A UE adotou um terceiro acordo com os Estados Unidos sobre a exportação segura de dados pessoais, mas também pode ter que ser refeito

Os dados pessoais dos europeus agora podem ser transferidos de forma livre e segura da UE para os EUA sem condições ou permissões adicionais, com base em um mecanismo que protege as pessoas e oferece segurança jurídica às empresas. O Data Privacy Framework (DPF) foi anunciado em março de 2022, mas demorou mais de um ano para ser finalizado. O mecanismo anterior de exportação de dados foi declarado inválido por juízes da UE há três anos.

Fonte da imagem: Pixabay

A atual decisão já é a terceira consecutiva e ainda não está claro o quão durável ela será. O comissário europeu Didier Reynders está otimista, argumentando que a estrutura não é apenas uma cópia dos mecanismos de transmissão anteriores, mas “um sistema completamente diferente e uma solução muito robusta”. Ambos os acordos anteriores (conhecidos como Safe Harbor e Privacy Shield) foram rejeitados pelo mais alto tribunal da UE quando se descobriu que os dados pessoais exportados para os EUA não estavam protegidos de acordo com os padrões legais exigidos.

Ativistas de privacidade alertam que o novo acordo também pode ser falho. Os críticos do acordo argumentam que os EUA não tomaram medidas para proteger as informações dos estrangeiros. Na opinião deles, o DPF ainda contém o mesmo conflito legal fundamental entre os direitos de privacidade da UE e os poderes de vigilância dos EUA descritos na Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA). O artigo é dedicado à coleta de informações pessoais de pessoas fora dos Estados Unidos.

Fonte da imagem: pexels.com

Reynders reconheceu que o sinal verde de hoje é, na verdade, uma decisão unilateral do executivo da UE, e à frente de meses (ou mesmo anos) de discussão no tribunal da UE e o veredicto final sobre o DPF só pode ser feito em alguns anos. Para referência, questões legais sob o Privacy Shield foram levadas a tribunal em maio de 2018, e a decisão de abolir esse mecanismo apareceu apenas em julho de 2020.

«Dizem que a definição de insanidade é fazer a mesma coisa repetidamente e esperar um resultado diferente. Assim como o Privacy Shield, o acordo mais recente não se baseia em mudanças materiais, mas em interesses políticos, disse Max Schrems, presidente do grupo de privacidade. “O FISA 702 deve ser renovado pelos EUA este ano, mas com o anúncio do novo acordo DPF, a UE perdeu todas as oportunidades de influenciar a reforma do FISA 702.”

«Conseguimos mudanças significativas na estrutura legal dos EUA, argumenta Reynders. – Os requisitos de necessidade e proporcionalidade agora são respaldados por garantias dos EUA. Ao avaliar a possibilidade de acesso aos dados de inteligência dos EUA, serão levados em consideração os mesmos fatores que os requisitos da jurisprudência da UE. Isso inclui a natureza dos dados, a gravidade da ameaça e o provável impacto sobre os direitos humanos. Cada agência de inteligência dos EUA revisou suas regras e procedimentos internos para implementar os novos requisitos no nível operacional.”

Em relação ao mecanismo de reparação redesenhado, Reynders o descreveu como “um tribunal independente e imparcial com poderes para investigar reclamações apresentadas por europeus e emitir decisões corretivas vinculativas”, observando também que o órgão tem o poder de exigir a exclusão de dados coletados em violação.

Ele enfatizou que o mecanismo é “fácil de usar” – os cidadãos da UE podem registrar uma reclamação gratuitamente e em seu próprio idioma, por meio da autoridade local de proteção de dados. O requerente não precisará provar que seus dados foram acessados ​​por agências de inteligência dos EUA. Os interesses do autor serão representados gratuitamente por um advogado especial com habilitação de segurança. A indenização é supervisionada por um órgão independente, o Privacy and Civil Liberties Oversight Board.

Os críticos do novo acordo acreditam que todo esse processo plurianual é apenas uma maneira de os legisladores de ambos os lados do oceano ganharem mais alguns anos de atraso. Um bom exemplo é o Meta*, que foi perseguido por quase uma década por transferir dados da UE para os EUA. Em maio, a empresa foi obrigada a suspender a transferência de dados pessoais por seis meses. Mas depois de passar pelo DPF, ela pode simplesmente ignorar a ordem de suspensão. É verdade que ela ainda terá que pagar US$ 1,3 bilhão.

O processo, descrito por ativistas de direitos humanos como um “pingue-pongue legal frustrante”, mostra como é difícil para os cidadãos da UE exercer seu direito à privacidade. Os gigantes da tecnologia podem atropelar os direitos das pessoas, desde que obtenham lucro suficiente para amortizar quaisquer multas sobre o custo de fazer negócios.

Obviamente, de acordo com as leis aplicáveis, as empresas terão que demonstrar que estão totalmente em conformidade com o GDPR (Regulamento Geral de Proteção de Dados). É aqui que a Meta* tem dificuldade, pois os reguladores da UE questionaram a base legal da Meta* ao processar dados para segmentação de anúncios. Mesmo que a gigante da tecnologia de publicidade não precise cortar todo o tráfego de dados entre a UE e os EUA, algumas reformas drásticas no negócio de publicidade da UE agora parecem inevitáveis ​​para a empresa.

* Está incluída no rol de associações públicas e entidades religiosas em relação às quais o tribunal tenha proferido decisão que entrou em vigor para liquidar ou proibir atividades com base na Lei Federal nº 114-FZ, de 25 de julho de 2002 “Sobre o combate à atividade extremista”.