El acuerdo de puerto seguro tenía por objeto permitir a las empresas estadounidenses recoger información personal sobre ellas mismas. Datos de los ciudadanos de la UE. El acuerdo debería mantener el nivel tradicional de protección de datos para los ciudadanos de la UE, que no está garantizado en la misma medida en los Estados Unidos. Desde septiembre de 2015, el acuerdo ha sido considerado inválido por la Unión Europea, poniendo fin a más de 15 años de práctica en el ámbito de la legislación sobre protección de datos.
Puerto seguro: ¿Un puerto seguro?
En septiembre de 2015, el Acuerdo de Puerto Seguro sufrió un grave revés. El Abogado General del Tribunal de Justicia de las Comunidades Europeas, Yves Bot, llegó a la conclusión de que la decisión de Puerto Seguro no es válida ni vinculante. El Acuerdo de Puerto Seguro data del año 2000 y forma parte del ámbito de la legislación de protección de datos. La decisión de la Comisión Europea debería permitir a las empresas transferir datos personales a los EE.UU., siempre que cumplan las directivas europeas de protección de datos. No existe un "acuerdo" en el sentido real - sin embargo, este tipo de procedimiento ha sido acordado con los EE.UU., por lo que se puede hablar de un tipo de "acuerdo". El 06.10.2015, el Acuerdo de Puerto Seguro fue declarado inválido por el Tribunal de Justicia de las Comunidades Europeas (TJCE).
La historia del Acuerdo de Puerto Seguro
Dentro de la Unión Europea, la Directiva de Protección de Datos 95/46/CE prohíbe la transferencia de datos personales de los estados miembros a otros estados que no tengan leyes de protección de datos con una función protectora similar. Estados Unidos apenas cuenta con una normativa legal en materia de protección de datos que esté a la altura de los estándares de la Unión Europea. La estricta normativa de la UE provocó problemas prácticos, por lo que Estados Unidos y la UE celebraron un acuerdo en el año 2000. El cumplimiento de la directiva de protección de datos conduciría a la paralización del tráfico de datos, por lo que se promulgó el reglamento de puerto seguro. Las empresas de EE.UU. pueden inscribirse en una lista del Departamento de Comercio de EE.UU. y adherirse así al puerto seguro. Al adherirse, las empresas estadounidenses se comprometían a respetar los principios y normas del acuerdo. La normativa legal se completó prácticamente con la normativa privada a nivel internacional. La Comisión Europea consideró probado que las empresas del sistema recién creado ofrecen suficiente protección a los ciudadanos de la UE y a sus datos personales. Cuando se revocó en septiembre de 2015, numerosas empresas se habían sumado al acuerdo. Entre ellos, General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox y Hewlett-Packard.
La crítica popular al Acuerdo de Puerto Seguro
El Acuerdo de Puerto Seguro ha sido criticado repetidamente. Las voces negativas negaron al acuerdo una función protectora suficiente. No se podía confiar en la "palabra" de las empresas americanas, por lo que habría que aportar pruebas. Después de unos años, se creó el Acta Patriótica de los Estados Unidos: Debido a la nueva situación jurídica, las autoridades de seguridad estadounidenses podían acceder a todos los datos sin tener que notificar al propietario de los mismos. Tras las revelaciones del denunciante Edward Snowden, se exigió una revisión del sistema en 2013. En 2013, la Comisaria de Justicia de la UE, Viviane Reding, anunció una reforma de la protección de datos en Europa. Todas las empresas deben ser castigadas con una multa de hasta el dos por ciento de su volumen de negocios anual, si realizan una transferencia de datos ilegal.
