Η ροή δεδομένων των Ευρωπαίων πολιτών στις Η.Π.Α: από το Safe Harbor… στο Privacy Shield II. Μια πορεία συνεχών ανακατευθύνσεων

Λάμπρος Κ. Κώττης, Δικηγόρος κάτοχος LLM Global Criminal Law, University of Groningen MSc Δίκαιο και Τεχνολογίες Πληροφορικής και Επικοινωνιών, Πανεπιστήμιο Πειραιώς (υποψ.)

Η ροή των δεδομένων Ευρωπαίων πολιτών σε τρίτες χώρες ανέκαθεν αποτέλεσε μια νευραλγικής σημασίας προβληματική, σε επίπεδο δικαίου. Τούτο, φυσικά, κρίνεται απολύτως λογικό, αν κανείς αναλογιστεί το διακύβευμα, ήτοι, αρχικώς, την οικονομική αξία των δεδομένων.

Πράγματι, τόσο η ευρωπαϊκή οικονομία, αλλά και το ίδιο το εμπόριο μεταξύ της Ευρώπης και τρίτων χωρών – σε μεγάλο βαθμό – εξαρτάται από τα δεδομένα. Προς επίρρωση αυτού, σχετική μελέτη1 επιχείρησε να ποσοτικοποιήσει τον αντίκτυπο τυχόντος περιορισμού των διασυνοριακών ροών των δεδομένων για συγκεκριμένους τομείς της ΕΕ, συμπεριλαμβανομένων των τηλεπικοινωνιών, των ψηφιακών πληρωμών, των παγκόσμιων υπηρεσιών εξωτερικής ανάθεσης και φαρμακευτικής έρευνας και ανάπτυξης. Για παράδειγμα, η έρευνα εκτίμησε ότι μόνο ένας περιορισμός στη μεταφορά προσωπικών δεδομένων εκτός ΕΕ θα οδηγούσε σε χαμένες συναλλαγές ψηφιακών πληρωμών ύψους 128 εκατομμυρίων ευρώ ημερησίως και από 4,2 δισεκατομμύρια ευρώ έως 9,3 δισεκατομμύρια ευρώ ετησίως.

Πρακτικά μιλώντας, τέτοιοι περιορισμοί θα μπορούσαν να εμποδίσουν την ανάπτυξη φαρμάκων, δυσχεραίνοντας δηλαδή τους επιστήμονες και τους ιατρικούς ερευνητές να συγκεντρώσουν επαρκή γονιδιωματικά και ιατρικά δεδομένα, αυξάνοντας έτσι το κόστος και τους απαιτούμενους χρόνους και μειώνοντας τα αποτελέσματα. Επιπλέον, κρίσιμο στοιχείο που δικαιολογεί τη περιπλοκότητα της ρύθμισης του θέματος είναι η «δύναμη» (υπό την έννοια της πολύτιμης πληροφορίας), που μπορεί κανείς να αποκτήσει με το σωστό συνδυασμό των δεδομένων2. Το πεδίο αυτής της λεπτομερέστατης μελέτης θα περιορισθεί στη ροή δεδομένων μεταξύ της Ευρώπης και των Ηνωμένων Πολιτειών Αμερικής (εφεξής: Η.Π.Α.). Ο λόγος για την ως άνω επιλογή του γράφοντος, είναι ότι η Ευρώπη και οι ΗΠΑ ανέκαθεν διατηρούσαν μεταξύ τους μια ευρύτατη και εξαιρετικά κερδοφόρα σχέση εμπορίου και ανταλλαγής. Πράγματι, τα ποσοστά των διασυνοριακών ροών δεδομένων μεταξύ των ΗΠΑ και της Ευρώπης είναι τα υψηλότερα στον κόσμο και αποτελούν αναπόσπαστο μέρος της οικονομικής σχέσης των δύο μερών. Ενδεικτικά, το συνολικό εμπόριο αγαθών και υπηρεσιών (εξαγωγές συν εισαγωγές) μεταξύ των ΗΠΑ και της Ευρώπης αποτιμάται σε περίπου 1 τρισεκατομμύριο ευρώ ετησίως3. Φαίνεται λοιπόν λογική η σημαντικότητα αφενός, της εξονυχιστικής μελέτης της προβληματικής και αφετέρου, της κατανόησης του πως λειτουργεί ο (νομικά περίπλοκος) μηχανισμός της ροής δεδομένων μεταξύ ΗΠΑ και Ευρώπης.

