A People Intouch tem vindo a alertar as organizações de que o tratamento de dados sensíveis de empresas nos EUA coloca esses dados ao alcance de autoridades intrusivas dos EUA (por exemplo, DOJ, NSA, DHS). A decisão judicial deste mês no processo Schrems II do Tribunal de Justiça da União Europeia confirma as nossas preocupações sobre este assunto e realça a importância de refletir sobre o local onde pretende tratar os dados sensíveis da sua empresa relacionados com a má conduta.
A 16 de julho, o Tribunal de Justiça da União Europeia invalidou o Quadro do Escudo de Proteção da Privacidade UE-EUA na sua decisão relativamente ao Schrems II. O Escudo de Proteção da Privacidade foi a base legal na qual mais de 5000 empresas confiaram para transferirem dados pessoais da Europa para os EUA em conformidade. Além disso, a invalidação terá um impacto significativo nas empresas que não confiam no Escudo de Proteção da Privacidade para o tratamento conforme, uma vez que a decisão salienta as dificuldades que podem surgir ao transferir os seus dados para os EUA e ao mantê-los adequadamente salvaguardados.
O RGPD cria uma igualdade de condições a nível europeu para a proteção de dados pessoais dentro da União Europeia. A transferência de dados pessoais para fora da UE deve seguir um nível de proteção equivalente (elevado). Para acomodar transferências transfronteiriças para fora da UE, a Comissão Europeia fornece decisões de adequação para países específicos. Uma decisão de adequação consiste num ato de execução e num procedimento de exame, incluindo critérios como o respeito pelo Estado de direito, o acesso à justiça e as normas internacionais em matéria de direitos humanos. Uma decisão adequada para um país específico salvaguarda a transferência internacional de dados para esse país específico. Além das decisões de adequação, as transferências de dados também podem ser realizadas de forma compatível com o RGPD, por exemplo, implementando cláusulas-tipo de proteção de dados (adotadas pela Comissão Europeia, mas atualmente também sob análise) ou de regras empresariais vinculativas.
O Escudo de Proteção da Privacidade não foi o primeiro acordo concebido pela Comissão Europeia para fornecer proteção equivalente para a transferência de dados pessoais para os Estados Unidos. O antecessor foi o regime de “porto seguro”, que foi aprovado há 20 anos. O «porto seguro» foi invalidado pelo Tribunal de Justiça da União Europeia em 2015 no Schrems I, porque não conferia proteção suficiente dos direitos fundamentais equivalentes aos da União Europeia. Os Estados Unidos colocaram a segurança nacional, o interesse público e a aplicação da lei acima dos princípios de «porto seguro» para a proteção de dados pessoais.
A Comissão Europeia aprovou formalmente o Escudo de Proteção da Privacidade UE-EUA em 2016 como um sucessor melhorado do «porto seguro». O Escudo de Proteção da Privacidade providenciou um programa de certificação voluntária no qual as empresas poderiam inscrever-se. As empresas candidatas ao programa de certificação tinham de ser qualificadas e comprometer-se com os princípios do Escudo de Proteção da Privacidade. Estes princípios incluíam, por exemplo, a responsabilização pela subsequente transferência, integridade, acesso e responsabilidade dos dados. No entanto, a 16 de julho, o Tribunal de Justiça da União Europeia decidiu que o Escudo de Proteção da Privacidade também não oferecia garantias suficientes. Especificamente, o Escudo de Proteção da Privacidade não oferece garantias suficientes para manter os dados pessoais transferidos a salvo dos programas de vigilância dos EUA. Além disso, o Escudo de Proteção da Privacidade não concede aos titulares europeus dos dados os direitos aplicáveis suficientes e recursos legais eficazes nos Estados Unidos.
A decisão do Tribunal de Justiça da União Europeia sublinha mais uma vez as dificuldades que advêm da transferência de dados sensíveis de empresas para os Estados Unidos. Como o Escudo de Proteção da Privacidade já não constitui uma base legal válida para a transferência internacional de dados, as organizações que confiam neste terão de tomar novas medidas para se manterem em conformidade com os elevados padrões europeus de proteção de dados. Caso queiram continuar a transferir os dados para fora da Europa, será necessária uma análise caso a caso para salvaguardar os seus dados.
Estão disponíveis mais informações sobre a decisão com base no caso Schrems II pelo Tribunal de Justiça da União Europeia aqui.
Fale com os nossos especialistas
Quer saber mais, debater ideias ou partilhar opiniões?