La sentencia del Tribunal de Justicia de las Comunidades Europeas de septiembre de 2015
En septiembre de 2015, el Abogado General del Tribunal de Justicia de las Comunidades Europeas, Yves Bot, declaró que el Acuerdo de Puerto Seguro ya no era válido y vinculante. El Tribunal Superior de Irlanda había preguntado al Tribunal de Justicia de las Comunidades Europeas si se aplicaba el régimen de puerto seguro y en qué medida. El caso en cuestión se refería a la transferencia de datos de Facebook a los Estados Unidos. En los fundamentos de la sentencia, el Abogado General declaró que la Unión Europea no estaba autorizada a interferir y restringir los poderes de los Estados miembros. En cuanto se ponga en peligro el cumplimiento de los derechos fundamentales otorgados por la Carta de la Unión Europea en un Estado miembro, debería ser posible actuar en consecuencia. Entre los derechos fundamentales está la protección de los datos personales. En los Estados Unidos, los ciudadanos de la Unión Europea están expuestos a los recolectores de datos sin protección, ya que los Estados Unidos permiten la recolección de datos de los ciudadanos de la Unión Europea en una medida considerable. Al mismo tiempo, no existen medios efectivos de recurso a la reparación judicial. Los servicios secretos de EE.UU. realizan una vigilancia intensiva, que no es proporcionada y permite una interferencia selectiva en la protección de datos. El Tribunal de Justicia de las Comunidades Europeas siguió las observaciones del Abogado General y así selló el final del acuerdo. En el tenor de la sentencia, se hizo referencia a los servicios secretos americanos. Las empresas americanas se someten a ellas cuando hacen averiguaciones y se ven obligadas a cancelar todas las regulaciones de protección. Por lo tanto, no hay una protección efectiva de los datos personales. Por un lado, se ha violado con esta acción el derecho fundamental al respeto de la vida privada, pero por otro lado, también se ha violado el derecho a la existencia de una protección jurídica efectiva en los tribunales.
El enfoque de las autoridades alemanas de protección de datos
Tras la publicación del fallo del Tribunal de Justicia Europeo, las autoridades alemanas de protección de datos actuaron rápidamente. En un documento de posición redactado por funcionarios de protección de datos de los Länder y del Gobierno federal, se dejó claro que las transferencias de datos quedan excluidas si su transferencia se basa únicamente en el Acuerdo de Puerto Seguro. Ya no se expedirán nuevos permisos basados en el acuerdo. Además, ya no se reconocerán los reglamentos de las empresas y los acuerdos de exportación de datos. En el Reino Unido se considera que la transferencia de datos sigue siendo posible si se ha dado el consentimiento o si existen cláusulas contractuales estándar de la UE. El consentimiento no es suficiente en opinión de los comisarios alemanes de protección de datos, ya que no se podrían permitir transferencias de datos masivas y repetidas a tal escala.
Nuevos reglamentos y recomendaciones
A nivel federal, la decisión del Tribunal de Justicia de las Comunidades Europeas fue acogida con beneplácito por el Comisionado Federal de Protección de Datos responsable. En un futuro próximo, se examinará si la sentencia tiene un efecto en Alemania sobre las normas corporativas vinculantes y las cláusulas contractuales estándar de la UE, y en qué medida. El 26 de octubre de 2015, el documento de posición fue publicado por el Gobierno Federal y los Länder. Las autoridades de supervisión anunciaron que se tomarían medidas contra toda transferencia de datos basada en el puerto seguro. Desde el veredicto, ha quedado completamente claro que la certificación según el acuerdo anterior es absolutamente inadmisible. Las empresas que transfieren datos personales a los EE.UU. se arriesgan a dolorosas multas, por lo que los textos de los sitios web, los materiales publicitarios y las declaraciones de protección de datos deben adaptarse lo antes posible. Además, deben comprobarse las transferencias de datos actuales. Debería explicarse la aplicabilidad de las normas corporativas vinculantes y las cláusulas contractuales estándar de la UE. Quien no pueda prescindir de la transferencia de datos a los Estados Unidos debería hacer uso de las cláusulas contractuales estándar de la Unión Europea, con las que se puede reducir considerablemente el riesgo de multa, al menos en la mayoría de los casos. Es absolutamente necesario que se comprueben y apliquen los métodos de cifrado. Si se puede obtener el consentimiento, se debe buscar el contacto con el DSK y se debe preguntar si esa legitimación es permisible para las transferencias de datos. Si se puede obtener el consentimiento, debe quedar claro que se está realizando una transferencia de datos a los Estados Unidos. Además, deben enumerarse las posibles consecuencias. Ese consentimiento difícilmente puede aplicarse en el caso de transferencias de datos permanentes y masivas, por ejemplo, de datos de clientes. A fin de lograr la mejor protección jurídica posible, las cuestiones jurídicas deben examinarse caso por caso. Las medidas técnicas y de organización pueden reducir considerablemente el riesgo de infracciones legales.