Newsletters
No dia 10 de julho, a Comissão Europeia adotou uma nova decisão de adequação em relação à transferência internacional de dados entre UE-EUA. A decisão de adequação estabelece que os dados pessoais poderão fluir livremente e com segurança entre a UE e as empresas americanas participantes com base no Quadro de Privacidade dos Dados UE-EUA/ EU-US Data Privacy Framework (“Framework”) [1], por assegurarem um nível de proteção dos dados pessoais essencialmente equivalente ao assegurado dentro da União Europeia, pelo Regulamento Geral de Proteção de Dados (RGPD).
A decisão adotada consiste na terceira decisão de adequação, proferida pela UE. Em 2000, foi proferida a decisão de adequação U.S.-EU Safe Harbor Framework. Esta veio a ser declarada inválida pelo TJUE, em 2015, no acórdão Schrems I, após as queixas de Max Schrems contra o Facebook. Em 2016, foi emitida uma nova declaração de adequação, intitulada de EU-U.S. Privacy Shield Framework. Porém, em 2020, o TJUE veio a considerar também esta decisão de adequação inválida, no acórdão Schrems II. O Framework atual pretende colmatar as falhas apontadas pelo TJUE, procurando garantir transferências mais seguras e confiáveis de dados pessoais da UE para os EUA.
A proteção garantida pelo Framework é aplicável a quaisquer dados pessoais transferidos da UE, para organizações nos EUA que tenham certificado a sua adesão às novas diretrizes de privacidade, através do Departamento do Comércio dos EUA.
À semelhança do RGPD, o Framework reforça vários princípios e estabelece o direito dos indivíduos à informação sobre a recolha e tratamento dos seus dados pessoais. Exige também a precisão, adequação, relevância e atualização dos dados. Os dados pessoais não podem ser processados, de uma forma incompatível com o propósito para o qual estes foram originalmente recolhidos, nem podem ser mantidos por mais tempo do que o necessário para o cumprimento do propósito original.
O titular dos dados deve ter a oportunidade de se opor relativamente à utilização dos mesmos para um propósito diverso do original, ou à divulgação dos dados a terceiros. Quanto à divulgação de dados a terceiros, exige-se ainda a garantia de que estes asseguram o mesmo nível de proteção dos dados pessoais, em conformidade com os princípios.
Quanto à utilização dos dados por autoridades públicas nos EUA, a Comissão admite, em alguns casos, interferências nos direitos fundamentais dos cidadãos, por motivos de aplicação da lei criminal, e por objetivos de segurança nacional. A utilização deverá, entretanto, cingir-se aos limites do estritamente necessário para a realização do objetivo legítimo de interesse público prosseguido, quando exista proteção legal efetiva contra essa interferência.
O Framework introduz ainda novas salvaguardas vinculativas para abordar as preocupações levantadas pelo Tribunal Europeu de Justiça, incluindo limitar o acesso aos dados da UE pelos serviços de inteligência dos EUA ao que é necessário e proporcional, e estabelecer um Tribunal de Revisão de Proteção de Dados / Data Protection Review Court (DPRC), ao qual os indivíduos da UE terão acesso.
Em casos de utilização imprópria dos dados por autoridades públicas, o Framework estabelece que os cidadãos poderão recorrer ao DPRC. Os cidadãos europeus poderão ainda submeter a sua queixa junto de uma autoridade supervisora de Proteção de Dados na Europa (Data Protection Authority - DPA), que irá endereçar a queixa para o redress mechanism previsto no Quadro.
Os titulares de dados terão ainda a possibilidade de apresentar reclamações, quer diretamente à organização certificada, quer a um órgão independente de resolução designado pela organização (localizado ou nos EUA, ou na UE), a uma autoridade de Proteção de Dados da UE, ao Departamento de Comércio ou ainda à Comissão Federal do Comércio. Em último recurso, o titular terá a possibilidade de invocar a arbitragem prevista no Framework, designado pelo Departamento do Comércio e pela Comissão Europeia.
A Comissão irá rever o Quadro de Privacidade dos Dados UE-EUA dentro de um ano, sendo que está prevista uma revisão a cada quatro anos. No entanto, há ainda a possibilidade de que o Framework seja questionado por instituições de defesa dos direitos dos titulares de dados junto ao TJUE, o que pode colocar em causa a longevidade desta nova decisão de adequação.