Atualmente os dados pessoais circulam sem qualquer barreira, inclusive além-fronteiras. Exemplo disto são as informações que salvamos nas nuvens e são armazenadas em servidores situados em outros países. Isto tem feito com que a proteção legal dos dados pessoais seja adotada em diversos Estados, sendo grande parte deles se inspirado no Regulamento Geral sobre Proteção de Dados (RGPD) da União Europeia (UE).
Transferência internacional de dados pessoais: “decisão de adequação"
Para ser realizada a transferência internacional de dados pessoas para "países terceiros”, ou seja, aqueles que não são membros da UE, o RGPD disponibiliza alguns mecanismos, entre eles, a “Decisão de Adequação” adotada pela Comissão Europeia, as “Binding Corporate Rules" e as “Standard Contractual Clauses”.
A “Decisão de Adequação” reconhece que um determinado país dispõe de proteção legal aos dados pessoais no mesmo nível da União Europeia sendo assim admitida a transferências de dados pessoais da UE para o “terceiro país”, como Argentina, Canadá, Japão e Suíça.
Transferência de dados pessoais da União Europeia para os Estados Unidos
Com a adoção da legislação de proteção de dados pessoais pela União Europeia e o grande comércio de bens e serviços entre os Estados Unidos (EUA) e a UE, foi necessário regulamentar a transferência internacional de dados entre tais países.
Desta forma, no dia 10 de julho/23, a Comissão Europeia adotou a "decisão de adequação” com relação aos Estados Unidos, a qual foi denominada “Data Privacy Framework UE-EUA”. Desta forma, passa a ser permitida a transferência dos dados pessoais da UE para os EUA.
O “Data Privacy Framework UE-EUA” surgiu em substituição ao “Privacy Shield UE-EUA” de 2016, que por sua vez sucedeu ao “Safe Harbor” de 2000, ambos invalidados pelo Tribunal de Justiça da União Europeia por iniciativa da organização sem fins lucrativos “My Privacy is None of Your Business” - NOYB / Max Schrems.
A nova "decisão de adequação" foi possível após a expedição de Ordem Executiva do Presidente Biden que reforça as salvaguardas para as atividades de inteligência do país, bem como posteriormente à regulamentação expedida pelo Procurador Geral norte-americano. Tal decisão foi desenvolvida tendo como base a decisão do Tribunal de Justiça da União Europeia (TJUE) no caso Schrems II (2020).
Assim sendo, os Estados Unidos asseguram que o seu serviço de inteligência somente terá acesso aos dados pessoais na medida do necessário e de forma proporcional. Além disto, os Estados Unidos terão uma autoridade independente e imparcial (“Data Protection Review Court”) para lidar com os pedidos de reparação e as reclamações dos titulares de dados europeus sobre a coleta de seus dados pessoais com a finalidade de segurança nacional, podendo tal autoridade ordenar a exclusão dos dados coletadas que violarem as novas salvaguardas.
“Data Privacy Framework UE-EUA” e NOYB / Max Schrems
A organização NOYB, criada pelo advogado e ativista em privacidade Max Schrems, já afirmou que em grande parte a nova decisão de adequação UE-EUA é cópia do “Privacy Shield UE-EUA”, demonstrando assim que existe uma grande chance da NOYB novamente demandar perante o TJUE a anulação da “Data Privacy Framework UE-EUA”. Isto deve-se ao fato dos Estados Unidos não ter alterado a legislação de vigilância norte-americana (FISA 702), a qual coloca em risco os dados pessoais oriundos da União Europeia e pode requerer alterações na Constituição norte-americana, o que os EUA certamente não têm interesse.
Conclusão
Mesmo tendo sido adotada a “decisão de adequação” que possibilita a transferência de dados pessoais da União Europeia para os Estados Unidos, é conveniente aguardar para confirmarmos se os EUA realmente protegerão os dados pessoais transferidos pela União Europeia no mesmo nível do RGPD, bem como se a NOYB adotará medidas judiciais visando proteger os dados pessoais europeus e consequentemente invalidar o “Data Privacy Framework UE-EUA”.