Ainda não há um novo acordo de transferência de dados entre a União Europeia e os Estados Unidos com o objetivo de corrigir a cara incerteza legal sobre as exportações de dados pessoais, mas o comitê de liberdades civis do Parlamento Europeu prevê o Data Privacy Framework UE-EUA Não sobreviveria a um desafio legal, como seus dois predecessores, Safe Harbor (RIP: outubro de 2015); e Privacy Shield (RIP: julho de 2020) e não conseguiu impressionar os juízes da UE.
Em resolução aprovada ontem pela comissão LIBE, com 37 votos a favor, nenhum contra e 21 abstenções, os eurodeputados qualificaram o DPF como uma melhoria que, no entanto, não chega. Eles também previram que é provável que seja invalidado pelo Tribunal de Justiça da UE (TJUE) no futuro.
desenvolvimento continua um projeto de parecer LIBE em fevereiro, que também rejeitou a proposta e instou a Comissão a pressionar por reformas significativas.
Na resolução, a comissão considera que o acordo proposto não oferece garantias suficientes para os cidadãos da UE, uma vez que o quadro ainda permite a recolha em massa de dados pessoais em certos casos; não condiciona a coleta de dados em massa a uma autorização prévia independente; e não fornece regras claras sobre a retenção de dados.
Os eurodeputados também estão preocupados com o fato de um mecanismo de reparação proposto, o chamado "Tribunal de Revisão da Proteção de Dados", violar os direitos dos cidadãos da UE de acessar e retificar dados sobre eles, pois as decisões seriam mantidas em segredo. Eles também questionam sua independência, pois os juízes podem ser destituídos pelo presidente dos EUA, que também pode anular suas decisões.
“Na resolução, os deputados defendem que o quadro para transferências de dados deve ser à prova de futuro, e a avaliação da adequação deve ser baseada na implementação prática das regras”, segundo um parlamentar. em um comunicado de imprensa Ele disse que o comitê instou a Comissão a não conceder acomodação com base no regime atual e, em vez disso, negociar uma estrutura de transferência de dados que provavelmente será adiada no tribunal.
comentando sobre declaração Após a votação, o relator da comissão LIBE, Juan Fernando López Aguilar, disse:
O novo quadro é certamente uma melhoria em comparação com os mecanismos anteriores. No entanto, ainda não chegamos lá. Não estamos convencidos de que esta nova estrutura proteja suficientemente os dados pessoais de nossos cidadãos e, portanto, duvidamos que ela sobreviva ao teste do TJEU. A Comissão deve continuar a trabalhar para responder às preocupações levantadas pelo European Data Protection Board [EDPB] e pelo Civil Liberties Committee, mesmo que isso signifique reabrir as negociações com os EUA.
Em Fevereiro, o EDPB contribuiu sua opinião na estrutura, expressando o acordo como uma melhoria no escudo de privacidade também. Mas o influente corpo governante também levantou uma série de preocupações que recomendou abordar e buscar esclarecimentos para "garantir que a decisão de adequação perdure".
A votação do comitê LIBE faz parte do processo de escrutínio geral da UE. Embora seja importante observar que os deputados não têm uma opinião ativa sobre a adoção ou não do DPF, ou mesmo do EDPB. A última palavra sobre as decisões de adequação cabe exclusivamente à Comissão.
Ao mesmo tempo, é obviamente desconfortável se forem levantadas dúvidas dentro da UE sobre a robustez e sustentabilidade do quadro de substituição planejado.
O Parlamento Europeu no seu conjunto poderá também pronunciar-se, através de uma futura sessão plenária que apreciará a resolução da comissão LIBE. Portanto, será interessante ver como os parlamentares se posicionam.
O DPF é a mais recente oferta de alto nível para resolver o conflito frontal entre os direitos de privacidade da UE e os poderes de vigilância dos EUA, incluindo outra chamada decisão de adequação para facilitar os fluxos de dados entre a UE e A estrutura proposta se baseia em tentativas anteriores (excluídas) estabelecendo um novo conjunto de disposições destinadas a encobrir diferenças importantes, como a declaração de "salvaguardas obrigatórias" para limitar o acesso das agências de inteligência dos EUA aos dados, incluindo a introdução dos conceitos de necessidade e proporcionalidade; e uma promessa de melhor supervisão da vigilância por espionagem.
Conforme mencionado acima, um novo Tribunal de Revisão de Proteção de Dados também será criado, o que deve adicionar um mecanismo de recurso independente capaz de resolver reclamações de cidadãos da UE ao nível exigido pelos juízes europeus. Mas os críticos argumentam que não é um tribunal adequado, no sentido legal pleno, por isso não passará no teste do TJEU.
Uma coisa é certa: está demorando muito mais para conseguir um acordo desta vez, agora que o suprimento de pequenas curas simples acabou.
A Comissão chegou a um acordo de princípio sobre o DPF há pouco mais de um ano. Em seguida, demorou cerca de seis meses para o presidente dos EUA, Joe Biden, assinar uma Ordem Executiva necessária para implementar a substituição. Embora tenha demorado quase nove meses desde o anúncio do acordo para a UE chegar a um projeto de acordo (cerca de dois meses após o EO). Nessa altura, iniciou-se um processo de revisão e escrutínio do projeto por outras instituições da UE, que ainda está em curso.
