O acordo de transferência de dados entre EUA e UE já é uma certeza?

As milhares de empresas que esperam que um novo acordo de transferência de dados entre Estados Unidos e União Europeia entre em vigor em breve e facilite o pesado trabalho legal necessário para a transferência de dados transfronteiriça não devem ter esperanças. A ordem executiva do presidente dos Estados Unids, Joe Biden, para implementar regras para o Trans-Atlantic Data Policy Framework, acordada no início deste ano, é um movimento na direção certa, mas o novo pacto não entrará em vigor até a próxima primavera, e mesmo assim está fadada a enfrentar desafios legais, dizem especialistas em políticas públicas e jurídicos.

A ordem executiva, assinada por Biden em 7 de outubro, impõe novas restrições à vigilância eletrônica por agências de inteligência americanas e dá aos europeus novos caminhos para apresentar queixa quando acreditarem que suas informações pessoais foram usadas ilegalmente por agências de inteligência dos Estados Unidos.

A medida ocorre dois anos depois que o Tribunal de Justiça Europeu encerrou o acordo anterior de compartilhamento de dados União Europeia-Estados Unidos, conhecido como Privacy Shield, em 2020, alegando que os Estados Unidos não fornecem proteção adequada para dados pessoais, principalmente em relação à vigilância estatal.

O novo Trans-Atlantic Data Policy Framework visa melhorar as salvaguardas de privacidade dos Estados Unidos, substituir o Privacy Shield e, eventualmente, passar pelo escrutínio do Tribunal de Justiça quando os desafios legais esperados forem apresentados. No entanto, apesar da administração Biden e da Comissão Europeia divulgarem declarações endossando o pacto de dados recém-proposto, está longe de ser um acordo fechado, de acordo com Jonathan Armstrong, Advogado de Conformidade e Tecnologia da Cordery, especialista em conformidade com sede no Reino Unido.

“Tanto a Casa Branca quanto a Comissão Europeia podem estar dizendo que estão confiantes, mas já passamos por esse caminho antes, com ambos os lados dizendo que o Privacy Shield resistiria ao escrutínio judicial. Isso não aconteceu”, disse Armstrong.

O que vem a seguir para a estrutura de política de dados transatlântica

Primeiro, a União Europeia deve confirmar que as novas regras estabelecidas pela ordem executiva de Biden são adequadas para atender aos padrões acordados na estrutura transatlântica, que por sua vez foi elaborada para oferecer proteções de privacidade equivalentes ao GDPR (Regulamento Geral de Proteção de Dados) da União Europeia.

Nos próximos meses, a Comissão Europeia, órgão executivo da União Europeia, irá propor um projeto de decisão de adequação e lançar um procedimento de adoção, que inclui a consulta ao Conselho Europeu de Proteção de Dados (EDPB) e a obtenção da aprovação de um comitê composto por representantes do Estados membros da União Europeia, de acordo com uma declaração da Comissão.

O Parlamento Europeu provavelmente também vai querer examinar o acordo antes de ser ratificado, disse Armstrong.

Enquanto isso, Max Schrems – o ativista e advogado austríaco cujas reclamações contra o Facebook por violações do GDPR levaram ao fim do Privacy Shield e seu acordo precursor, Safe Harbor – já disse que pode contestar o acordo com seu grupo de pressão NOYB [European Center for Digital Rights].

“À primeira vista, parece que as questões centrais não foram resolvidas e voltarão ao TJUE [Tribunal de Justiça Europeu] mais cedo ou mais tarde”, disse Schrems em comunicado publicado pela NOYB.

Críticos de transferência de dados visam vigilância em massa

Um grande problema com a ordem executiva de Biden e a própria Estrutura de Política de Dados Transatlânticos, de acordo com Schrems e outros críticos, é que ela não aborda adequadamente a vigilância em massa pelas agências de inteligência dos Estados Unidos.

A ordem executiva diz que exige que as atividades de inteligência dos Estados Unidos sejam conduzidas “somente quando necessário para avançar uma prioridade de inteligência validada e apenas na medida e de maneira proporcional a essa prioridade”. Mas, embora a lei da União Europeia também exija vigilância proporcional, não há indicação de que a vigilância em massa dos Estados Unidos mude na prática, disse a NOYB.

Além disso, embora a ordem de Biden exija que o Departamento de Justiça dos Estados Unidos estabeleça um Tribunal de Revisão de Proteção de Dados para tratar de reclamações sobre vigilância, não é um “tribunal real”, mas sim um órgão do ramo jurídico do governo dos Estados Unidos, de acordo com o NOYB.

NOYB também apontou que uma ordem executiva não é lei, mas uma diretriz do presidente dos Estados Unidos para o ramo federal do governo.

