O Quadro de Privacidade de Dados deverá criar um novo conjunto de regras para fluxos de dados transatlânticos legalmente seguros. Mas tal como os seus antecessores, Safe Harbor e Privacy Shield, é provável que o novo acordo vá parar ao Tribunal de Justiça Europeu.
Por Martin Bayer
O governo dos EUA e a UE estão a fazer uma nova tentativa de colocar a transferência de dados sensíveis da Europa para os EUA numa base de segurança jurídica. A 7 de outubro, o presidente dos EUA, Joe Biden, assinou um decreto presidencial que pretende dissipar as preocupações dos protetores de dados europeus. Os pontos-chave são: As regras mais estritas deverão entrar em vigor para as agências de inteligência dos EUA relativamente ao seu acesso aos dados da Europa. Além disso, deve ser dada aos cidadãos da UE a oportunidade de tomar medidas legais contra possíveis violações da proteção de dados nos EUA. Se os vários organismos da UE ratificarem as propostas, um novo conjunto de regras para o tráfego transatlântico de dados poderá surgir no final.
No entanto, há ainda um longo caminho a percorrer até lá. Os acordos anteriores não cumpriam as rigorosas leis europeias de proteção de dados pessoais e foram anulados pelo Tribunal de Justiça Europeu (TJE). Em 2016, os juízes anularam o Safe Harbor, e em julho de 2020 também anularam o acordo sucessor, Privacy Shield – em ambos os casos, o ativista austríaco de proteção de dados, Max Schrems, tinha apresentado queixa.
Os serviços de inteligência dos Estados Unidos pesquisam dados da Europa
Os dados pessoais dos cidadãos europeus não estariam suficientemente protegidos se fossem transferidos para os EUA, justificou o TJE sobre a sua decisão. Foi criticado que seria dada prioridade aos interesses dos EUA no que diz respeito à sua segurança nacional. Isto violaria os direitos fundamentais dos utilizadores europeus cujos dados são transferidos para os EUA. Os juízes salientaram sobretudo que a proporcionalidade do acesso aos dados não estava garantida. O GDPR estipula que a utilização de dados deve ser limitada ao que é absolutamente necessário. Não foi este o caso nos EUA – especialmente no que diz respeito às atividades dos serviços de inteligência.
Os juízes também criticaram o facto de não haver restrições aos programas de vigilância em larga escala dos serviços de informação dos EUA. Além disso, não existe a possibilidade de cidadãos não americanos que estejam abrangidos por estes programas fazerem valer os seus direitos contra as autoridades dos EUA em tribunal. O estabelecimento de um provedor de justiça previsto no Privacy Shield seria ineficaz.
O que é que os EUA querem dizer com “objetivos de segurança nacional definidos”?
Agora, o “Quadro de Privacidade de Dados UE-EUA” deverá substituir o “Privacy Shield”. Entre outras coisas, estipula que os serviços de inteligência dos EUA só serão autorizados a aceder aos dados dos cidadãos europeus se perseguirem “objetivos de segurança nacional definidos”. As agências de informação seriam obrigadas a respeitar a privacidade e as liberdades civis de todos os indivíduos, independentemente da sua nacionalidade ou país de residência, e a tomar medidas apenas quando absolutamente necessário. O âmbito e a forma destas atividades devem ser proporcionais às prioridades de segurança dos EUA.
Além disso, de acordo com o governo dos EUA, deverá ser criado um mecanismo a vários níveis para permitir aos cidadãos da UE reclamar os seus direitos se acreditarem que os seus dados estão a ser mal utilizados. Para o efeito, um Oficial de Proteção das Liberdades Civis (CLPO) do Gabinete do Diretor dos Serviços Nacionais de Informações investigaria primeiro as queixas recebidas e verificaria se os direitos tinham sido violados. Se fosse este o caso, teriam de ser determinadas medidas corretivas adequadas. As decisões do CLPO são vinculativas para os serviços de inteligência, de acordo com o decreto de Biden.
Um tribunal de controlo da proteção de dados para julgar
Além disso, deverá ser criado um Tribunal de Revisão da Proteção de Dados (DPRC) no Departamento de Justiça dos EUA. Os cidadãos da UE afetados, bem como os serviços de informação, poderiam recorrer a este organismo para reverem independentemente as decisões do CLPO. Os juízes do DPRC devem ser nomeados de fora do governo dos EUA e devem ter experiência relevante no domínio da proteção de dados e da segurança nacional. De acordo com o decreto, eles só podem ser removidos se já não estiverem à altura da sua tarefa.
