Tendo em conta que tanto o Privacy Shield como o Safe Harbor foram anteriormente atingidos por desafios legais, os peritos questionam se a ordem executiva do presidente dos EUA implementando o novo Quadro de Política de Dados Transatlânticos resistirá ao escrutínio.
Por Charlotte Trueman
Os milhares de empresas que aguardam que um novo acordo de transferência de dados EUA-UE entre em vigor em breve e facilite o pesado trabalho jurídico necessário para a transferência transfronteiriça de dados não devem ter grandes esperanças. A ordem executiva do presidente dos EUA, Joe Biden, de implementar regras para o Quadro de Política de Dados Transatlântica acordado no início deste ano é um passo na direção certa, mas o novo pacto só entrará em vigor na próxima primavera, na melhor das hipóteses, e mesmo assim é obrigado a enfrentar desafios jurídicos, dizem os especialistas em política pública e jurídica.
A ordem executiva, assinada por Biden a 7 de outubro, coloca novas restrições à vigilância eletrónica por agências de inteligência americanas e dá aos europeus novos caminhos para lançar uma queixa quando acreditam que as suas informações pessoais foram usadas ilegalmente por agências de inteligência americanas.
A medida surge dois anos após o Tribunal de Justiça Europeu ter encerrado o anterior acordo de partilha de dados UE-EUA, conhecido como Privacy Shield, com base no facto de os EUA não fornecerem proteção adequada aos dados pessoais, particularmente em relação à vigilância estatal.
O novo Quadro Transatlântico de Política de Dados destina-se a melhorar as salvaguardas de privacidade dos EUA, substituir o Privacy Shield, e eventualmente passar no exame do Tribunal de Justiça quando forem apresentados os recursos legais esperados. No entanto, apesar de tanto a Administração Biden como a Comissão Europeia terem divulgado declarações de apoio ao pacto de dados recentemente proposto, está longe de estar concluído, de acordo com Jonathan Armstrong, advogado de conformidade e tecnologia da Cordery, especialista em conformidade com a legislação do Reino Unido.
“Tanto a Casa Branca como a Comissão Europeia podem estar a dizer que estão confiantes, mas já percorremos este caminho antes, com ambos os lados a dizer que o Privacy Shield resistiria ao escrutínio judicial. Não o fez”, disse Armstrong.
O que se segue para o Quadro de Política de Dados Transatlânticos
Em primeiro lugar, a UE deve confirmar que as novas regras estabelecidas pela ordem executiva de Biden são adequadas para cumprir as normas acordadas no quadro transatlântico, o qual, por sua vez, foi elaborado para oferecer proteção da privacidade equivalente ao PIBR da UE (Regulamento Geral de Proteção de Dados).
Nos próximos meses, a Comissão Europeia, o órgão executivo da UE, irá propor um projeto de decisão de adequação e lançar um procedimento de adoção, que inclui a consulta ao Conselho Europeu de Proteção de Dados (EDPB) e a obtenção da aprovação de um comité composto por representantes dos estados membros da UE, de acordo com uma declaração da Comissão.
O Parlamento Europeu também irá provavelmente querer escrutinar o acordo antes de este ser ratificado, disse Armstrong.
Entretanto, Max Schrems – o ativista e advogado austríaco cujas queixas contra o Facebook por violações da GDPR levaram ao desaparecimento do Privacy Shield e ao seu acordo precursor, Safe Harbor – já disse que poderia contestar o acordo com o seu grupo de pressão NOYB.
“À primeira vista, parece que as questões centrais não foram resolvidas e mais cedo ou mais tarde voltará ao TJUE [Tribunal Europeu de Justiça]”, disse Schrems numa declaração publicada pela NOYB.
Os críticos da transferência de dados visam a vigilância em massa
De acordo com Schrems e outros críticos, um grande problema com a ordem executiva de Biden e o próprio Quadro Transatlântico de Política de Dados é que este não aborda adequadamente a vigilância em massa por parte das agências de inteligência dos EUA.
A ordem executiva diz que exige que as atividades dos serviços secretos dos EUA sejam conduzidas “apenas quando necessário para avançar uma prioridade validada dos serviços secretos e apenas na medida e de uma forma proporcional a essa prioridade”. Mas, embora a lei da UE também exija uma vigilância proporcional, não há qualquer indicação de que a vigilância de massa dos EUA irá mudar na prática, disse NYOB.
Além disso, embora a ordem de Biden exija que o Departamento de Justiça dos EUA estabeleça um Tribunal de Revisão da Proteção de Dados para tratar de queixas sobre vigilância, não é um “tribunal propriamente dito”, mas sim um órgão do ramo jurídico do governo dos EUA, de acordo com a NYOB.
