As autoridades de proteção de dados dos Estados-Membros da UE, reunidas no Grupo de Trabalho do Artigo 29, do qual a Agência Espanhola de Proteção de Dados é membro, acabam de publicar uma declaração conjunta sobre os princípios.eres Consequências que podem ser extraídas a nível europeu e nacional após a histórica decisão do Tribunal de Justiça da União Europeia (TJUE) de 6 de outubro de 2015 no caso Maximilian Schrems contra o Comissário para a Proteção de Dados (C-362-14).
Na sua carta, as autoridades de proteção de dados da UE consideram absolutamente essencial ter uma posição forte, coletiva e comum sobre a aplicação da decisão. Por outro lado, o Grupo de Trabalho acompanhará de perto o andamento dos processos pendentes no Supremo Tribunal da Irlanda.
Em primeiro lugar, o Grupo de Trabalho enfatiza que a questão da vigilância em massa e indiscriminada é um elemento-chave da análise do Tribunal. O Grupo recorda ter afirmado repetidamente que tal vigilância é incompatível com o quadro jurídico da UE e que os instrumentos de transferência existentes não são a solução para este problema. Além disso, como já foi referido, as transferências para países terceiros em que os poderes das autoridades estatais para aceder à informação excedem o necessário numa sociedade democrática não serão consideradas como destinos seguros para as transferências.
Nesse sentido, a decisão do tribunal exige que qualquer decisão de adaptação envolva uma análise abrangente das leis nacionais do país destinatário dos dados, bem como seus compromissos.
Por conseguinte, o Grupo de Trabalho apela urgentemente aos Estados-Membros e às instituições europeias para que encetem conversações com as autoridades dos EUA com vista a encontrar soluções políticas, jurídicas e técnicas que permitam a transferência de dados para o território dos EUA, respeitando os direitos fundamentais.
Essas soluções poderiam ser encontradas por meio da negociação de um acordo intergovernamental que ofereça mais garantias à internacionalização.eresna UE. As negociações em curso sobre um novo Porto Seguro podem fazer parte da solução. Em qualquer caso, essas soluções devem sempre ser acompanhadas por mecanismos claros e vinculativos e incluir, pelo menos, obrigações relativas à supervisão necessária do acesso por parte das autoridades públicas, sobre transparènciaproporcionalidade, mecanismos de reparação e direitos previstos na legislação de proteção de dados.
Entretanto, o Grupo de Trabalho continuará a sua análise do impacto do acórdão do TJCE sobre outros instrumentos de transferência. Durante este período, as autoridades de proteção de dados consideram que as Cláusulas Contratuais do Tipo e as Regras Corporativas Vinculativas (BCRs) podem continuar a ser utilizadas. De qualquer forma, isso não impedirá que as autoridades de proteção de dados investiguem casos específicos, por exemplo, com base em reclamações, e exerçam seus poderes para proteger os indivíduos.
Se no final de janeiro de 2016 não for encontrada uma solução adequada com as autoridades dos EUA, e com base na avaliação dos instrumentos de transferência pelo Grupo de Trabalho, as autoridades de proteção de dados da UE comprometem-se a tomar todas as medidas necessárias e adequadas, que podem incluir medidas coordenadas ações de execução.
No que diz respeito às consequências práticas do acórdão do TJCE, o Grupo de Trabalho considera que é claro que as transferências da União Europeia para os EUA já não podem ser enquadradas na Decisão de Ajustamento 2000/520/CE da Comissão Europeia (o chamada Decisão Porto Seguro). De qualquer forma, as transferências que ainda estão ocorrendo sob a Decisão Safe Harbor após a decisão do TJE são ilegais.
A fim de garantir que todos os intervenientes estão suficientemente informados, as autoridades de proteção de dados da UE lançarão campanhas de informação adequadas nos respetivos países. Isso pode incluir informações diretas a todas as empresas conhecidas por terem usado a Decisão Safe Harbor, bem como mensagens gerais nos sites das autoridades.
Em conclusão, o Grupo de Trabalho salienta as responsabilidades partilhadas entre as autoridades de proteção de dados, instituições da UE, Estados-Membros e empresas para encontrar soluções sustentáveis para fazer cumprir a decisão do Tribunal. Em particular, e no âmbito da decisão, as empresas devem refletir sobre os possíveis riscos que assumem na transferência de dados e considerar a implementação adequada de todas as soluções legais e técnicas para mitigar esses riscos e respeitar o patrimônio comunitário de proteção de dados.
