O fim do Privacy Shield: milhares de empresas vão ter de repensar a abordagem em temas de dados pessoais nas relações Europa-EUA

PUBLICAÇÕES SÉRVULO 17 Jul 2020

Esta quinta-feira, o Tribunal de Justiça da União Europeia (“TJUE”) considerou inválida a Decisão 2016/1250 relativa à proteção fornecida pelo acordo EU-EUA para transferência de dados pessoais numa decisão proferida no processo movido pelo Austríaco Maximiliam Schrems na qualidade de utilizador do Facebook.

As transferências de dados pessoais entre a Europa e os Estados Unidos têm trilhado um caminho difícil ao longo dos anos. Enquanto a legislação europeia em matéria de proteção de dados está uniformizada nos princípios basilares da proteção de dados desde 1995, com a  Diretiva 46/95/EC e centrada na proteção do direito do cidadão europeu à privacidade como um direito fundamental, a legislação norte-americana é, por seu turno, dispersa nesta matéria, com divergências profundas entre estados federais e uma tendência vincada para o protecionismo do sector das tecnologias.

Desta diferença de perspetivas tem resultado, ao longo dos anos, uma recusa da União Europeia e aceitar os Estados Unidos  como um país com um  nível de proteção adequado em sede de dados pessoais.

A tudo isto veio acrescer o valor atribuído às bases de dados pessoais, consideradas hoje mais importantes que reservas de metais preciosos e um dos principais assets de vários grupos económicos.

Nesta esteira e procurando encontrar uma ponte que tornasse a transmissão de dados entre os dois continentes relativamente eficiente por um lado e balizada pelos princípios legais europeus e proteção do direito fundamental à privacidade, por outro, os Estados Unidos e a União Europeia assinaram inicialmente o Acordo Safe Harbor para a proteção de dados, permitindo no fundo um mecanismo em que as empresas norte americanas que considerassem útil poderiam auto vincular-se aos princípios de proteção de dados europeus, obrigando-se a cumprir esses mesmos princípios e assim poderem receber dados pessoais provenientes de cidadãos dos Estados-Membros.

A decisão Safe Harbor acabou por ser invalidada em 2015 pelo TJUE após uma queixa apresentada por um cidadão irlandês e com base no facto de as autoridades de investigação federal norte-americanas poderem aceder aos dados sendo as empresas obrigadas ao cumprimento da legislação federal.

Europa e Estados Unidos ficaram então dependentes de (i) autorização dos titulares dos dados ou (ii) assinatura pelas empresas intervenientes  nos processo de transferência de dados, quer como  responsáveis  pelo tratamento de dados pessoais, quer como processadores desses mesmos dados por conta dos responsáveis pelo tratamento  de um conjunto de acordos modelo aprovados pela Comissão Europeia e que permitem o cumprimento da legislação europeia sobre dados pessoais.

A dificuldade de execução prática e velocidade do comércio e trocas mundiais, levou a que se procurasse um novo acordo, nascendo então o Privacy Shield.

Desde o início da sua implementação foram várias as vozes que indicaram que a situação de base permanecia igual e que as empresas norte americanas sempre estariam sujeitas ao cumprimento da legislação federal anti-terrorismo cuja amplitude é muito vasta face ao que é permitido na legislação europeia.

O TJUE considerou agora que o Privacy Shield não garante um nível de proteção adequado o que invalida todas as transferências de dados realizadas ao abrigo daquele acordo.

No limbo ficam cerca de 5300 empresas norte americanas que contavam com o Privacy Shield para legitimar as transferências de dados realizadas com a União Europeia e terão agora que rever integralmente as suas políticas de atuação ao nível de dados pessoais, procurando assinar acordos com base nas referidas cláusulas contratuais gerais.

Do lado europeu a preocupação deve centrar-se nos grupos económicos que externalizam a maior parte dos seus serviços de tecnologias de informação e alojamento de dados e que podem estar agora a braços com contratos inválidos com inúmeros desses prestadores de serviços, devendo desde já, proceder  a uma avaliação da situação. De recordar que as coimas ao abrigo do GDPR são muito pesadas e que a situação é hoje bem mais difícil do que a criada com o fim do Safe Harbor no quadro da então vigente Directiva 95/46/CE.

Ana Rita Paínho | arp@servulo.com