L'accordo Safe Harbor era destinato a permettere alle aziende statunitensi di raccogliere informazioni personali su se stesse. Dati dei cittadini dell'UE. L'accordo dovrebbe mantenere il tradizionale livello di protezione dei dati per i cittadini dell'UE, che non è garantito nella stessa misura negli Stati Uniti. Dal settembre 2015, l'accordo è stato considerato non valido dall'Unione Europea, ponendo fine a più di 15 anni di pratica nel campo della legislazione sulla protezione dei dati.
Porto sicuro: un porto sicuro?
Nel settembre 2015, l'accordo sull'approdo sicuro ha subito una grave battuta d'arresto. L'avvocato generale della Corte di giustizia delle Comunità europee - Yves Bot - è giunto alla conclusione che la decisione Safe Harbor non è né valida né vincolante. L'accordo Safe Harbor risale all'anno 2000 e fa parte del settore della legge sulla protezione dei dati. La decisione della Commissione europea dovrebbe consentire alle aziende di trasferire i dati personali negli Stati Uniti, a condizione che siano conformi alle direttive europee sulla protezione dei dati. Non esiste un "accordo" nel senso vero e proprio - tuttavia, questo tipo di procedura è stata concordata con gli USA, per cui si può parlare di una sorta di "accordo". Il 06.10.2015 l'accordo sull'approdo sicuro è stato dichiarato nullo dalla Corte di giustizia europea (CGCE).
La storia dell'accordo Safe Harbor
All'interno dell'Unione Europea, la direttiva sulla protezione dei dati 95/46/CE vieta il trasferimento di dati personali dagli stati membri ad altri stati che non hanno leggi sulla protezione dei dati con una funzione protettiva simile. Gli Stati Uniti non hanno quasi nessuna regolamentazione legale in materia di protezione dei dati che sia alla pari con gli standard dell'Unione Europea. I rigidi regolamenti dell'UE hanno portato a problemi pratici, motivo per cui gli USA e l'UE hanno concluso un accordo nel 2000. L'adesione alla direttiva sulla protezione dei dati porterebbe a un blocco del traffico di dati, ed è per questo che è stato promulgato il regolamento Safe Harbor. Le aziende degli Stati Uniti potrebbero registrarsi su una lista del Dipartimento del Commercio degli Stati Uniti e quindi aderire al Safe Harbor. Aderendo, le aziende americane hanno accettato di rispettare i principi e i regolamenti dell'accordo. I regolamenti legali sono stati praticamente integrati da regolamenti privati a livello internazionale. La Commissione europea ha ritenuto provato che le aziende all'interno del sistema appena creato forniscono una protezione sufficiente per i cittadini dell'UE e i loro dati personali. Quando è stato revocato nel settembre 2015, numerose aziende avevano aderito all'accordo. Tra questi c'erano General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox e Hewlett-Packard.
Critica popolare dell'accordo Safe Harbor
L'accordo sull'approdo sicuro è stato ripetutamente criticato. Le voci negative hanno negato all'accordo una sufficiente funzione protettiva. Non ci si poteva affidare alla "parola" delle aziende americane, per questo motivo sarebbe stato necessario fornire delle prove. Dopo qualche anno è stato creato il Patriot Act degli Stati Uniti: A causa della nuova situazione giuridica, le autorità di sicurezza americane hanno potuto accedere a tutti i dati senza dover informare il proprietario dei dati. In seguito alle rivelazioni dell'informatore Edward Snowden, nel 2013 è stata richiesta una revisione del sistema. Nel 2013, la Commissaria UE per la Giustizia, Viviane Reding, ha annunciato una riforma della protezione dei dati in Europa. Tutte le aziende dovrebbero essere punite con una multa fino al due per cento del loro fatturato annuo, se hanno effettuato un trasferimento di dati illegale.
