Apesar de os EUA e a UE terem aprovado o novo quadro de proteção da privacidade dos dados, os peritos em privacidade continuam céticos quanto à possibilidade de o acordo sobreviver aos desafios jurídicos.
Por Charlotte Trueman
Nove meses depois de o Presidente dos EUA, Joe Biden, ter assinado uma ordem executiva que atualizou as regras para a transferência de dados entre os EUA e a UE, a Comissão Europeia ratificou esta semana o Quadro de Privacidade de Dados UE-EUA. No entanto, os especialistas do setor afirmam que este quadro será contestado no Tribunal de Justiça Europeu (TJUE) e tem boas hipóteses de ser anulado.
A medida surge três anos depois de o TJUE ter encerrado o anterior acordo de partilha de dados entre a UE e os EUA, conhecido como Escudo de Proteção da Privacidade, por considerar que os EUA não oferecem uma proteção adequada dos dados pessoais, nomeadamente no que diz respeito à vigilância estatal. Em 2015, uma tentativa anterior de forjar um pacto de partilha de dados, denominado Safe Harbor, foi também anulada pelo TJUE.
A Presidente da Comissão Europeia, Ursula von der Leyen, afirmou que o novo quadro deverá proporcionar “segurança jurídica” às empresas transatlânticas, classificando os compromissos assumidos como “sem precedentes”.
“Hoje damos um passo importante para dar confiança aos cidadãos de que os seus dados estão seguros, para aprofundar os nossos laços económicos entre a UE e os EUA e, ao mesmo tempo, para reafirmar os nossos valores partilhados”, afirmou num comunicado. “Isto mostra que, trabalhando em conjunto, podemos resolver as questões mais complexas”.
No entanto, os especialistas do secor esperam que o acordo enfrente uma série de contestações legais por parte dos defensores da privacidade antes de acabar por ser derrubado como os seus antecessores.
“Temos várias opções de contestação já na gaveta, embora estejamos fartos deste pingue-pongue jurídico”, afirmou Max Schrems, um advogado austríaco e ativista da privacidade que fundou o NOYB (None of Your Business) – Centro Europeu para os Direitos Digitais. Em 2016 e 2020, Schrems iniciou processos judiciais contra o Safe Harbor e o Privacy Shield, respetivamente, o que levou o TJUE a invalidar ambos os acordos.
“Atualmente, esperamos que esta questão volte ao Tribunal de Justiça no início do próximo ano”, afirmou Schrems numa declaração publicada no sítio Web da NOYB.
A legislação norte-americana em matéria de proteção da vida privada necessita de uma revisão fundamental para que o acordo possa avançar
O Quadro de Privacidade de Dados UE-EUA baseia-se no decreto executivo assinado por Biden em outubro de 2022. Essencialmente, o acordo impõe novas restrições à vigilância eletrónica por parte das agências de informação americanas e dá aos europeus novas vias para apresentar queixa quando consideram que as suas informações pessoais foram utilizadas ilegalmente pelas agências de informação americanas.
Este facto, por si só, pode revelar-se problemático, uma vez que, se nas próximas eleições presidenciais norte-americanas o cargo máximo for atribuído a um candidato republicano, existe uma possibilidade muito real de esta ordem executiva ser anulada, tirando o tapete ao acordo, afirmou Nader Henein, analista da Gartner. Quando Donlad Trump se tornou presidente em 2016, ele rasgou uma série de tratados internacionais que haviam sido aprovados pelo seu antecessor, o presidente democrata Barack Obama.
Embora os especialistas em privacidade tenham afirmado desde o início que o acordo não aborda adequadamente as questões que levaram à revogação do Safe Harbor e do Privacy Shield, não é de surpreender que o acordo tenha sido assinado apesar da sua elevada probabilidade de fracasso.
“Tanto a UE como os EUA investiram um esforço significativo na assinatura de um novo acordo”, afirmou Jonathan Armstrong, advogado especializado em conformidade e tecnologia da Cordery, especialista em conformidade sediada no Reino Unido.
Algumas das mensagens sugerem que ambas as partes querem chegar a um acordo, mesmo que este acabe por ser um caso de “deja vu””, afirmou, observando que o quadro de proteção da privacidade dos dados não é nem de perto nem de longe tão impermeável aos desafios legais como alguns dos promotores do acordo sugeriram.
Embora o acordo dê alguns passos em frente em termos de proteção dos dados europeus contra a aplicação da lei nos EUA, não está perto de cumprir os requisitos estabelecidos pelo Tribunal de Justiça Europeu quando invalidou os seus antecessores, disse Henein, fazendo eco do ceticismo de Armstrong.
“Esperamos que seja invalidado dentro de dois a cinco anos”, disse, descrevendo a situação como um “dia de marmota entediante” que é essencialmente apenas um exercício de chutar a lata que acabará por ser uma dor de cabeça para as futuras administrações muito depois de os atuais signatários terem deixado o cargo.
A Constituição dos EUA não garante a privacidade per se, sendo que as leis e regulamentos sobre a questão têm de ser extraídos das proteções da Quarta Emenda contra buscas e apreensões ilegais. Para abrir caminho a um acordo que provavelmente passaria no exame do TJUE, os EUA teriam de alargar as mesmas proteções de privacidade aos cidadãos não americanos, uma política que, segundo Henein, seria incrivelmente impopular do ponto de vista político e que provavelmente faria com que os defensores de uma revisão legal fossem rotulados de “anti proteção” e acusados de se oporem aos esforços de recolha de informações que poderiam proteger o país.
Atualmente, não existem leis federais que abranjam a forma como as empresas armazenam e protegem os dados pessoais, o que levou os estados a adotarem a sua própria legislação, observou Henein. “Não existem proteções de privacidade relacionadas com as empresas, pelo que estão agora a ser aprovadas a nível estatal”, observou Henein, acrescentando que, até à data, apenas 13 dos 50 estados aprovaram tais proteções, o que significa que ainda é cedo para a legislação sobre privacidade nos EUA.
“Para que a legislação avance de forma a não abranger apenas os cidadãos dos EUA, mas também a reger os dados relativos a pessoas que vivem noutros países quando esses dados chegam legalmente aos EUA, é uma tarefa difícil”, afirmou.
Empresas querem clareza sobre privacidade dos dados
Tanto Armstrong como Henein concordam que as empresas querem clareza em relação às questões de privacidade dos dados, mas, infelizmente, o Quadro de Privacidade dos Dados não a fornece.
As organizações precisam de regulamentações sólidas, não de um plano que causa pânico generalizado a cada três anos quando é derrubado e deixa as empresas sem conformidade de um dia para o outro, disse Henein, acrescentando que as organizações não podem se dar ao luxo de fixar sua estratégia de 10 anos em algo que não sobreviverá à metade desse período.
No entanto, se o acordo sobreviver a uma contestação jurídica, poderá alterar alguns aspetos do panorama da proteção de dados, afirmou Armstrong, referindo que poderão surgir mais pactos de proteção de dados transfronteiriços e acordos de cópia em países como a Suíça e o Reino Unido. Desde que saiu da UE, o Reino Unido tem estado em conversações com os EUA sobre um novo esquema de transferência de dados que seria semelhante ao Quadro de Privacidade de Dados, enquanto a Suíça tem estado em conversações com os EUA para um acordo que espelha o Escudo de Proteção da Privacidade antes de este ter sido derrubado.
“A transferência de dados continuará a ser complexa, uma vez que reflete os acontecimentos mundiais”, afirmou Armstroing. “Uma vez que a política mundial é complexa, as transferências de dados a nível mundial também serão complexas”.