Προστασία των δεδομένων και ιδιωτικότητα στην Ευρώπη και την Αμερική
Το σημείο αυτό της μελέτης θα επικεντρωθεί στην αναφορά τόσο της ευρωπαϊκής, όσο και της αμερικάνικης πολιτικής για την ιδιωτικότητα και την προστασία των δεδομένων. Κατά τη γνώμη του γράφοντος, η μελέτη του παρόντος θέματος απαιτεί – αρχικώς – την κατανόηση της ίδιας της κουλτούρας των δύο μερών, γύρω από την προστασία των προσωπικών δεδομένων. Σε αυτή την περίπτωση, θα μπορεί κανείς να αντιληφθεί ευκολότερα τους λόγους ορισμένων δικαιικών και θεσμικών επιλογών, τους λόγους για τους οποίους αυτές απέτυχαν, με απόρροια τις συνεχείς νομοθετικές ανακατευθύνσεις και την τωρινή, δεδομένη κατάσταση. Πράγματι, η ανάδειξη της διαφορετικότητας μεταξύ της ευρωπαϊκής και της αμερικάνικης φιλοσοφίας σχετικά με τα προσωπικά δεδομένα και την ιδιωτικότητα, αφενός, θα λειτουργήσει ως αφετηρία και – ταυτοχρόνως- πλαίσιο αυτής της μελέτης και αφετέρου, θα αιτιολογήσει – κατά τη γνώμη του γράφοντος- την (μέχρι και σήμερα) αδυναμία – όπως αυτή θα φανεί στη συνέχεια της παρούσης – επίτευξης της επαρκούς ρύθμισης της ροής των δεδομένων ανάμεσα στις δύο υπερδυνάμεις.

Τόσο η Ευρώπη όσο και οι ΗΠΑ διακηρύσσουν ότι αμφότερες είναι αφοσιωμένες στην προστασία των δικαιωμάτων των υποκειμένων των προσωπικών δεδομένων, αλλά και την εν γένει διατήρηση ενός υψηλού επιπέδου προστασίας της ιδιωτικότητας. Παρ’ όλ’ αυτά, οι διαφορές στην πολιτική μεταξύ τους είναι θεμελιώδεις. Συγκεκριμένα, η ανησυχία της Ευρώπης για το χειρισμό των δεδομένων από τις ΗΠΑ, αλλά και την εμπορική αντιμετώπιση αυτών, έχει αποτελέσει πολλάκις εμπόδιο στις εμπορικές σχέσεις των δύο μερών, αλλά και – ειδικότερα- τροχοπέδη στη ροή δεδομένων ανάμεσα στα μέρη. Από την άλλη, η αμερικανική πλευρά θεωρεί την πολιτική της Ευρώπης σχετικά με τα προσωπικά δεδομένα, πέραν του δέοντος, περιοριστική και δη για τη ροή αυτών (των δεδομένων) ανάμεσα στις δύο ενώσεις.

