Transferências de dados transatlânticas ‘acordo em princípio’ enfrenta difícil revisão legal – Techdoxx

O acordo político alcançado no final do mês passado entre a União Europeia e o governo dos EUA sobre um novo pacto transatlântico de transferência de dados que visa acabar com anos de insegurança jurídica para empresas que exportam dados do bloco ainda não está fechado. O negócio, em princípio, enfrenta escrutínio nos próximos meses assim que o texto completo for publicado – e provavelmente enfrentará novos (e rápidos) desafios legais se for adotado, então tudo depende dos detalhes.

Ontem, o Conselho Europeu de Proteção de Dados (EDPB), que aconselha o cumprimento da lei de proteção de dados da UE, publicou um demonstração sinalizando para onde estará direcionando sua atenção quando revisar esse detalhe – dizendo que estará prestando “atenção especial à forma como esse acordo político é traduzido em propostas legais concretas”.

“O EDPB espera avaliar cuidadosamente as melhorias que a nova estrutura pode trazer à luz da lei da UE, da jurisprudência do TJUE e das recomendações anteriores do Conselho, assim que o EDPB receber todos os documentos de apoio da Comissão Europeia”, escreveu o Conselho.

“Em particular, a EDPB vai analisar se a recolha de dados pessoais para fins de segurança nacional se limita ao estritamente necessário e proporcional. Além disso, o EDPB examinará como o mecanismo de reparação independente anunciado respeita o direito dos indivíduos do EEE a um recurso efetivo e a um julgamento justo. Mais especificamente, o EDPB irá analisar se alguma nova autoridade que integra este mecanismo tem acesso a informação relevante, incluindo dados pessoais, no exercício da sua missão e se pode adotar decisões vinculativas para os serviços de inteligência. A EDPB também considerará se há recurso judicial contra as decisões ou inércias desta autoridade.”

O EDPB também alertou que o acordo político ainda não é um acordo legal – enfatizando que os exportadores de dados devem continuar a cumprir a jurisprudência do tribunal superior do bloco enquanto isso; e especialmente com a decisão de julho de 2020 do TJUE, também conhecido como Schrems II, que derrubou o último acordo de transferência de dados UE-EUA (também conhecido como Escudo de Privacidade UE-EUA).

Falando sobre o acordo político alcançado no mês passado para substituir o extinto Escudo de Privacidade, o governo Biden disse os EUA se comprometeram a colocar em prática “novas salvaguardas” que, segundo eles, garantiriam que as atividades de coleta de dados das agências estaduais de vigilância fossem “necessárias e proporcionais” e vinculadas a “objetivos de segurança nacional definidos”.

O confronto entre a primazia das leis de vigilância dos EUA e os robustos direitos de privacidade da UE continua sendo o cisma fundamental – por isso é difícil ver como qualquer novo acordo será capaz de enfrentar novos desafios legais, a menos que se comprometa a impor limites rígidos aos programas de vigilância em massa dos EUA.

O acordo de substituição também precisará criar um caminho adequado para os indivíduos da UE buscarem e obterem reparação se acreditarem que as agências de inteligência dos EUA os atacaram ilegalmente. E isso também parece difícil.

No mês passado, antes do anúncio do acordo político, A colina relatou sobre uma decisão da Suprema Corte dos EUA em um caso relacionado à vigilância do FBI que sugeriu dificultar a chance de um acordo – já que o tribunal reforçou o privilégio de segredos de estado para casos de espionagem ao descobrir que o Congresso não eliminou esse privilégio quando promulgou reformas de vigilância em a Lei de Vigilância de Inteligência Estrangeira (FISA).

“Embora a opinião tenha deixado em aberto a possibilidade de que pessoas como os queixosos de Fazaga pudessem apresentar queixas com base em informações públicas sobre a vigilância do governo, a maioria das pessoas precisa de informações confidenciais do governo para ajudar a provar que sua vigilância era ilegal. A decisão pode tornar mais fácil para o governo proteger essas informações dos juízes e, portanto, mais difícil para a maioria das pessoas que desafiam a vigilância para provar suas alegações e obter justiça no tribunal”, informou a publicação.

A necessidade de reformas mais profundas da FISA tem sido um apelo importante dos críticos de acordos anteriores de transferência de dados UE-EUA (antes do Privacy Shield havia Safe Harbor – que foi derrubado pelo TJUE em 2015).

No mês passado, a Casa Branca disse que o acordo acordado em princípio permitiria que indivíduos da UE “buscassem reparação de um novo mecanismo de reparação multicamadas que inclui um Tribunal de Revisão de Proteção de Dados independente que consistiria de indivíduos escolhidos de fora do governo dos EUA que teriam total autoridade para julgar reclamações e medidas corretivas diretas conforme necessário”.

No entanto, o estatuto legal deste “Tribunal de Revisão” será fundamental – como sublinha a declaração do EDPB.

Além disso, se a Suprema Corte dos EUA adotar uma visão diferente, que essencialmente anula qualquer acordo que o governo Biden esteja prometendo, impossibilitando que indivíduos da UE obtenham as informações necessárias para poderem apresentar uma reclamação contra o governo dos EUA que prejudicaria a capacidade dos cidadãos da UE para na realidade obter reparação… E, bem, o TJUE deixou bem claro que os indivíduos da UE sujeitos a vigilância ilegal em um país terceiro devem ter uma maneira genuína e significativa de buscar a responsabilização.

A declaração do EDPB elucida exatamente essas preocupações – com o Conselho sinalizando que qualquer “nova autoridade” criada sob a alegação de fornecer reparação precisará “acesso a informações relevantes, incluindo dados pessoais” para poder cumprir essa missão; e também terá de ser capaz de adotar decisões que sejam vinculativas para os serviços de inteligência.

Vale lembrar que o regime de ‘ombudsperson’ do Privacy Shield que foi testado no Privacy Shield não foi aprovado no TJUE – tanto por motivos de independência e devido à impossibilidade de o ombudsman adotar decisões que vinculem os serviços de inteligência.

Quão diferente seria um “Tribunal de Revisão de Proteção de Dados” a esse respeito, continua a ser visto.

Max Schrems, o ativista de privacidade da UE que derrubou com sucesso os dois últimos acordos de transferência de dados UE-EUA, continua cético de que a última ‘correção’ ofereça algo substancialmente diferente – recentemente twittando outra metáfora visual atraente para ilustrar sua avaliação inicial…

Na falta de uma reforma genuína de vigilância nos EUA, pode ser que a quadratura do círculo de transferência de dados seja um desafio tão grande quanto provou nas duas últimas vezes ao redor do quarteirão. Mas mesmo que o imperativo político dentro da UE para fazer um acordo supere as lacunas legais óbvias – como fez quando a última Comissão ignorou as preocupações e adotou o Privacy Shield – isso significará apenas que os dois lados estão ganhando tempo até a próxima derrubada do TJUE.

Provavelmente não muito tempo também.

Enquanto o Safe Harbor durou 15 anos, o Privacy Shield durou apenas quatro – e Schrems sugeriu que um novo desafio a outro substituto defeituoso seria rapidamente encaminhado ao TJUE “dentro de meses” de uma decisão final de adotá-lo. Assim, os legisladores da UE foram avisados.