Quadro de Privacidade dos Dados UE-EUA: à terceira é de vez?

PUBLICAÇÕES SÉRVULO 20 Jul 2023

No dia 10 de julho a Comissão Europeia adotou uma decisão de adequação relativa ao Quadro de Privacidade dos Dados UE-EUA («Quadro de Privacidade»). Apesar das preocupações manifestadas pelo Comité Europeu para a Proteção de Dados[1] e pelo Parlamento Europeu[2] sobre a proposta de decisão, o texto final foi adotado com votos favoráveis de 24 Estados-Membros e 3 abstenções.

De acordo com o Regulamento Geral sobre a Proteção de Dados («RGPD»), a decisão de adequação é um instrumento que permite a transferência de dados pessoais desde a União Europeia (UE) para países terceiros, sendo adotada pela Comissão quando esta considere que o país para o qual os dados serão transferidos assegura um nível de proteção dos dados pessoais que seja essencialmente equivalente ao nível de proteção garantido na UE.[3]

Para garantir a licitude das transferências de dados pessoais com origem na União Europeia que tenham por destino os Estados Unidos da América («EUA»), as entidades importadoras aqui situadas que queiram beneficiar da nova decisão deverão aderir ao Quadro de Privacidade e cumprir as obrigações nele estabelecidas.

A decisão recém-adotada é a terceira decisão de adequação relativa a transferências de dados pessoais da UE para os EUA. As duas decisões que a precederam, a saber, a Decisão «Porto Seguro» (Decisão 2000/520/CE, de 26 de julho de 2000) e a Decisão «Escudo de Privacidade» (Decisão de Execução (UE) 2016/1250, de 12 de julho de 2016), ambas adotadas ao abrigo da Diretiva 95/46/CE[4], foram declaradas inválidas pelo Tribunal de Justiça da União Europeia («TJUE») nos acórdãos que ficaram conhecidos como Schrems I (2015) e Schrems II (2020) [5].

Desde a anulação da decisão referente ao «Escudo de Privacidade», em 2020, o instrumento mais acessível para legitimar a transferência de dados da UE para os EUA passou a ser as «cláusulas contratuais-tipo», aprovadas pela Comissão Europeia, que visam assegurar garantias adequadas em matéria de proteção de dados para transferências internacionais. [6]

Os compromissos assumidos pelos EUA e as obrigações impostas pela UE

A nova decisão surge nove meses após a assinatura, pelo presidente norte-americano Joe Biden, da Ordem Executiva 14086 («OE 14086»), que prevê novas salvaguardas em matéria de privacidade e proteção de dados a serem adotadas pelos EUA a fim de dar resposta às preocupações manifestadas pelo TJUE no acórdão Schrems II.

Entre os compromissos assumidos na OE 14086 e integrados no Quadro de Privacidade, destaca-se o estabelecimento de garantias que limitam o acesso aos dados pessoais pelos serviços de inteligência norte-americanos ao que for necessário e proporcional para assegurar a segurança nacional e a criação do Tribunal de Revisão da Proteção de Dados («DPRC»), entidade independente e imparcial com competência para investigar e resolver queixas de cidadãos da União Europeia relativas à recolha e utilização de dados pessoais por parte de serviços de informação norte-americanos e adotar medidas corretivas de natureza vinculativa.

Para além disso, a decisão introduz um conjunto de obrigações a serem cumpridas pelas empresas e organizações norte-americanas importadoras de dados pessoais de cidadãos da União Europeia, entre as quais a obrigação de apagar os dados quando estes deixarem de ser necessários para a finalidade que motivou a sua recolha e a de assegurar a continuidade da proteção quando os dados sejam partilhados com terceiros.

O Quadro de Privacidade será objeto de revisões periódicas pela Comissão Europeia, em conjunto com autoridades europeias de proteção de dados e autoridades norte-americanas. A primeira revisão terá lugar um ano após a entrada em vigor da decisão.

Schrems III?

Para Max Schrems, ativista austríaco da privacidade cujas queixas contra o Facebook estiveram na génese dos dois acórdãos Schrems, a nova decisão de adequação não introduz mudanças substanciais na Lei de Vigilância de Inteligência Estrangeira dos Estados Unidos («FISA»), sendo uma cópia das decisões «Porto Seguro» e «Escudo de Privacidade». Segundo Schrems, sem uma revisão daquela lei a nova decisão adequação não assegurará aos cidadãos europeus um nível de proteção adequado dos seus dados pessoais.

A organização não governamental «NOYB – European Centre for Digital Rights», fundada por Schrems em 2017, já anunciou na sua página na internet que pretende levar a nova decisão ao TJUE até ao início do próximo ano. [7] 

Maria Luísa Esgaib Borges | mlb@servulo.com