O acordo Safe Harbor foi concebido para permitir que as empresas americanas coletassem informações pessoais sobre si mesmas. Dados dos cidadãos da UE. O acordo deve manter o nível tradicional de proteção de dados para os cidadãos da UE, que não é garantido na mesma medida nos EUA. Desde setembro de 2015, o acordo tem sido considerado inválido pela União Européia, pondo fim a mais de 15 anos de prática no campo da lei de proteção de dados.
Porto Seguro: Um porto seguro?
Em setembro de 2015, o Acordo Safe Harbor sofreu um grave retrocesso. O Advogado Geral do Tribunal de Justiça Europeu - Yves Bot - chegou à conclusão em sua opinião de que a decisão do Safe Harbor não é válida nem obrigatória. O Acordo Safe Harbor data do ano 2000 e faz parte da área da lei de proteção de dados. A decisão da Comissão Européia deve permitir que as empresas transfiram dados pessoais para os EUA, desde que elas cumpram as diretrizes européias de proteção de dados. Não há "acordo" no sentido real - no entanto, este tipo de procedimento foi acordado com os EUA, de modo que se pode falar de um tipo de "acordo". Em 06.10.2015, o Acordo de Porto Seguro foi declarado inválido pelo Tribunal de Justiça Europeu (TJE).
A história do Acordo Safe Harbor
Dentro da União Européia, a Diretiva de Proteção de Dados 95/46/CE proíbe a transferência de dados pessoais dos estados membros para outros estados que não possuem leis de proteção de dados com função de proteção semelhante. Os Estados Unidos não têm praticamente nenhuma regulamentação legal na área de proteção de dados que esteja em pé de igualdade com as normas da União Européia. As rígidas regulamentações da UE levaram a problemas práticos, razão pela qual os EUA e a UE concluíram um acordo em 2000. A adesão à diretiva de proteção de dados levaria a uma paralisação no tráfego de dados, razão pela qual foi promulgada a regulamentação do Safe Harbor. As empresas dos EUA poderiam se registrar em uma lista do Departamento de Comércio dos EUA e, assim, aderir ao Safe Harbor. Ao aderir, as empresas americanas concordaram em respeitar os princípios e regulamentos do acordo. As regulamentações legais foram praticamente complementadas por regulamentações privadas em nível internacional. A Comissão Européia considerou provado que as empresas dentro do sistema recém-criado oferecem proteção suficiente para os cidadãos da UE e seus dados pessoais. Quando foi revogado, em setembro de 2015, numerosas empresas haviam aderido ao acordo. Entre eles estavam General Motors, Amazônia, MicrosoftIBM, Google, FacebookDropbox e Hewlett-Packard.
Críticas populares sobre o Acordo de Porto Seguro
O Acordo Safe Harbor tem sido criticado repetidamente. As vozes negativas negaram ao acordo uma função protetora suficiente. Não se podia confiar na "palavra" das empresas americanas, razão pela qual seria necessário fornecer provas. Após alguns anos, foi criada a Lei Patriota dos EUA: Devido à nova situação legal, as autoridades de segurança americanas poderiam acessar todos os dados sem ter que notificar o proprietário dos dados. Após as revelações do denunciante Edward Snowden, foi exigida uma revisão do sistema em 2013. Em 2013, a Comissária de Justiça da UE Viviane Reding anunciou uma reforma da proteção de dados na Europa. Todas as empresas devem ser punidas com uma multa de até 2% de seu faturamento anual, caso tenham realizado uma transferência ilegal de dados.
