Skip to main content

Privacy Shield II: Ainda é Possível num Mundo GDPR?

Com as recentes decisões da GDPR a porem um fim à forma como as empresas processam os dados tal como os conhecemos, existe agora um enorme impulso para um melhor alinhamento entre a UE e os EUA em matéria de privacidade de dados. Durante muito tempo, as empresas e outras instituições sentiram-se seguras sob o Safe Harbor e o Privacy Shield. Mas, à medida que os dados se tornaram mais uma mercadoria e a prática de recolhê-los e vendê-los se tornou mais lucrativa e invisível, as pessoas começaram a tomar consciência. Agora, estamos no ponto em que precisamos de novos acordos de privacidade de dados.

Todos querem isso, mas como chegamos aqui e estamos mais próximos?

O que era o Privacy Shield?

Em Outubro de 2015, o Tribunal de Justiça Europeu invalidou os Princípios de Privacidade do "International Safe Harbor".

O Safe Harbor, desenvolvido entre 1998 e 2000, tinha como objetivo impedir que organizações privadas revelassem ou perdessem os dados pessoais de cidadãos da UE e dos EUA. Após muitas reclamações, incluindo sobre dados do Facebook, a UE decidiu que os EUA e o Safe Harbor não cumpriam com a Diretiva de Proteção de Dados da UE.

Esta decisão do Safe Harbor também é conhecida como Schrems I. Num esforço para limitar os impactos negativos da invalidação do Safe Harbor, a UE e os EUA criaram uma nova estrutura de dados, o Privacy Shield, em 2016.

Este novo acordo deveria colmatar algumas das falhas do "porto seguro", mas, de acordo com a Autoridade Europeia para a Protecção de Dados (AEPD), havia ainda algumas questões relacionadas com a eliminação de dados, a recolha de grandes quantidades de dados e o novo mecanismo do Provedor de Justiça. Independentemente destes pontos, a Comissão Europeia adoptou o "Privacy Shield" em Julho de 2016.

Privacy Shield e Schrems II

Os potenciais problemas detectados em 2016, um cenário tecnológico em mudança drástica e mudanças políticas em ambos os continentes, levaram à queda do Privacy Shield em 2020.

O ativista de privacidade austríaco, Max Schrems, argumentou que o acordo de dados não fez o suficiente para proteger a privacidade dos dados pessoais dos cidadãos da UE quando eles foram transferidos para os EUA.

A principal questão que fez cair o quadro foi a vigilância em massa nos EUA.

"O Privacy Shield não era a questão principal; a questão é que o Privacy Shield tinha de ceder às leis de vigilância dos EUA", disse Schrems.

Johnny Ryan, um membro sênior do Conselho Irlandês para as Liberdades Civis, acrescentou que as questões com o Privacy Shield e o Safe Harbor nunca foram sobre examinar dados por razões de segurança, mas mais sobre processos transparentes e proteções legais para cidadãos da UE: "O principal ponto crucial é que um juiz pode fornecer a alguém que está fora dos EUA uma salvaguarda legal, que pode ter seus direitos justificados se seus direitos forem violados", disse Ryan. Sem essas proteções em vigor, e sem uma maneira real de lidar com essas preocupações rapidamente, o Privacy Shield foi invalidado em julho de 2020, em uma decisão que agora é conhecida como Schrems II.

O Futuro do Privacy Shield

Sem um quadro legal para o processamento de dados à medida que estes fluem entre a Europa e os EUA, os países europeus têm declarado ilegais muitos tipos de transferências de dados: Áustria e Google Analytics, Bélgica e IAB, França e Google Analytics, etc. Por esta altura, o mais provável é que haja mais a acrescentar a essa lista.

Tais casos estão tornando a necessidade de uma substituição do Privacy Shield ainda mais importante - para os líderes de ambos os lados do Atlântico.

Sem mencionar o fato de que muitos países e agências da UE estão se estreitando nas práticas de dados de grandes empresas de tecnologia, como Facebook, Microsoft, Amazon e Google.

Desde que o Presidente Joe Biden entrou em funções, tem estado a trabalhar num substituto, juntamente com a Presidente da Comissão Europeia, Ursula von der Leyen, mas até agora não tem havido nada para mostrar nestas reuniões, excepto palavras de optimismo.

Na reunião do Conselho de Comércio e Tecnologia (TTC) em setembro de 2021, os EUA ofereceram um mecanismo de supervisão quase judicial sobre as agências de segurança nacional, a fim de obter um novo acordo assinado antes do final do ano, mas o acordo não foi aceito. Existe a esperança de que as recentes negociações conduzam a um melhor resultado na próxima reunião do TTC, em maio de 2022.

Muitos esperam que ambas as partes possam chegar a um acordo que permita às agências de inteligência americanas continuar a ter acesso aos dados das pessoas, ao mesmo tempo que protege os direitos dos cidadãos da UE.

Uma solução pode ser a criação de um órgão judicial independente que supervisionará as queixas dos cidadãos da UE que consideram que as agências americanas trataram ilegalmente os seus dados.

Os detalhes deste plano - como, por exemplo, como é que alguém saberia sequer apresentar uma queixa em primeiro lugar, e se se aguentaria em tribunal - ainda estão para ser vistos.

Mas uma coisa é clara, qualquer que seja a decisão tomada, ela não será tomada no Congresso - um facto que pode matar qualquer acordo antes mesmo de começar.

Uma vez que hoje em dia é difícil chegar a um acordo político e a um progresso, qualquer mudança que seja feita terá de estar em conformidade com as regras e regulamentos existentes nos EUA.

A maioria dos especialistas concorda que qualquer progresso significativo teria de ser feito através de alterações legislativas nos EUA que limitem a forma como as agências de segurança nacionais podem aceder aos dados da UE e dar aos cidadãos da UE uma forma clara e transparente de contestar legalmente esse acesso nos tribunais.

Sem essas coisas, quanto tempo falta para termos um Schrems III?