A União Europeia adotou um novo acordo transatlântico de adequação de dados com os EUA.
A tão esperada decisão significa que há uma resolução imediata para a insegurança jurídica em torno das exportações de dados pessoais de usuários da UE por empresas americanas, um problema que afetou milhares de empresas nos últimos anos, grandes e pequenas, incluindo empresas como Meta e Google , para citar alguns de alto perfil.
Durante coletiva de imprensa anunciando a decisão de adequação, o comissário de Justiça da UE, Didier Reynders, mostrou-se confiante de que, desta vez, o terceiro acordo desse tipo que o executivo do bloco concede aos EUA será definitivo.
“Com a adoção da decisão de adequação, os dados pessoais podem agora fluir livremente e com segurança do Espaço Econômico Europeu para os Estados Unidos sem maiores condições ou autorizações”, afirmou. "Portanto, a decisão de adequação garante que os dados possam ser transmitidos entre a União Europeia e os EUA com base em um acordo estável e confiável que protege os indivíduos e oferece segurança jurídica às empresas."
O acordo político UE-EUA Data Privacy Framework (DPF) foi anunciado em março de 2022, mas levou mais de um ano para que todos os detalhes fossem elaborados. Enquanto isso, o mecanismo anterior para simplificar as exportações de dados na lagoa foi invalidado por juízes da UE há quase três anos. Assim, a adoção de um novo acordo de acomodação realmente encerra anos de incerteza jurídica que assolam os principais serviços de nuvem dos EUA e muitos outros players digitais.
Dito isso, a grande questão para o DPF é a durabilidade desse terceiro acordo de adequação de dados entre a UE e os EUA.
Reynders foi muito mais otimista do que o normal sobre esse assunto, argumentando que a estrutura não é simplesmente uma cópia e colagem de mecanismos de transferência anteriores (com falha), mas "um sistema muito diferente", que ele sugeriu ser "uma solução muito robusta". a uma divisão jurídica arraigada.
Ele também sugeriu que a UE ouviu com atenção o feedback enquanto trabalhava para finalizar uma estrutura que, segundo ele, garante "cumprimento total das condições estabelecidas na mais alta decisão do tribunal da UE".
“Esse foi meu mandato e minha abordagem nessas negociações, e isso se reflete nas soluções que obtivemos. Eles abordam especificamente os requisitos estabelecidos pelo tribunal quanto à necessidade de limitações e garantias de acesso aos dados por agências de inteligência dos EUA de acordo com os princípios de necessidade e proporcionalidade e a necessidade de garantir uma compensação efetiva para indivíduos da UE”.
No entanto, as contestações judiciais ao DPF já estão em andamento. Ambos os acordos anteriores (também conhecidos como Safe Harbor e Escudo de Privacidade) foram derrubados pelo mais alto tribunal do bloco depois que os juízes concluíram que os dados pessoais exportados não estavam protegidos pelo padrão legal exigido devido aos riscos representados pelos amplos poderes de vigilância dos EUA e defensores da privacidade. Eles alertam que a nova estrutura pode ser submetida ao TJEU em alguns meses.
Um ponto-chave para os críticos é que, desde o fim do Privacy Shield, ainda não vimos a reforma dos poderes de vigilância dos EUA, sem que os legisladores aceitem a necessidade de reformar a controversa provisão FISA 702 e aprovar proteções para a privacidade das informações de estrangeiros.
Isso significa que, no fundo, o DPF ainda está escondendo o mesmo conflito legal fundamental, entre os direitos de privacidade da UE e os poderes de vigilância dos EUA, e pode enfrentar inexoravelmente a mesma avaliação de inadequação uma vez que deixe os juízes da UE analisarem os detalhes.
Nos últimos meses, várias outras instituições da UE manifestaram preocupação com o facto de a substituição planeada pela Comissão falta clareza, o que também sugere que os ajustes na abordagem acima podem não fornecer a equivalência essencial necessária na proteção de dados. Embora também haja o reconhecimento de organizações como o Conselho Europeu de Proteção de Dados de que o DPF vai além do acordos de transferência a partir de dados anteriores. A questão é se vai ou não longe o suficiente para atender ao padrão do CJEU.
