Numeroase companii, americane şi europene, foloseau sistemul Safe Harbor pentru a ocoli verificările greoaie ale transferurilor de date între birourile deţinute de ambele maluri ale Atlanticului. Între datele transferate se află informaţii referitoare la salarii şi la resursele umane, precum şi date folosite în publicitatea online, importante în mod special pentru companiile din sectorul tehnologiei.

Decizia Curţii Europene de Justiţie a însemnat condamnarea la moarte a sistemului Safe Harbor, introdus de Comisia Europeană în urmă cu 15 ani şi care era folosit de peste 4.000 de companii, între care Facebook, Google, IBM şi Ericsson. Potrivit Curţii, Safe Harbor nu protejează suficient datele personale ale cetăţenilor europeni, întrucât cerinţele securităţii naţionale în SUA şi interesul public anulează elementele de protecţie a vieţii private incluse în Safe Harbor. În plus, cetăţenii europeni nu au niciun mijloc legal împotriva folosirii incorecte a datelor lor personale în Statele Unite. În prezent, în Congresul american se află un proiect de lege care să dea europenilor dreptul la compensaţii legale.

Curtea de Justiţie s-a referit în decizia sa la dezvăluirile făcute de Edward Snowden, fost contractor al Agenţiei Naţionale de Securitate a Statelor Unite, potrivit cărora programul Prism a permis autorităţilor americane să colecteze informaţii private direct de la mari companii din sectorul tehnologiei, precum Apple, Facebook şi Google.

Statele Unite, care înaintea deciziei au apărat cu tărie programul naţional de securitate şi apoi au exprimat „profunda dezamăgire“ faţă de decizia justiţiei europene.

După victoria lui Max Schrems în faţa Curţii Europene de Justiţie, Edward J. Snowden i-a scris pe Twitter „că a schimbat lumea în bine“. Penny Pritzker, secretarul pentru comerţ al SUA, a avut o opinie diferită, afirmând că decizia „pune în pericol economia digitală transatlantică înfloritoare“.

Polemica pare să nu îl fi impresionat pe Schrems. „Mă aşteptam la asta. Potrivit legii nu puteau spune altceva“, a spus tânărul de 28 de ani. În pofida acestei siguranţe, puţini jurişti specializaţi în confidenţialitatea datelor se aşteptau la o astfel de decizie radicală, care are consecinţe semnificative pentru majoritatea companiilor care transferă peste Atlantic informaţii personale obţinute prin activităţi precum căutări pe internet, postări pe reţelele sociale şi achiziţii online.

Companiile vor putea utiliza alte soluţii de transfer legal al datelor, dar decizia justiţiei dă dreptul autorităţilor de reglementare din statele UE să investigheze dacă datele transferate în Statele Unite sunt protejate în mod corespunzător. Iar unele dintre aceste autorităţi de reglementare au o opinie critică faţă de atitudinea privind confidenţialitatea datelor a companiilor din Silicon Valley.

Schrems a început o campanie în justiţie împotriva Facebook la vârsta de 24 de ani, pe vremea când studia dreptul într-un program de schimb de studenţi la Santa Clara University School of Law din California. Atunci, doi avocaţi ai unor companii de tehnologie din Silicon Valley le-au vorbit studenţilor, iar Schrems a fost surprins să afle că nu iau în serios legislaţia europeană strictă în domeniul confidenţialităţii datelor, întrucât companiile rareori sunt penalizate aspru pentru încălcarea acesteia. La momentul respectiv, Schrems căuta un subiect despre care să scrie, aşa că a decis să afle cum tratează Facebook legislaţia europeană în domeniu. Reglementările UE limitează felul cum companiile pot colecta informaţii personale, le interzice să le folosească în scopuri neautorizate şi restricţionează maniera în care sunt manipulate.

Schrems a trimis Facebook o solicitare pentru a vedea toate datele colectate de companie despre el, în conformitate cu legislaţia UE. După două săptămâni şi zeci de e-mailuri, Schrems a primit prin poştă un CD cu peste 1.200 de pagini de informaţii, conţinând fiecare solicitare de prietenie şi invitaţie pe care a trimis-o de la înfiinţarea contului său, în 2008. Majoritatea informaţiilor nu au fost o surpriză, dar tânărul a fost şocat să vadă că Facebook a păstrat informaţii pe care le ştersese şi care nu mai erau vizibile online, inclusiv textul complet al unei conversaţii private cu o prietenă spitalizată pentru probleme psihologice. Facebook a explicat că o persoană poate şterge numai partea sa de corespondenţă.

Schrems nu contestă Facebook şi îşi foloseşte în continuare contul. „Trebuie să putem folosi aceste servicii, dar trebuie să existe o limită“, a spus el. Aşa că a trimis 22 de plângeri despre păstrarea datelor şi alte practici ale Facebook în domeniul confidenţialităţii la comisarul pentru protecţia datelor din Irlanda, ţara în care este înregistrată divizia europeană a companiei. Doi ani mai târziu, după ce Snowden a dezvăluit că Agenţia Naţională de Securitate a SUA poate obţine acces la informaţii personale ale europenilor păstrate de companii americane de tehnologie, prin programul Prism, Schrems a făcut o nouă plângere, în care afirma că Facebook nu ar trebui să transfere datele sale personale în SUA, pentru că nu sunt protejate în mod adecvat acolo. Autoritatea de reglementare a respins petiţia, dar aceasta a devenit ulterior cazul judecat de Curtea Europeană de Justiţie. Curtea a decis că autorităţile naţionale pot investiga dacă transferurile de date respectă legislaţia UE, iar acordul Safe Harbor a fost declarat invalid.