Η Ευρωπαϊκή αντίληψη περί της πολιτικής προστασίας των δεδομένων
Σύμφωνα με την ευρωπαϊκή πολιτική η προστασία των επικοινωνιών και των προσωπικών δεδομένων αποτελούν θεμελιώδη και κεκτημένα δικαιώματα. Συγκεκριμένα, τα δικαιώματα αυτά ρητώς προβλέπονται στα άρθρα 7 και 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης4 (εφεξής: ο Χάρτης) και κατέστησαν δεσμευτικά για όλα τα κράτη – μέλη μέσω της Συνθήκης της Λισσαβόνας5. Επιπλέον, το άρθρο 52 του ως άνω αναφερθέντος Χάρτη ορίζει ότι οιοσδήποτε περιορισμός στα ως άνω δικαιώματα πρέπει να γίνεται βάσει της αρχής της αναλογικότητας6, ενώ – σχετικώς – το άρθρο 47 καθιερώνει το δικαίωμα πραγματικής προσφυγής και του αμερόληπτου δικαστηρίου7. Κανείς δεν πρέπει να αγνοεί την ίδια την ευρωπαϊκή ιστορία, στοιχείο αλληλένδετο και σε απόλυτη σχέση αιτίου-αποτελέσματος με την τωρινή νομική πραγματικότητα. Συγκεκριμένα, το (όχι και τόσο μακρινό) παρελθόν της Ευρώπης, συνυφασμένο με φασιστικά και απολυταρχικά καθεστώτα αποτελεί καθοριστικό στοιχείο για τη σημερινή ευρωπαϊκή «τοποθέτηση» απέναντι στην προστασία των δεδομένων και αιτιολογική βάση της επιμονής των Ευρωπαίων πολιτικών και οργάνων για αυστηρούς κανόνες σχετικά με τα δεδομένα και – ακόμη περισσότερο – τα προσωπικά δεδομένα8.

Σε επίπεδο νομοθεσίας, η πρώτη απόπειρα μιας καθολικής, γενικής και συνεκτικής νομοθεσίας, η οποία θα εναρμόνιζε τις πολιτικές των κρατών μελών σχετικά με την προστασία των δεδομένων, έγινε με την Οδηγία 95/46/ΕΚ9 (εφεξής: DPD) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, η οποία ετέθη σε ισχύ το έτος 1998. Η Οδηγία DPD καθόρισε κοινούς κανόνες για δημόσιους και ιδιωτικούς φορείς σε όλα τα κράτη-μέλη της Ε.Ε., που κατέχουν ή διαβιβάζουν προσωπικά δεδομένα. Η Οδηγία DPD ρύθμισε τον τρόπο με τον οποίο οι πληροφορίες, οι οποίες αφορούν τους Ευρωπαίους πολίτες μπορούν να συλλέγονται και να χρησιμοποιούνται σε όλους τους κλάδους, με κάθε κράτος μέλος της Ε.Ε. να είναι υπεύθυνο για τη μεταφορά των διατάξεων της Οδηγίας DPD μέσω των δικών του εθνικών νόμων. Η Οδηγία DPD διαπίστωσε επίσης, ότι η διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες θα μπορούσε να πραγματοποιηθεί μόνο εάν η Ευρωπαϊκή Επιτροπή διασφάλιζε ότι η τρίτη χώρα παρείχε ένα επαρκές επίπεδο προστασίας για τα προσωπικά δεδομένα. Η επάρκεια του επιπέδου προστασίας αξιολογείτο υπό το φως όλων των συνθηκών γύρω από τη διαβίβαση δεδομένων, ιδίως λαμβάνοντας υπόψη τη φύση των δεδομένων, τον σκοπό και τη διάρκεια της προτεινόμενης επεξεργασίας, τον τελικό προορισμό των δεδομένων και τους νόμους, τους κανόνες και τα μέτρα ασφαλείας αυτής τις τρίτης χώρας.