O acórdão do Tribunal de Justiça Europeu em setembro de 2015
Em setembro de 2015, o Advogado Geral do Tribunal de Justiça Europeu - Yves Bot - declarou que o acordo Safe Harbor não era mais válido e vinculativo. O Tribunal Superior da Irlanda havia perguntado ao Tribunal Europeu de Justiça se e em que medida o regulamento Safe Harbor se aplica. O caso em questão dizia respeito à transferência de dados pelo Facebook para os EUA. Nas razões do julgamento, o Advogado Geral declarou que a União Européia não estava autorizada a intervir e restringir os poderes dos Estados membros. Assim que o cumprimento dos direitos fundamentais concedidos pela Carta da UE estiver em perigo em um Estado membro, deve ser possível agir em conformidade. Entre os direitos fundamentais está a proteção de dados pessoais. Nos EUA, os cidadãos da UE estão indefesos aos coletores de dados, já que os EUA permitem a coleta de dados de cidadãos da UE em grande parte. Ao mesmo tempo, não há meios eficazes para buscar reparação judicial. Os serviços de inteligência dos EUA estão engajados em uma vigilância intensiva, que não é proporcional e permite uma interferência direcionada na proteção de dados. O Tribunal de Justiça Europeu seguiu as declarações do Advogado Geral e assim selou o fim do acordo. Na parte operativa do julgamento, foi feita referência aos serviços secretos americanos. As empresas americanas estão sujeitas a estas investigações e são forçadas a minar todas as regulamentações de proteção. Portanto, não existe uma proteção eficaz dos dados pessoais. Por um lado, o direito fundamental ao respeito pela vida privada é violado por este procedimento, mas, por outro lado, o direito à existência de uma proteção jurídica efetiva nos tribunais também é violado.
A abordagem das autoridades alemãs de proteção de dados
Após a publicação da decisão do Tribunal de Justiça Europeu, as autoridades alemãs de proteção de dados agiram rapidamente. Em um documento de posição redigido por oficiais de proteção de dados dos Länder e do governo federal, ficou claro que as transferências de dados são excluídas se sua transferência se basear exclusivamente no Acordo de Porto Seguro. Novas licenças baseadas no acordo não serão mais emitidas. Além disso, os regulamentos da empresa e os acordos de exportação de dados não serão mais reconhecidos. No Reino Unido, considera-se que a transferência de dados ainda é possível se o consentimento tiver sido dado ou se cláusulas contratuais padrão da UE estiverem em vigor. O consentimento não é suficiente na opinião dos comissários alemães de proteção de dados, pois transferências em massa e repetidas de dados não poderiam mais ser permitidas em tal escala.
Novos regulamentos e recomendações
Em nível federal, a decisão do Tribunal de Justiça Europeu foi bem recebida pelo Comissário Federal de Proteção de Dados responsável. Num futuro próximo, será examinado se e em que medida a decisão tem um efeito na Alemanha sobre regras corporativas vinculativas e cláusulas contratuais padrão da UE. Em 26.10.2015, o documento de posicionamento foi publicado pelo Governo Federal e pelos Länder. As autoridades de supervisão anunciaram que seriam tomadas medidas contra qualquer transferência de dados com base no porto seguro. Desde o veredicto, ficou completamente claro que a certificação nos termos do acordo anterior é absolutamente inadmissível. As empresas que transferem dados pessoais para os EUA correm o risco de multas dolorosas, e é por isso que os textos de websites, materiais publicitários e declarações de proteção de dados devem ser adaptados o mais rápido possível. Além disso, as transferências de dados atuais devem ser verificadas. A aplicabilidade das Regras Corporativas Vinculativas e das cláusulas contratuais padrão da UE deve ser explicada. Qualquer pessoa que não possa prescindir da transferência de dados para os EUA deve fazer uso das cláusulas contratuais padrão da UE, com as quais o risco de multa pode ser consideravelmente minimizado, pelo menos na maioria dos casos. É absolutamente necessário que os métodos de criptografia sejam verificados e aplicados. Se for possível obter o consentimento, deve-se procurar contato com o DSK e perguntar se tal legitimação é admissível para transferências de dados. Se o consentimento puder ser obtido, deve ficar claro que está ocorrendo uma transferência de dados para os EUA. Além disso, as possíveis conseqüências devem ser listadas. Tal consentimento dificilmente pode ser implementado no caso de transferências de dados permanentes e em massa, por exemplo, de dados de clientes. A fim de obter a melhor proteção legal possível, as questões legais devem ser examinadas caso a caso. As medidas técnicas e organizacionais podem reduzir consideravelmente o risco de violações legais.