A NYOB também salientou que uma ordem executiva não é lei, mas uma diretiva do presidente dos EUA para o ramo federal do governo.
O grupo de pressão da American Civil Liberties Union (ACLU) concorda.”Os problemas com o regime de vigilância dos EUA não podem ser curados apenas por uma ordem executiva”, disse Ashley Gorski, advogado sénior da ACLU National Security Project, numa declaração da ACLU. “Para proteger a nossa privacidade e para colocar as transferências transatlânticas de dados numa base legal sólida, o Congresso deve decretar uma reforma significativa da vigilância. Até que isso aconteça, as empresas e indivíduos dos EUA continuarão a pagar o preço”.
Fazendo eco dos elogios feitos por críticos do novo pacto de dados, Tash Whitaker, um consultor baseado no Reino Unido sobre questões de conformidade global, disse que é pouco provável que o acordo cumpra os requisitos de um acordo de adequação. “Em particular, a vigilância em massa irá provavelmente continuar como está, independentemente de quaisquer alterações à redação da nova ordem executiva”, disse Whitaker. “Além disso, existe uma necessidade de recurso judicial para as pessoas em causa no âmbito do direito interno. A ordem executiva sugere que isto aconteça remetendo para um “Tribunal de Revisão da Proteção de Dados”.”.
Porque é que as empresas querem um novo Privacy Shield
As empresas querem que entre em vigor um novo acordo de transferência de dados para reduzir as laboriosas negociações legais atualmente necessárias para conduzir transferências de dados entre a UE e o Atlântico, para ajudar a garantir que o fazem de uma forma que cumpra as normas da UE, e para evitar ações de execução por parte das autoridades públicas independentes de proteção de dados (APD) da UE que tratam queixas relacionadas com violações do GDPR da UE – de acordo com Lartease Tiffith, vice-presidente executivo para as políticas públicas do Interactive Advertising Bureau (IAB) do grupo comercial com sede em Nova Iorque.
Na ausência do Privacy Shield ou de um acordo semelhante, as empresas utilizam as chamadas cláusulas contratuais-tipo para confirmar que as transferências de dados são feitas de acordo com a GDPR, observou Tiffith. “O problema com isso é que são muito laboriosas – nem sequer lhes chamaria cláusulas contratuais-tipo porque, de certa forma, é necessário negociar cada uma delas, pelo que o termo padrão é provavelmente um erro de nome”.
Quase 70% das mais de 5.000 empresas americanas que se tinham inscrito no Privacy Shield são empresas mais pequenas que não têm recursos para negociar múltiplos contratos com todos os seus fornecedores de dados, e é também um fardo para as grandes empresas, disse Tiffith.
A ideia subjacente ao Privacy Shield e à nova estrutura é que, uma vez que as empresas se auto-certificam de que aderem às diretrizes aprovadas, já não têm de estabelecer contratos individuais de privacidade de dados com todos os fornecedores, disse Tiffith.
“A outra consideração é que mesmo com as cláusulas contratuais padrão, as empresas estão sujeitas à aplicação da DPA, se descobrirem que não têm uma cláusula suficiente ou que esta não cobriu tudo o que deveria”, disse Tiffith.
Esperam-se desafios legais às regras de transferência de dados
Tiffith disse que a ordem executiva de Biden foi um passo na direção certa, preparando o terreno para um acordo final, e salientou que os fluxos de dados são cruciais para o desenvolvimento mútuo de tecnologias médicas, cibersegurança, e outras, bem como dos meios de comunicação social, publicidade e bens de consumo.
Mesmo assim, considerando as primeiras críticas à ordem, “haverá desafios legais” ao acordo, admitiu Tiffith.
Armstrong, a advogada de conformidade da Cordery, concordou, advertindo as empresas sobre levar a peito as palavras encorajadoras dos funcionários dos EUA e da UE. “Há demasiadas coisas em jogo para as empresas confiarem nessas palavras de conforto, especialmente dadas as questões que permanecem com a transferência de dados e os prováveis desafios”, disse Armstrong.
Como resultado do processo de aprovação da UE e dos possíveis desafios, o novo esquema está destinado a ser adiado e é pouco provável que a ordem entre em vigor até ao final da Primavera de 2023, na melhor das hipóteses, disse Armstrong. Mesmo assim, disse ele, a maioria das organizações continuará a querer considerá-lo como um acordo temporário enquanto continuarem a trabalhar noutras medidas de conformidade, em particular fazendo dupla diligência sobre as organizações para as quais estão a enviar dados e as medidas em vigor nessa jurisdição.
“É possível que os EUA consigam algum tipo de adequação da UE, mas será provavelmente de curta duração, uma vez que os lobistas o contestarão em tribunal mais rapidamente do que se pode dizer PIBR”, disse Whitaker.