Στην απόφασή του της 13ης Οκτωβρίου 2020, το Συμβούλιο της Επικράτειας της Γαλλίας αναγνωρίζει την ύπαρξη κινδύνου λόγω μεταφοράς δεδομένων από το Κέντρο Δεδομένων Υγείας στις Ηνωμένες Πολιτείες και γι’ αυτό ζητά πρόσθετες διασφαλίσεις.
Η Γαλλική Ανεξάρτητη Αρχή Προστασίας Προσωπικών Δεδομένων [CNIL -Commission Nationale de l’Informatique et des Libertés ] θα συμβουλεύσει τις δημόσιες αρχές σχετικά με τη λήψη των κατάλληλων μέτρων και θα διασφαλίσει, για την άδεια έρευνας σχετικά με την υφιστάμενη υγειονομική κρίση, ότι υπάρχει πραγματική ανάγκη χρήσης της πλατφόρμας.Το Κέντρο Δεδομένων Υγείας [Health Data Hub] είναι ένα σύστημα πληροφοριών που έχει σχεδιαστεί για τη συλλογή όλων των δεδομένων υγείας, του πληθυσμού που καλύπτεται υγειονομικά στη Γαλλία.
Αυτή η συγκέντρωση όμως, όπως ρητώς απαιτείται από τον νομοθέτη, θα πρέπει να πραγματοποιείται κυρίως για λόγους ιατρικής έρευνας. Για τους σκοπούς διαχείρισης της υγειονομικής κρίσης, το Health Data Hub τέθηκε σε λειτουργία τον Απρίλιο του 2020 και μάλιστα σε περιορισμένο πεδίο εφαρμογής.
Δεδομένου ότι η φιλοξενία [hosting] της συγκεκριμένης πλατφόρμας έχει ανατεθεί στη Microsoft, αρκετές ενώσεις και επαγγελματίες άσκησαν προσφυγή ενώπιον του Συμβουλίου της Επικρατείας, ζητώντας την αναστολή λειτουργίας του Health Data Hub, λόγω της πρόσφατης απόφασης του Δικαστηρίου της Ευρωπαϊκής Ένωσης (CJEU ) της 16ης Ιουλίου 2020, γνωστή ως “Schrems II”.
Με την απόφαση αυτή, το Δικαστήριο έκρινε ότι η επιτήρηση που διενήργησαν οι αμερικανικές υπηρεσίες πληροφοριών σχετικά με τα προσωπικά δεδομένα των ευρωπαίων πολιτών ήταν υπερβολική, ανεπαρκώς εποπτευόμενη και χωρίς καμία πραγματική δυνατότητα αποκατάστασης. Κατέληξε έτσι στο συμπέρασμα ότι η διαβίβαση δεδομένων προσωπικού
χαρακτήρα από την Ευρωπαϊκή Ένωση στις Ηνωμένες Πολιτείες αντιβαίνει στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και στον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, εκτός εάν παρέχονται πρόσθετες διασφαλίσεις ή σε ορισμένες εξαιρετικές περιπτώσεις.
Γι’ αυτό το Συμβούλιο της Επικρατείας κάλεσε το CNIL να υποβάλει σχόλια και παρατηρήσεις επί της προσφυγής. Εν συντομία, η CNIL έκρινε ότι η επιλογή ενός παρόχου φιλοξενίας που υπόκειται στην αμερικανική νομοθεσία φαινόταν ασυμβίβαστη με τις απαιτήσεις του ευρωπαϊκού Κανονισμού για την προστασία της ιδιωτικής ζωής [βλ. “Schrems II”].
Αφενός, κάλεσε τον δικαστή να επαληθεύσει ότι οι δεσμεύσεις του “οικοδεσπότη” [Microsoft] να τερματίσει τη διαδικασία μεταφοράς προσωπικών δεδομένων εκτός ΕΕ, καλύπτει ολόκληρο τον κόμβο δεδομένων υγείας.
Από την άλλη πλευρά, θεώρησε ότι η φιλοξενία της πλατφόρμας από μια εταιρεία η οποία υπόκειται στο αμερικανικό δίκαιο και ενδεχομένως θα μπορούσε δεχθεί αιτήματα για αποκάλυψη δεδομένων, ακόμη και αν γινόταν υπό καθεστώς ψευδώνυμου, συνιστά μια ιδιαίτερα προβληματική κατάσταση η οποία θα έπρεπε να οδηγήσει είτε σε αλλαγή παρόχου, είτε στην παροχή πρόσθετων εγγυήσεων. Για την επίτευξη δε αυτού του στόχου, συνέστησε τον ορισμό μιας μεταβατικής περιόδου.