Το έτος 2012, η Ευρωπαϊκή Επιτροπή πρότεινε ένα νέο νομοθετικό πακέτο, με στόχο τον εκμοντερνισμό της ως άνω Οδηγίας DPD και την συμπερίληψη των καταιγιστικών εξελίξεων στην επεξεργασία δεδομένων, ήτοι την ανάδυση του Διαδικτύου. Μετά από τέσσερα έτη συνεχών διαπραγματεύσεων και διαβουλεύσεων, η Ευρώπη υιοθέτησε τον Γενικό Κανονισμό Προστασίας των Δεδομένων10 (εφεξής: ΓΚΠΔ), ο οποίος ετέθη σε ισχύ σε όλα τα κράτη μέλη το Μάιο του 2018. Ο ΓΚΠΔ θεσπίζει ένα ενιαίο σύνολο κανόνων για την προστασία των προσωπικών δεδομένων σε όλη την Ε.Ε. O Κανονισμός επιδιώκει, τόσο, την ενίσχυση των θεμελιωδών δικαιωμάτων των ατόμων στην ψηφιακή εποχή, όσο και τη διευκόλυνση της συνεπέστερης εφαρμογής των κανόνων σε όλα τα κράτη-μέλη. Καθορίζει επιπλέον, συγκεκριμένα ατομικά δικαιώματα και υποχρεώσεις σχετικά με τη συλλογή και επεξεργασία των προσωπικών δεδομένων. Όπως ακριβώς ο προκάτοχός του, ήτοι η προγενέστερη Οδηγία DPD, ο ΓΚΠΔ επιτρέπει τη μεταφορά προσωπικών δεδομένων εκτός ΕΕ μόνο σε αυτές τις χώρες που η Ε.Ε. θεωρεί ότι διαθέτουν επαρκές επίπεδο προστασίας11.

Η Αμερικάνικη αντίληψη περί της πολιτικής προστασίας των δεδομένων
Σε αντίθεση με την Ε.Ε., δεν υπάρχει κανένας συγκεντρωτικός, καθολικός και συνεκτικός αμερικανικός νόμος, ο οποίος ρυθμίζει τη συλλογή και τη χρήση των προσωπικών δεδομένων των πολιτών12. Ενώ το Αμερικάνικο Ανώτατο Δικαστήριο (U.S. Supreme Court) έχει κρίνει ότι το Αμερικάνικο Σύνταγμα παρέχει στους πολίτες το δικαίωμα στην ιδιωτικότητα, η νομοθετική πραγματικότητα έχει αποδείξει ότι αυτό το δικαίωμα παρέχεται περισσότερο απέναντι σε πιθανές παραβιάσεις εκ μέρους της ίδιας της κυβέρνησης. Πράγματι, το Privacy Act του 1974 καθόριζε τους τρόπους με τους οποίους η ομοσπονδιακή κυβέρνηση διαχειρίζεται τα δεδομένα των πολιτών, που έχει στην κατοχή της13, ενώ το Electronic Communications Privacy Act του 198614 διεύρυνε τους περιορισμούς, προκειμένου να συμπεριλάβει την εκπομπή δεδομένων από τους ηλεκτρονικούς υπολογιστές, προστατεύοντας έτσι τα δεδομένα των πολιτών.

Το Κογκρέσο έχει θεσπίσει πληθώρα νόμων, οι οποίοι έχουν ως στόχο την παροχή προστασίας των προσωπικών δεδομένων των πολιτών. Αξιοσημείωτο είναι ότι η αντιμετώπιση των Η.Π.Α. πρόκειται περισσότερο για μια τομεακή προσέγγιση, που βασίζεται σε ένα μείγμα νομοθεσίας, ρύθμισης και αυτορρύθμισης. Για παράδειγμα, ρυθμίζοντας το απόρρητο των δεδομένων, διαφορετικοί νόμοι των ΗΠΑ, προστατεύουν συγκεκριμένες ομάδες δεδομένων, όπως – λ.χ.- δεδομένα υγείας ή οικονομικά δεδομένα. Ορισμένοι stakeholders επιλέγουν την αυτορρύθμιση ως συμφέρουσα (μέσω καλών πρακτικών [good practices], κωδίκων δεοντολογίας και εθελοντικών προτύπων), λόγου χάρη σε ταχέως εξελισσόμενους τομείς, όπως η Τεχνητή Νοημοσύνη. Οι εταιρείες μπορούν να χρησιμοποιούν τέτοιους μηχανισμούς ως τρόπο ενίσχυσης της καλής τους φήμης και θεμελίωσης της εμπιστοσύνης των καταναλωτών, αλλά αυτή η προσέγγιση βασίζεται – αποκλειστικώς – στην αυτο-αστυνόμευση και όχι στην κρατική επιβολή των εκάστοτε μέτρων15.