La sentenza della Corte di giustizia europea del settembre 2015
Nel settembre 2015, l'avvocato generale della Corte di giustizia delle Comunità europee - Yves Bot - ha dichiarato che l'accordo sull'approdo sicuro non è più valido e vincolante. La High Court of Ireland aveva chiesto alla Corte di giustizia europea se e in quale misura fosse applicato il regime dell'approdo sicuro. Il caso in questione riguardava il trasferimento di dati da Facebook agli Stati Uniti. Nella motivazione della sentenza, l'avvocato generale ha affermato che l'Unione Europea non è autorizzata a interferire e a limitare i poteri degli Stati membri. Non appena il rispetto dei diritti fondamentali garantiti dalla Carta dell'UE viene messo in pericolo in uno Stato membro, dovrebbe essere possibile agire di conseguenza. Tra i diritti fondamentali vi è la protezione dei dati personali. Negli Stati Uniti, i cittadini dell'UE sono esposti a raccoglitori di dati senza protezione, in quanto gli Stati Uniti consentono di raccogliere dati di cittadini dell'UE in misura considerevole. Allo stesso tempo, non esistono mezzi efficaci per ricorrere a un ricorso giudiziario. I servizi segreti statunitensi svolgono un'intensa attività di sorveglianza, che non è proporzionata e consente un'interferenza mirata con la protezione dei dati. La Corte di giustizia delle Comunità europee ha seguito le osservazioni dell'Avvocato generale e ha quindi sancito la fine dell'accordo. Nel tenore della sentenza si faceva riferimento ai servizi segreti americani. Le aziende americane sono soggette a loro quando fanno richieste di informazioni e sono quindi costrette ad annullare tutte le norme di protezione. Non esiste quindi una protezione efficace dei dati personali. Da un lato, il diritto fondamentale al rispetto della vita privata è stato violato da questa azione, ma dall'altro è stato violato anche il diritto all'esistenza di un'effettiva tutela giuridica in tribunale.
L'approccio delle autorità tedesche per la protezione dei dati
Dopo la pubblicazione della sentenza della Corte di giustizia europea, le autorità tedesche per la protezione dei dati hanno agito rapidamente. In un documento di posizione redatto dai responsabili della protezione dei dati dei Länder e del governo federale è stato chiarito che i trasferimenti di dati sono esclusi se il loro trasferimento si basa esclusivamente sull'accordo Safe Harbor. I nuovi permessi basati sull'accordo non saranno più rilasciati. Inoltre, i regolamenti aziendali e gli accordi di esportazione dei dati non saranno più riconosciuti. Nel Regno Unito si ritiene che il trasferimento dei dati sia ancora possibile se è stato dato il consenso o se sono in vigore clausole contrattuali standard dell'UE. Il consenso non è sufficiente, secondo gli incaricati tedeschi della protezione dei dati, in quanto non è più possibile consentire trasferimenti di dati in massa e ripetuti su tale scala.
Nuovi regolamenti e raccomandazioni
A livello federale, la decisione della Corte di giustizia europea è stata accolta con favore dall'Incaricato federale della protezione dei dati competente. Nel prossimo futuro si esaminerà se e in che misura la sentenza ha un effetto in Germania sulle norme aziendali vincolanti e sulle clausole contrattuali standard dell'UE. Il 26.10.2015 il documento di posizione è stato pubblicato dal governo federale e dai Länder. Le autorità di vigilanza hanno annunciato che saranno adottate misure contro qualsiasi trasferimento di dati basato sull'approdo sicuro. Dopo il verdetto, è stato del tutto chiaro che la certificazione ai sensi del precedente accordo è assolutamente inammissibile. Le aziende che trasferiscono dati personali negli USA rischiano di incorrere in dolorose multe, per questo motivo i testi dei siti web, il materiale pubblicitario e le dichiarazioni sulla protezione dei dati devono essere adattati il più rapidamente possibile. Inoltre, i trasferimenti di dati attuali devono essere controllati. L'applicabilità delle Regole aziendali vincolanti e delle clausole contrattuali standard dell'UE dovrebbe essere spiegata. Chi non può fare a meno del trasferimento dei dati negli Stati Uniti dovrebbe ricorrere alle clausole contrattuali standard dell'UE, con le quali il rischio di una multa può essere notevolmente ridotto al minimo, almeno nella maggior parte dei casi. È assolutamente necessario che i metodi di cifratura siano controllati e applicati. Se è possibile ottenere il consenso, si dovrebbe cercare di contattare il DSK e si dovrebbe chiedere se tale legittimazione è ammissibile per il trasferimento dei dati. Se è possibile ottenere il consenso, deve essere chiaro che è in corso un trasferimento di dati verso gli Stati Uniti. Inoltre, devono essere elencate le possibili conseguenze. Tale consenso può difficilmente essere attuato in caso di trasferimenti di dati permanenti e di massa, ad es. dati dei clienti. Per ottenere la migliore protezione giuridica possibile, le questioni giuridiche dovrebbero essere esaminate caso per caso. Le misure tecniche e organizzative possono ridurre notevolmente il rischio di violazioni legali.