O grupo de lobby da American Civil Liberties Union (ACLU) concorda.

“Os problemas com o regime de vigilância dos Estados Unidos não podem ser curados apenas por uma ordem executiva”, disse Ashley Gorski, Advogada Sênior do Projeto de Segurança Nacional da ACLU, em um comunicado da ACLU. “Para proteger nossa privacidade e colocar as transferências de dados transatlânticas em uma base legal sólida, o Congresso deve aprovar uma reforma significativa da vigilância. Até que isso aconteça, as empresas e indivíduos dos Estados Unidos continuarão a pagar o preço”.

É improvável que o acordo cumpra os requisitos de um acordo de adequação, disse Tash Whitaker, Diretor Global de Conformidade de Dados da Whitaker Solutions. “Em particular, a vigilância em massa provavelmente continuará como está, independentemente de quaisquer alterações na redação da nova ordem executiva. Além disso, há uma necessidade de reparação judicial para os titulares de dados no âmbito da legislação nacional. A ordem executiva sugere que isso aconteça referindo-se a um “Tribunal de Revisão de Proteção de Dados”.

Por que as empresas querem um novo Privacy Shield

As empresas querem que um novo acordo de transferência de dados entre em vigor para reduzir as laboriosas negociações legais atualmente necessárias para realizar transferências de dados entre o Atlântico, para ajudar a garantir que elas estejam fazendo isso de uma maneira que atenda aos padrões da União Europeia e evite ações de execução por parte das Autoridades de Proteção de Dados da União Europeia (DPAs) – autoridades públicas independentes que lidam com reclamações relacionadas a violações do GDPR da União Europeia – de acordo com Lartease Tiffith, Vice-Presidente Executivo de Políticas Públicas do grupo comercial Interactive Advertising Bureau (IAB), com sede em Nova York.

Na ausência do Privacy Shield ou de um acordo semelhante, as empresas usam as chamadas cláusulas contratuais padrão para confirmar que as transferências de dados são feitas de acordo com o GDPR, de acordo com a Tiffith. “O problema com isso é que elas são muito trabalhosas – eu nem as chamaria de cláusulas contratuais padrão porque, de certa forma, você precisa negociar cada uma delas, então padrão provavelmente é um nome impróprio”.

Quase 70% das mais de 5.000 empresas americanas que se inscreveram no Privacy Shield são empresas menores que não têm recursos para negociar vários contratos com todos os seus provedores de dados, e também é um fardo para grandes empresas, disse Tiffith.

A ideia por trás do Privacy Shield e da nova estrutura é que, uma vez que as empresas se autocertifiquem de que aderem às diretrizes aprovadas, elas não precisam mais estabelecer contratos individuais de privacidade de dados com todos os fornecedores, disse Tiffith.

“A outra consideração é que, mesmo com as cláusulas contratuais padrão, as empresas estão sujeitas à aplicação da DPA, se acharem que você não tem uma cláusula suficiente ou não cobriu tudo o que deveria”, disse Tiffith.

Desafios legais às regras de transferência de dados esperados

Tiffith disse que a ordem executiva de Biden foi um passo na direção certa, preparando o terreno para um acordo final, e enfatizou que os fluxos de dados são cruciais para o desenvolvimento mútuo de tecnologias médicas, de segurança cibernética e outras, bem como mídia, publicidade e bens de consumo.

Mesmo assim, considerando as críticas iniciais à ordem, “haverá contestações legais” ao acordo, admitiu Tiffith.

Armstrong, o advogado de compliance da Cordery, concordou, alertando as empresas sobre levar a sério as palavras encorajadoras de funcionários dos Estados Unidos e da União Europeia. “Há muito em jogo para as empresas confiarem nessas palavras de conforto, especialmente devido aos problemas que permanecem com a transferência de dados e os prováveis desafios”, disse Armstrong.

Como resultado do processo de aprovação da União Europeia e possíveis desafios, o novo esquema deve ser adiado e é improvável que o pedido entre em vigor até o final da primavera de 2023, disse Armstrong. Mesmo assim, disse ele, a maioria das organizações ainda vai querer considerá-lo um acordo temporário enquanto continuam trabalhando em outras medidas de conformidade, em particular fazendo dupla diligência nas organizações para as quais estão enviando dados e as medidas em vigor nesta jurisdição.

“Em suma, é possível que os Estados Unidos obtenham algum tipo de adequação da União Europeia por trás disso, mas provavelmente será de curta duração, pois os lobistas a contestarão no tribunal mais rápido do que você possa dizer GDPR”, disse Whitaker.

(Com reportagem adicional de Marc Ferranti)