Mόνο ένας απλός περιορισμός στη μεταφορά προσωπικών δεδομένων εκτός ΕΕ θα οδηγούσε σε χαμένες συναλλαγές ψηφιακών πληρωμών ύψους 128 εκατ. ευρώ ημερησίως και από 4,2 δις ευρώ έως 9,3 δις ευρώ ετησίως

Πολλές «φωνές» στο πεδίο, υποστηρίζουν ότι η τομεακή, αποσπασματική προσέγγιση των ΗΠΑ είναι πιο ευέλικτη από τη «one-size-fits-all» – όπως τη χαρακτηρίζουν -, ρυθμιστική προσέγγιση της ΕΕ, απέναντι στα προσωπικά δεδομένα. Υποστηρίζουν επίσης, ότι η προσέγγιση των ΗΠΑ συμβάλλει στην προώθηση και τη διατήρηση της τεχνολογικής καινοτομίας και «σβελτάδας» των ΗΠΑ16. Ωστόσο, ορισμένοι υποστηρίζουν ότι υπάρχουν νομοθετικά κενά, ιδίως στον τομέα της ηλεκτρονικής συλλογής δεδομένων. Άλλωστε, τα τελευταία χρόνια, φαίνεται ότι οι απαιτήσεις για ισχυρότερη νομοθετική προστασία αυξάνονται, εν μέσω τιτάνιων παραβιάσεων δεδομένων και αποδεδειγμένης κακής χρήσης (misuse) από εταιρείες όπως π.χ. Facebook, Apple, Amazon κλπ17.

Ενδιαφέρον μάλιστα παρουσιάζει ότι ορισμένες πολιτείες, όπως η Καλιφόρνια και η Βιρτζίνια έχουν εφαρμόσει νόμους περί απορρήτου δεδομένων σε πολιτειακό επίπεδο, που βασίζονται, εν μέρει, στο πρότυπο του ΓΚΠΔ18. Τέλος, το Κογκρέσο συζητά -επί του παρόντος- την πιθανή συνολική εθνική πολιτική για τα δεδομένα ιδιωτικότητα και τα μέλη έχουν προτείνει διάφορα νομοσχέδια για την προστασία και την ασφάλεια των δεδομένων.

Το δεύτερο μέρος της μελέτης αυτής θα επι-κεντρωθεί στην αναλυτική αναφορά και μελέτη όλων των συστημάτων που έχουν χρησιμοποιηθεί μεταξύ των μερών ανά τα έτη για τη ρύθμιση της προβληματικής, καθώς και την τωρινή κατάσταση και το (αβέβαιο) μέλλον.


