refúgio seguro

O acordo Safe Harbor foi concebido para permitir às empresas americanas recolherem informações pessoais sobre si próprias. Dados dos cidadãos da UE. O acordo deve manter o nível tradicional de protecção de dados para os cidadãos da UE, que não é garantido na mesma medida nos EUA. Desde Setembro de 2015, o acordo é considerado inválido pela União Europeia, pondo termo a mais de 15 anos de prática no domínio da lei de protecção de dados.

Porto Seguro: Um porto seguro?

Em setembro de 2015, o Acordo de Porto Seguro sofreu um grave revés. O Advogado Geral do Tribunal de Justiça Europeu - Yves Bot - chegou à conclusão, em sua opinião, que a decisão do Safe Harbor não é válida nem vinculativa. O Acordo Safe Harbor data do ano 2000 e faz parte da área da lei de protecção de dados. A decisão da Comissão Europeia deve permitir às empresas a transferência de dados pessoais para os EUA, desde que cumpram as directivas europeias de protecção de dados. Não existe "acordo" no verdadeiro sentido - no entanto, este tipo de procedimento foi acordado com os EUA, para que se possa falar de uma espécie de "acordo". Em 06.10.2015, o Acordo de Porto Seguro foi declarado inválido pelo Tribunal de Justiça das Comunidades Europeias (TJE).

A história do Acordo Safe Harbor

Dentro da União Europeia, a Directiva 95/46/CE relativa à protecção de dados proíbe a transferência de dados pessoais dos estados membros para outros estados que não tenham leis de protecção de dados com uma função de protecção semelhante. Os Estados Unidos não têm praticamente nenhuma regulamentação legal na área de proteção de dados que esteja em igualdade com as normas da União Européia. Os regulamentos rigorosos da UE levaram a problemas práticos, razão pela qual os EUA e a UE concluíram um acordo em 2000. A adesão à diretiva de proteção de dados levaria a uma paralisação no tráfego de dados, razão pela qual o regulamento Safe Harbor foi promulgado. Empresas dos EUA poderiam se registrar em uma lista do Departamento de Comércio dos EUA e, assim, aderir ao Safe Harbor. Ao aderir, as empresas americanas concordaram em respeitar os princípios e regulamentos do acordo. Os regulamentos legais foram praticamente complementados por regulamentos privados a nível internacional. A Comissão Europeia considerou provado que as empresas dentro do sistema recentemente criado oferecem protecção suficiente aos cidadãos da UE e aos seus dados pessoais. Quando foi revogado em Setembro de 2015, numerosas empresas tinham aderido ao acordo. Entre eles estavam a General Motors, da Amazon, MicrosoftIBM, Google, Facebook...Dropbox e Hewlett-Packard.

Críticas populares ao Acordo de Porto Seguro

O Acordo Safe Harbor tem sido criticado repetidamente. As vozes negativas negaram ao acordo uma função protectora suficiente. Não se podia confiar na "palavra" das empresas americanas, razão pela qual teria de ser fornecida prova. Após alguns anos, o Patriot Act dos EUA foi criado: Devido à nova situação legal, as autoridades de segurança americanas poderiam acessar todos os dados sem ter que notificar o proprietário dos dados. Após as revelações do denunciante Edward Snowden, foi exigida uma revisão do sistema em 2013. Em 2013, a Comissária Europeia da Justiça, Viviane Reding, anunciou uma reforma da protecção de dados na Europa. Todas as empresas devem ser punidas com uma multa de até 2% do seu faturamento anual, caso tenham realizado uma transferência ilegal de dados.

