europene şi care le impun acestora să nu folosească un serviciu precum Google Analytics furnizat de o companie americană.” De ce sunt importante aceste cazuri? „Efectele pot fi majore – aici vorbim doar despre website-uri care folosesc un program de măsurare a audienţei, dar dacă extrapolăm la nivelul întregii societăţi şi asupra acestui mediu în care toată lumea foloseşte servicii IT create, în mare parte, de companii americane, se poate ajunge la un blocaj. Gândiţi-vă la şcoli care folosesc Zoom, la autorităţi publice care folosesc servicii de cloud furnizate de companii americane – efectele pot fi foarte serioase dacă această situaţie va continua – situaţia creată de lipsa unui acord şi de faptul că autorităţile de supraveghere continuă să acţioneze.” În cazurile acestea, Gabriela Zanfir-Fortuna a observat că nu există neapărat apetitul unei amenzi – ci se emit aceste ordine de oprire a transferurilor de date. „Într-adevăr tot ce înseamnă furnizare de servicii în online, servicii cloud şi alte servicii online de către companii americane, companiilor europene, este afectat de această situaţie şi orice caz ar putea apărea cu privire la orice companie. Există şi riscul acestor amenzi, dar în primul rând, riscul ordinelor de a opri transferul de date, ceea ce, în mod efectiv, înseamnă oprirea utilizării folosirii datelor de către companiile americane.”

Câteva companii americane reacţionează prin a oferi servicii de localizare a datelor, adică încearcă să localizeze datele ceţăţenilor europeni în Europa. „Nu ştim în ce măsură această soluţie va putea fi practicată în realitate, având în vedere arhitectura internetului. Nu ştim nici din punct de vedere juridic dacă această soluţie poate exista pe termen lung, având în vedere câteva legi din Statele Unite care au obligaţii destul de clare pentru companiile americane să ofere acces la date indiferent unde acestea sunt localizate atunci când este vorba despre securitate naţională. „Situaţia este foarte complicată şi toată lumea îşi doreşte ca deopotrivă Comisia Europeană şi guvernul american să ajungă la un acord, dar un acord care să fie sustenabil, adică schimbările propuse să fie sustenabile, nu ca în cazul Safe Harbour şi Privacy Shield”.