No dia 13 de dezembro de 2022, a Comissão Europeia iniciou o processo formal de adoção de uma decisão de adequação no quadro UE-EUA para a realização de transferências internacionais de dados[1] – tendo em vista a substituição da decisão de adequação anterior, o EU-U.S. Privacy Shield, declarado inválido pelo Tribunal de Justiça, na decisão Schrems II.
Em julho de 2020, foi publicado o projeto de decisão de adequação[2] e transmitido ao Comité Europeu para a Proteção de Dados (“CEPD”) para que este emita o seu parecer. Posteriormente, a Comissão solicitará a aprovação de um comité composto por representantes dos Estados-Membros da EU e, uma vez concluído este procedimento, irá proceder à adoção da decisão final de adequação.
De acordo com o Regulamento Geral sobre a Proteção de Dados (“RGPD”), a decisão de adequação é um instrumento que permite levar a cabo transferências internacionais de dados da UE para países terceiros, se a Comissão tiver decidido que um país terceiro, um território ou um ou mais setores específicos desse país terceiro, asseguram um nível de proteção adequado[3]. Desse modo, os dados pessoais podem circular para um país terceiro (i.e. fora do Espaço Económico Europeu[4], sem estarem sujeitos a quaisquer outras condições ou autorizações – sem prejuízo da reavaliação periódica das decisões de adequação por parte a Comissão.
Após a declaração de invalidade do Privacy Shield – e considerando a entropia que causou nas transferências transatlânticas e na contratação de prestadores de serviços, como cloud services – a Comissão Europeia e o governo dos EUA encetaram discussões relativas a este novo quadro legal.
O projeto reflete as preocupações da decisão Schrems II, visando fortalecer a proteção de dados pessoais dos residentes da EU, e aumentar a segurança jurídica relativamente à contratação de prestadores de serviços nos EUA
O projeto de decisão, entre outros, (i) limita o acesso aos dados por parte dos serviços de inteligência dos EUA; (ii) reforça a supervisão das atividades dos serviços de inteligência dos EUA para assegurar o cumprimento das limitações às atividades de vigilância; e (iii) introduz um mecanismo de recurso independente e imparcial para investigar e resolver queixas relativas ao acesso aos seus dados para fins de segurança nacional. O projeto de decisão de adequação concluiu que os EUA asseguram um nível adequado de proteção dos dados pessoais transferidos da UE para empresas dos EUA[5].
À semelhança das anteriores, esta decisão não será aplicável a todas as transferências internacionais para os EUA, mas apenas a transferências para empresas que integrem o EU-U.S. Data Privacy Framework, e que, consequentemente, se hajam vinculado ao cumprimento das obrigações daí resultantes.
Prevê-se que a decisão de adequação seja adotada na primeira metade de 2023, todavia, considerando a relevância e a frequência das transferências de dados pessoais para os EUA, o tempo necessário para que as empresas nos EUA obtenham a certificação, e a insegurança que tem estado associada ao tema, recomenda-se, por agora, que as empresas se vinculem nos termos das cláusulas contratuais‑tipo da Comissão[6].
As cláusulas contratuais-tipo, que as empresas podem introduzir nos seus contratos comerciais, são o mecanismo mais utilizado para transferir dados da EU, e devem ser adotadas, conjuntamente com uma análise à transferência de dados em concreto, tendo em vista verificar a suficiência das mesmas – o que se recomenda que, até à entrada em vigor da nova decisão de adequação, seja posto em prática. Resultou do Acórdão Schrems II que as cláusulas contratuais-tipo devem ser acompanhas de outras medidas – não sendo a sua assinatura suficiente – cabendo aos exportadores uma análise casuística do regime jurídico do país do importador, verificando se este pode pôr em crise as garantias contidas nas referidas cláusulas. Atualmente, e para transferências para os EUA, esta análise pode fundamentar-se no projeto de decisão de adequação, na medida em que descreve em detalhe o regime jurídico norte-americano em matéria de acesso a dados pelos serviços de inteligências e autoridades governamentais (que esteve na origem da declaração de invalidade do Privacy Shield).
A Comissão Europeia, as autoridades de controlo e as autoridades competentes do EUA farão revisões periódicas a este quadro, tendo a primeira revisão lugar no prazo de um ano após a entrada em vigor da decisão de adequação.
[1] Commission publishes draft adequacy decision for the EU-US (europa.eu).
[2] Draft adequacy decision on EU-US Data Privacy Framework_0.pdf (europa.eu).
[3] Cf. artigo 45.º do RGPD.
[4] Este regime é aplicável não só aos Estados-Membros da União Europeia, mas também à Islândia, Liechtenstein e Noruega, que integrem o Espaço Económico Europeu, e que adotaram o RGPD.
[5] Commission publishes draft adequacy decision for the EU-US (europa.eu)