O acórdão do Tribunal de Justiça Europeu em Setembro de 2015

Em setembro de 2015, o Advogado Geral do Tribunal de Justiça Europeu - Yves Bot - declarou que o acordo Safe Harbor não era mais válido e vinculativo. O Tribunal Superior da Irlanda tinha perguntado ao Tribunal Europeu de Justiça se e em que medida se aplica o regulamento Safe Harbor. O caso em questão dizia respeito à transferência de dados pelo Facebook para os EUA. Nas razões do acórdão, o advogado-geral declarou que a União Europeia não estava autorizada a intervir e a restringir os poderes dos Estados membros. Assim que o cumprimento dos direitos fundamentais concedidos pela Carta da UE esteja em perigo num Estado membro, deve ser possível agir em conformidade. Entre os direitos fundamentais está a protecção de dados pessoais. Nos EUA, os cidadãos da UE estão indefesos aos coletores de dados, uma vez que os EUA permitem a coleta de dados de cidadãos da UE em grande medida. Ao mesmo tempo, não existem meios eficazes para procurar reparação judicial. Os serviços de inteligência dos EUA estão envolvidos em uma vigilância intensiva, que não é proporcional e permite uma interferência direcionada na proteção de dados. O Tribunal de Justiça Europeu seguiu as declarações do Advogado Geral e assim selou o fim do acordo. Na parte operativa do julgamento, foi feita referência aos serviços secretos americanos. As empresas americanas estão sujeitas a estas investigações e são forçadas a minar todos os regulamentos de protecção. Portanto, não existe uma protecção eficaz dos dados pessoais. Por um lado, o direito fundamental ao respeito pela vida privada é violado por este procedimento, mas, por outro, também é violado o direito à existência de uma protecção jurídica efectiva em tribunal.

A abordagem das autoridades alemãs de protecção de dados

Após a publicação do acórdão do Tribunal de Justiça Europeu, as autoridades alemãs de protecção de dados agiram rapidamente. Em um documento de posição redigido pelos responsáveis pela proteção de dados dos Länder e do governo federal, ficou claro que as transferências de dados são excluídas se sua transferência se basear exclusivamente no Acordo de Porto Seguro. Não serão mais emitidas novas autorizações com base no acordo. Além disso, os regulamentos da empresa e os acordos de exportação de dados não serão mais reconhecidos. No Reino Unido, considera-se que a transferência de dados ainda é possível se o consentimento tiver sido dado ou se existirem cláusulas contratuais padrão da UE. O consentimento não é suficiente na opinião dos comissários alemães de protecção de dados, uma vez que as transferências em massa e repetidas de dados já não poderiam ser permitidas em tal escala.

Novos regulamentos e recomendações

A nível federal, a decisão do Tribunal de Justiça Europeu foi bem recebida pelo Comissário Federal responsável pela Protecção de Dados. Num futuro próximo, será examinado se e em que medida a decisão tem um efeito na Alemanha sobre as regras empresariais vinculativas e as cláusulas contratuais-tipo da UE. Em 26.10.2015, o documento de posição foi publicado pelo Governo Federal e pelos Länder. As autoridades de supervisão anunciaram que seriam tomadas medidas contra qualquer transferência de dados com base no "porto seguro". Desde o veredicto, ficou completamente claro que a certificação ao abrigo do acordo anterior é absolutamente inadmissível. As empresas que transferem dados pessoais para os EUA correm o risco de sofrer multas dolorosas, e é por isso que os textos de websites, materiais publicitários e declarações de protecção de dados devem ser adaptados o mais rapidamente possível. Além disso, as transferências de dados correntes devem ser verificadas. A aplicabilidade das Regras Corporativas Vinculativas e das cláusulas contratuais padrão da UE deve ser explicada. Quem não puder prescindir da transferência de dados para os EUA deve fazer uso das cláusulas contratuais padrão da UE, com as quais o risco de multa pode ser consideravelmente minimizado, pelo menos na maioria dos casos. É absolutamente necessário que os métodos de encriptação sejam verificados e aplicados. Se for possível obter o consentimento, deve-se procurar contato com o DSK e perguntar se tal legitimação é admissível para transferências de dados. Se for possível obter o consentimento, deve ficar claro que está a ser efectuada uma transferência de dados para os EUA. Além disso, devem ser listadas as possíveis consequências. Tal consentimento dificilmente pode ser implementado no caso de transferências de dados permanentes e em massa, por exemplo, dados de clientes. A fim de alcançar a melhor protecção jurídica possível, as questões jurídicas devem ser examinadas caso a caso. As medidas técnicas e organizacionais podem reduzir consideravelmente o risco de violações legais.