*Imagem:Gerd Altmann ; CC BY.
Passo importante foi dado no último dia 7 de outubro pelo presidente dos Estados Unidos, Joe Biden, em relação ao cenário da proteção de dados pessoais entre os Estados Unidos e a União Europeia. Biden assinou uma ordem executiva estabelecendo o reforço de salvaguardas no uso de dados pessoais nas atividades desenvolvidas pelas agências americanas de Inteligência.
Tais medidas devem ser implementadas objetivando honrar os compromissos anunciados pelo governo dos EUA junto a presidente da Comissão Europeia, Ursula von der Leyen, em março de 2022.
De forma suscinta, a ordem executiva limita as possibilidades de as agências de Segurança Nacional acessarem dados pessoais de indivíduos da União Europeia, introduzindo novas medidas para a transferência de dados entre os Estados Unidos e a União Europeia.
Entre as salvaguardas adotadas está a criação de um Tribunal de Revisão de Proteção de Dados vinculado ao Departamento de Justiça e que permitirá que as pessoas ajuízem ações questionando como os seus dados são tratados pelas agências.
As atividades realizadas pelos Serviços de Inteligência nacional americana precisarão estar condicionadas a objetivos definidos e compatíveis com a função desempenhada, levando-se em conta a privacidade e as liberdades civis dos indivíduos.
O instrumento também determina os requisitos para tratamento de informações pessoais coletadas através do Serviço de Inteligência e estende as responsabilidades aos funcionários com o objetivo de garantir que sejam tomadas ações apropriadas para remediar incidentes de não conformidade.
Convém lembrar que, em 16 de julho de 2020, o Tribunal de Justiça Europeu, no julgamento do Caso C-311/18 - Data Protection Commissioner versus Facebook Ireland e Maxiimilliam Schrems, invalidou o Escudo de Privacidade que permitia a transferência de dados entre os Estados Unidos e a União Europeia.
No referido julgamento que envolvia a validação ou não das SCC para fins de transferência de dados pessoais entre o Facebook Ireland para a sua sede nos Estados Unidos, foi revogado o mecanismo utilizado sob a alegação de que os dados pessoais em trânsito para os EUA e lá armazenados não estariam seguros face a possibilidade de acesso pelo governo americano.
Conforme o Regulamento Geral de Proteção de Dados Europeu (RGPD), a regra geral é de proibição das transferências para fora da União Europeia, exceto quando uma salvaguarda adequada possa ser utilizada.
E, nesse contexto, a Corte entendeu que as leis americanas possuíam fragilidades que impediam a garantia da proteção dos dados pessoais, violando, por consequência, o Regulamento Europeu. Foram apontadas diversas possibilidades de vigilância existentes sob as leis de segurança nacional americanas, nomeadamente a Lei de Vigilância de Inteligência Estrangeira (FISA), o Ordem Executiva 12333 e a Diretiva de Política Presidencial 28, as quais regulam o acesso e o uso dos dados pessoais importados da União Europeia pelas autoridades dos EUA.
O panorama de fragilidade legal e a ausência de controles efetivos capazes de proteger os direitos dos titulares de dados da União Europeia e que porventura pudessem ser alvos de investigações de segurança nacional fundamentaram a decisão da Corte.
De acordo com o julgamento, não bastaria o uso das cláusulas contratuais padrão (SCCs) para legitimar a transferência internacional. As empresas devem garantir que o país terceiro seja capaz de assegurar um nível de proteção de dados equivalente ao da União Europeia.
Desnecessário mencionarmos as implicações significativas decorrentes da decisão do Tribunal de Justiça da União Europeia, a qual anulou o acordo que vigorava desde 2016 entre a União Europeia e os Estados Unidos. O instrumento denominado “Privacy Shield” viabilizava a transferência de dados pessoais de usuários do bloco europeu para os norte-americanos, especialmente para o uso de serviços em nuvem dos EUA.
E é justamente dentro deste contexto que a assinatura da ordem executiva pelo presidente Biden para implementar a estrutura de privacidade de dados entre a União Europeia e os EUA é recebida com entusiasmo.
O volume de empresas e negócios que envolve a transferência de dados e que se utilizavam do mecanismo invalidado pela Corte da EU justifica a necessidade de um novo framework que viabilize o fluxo de dados tão essenciais na relação econômica entre a União Europeia e os Estados Unidos.
A Comissão Europeia deverá propor uma minuta de decisão de adequação ao European Data Protection Board (EDPB).
*Martha Leal, advogada especialista em proteção de dados; pós-graduada em Direito Digital pela Fundação Superior do Ministério Público do Rio Grande do Sul; mestre em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlântico e pela Universidad UNINI México; pós-graduanda em Direito Digital pela Universidade de Brasília -IDP; Data Protection Officer ECPB pela Maastricht University; certificada como Data Protection Officer pela EXIN; certificada como Data Protection Officer pela Fundação Getúlio Vargas do Rio de Janeiro – FGV e presidente da Comissão de Comunicação Institucional do Instituto Nacional de Proteção de Dados (INPD)