(Em contraste, o EU-US Privacy Shield deixou de ser anunciado como entrante em fevereiro de 2016 para ser oficialmente adotado em julho e operacional no início de agosto do mesmo ano. Em seguida, levou pouco mais de quatro anos para retirá-lo. Portanto, há certamente lições a serem aprendidas sobre os legisladores que agem com pressa e se arrependem aqui.)
Em abril do ano passado, a Comissão sugeriu que todo o processo de substituição Escudo de Privacidade poderia ser "finalizado" até o final de 2022. E se os meios finalizados fossem adotados, ele certamente estava excessivamente otimista, já que é primavera de 2023 e o processo ainda é fraco.
Alguns relatórios sugeriram que o DPF não será adotado antes do verão (Reuters cita funcionários anônimos sugerindo que poderia estar pronto em julho).
Quando questionado sobre a data prevista para a adoção, um porta-voz da Comissão disse que não pode fornecer um cronograma preciso, pois o processo envolve várias partes interessadas.
Também estipulou que está considerando "cuidadosamente" a opinião da EDPB e trabalhando para atender seus comentários e pedidos de esclarecimento antes de passar para a próxima fase do processo de adoção, que envolverá a obtenção da aprovação de um comitê de representantes dos estados membros da EDPB. UE.
A Comissão vai claramente querer evitar uma terceira greve, o que provavelmente explica por que a adoção está demorando mais do que o esperado. E por que ele tem o cuidado de evitar ser acusado de ignorar as preocupações do EDPB e outros.
Os dados UE-EUA. EUA do fluxo Meta neste quadro
Embora as complexidades da comitologia da UE possam parecer um tópico extremamente árido, há uma consequência muito tangível associada à adoção do DPF. Isso porque a gigante da tecnologia Meta, proprietária do Facebook e do Instagram, está enfrentando uma ordem de suspensão de dados que pode forçá-la a interromper suas exportações de dados de usuários da UE. E como o Facebook não é federado, pode ser forçado a desligar o serviço aos usuários da UE para cumprir a ordem.
O data watchdog da Irlanda emitiu uma ordem preliminar para esse fim no outono de 2020. Depois disso, a Meta obteve uma suspensão e também solicitou revisão judicial, conseguindo assim atrasar o processo por um tempo. Mas perdeu força naquele desafio legal específico em maio de 2021. E então um projeto de decisão revisado foi emitido em fevereiro de 2022.
O desafio original para os fluxos de dados UE-EUA de Meta gira em torno da mesma questão central de vigilância dos EUA versus privacidade da UE, mas a reclamação na verdade remonta ao ano das revelações de Snowden. Há cerca de uma década de regulamentação sobre esse assunto e ainda não há uma decisão final.
No entanto, um fim está, em teoria, finalmente à vista.
ontem ele Extensão EDP confirmou que tomou uma decisão vinculativa sobre o assunto, o que significa que o principal DPA da Meta na UE, a Comissão Irlandesa de Proteção de Dados (DPC), deve emitir uma decisão final dentro de um mês. Então, em meados de maio.
No verão passado, o gigante do as redes sociais evitaram por pouco um cenário judicial anteriormente, quando as autoridades de proteção de dados da UE discordaram do projeto de decisão do DPC, desencadeando um processo de resolução de disputas incorporado ao Regulamento Geral de Proteção de Dados (GDPR) que acabou levando o EDPB a ter que intervir e tomar uma decisão vinculativa.
Ainda não sabemos o que diz a decisão, mas como a liminar era suspensiva, parece improvável que o Conselho chegue a um resultado radicalmente diferente. E com esse tortuoso processo de aplicação do GDPR chegando ao fim, a questão agora é o que virá primeiro: uma ordem para a Meta encerrar seus fluxos de dados UE-EUA? EUA, ou a adoção do DPF UE-EUA. EUA?
O último cenário, é claro, forneceria uma nova via de escape para Meta usar para evitar uma ordem de parada.
Porém, se o DPF chegar antes do pedido final da DPC, é o mesmo cenário: a empresa aproveitará o quadro de alto nível para renovar sua reivindicação de estar totalmente em conformidade com as regras da UE e voltar ao caminho (provavelmente por muitos mais anos).
Mas mesmo que chegue primeiro uma ordem para a Meta suspender seus fluxos de dados, a empresa certamente dedicará todos os seus advogados locais a encontrar novas maneiras de segurar a faca. Um recurso de qualquer ordem regulatória para interromper a exportação de dados do usuário da UE é seguro. Você também pode tentar suspender a execução enquanto aguarda o resultado de sua apelação. Embora não seja certo que os tribunais o permitirão.
No entanto, também existe outra possibilidade. A decisão final do DPC pode dar à Meta um prazo para desligar os fluxos de dados, digamos dois ou três meses, o que pode dar tempo suficiente para que o DPF seja adotado, permitindo que ela reinicie sua base legal usando o novo quadro. e evitar a ameaça de uma paralisação mais uma vez.
No mês passado, a comissária do DPC, Helen Dixon, admitiu Reuters a linha do tempo estava "chegando ao fim".
Os observadores de privacidade, sem dúvida, estarão olhando para este de perto para ver se o Meta enfrenta um acerto de contas final sobre as transferências de dados, finalmente, por um longo tempo. Ou se ele se apega a outra forma de continuar a confrontar reguladores e legisladores.