A decisão da Comissão em si não significa muito, pois é a única responsável por tomar decisões de adequação da UE, e Reynders admitiu que o sinal verde de hoje é essencialmente uma decisão "unilateral" do executivo da UE, de modo que os legisladores do bloco estão em posição de obter para fazer sua própria lição de casa mais uma vez, apesar de uma história de errar nessas mesmas equações.
O grupo de campanha de privacidade noyb, cujo fundador e presidente Max Schrems estava por trás da reclamação original contra as transferências de dados UE-EUA do Facebook, continua criticando a estrutura.
Em resposta ao anúncio da decisão de adequação da Comissão hoje, noyb confirmou que entrará com um pedido legal, dizendo que tem "opções para isso" prontas para serem enviadas aos reguladores e espera que a questão retorne ao TJEU no início do próximo ano.
Portanto, somos "parceiros" dos EUA, mas os EUA continuam a dizer que os cidadãos da UE são "de segunda classe" e não têm direitos fundamentais (de acordo com a 4ª Emenda). #TADPF —Max Schrems (@maxschrems) 10 de julio de 2023
Se o cronograma agendado da noyb continuar, ele ainda terá meses (ou até anos) de deliberação a seguir pelo tribunal da UE. Portanto, um veredicto final sobre o DPF pode levar anos. (Para contexto comparativo, questões legais relacionadas ao antecessor do DPF, o Privacy Shield, foram submetidas ao tribunal em maio de 2018 — com a decisão do TJUE anulando o mecanismo em julho de 2020.)
Por enquanto, Schrems e noyb argumentam que a nova estrutura é basicamente a mesma do Privacy Shield que não passou pelos juízes da UE, rejeitando as principais mudanças destacadas pelas equipes da UE e dos EUA. aceitação do princípio da lei da UE de uso “proporcional” de dados. Esse teatro de proporcionalidade, como noyb o chama, é argumentado pelo fato de os EUA não estarem atribuindo a mesma definição ao termo que os juízes da UE entenderiam na Ordem Executiva anexa ao DPF onde os EUA agora prometem que sua vigilância de estrangeiros será "proporcional".
Também não se impressionam com a tentativa do DPF de retrabalhar outra questão que levou o TJUE a espetar o Privacy Shield, relacionado ao reparo. Assim, ao invés da figura equivalente da Ouvidoria, o DPF oferece um Oficial de Proteção às Liberdades Civis e o que se chama de “Tribunal”. Mas que, eles apontam, não é realmente um tribunal; ao contrário, é um “órgão executivo parcialmente independente”, portanto, eles resumem as mudanças como apenas “pequenas melhorias”.
“Dizem que a definição de insanidade é fazer sempre a mesma coisa e esperar um resultado diferente. Como o 'Privacy Shield', o acordo mais recente não se baseia em mudanças materiais, mas em interesses políticos", argumentou Schrems em comunicado. “Mais uma vez a atual Comissão parece pensar que a bagunça será problema da próxima Comissão. O FISA 702 deve ser estendido pelos EUA este ano, mas com o anúncio do novo acordo, a UE perdeu todo o poder para alcançar a reforma do FISA 702”.
Antecipando as principais linhas de ataque, Reynders dedicou tempo para abordar ambas as áreas em seus comentários, explicando por que a Comissão acredita que este acordo é diferente e permanecerá.
“Fizemos mudanças significativas na estrutura legal dos EUA para atender a esses dois conjuntos de requisitos”, sugeriu. “Esta nova estrutura é substancialmente diferente do Privacy Shield UE-EUA. como resultado da Ordem Executiva emitida pelo Presidente Biden no ano passado após nossas negociações. Os requisitos de necessidade e proporcionalidade agora estão claramente definidos por meio de salvaguardas obrigatórias e executáveis no sistema legal dos EUA.
“Na prática, isso significa que, ao decidir se e em que medida as agências de inteligência dos EUA devem acessar os dados, elas terão que pesar os mesmos fatores exigidos pela jurisprudência do Tribunal de Justiça da UE. Esses fatores incluem a natureza dos dados, a gravidade da ameaça ou o possível impacto nos direitos dos indivíduos. Com base nisso, cada agência de inteligência dos EUA revisou suas regras e procedimentos internos para implementar esses novos requisitos no nível operacional”.
Sobre o mecanismo de reparação reformulado, Reynders o descreveu como "um tribunal independente e imparcial com poderes para investigar reclamações feitas por europeus e emitir decisões corretivas obrigatórias", observando que o órgão tem o poder de ordenar a exclusão de dados coletados em violação de os requisitos de necessidade ou proporcionalidade.