Os políticos da UE esperam que a Ordem Executiva de Biden tenha lançado as bases para um novo quadro jurídico para a transferência de dados sensíveis da Europa para os EUA. Os detalhes foram aparentemente disputados durante meses. Já no final de março, o presidente dos EUA e a presidente da Comissão Europeia, Ursula von der Leyen, tinham declarado que tinham “chegado a um acordo de princípio sobre um novo quadro para o tráfego transatlântico de dados”. O facto de ter demorado agora meio ano mais até que o presidente dos EUA pudesse apresentar algo concreto indica longas discussões. Diz-se que os funcionários da UE estiveram envolvidos na elaboração do Quadro de Privacidade de Dados.
O acordo ainda tem de passar pelos organismos da UE
O decreto de Biden, no entanto, é apenas um primeiro passo. As partes estão ainda muito longe de um acordo pronto a ser assinado. Com base no documento, o procedimento para uma chamada decisão de adequação, que certificaria normas equivalentes de proteção de dados entre a UE e os EUA, poderia agora começar ao nível da UE, foi dito em Bruxelas. Espera-se que demore cerca de seis meses. Os organismos europeus de proteção de dados, os estados individuais da UE e o Parlamento Europeu também devem ser envolvidos. No final, poderia efetivamente haver um novo conjunto de regras para o tráfego transatlântico de dados.
A comunidade empresarial, em particular, espera que assim seja: “Precisamos urgentemente de um acordo sucessor do Privacy Shield para transferências de dados entre a UE e os EUA”, disse a associação da indústria de TI Bitkom. As revisões caso a caso atualmente necessárias são um grande fardo para a economia, especialmente para as pequenas e médias empresas. As empresas precisam de segurança jurídica para que o bloqueio de dados existente possa finalmente ser dissolvido. “Após a Ordem Executiva, a vontade política para uma solução deve ser rapidamente traduzida numa regulamentação jurídica resistente que também resista a uma futura revisão judicial”, exige Bitkom.
Está a aproximar-se um Schrems III?
Neste momento, no entanto, parece mais que o acordo acabará novamente perante o TJE. A associação de proteção de dados noyb com o seu presidente Schrems já anunciou que irá analisar o acordo de perto. De acordo com uma avaliação inicial feita por protetores de dados, o último projeto é também suscetível de falhar perante o mais alto tribunal europeu. Uma ordem executiva do presidente dos EUA não tem a mesma força que uma lei devidamente aprovada pelas câmaras americanas, criticam os protecionistas de dados. A ordem executiva aplica-se à atual administração dos EUA e poderia ser rapidamente eliminada por uma ordem executiva do sucessor, possivelmente Donald Trump. “Embora seja gratificante que os nossos casos perante o TJE conduzam a uma resposta do presidente dos EUA”, diz uma declaração do noyb, “uma ordem interna do presidente dos EUA não pode resolver o problema”.
É verdade que o decreto Biden utiliza termos como “proporcional” e “necessário” no que diz respeito ao acesso aos dados pelos serviços de informações e, por conseguinte, segue a redação da lei de proteção de dados aplicável na Europa. Nos EUA, contudo, estes termos são interpretados de forma bastante diferente do que na Europa, de acordo com os funcionários da noyb. Os americanos acabariam por não restringir os seus sistemas de vigilância de massa. Mesmo ao abrigo do novo regulamento, ainda seria possível que os dados europeus enviados aos fornecedores americanos acabassem em programas como PRISM e Upstream, embora o TJCE já tivesse por duas vezes declarado esta vigilância não “proporcional” e, portanto, ilegal.
A solução exigida pelo TJE também não está a ser implementada, disse ele. “Embora o órgão seja chamado ‘Tribunal’, não é um tribunal, mas um órgão do executivo”, criticam os defensores da proteção de dados. O novo sistema é muito semelhante ao antigo “Ombudsman”, que já foi declarado insuficiente pelo TJE. “A Carta exige claramente um ‘recurso judicial’ – a simples mudança do nome de ‘tribunal’ para ‘órgão de reclamação’ não faz dele um tribunal”, observa Schrems. “É fascinante como a Comissão Europeia exige sistemas judiciais impecáveis da Polónia ou da Hungria – e com razão – mas quando se trata dos EUA, de repente não precisamos mesmo de um tribunal”.