Nadal nie ma odpowiednich mechanizmów kontroli przestrzegania przez amerykańskie firmy unijnych regulacji o ochronie danych osobowych. Brakuje też dowodów na to, że służby USA hurtowo nie pozyskują i nie gromadzą prywatnych informacji o Europejczykach, tak jak zapewniają Brukselę władze za oceanem.
To kluczowe wnioski zawarte w sprawozdaniu Grupy Roboczej art. 29, skupiającej rzeczników ochrony danych osobowych ze wszystkich państw UE, na temat funkcjonowania Tarczy Prywatności (Privacy Shield). Porozumienie Stanów Zjednoczonych z Unią Europejską z 2016 r. stanowi podstawę prawną swobodnego przepływu danych na serwery po drugiej stronie Atlantyku. Tym samym jest ono gwarantem biznesowej racji bytu na unijnym rynku wielu amerykańskich korporacji technologicznych, jak Facebooka, Google’a czy Twittera. Grupa Robocza art. 29 znalazła jednak w Tarczy Prywatności liczne luki i niedociągnięcia, które stawiają przyszłość całej umowy pod znakiem zapytania.
Jeśli bowiem USA i Komisja Europejska do 25 maja tego roku (daty wejścia nowych przepisów o ochronie danych w państwach unijnych) nie wprowadzą żądanych zmian, rzecznicy zapowiedzieli, że podejmą próbę zakwestionowania porozumienia w sądach krajowych.
Tą drogą Tarcza Prywatności miałaby trafić do Trybunału Sprawiedliwości UE tak jak wcześniejszy program – Bezpieczna Przystań (Safe Harbour). A zdaniem ekspertów, mimo pewnych udoskonaleń obecne porozumienie zasadniczo powiela mechanizmy poprzednika, np. amerykańskie przedsiębiorstwa nadal muszą po prostu złożyć w Departamencie Handlu oświadczenie o zapewnieniu adekwatnego poziomu ochrony (tzw. samocertyfikacja). Stąd losy obu porozumień mogą być podobne.
Zastrzeżenia Grupy Roboczej art. 29 dotyczą dwóch programów inwigilacji kontynuowanych przez amerykańską Narodową Agencję Bezpieczeństwa (NSA): PRISM i UPSTREAM. W ramach pierwszego przedsiębiorstwa internetowe muszą na żądanie przekazać służbom dane ze swoich serwerów. Za pośrednictwem drugiego programu operatorzy telekomunikacyjni udostępniali im informacje o ich przepływie. Według unijnych GIODO sposób przechwytywania tych danych nadal wiąże się z ryzykiem, że są one pozyskiwane na masową skalę. Innymi słowy brakuje dowodów na to, że są one precyzyjnie targetowane (np. ze względu na „uzasadnione podejrzenie”), jak zapewniają Amerykanie. Ze statystyk wywiadu wynika, że w 2016 r. rząd federalny wydał łącznie ok. 100 tys. nakazów w takich sprawach.
Grupa Robocza art. 29 zwraca też uwagę, że w świetle amerykańskiego orzecznictwa ze względów proceduralnych bardzo trudno byłoby unijnemu obywatelowi wnieść pozew dotyczący naruszenia prywatności w sądzie federalnym. Sprawę pogarsza to, że choć powołano specjalnego ombudsmana, do którego mogą odwołać się Europejczycy, gdy uznają, że służby wykorzystywały ich dane, to jego kompetencje są niewystarczające. Zdaniem grupy wątpliwe jest, aby przyznany mu zakres władz pozwolił kwestionować decyzje wywiadu.
Kolejna rzecz, która martwi unijnych GIODO, to słaby monitoring przestrzegania europejskich przepisów o ochronie danych przez amerykańskie firmy oraz niepewność co do standardów, jakie powinny one spełniać. 83 proc. przedsiębiorstw korzystających z Tarczy Prywatności nie zleca kontroli przestrzegania i szczelności reżimu ochrony danych osobowych zewnętrznym audytorom, ale robi to własnymi środkami. Departament Handlu nie sprawdza natomiast treści polityk prywatności, kiedy firma ubiega się o samocertyfikację. Powodem do niepokoju jest również to, że wiele przedsiębiorstw nadal nie zrewidowało swoich umów z podmiotami trzecimi na dalsze przekazywanie danych w taki sposób, aby odpowiadały one wymogom tarczy.
Wnioski Grupy Roboczej art. 29 są znacznie surowsze niż ocena dokonana w październiku ubiegłego roku przez Komisję Europejską. Ta stwierdziła bowiem, że choć jest pole do poprawy, to zasadniczo Facebook i inne firmy z USA zapewniają właściwy poziom ochrony danych osobowych europejskich użytkowników.