Além disso, ele enfatizou que a Comissão prestou atenção à acessibilidade do recurso, sugerindo que o mecanismo foi projetado para ser "amigável", observando que não há impedimento para pessoas da UE fazerem uma reclamação. ( que estipulou que eles podem fazê-lo em seu próprio idioma, por meio de sua autoridade local de proteção de dados, que encaminhará a reclamação às autoridades competentes para eles).
“Serão aplicados requisitos de admissibilidade muito baixos”, enfatizou. “Em particular, o denunciante não terá que provar que as agências de inteligência dos EUA acessaram seus dados. Isso é muito importante e crucial para garantir o acesso efetivo ao reparo em uma área que é por natureza secreta.
“Antes de ir a tribunal a denúncia do denunciante será representada por um advogado especial, novamente, gratuitamente com as devidas certidões de segurança. Esses procedimentos envolvem certo grau de sigilo. Com um advogado especial, o tribunal tomará sua decisão somente depois de ouvir ambas as partes. Finalmente, o funcionamento deste mecanismo de reparação, incluindo aspectos de devido processo e cumprimento das decisões do novo tribunal, será supervisionado por um órgão independente especificamente responsável pela proteção de dados, o Privacy and Civil Liberties Oversight Board.
“Os princípios da Estrutura de Privacidade de Dados são fortes e estou convencido de que fizemos um progresso significativo que atende aos requisitos do Tribunal”, disse Reynders, alertando as autoridades dos EUA sobre a necessidade de realmente cumprir seus compromissos.
“Ao mesmo tempo, a Comissão prestará especial atenção à implementação deste novo quadro jurídico e não hesitará em reagir em caso de problemas ou questões”, sublinhou.
Os cínicos podem dizer que toda a saga UE-EUA é simplesmente uma maneira de os legisladores de ambos os lados de um cisma jurídico imutável ganharem mais alguns anos de graça (e manterem as rodas do comércio girando) ao chutar repetidamente o ponto crítico em o caminho. - deixando os reguladores e tribunais da UE sobrecarregados com as consequências resultantes (e as empresas enfrentando outra confusão legal cara se o negócio acabar sendo descartado novamente).
É um ponto de vista que ganha bastante credibilidade quando você considera como a Meta, que foi objeto de uma reclamação sobre suas transferências de dados UE-EUA, confirmou uma violação dos requisitos de exportação de dados do bloco. parar de enviar dados dos europeus, mesmo que as exportações fossem consideradas ilegais.
Em maio, a gigante da tecnologia recebeu um prazo de cerca de seis meses para cumprir a ordem de suspensão de dados. Agora, algumas semanas após esse pedido, temos um mecanismo de transferência de alto nível recentemente ratificado para a empresa aderir, o que significa que você pode simplesmente ignorar o pedido de parada úmida alterando sua alegada base legal para exportações. de dados para o DPF e evitar ter que suspender qualquer fluxo de dados, essencialmente ignorando a aplicação estrita (embora, com uma conta de cerca de $ 1.3 bilhão para pagar).
Esta dança aparentemente interminável, que noyb chama de frustrante "pingue-pongue legal", ilustra como é difícil para os cidadãos da UE exercer os direitos de privacidade que a lei afirma existir para proteger suas informações, mesmo quando os gigantes da tecnologia com modelos lucrativos de mineração de dados continuam atropelando os direitos das pessoas como de costume , desde que tenham lucro suficiente para poder amortizar as multas como um custo de fazer negócios.
Ainda assim, Reynders também teve uma palavra de cautela para os gigantes da tecnologia dos EUA, observando: “As empresas serão obrigadas a demonstrar que estão totalmente em conformidade com o GDPR [Regulamento Geral de Proteção de Dados]”.
E nessa frente, a Meta, pelo menos, tem uma dor de cabeça crescente, já que os reguladores da UE e, mais recentemente, o TJEU, questionaram a base legal que reivindica para o processamento de dados das pessoas. Mesmo que a gigante da tecnologia de anúncios não seja forçada a cortar todos os seus fluxos de dados entre a UE e os EUA, algumas reformas duras na maneira como opera seus negócios de publicidade comportamental na UE agora parecem inevitáveis.
