Uma vez mais, o Tribunal de Justiça da União Europeia considera que os EUA não oferecem um nível adequado de proteção aos titulares dos dados pessoais que permitisse transferências da Europa para esse país. Esta decisão pode ter um impacto significativo nas relações comerciais transatlânticas
Antecedentes
A 06 de outubro de 2015, no afamado acórdão Schrems, o Tribunal de Justiça da União Europeia declarou inválida a decisão 2000/520/CE da Comissão, de 20 de julho de 2000 (Safe Harbour), que permitia a transferência de dados pessoais da UE para as empresas norte-americanas signatárias dos princípios dessa decisão.
Esta e outras decisões de adequação assentam na premissa de que o país que beneficia desta decisão oferece um nível adequado de proteção aos titulares dos dados, se não igual, pelo menos próxima da oferecida dentro da UE.
O Privacy Shield
Após o acórdão Schrems, logo se iniciaram negociações no sentido de se aprovar uma decisão que substituísse o Safe Harbour, mas com um nível superior de proteção – já com o novo Regulamento Geral de Proteção de Dados como quadro de fundo.
Assim, a decisão (EU) 2016/1250 da Comissão, de 12 de julho de 2016 veio implementar o Privacy Shield como um mecanismo de proteção adequada, através do qual as entidades europeias podiam transferir dados pessoais para as empresas que tivessem aderido ao mecanismo.
Esta adesão é feita através da demonstração de um conjunto de evidências por parte das empresas e da adoção por parte destas de procedimentos de auto-controlo e compliance. Ao fazer parte deste mecanismo, as empresas norte-americanas beneficiavam de algo semelhante a um selo de qualidade no que concerne à proteção dos dados pessoais provenientes da Europa.
O acórdão Schrems II
Este acórdão veio, uma vez mais, apontar as falhas na legislação e práticas norte-americanas que se apresentam como nocivas aos titulares dos dados que para aí forem transferidos. Em especial, o Tribunal destacou a falta de garantias oferecidas pelas entidades públicas norte-americanas nos seus procedimentos de recolha de informação acerca dos cidadãos.
Ademais, o European Data Protection Board tinha já chamado a atenção no seu relatório anual acerca do Privacy Shield (janeiro de 2019), que ainda se encontravam diversos pontos no mecanismo por corrigir, em especial no que dizia respeito ao tratamento de dados efetuado por entidades públicas norte-americanas.
E agora?
As transferências de dados pessoais para o território dos EUA encontram-se, em princípio, vedadas. Porém, subsistem diversos instrumentos jurídicos para além das decisões de adequação que permitem manter o fluxo de dados para este país.
A primeira prende-se com as cláusulas contratuais tipo a constarem de contrato celebrado entre a entidade europeia que pretenda transferir os dados e a entidade norte-americana que os pretenda receber. Este será o mecanismo ao qual, previsivelmente, mais entidades lançarão mão, embora aumente significativamente a burocracia existente nos procedimentos.
Outro mecanismo similar será o acordo intragrupo, mais vocacionado para as entidades multinacionais que pretendam transferir dados para a casa-mãe ou filial localizada nos EUA.
Restam ainda as derrogações legalmente previstas para esta proibição, tais como o acordo do titular à transferência ou a necessidade imperiosa da transferência para o cumprimento de uma obrigação legal ou contratual.
Tendo em conta que os EUA são o principal parceiro comercial da UE, fácil é de entender que a presente decisão preocupa os responsáveis de entidades dos dois lados do Atlântico. Por essa razão, aguarda-se por uma nova decisão de adequação a breve trecho que permita facilitar os procedimentos de transferência de dados.
Obrigado por estar desse lado.