  1. A Rozi Kepes και λοιποί, “The Importance of Cross-border Data Flows – An Economic Assessment of Restrictions on Extra-EU Data Transfers,” Analysis Group, Ιούνιος 2021.
  2. Χαρακτηριστικό και αντιπροσωπευτικό παράδειγμα της δύναμης των δεδομένων αποτελεί το σκάνδαλο της Cambridge Analytica κατά την περίοδο των ευρωπαϊκών εκλογών.
  3. Shayerah Ilias Akhtar, CRS In Focus IF10930, U.S.-EU Trade and Investment Ties: Magnitude and Scope.
  4. Χάρτης Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, (ΕΕ C 202 της 7.6.2016). Συγκεκριμένα το άρθρο 7 κατοχυρώνει ότι «Κάθε πρόσωπο έχει δικαίωμα στο σεβασμό της ιδιωτικής και οικογενειακής ζωής του, της κατοικίας του και των επικοινωνιών του.» και το άρθρο 8 κατοχυρώνει ότι «1. Κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. 2. Η επεξεργασία αυτών των δεδομένων πρέπει να γίνεται νομίμως, για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από το νόμο. Κάθε πρόσωπο δικαιούται να έχει πρόσβαση στα συλλεγέντα δεδομένα που το αφορούν και να επιτυγχάνει τη διόρθωσή τους. 3. Ο σεβασμός των κανόνων αυτών υπόκειται στον έλεγχο ανεξάρτητης αρχής.»
  5. Συνθήκη της Λισαβόνας για την τροποποίηση της Συνθήκης για την Ευρωπαϊκή Ένωση και της Συνθήκης για την ίδρυση της Ευρωπαϊκής Κοινότητας (ΕΕ C 306 της 17.12.2007)· έναρξη ισχύος την 1η Δεκεμβρίου 2009.
  6. Άρθρο 52 παρ. 1 : «Κάθε περιορισμός στην άσκηση των δικαιωμάτων και ελευθεριών που αναγνωρίζονται στον παρόντα Χάρτη πρέπει να προβλέπεται από το νόμο και να σέβεται το βασικό περιεχόμενο των εν λόγω δικαιωμάτων και ελευθεριών. Τηρουμένης της αρχής της αναλογικότητας, περιορισμοί επιτρέπεται να επιβάλλονται μόνον εφόσον είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε στόχους γενικού ενδιαφέροντος που αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων.»
  7. Άρθρο 47: «Κάθε πρόσωπο του οποίου παραβιάστηκαν τα δικαιώματα και οι ελευθερίες που διασφαλίζονται από το δίκαιο της Ένωσης, έχει δικαίωμα πραγματικής προσφυγής ενώπιον δικαστηρίου, τηρουμένων των προϋποθέσεων που προβλέπονται στο παρόν άρθρο. Κάθε πρόσωπο έχει δικαίωμα να δικασθεί η υπόθεσή του δίκαια, δημόσια και εντός εύλογης προθεσμίας, από ανεξάρτητο και αμερόληπτο δικαστήριο, που έχει προηγουμένως συσταθεί νομίμως. Κάθε πρόσωπο έχει τη δυνατότητα να συμβουλεύεται δικηγόρο και να του αναθέτει την υπεράσπιση και εκπροσώπησή του. Σε όσους δεν διαθέτουν επαρκείς πόρους, παρέχεται δικαστική αρωγή, εφόσον η αρωγή αυτή είναι αναγκαία για να εξασφαλισθεί η αποτελεσματική πρόσβαση στη δικαιοσύνη.»
  8. Thomas Shaw, “Privacy Law and History: WWII-Forward,” International Association of Privacy Professionals, Μάρτιος 2013, David Meyer, “How Europe Is Better at Protecting Data Than the U.S. – And What the Stasi and Nazis Have To Do With It,” MarketWatch.com, Μάρτιος 2018, Olivia B. Waxman, “The GDPR Is Just the Latest Example of Europe’s Caution on Privacy Rights. That Outlook Has a Disturbing History,” Time, Μάιος 2018.
  9. Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.
  10. Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων.
  11. Βλ. Άρθρα 44 έως 50 του Κανονισμού.
  12. Για περισσότερες πληροφορίες σχετικά με τον αμερικανικό δίκαιο προσωπικών δεδομένων βλ. Stephen P. Mulligan και Chris D. Linebaugh, CRS Report R45631, Data Protection Law: An Overview, Μάρτιος 2019.
  13. 5 U.S.C. παρ. 552a του Privacy Act.
  14. 18 U.S.C. παρ. 2510 επ. του Electronic Communications Privacy Act.
  15. Siona Listokin, “Industry Self-Regulation of Consumer Data Privacy and Security,” George Mason University, 2015
  16. Bret Swanson, “Securing the Digital Frontier: Policies to Encourage Data Privacy, Data Security, and Open-Ended Innovation,” American Enterprise Institute, Μάιος 2019, Alan McQuinn και Daniel Castro, “Why Stronger Privacy Protections Do Not Spur Increased Internet Use,” Information Technology and Innovation Foundation, Ιούλιος 2018.
  17. Nuala O’Connor, “Reforming the U.S. Approach to Data Protection and Privacy,” Council on Foreign Relations, Ιανουάριος 2018.
  18. Arent Fox, Virginia Consumer Data Protection Act: Here Comes the Next State Privacy Law of the Land,” JDSUPRA, Μάρτιος 2021, διαθέσιμο: https://www.jdsupra.com/legalnews/virginia-consumer-data-protection-act-2724869/. (Τελευταία προσπέλαση: 25-7-2022).