Na data em que se celebra o Dia Internacional da Privacidade de Dados, convidam-nos a abordar o que se apresenta, provavelmente, como o tema mais intrincado na área e que se reveste de complexidade técnica assinalável: as transferências internacionais de dados.
Volvidos quase três anos da produção plena de efeitos do RGPD (Regulamento EU679), porventura os mais distraídos pensarão que as preocupações com compliance em matéria de privacidade e proteção de dados pessoais resfriaram após o já longínquo ano de 2018 depois do boom comunicacional que tanto ruído gerou.
É missão impossível não entediar o leitor ao mergulhar na tecnicidade das transferências internacionais de dados pessoais. Não obstante, elas ocorrem permanentemente com os actuais fluxos de comunicação, interligação de plataformas digitais, prestações de serviços e relações empresariais transnacionais. De tal forma que, para o mero cidadão e titular de dados revela-se cada vez mais árduo ter plena consciência de quem tem acesso e onde se encontram as suas informações de caracter pessoal.
Por isso mesmo, os mecanismos legalmente previstos para que as transferências internacionais se considerem lícitas assumem suma importância na medida em que nos permitem – presumindo que as organizações estão num cenário de cumprimento – actuar com revigorada confiança.
O principal objectivo da regulação neste plano é assegurar aos titulares, em geografias distintas do Espaço Económico Europeu (EEE), um nível de proteção dos seus direitos semelhante ao que por cá lhes é conferido. Assim, o exige-se que a organização ou o país receptor dos dados pessoais assegurem um nível de protecção adequado àquele que é garantido no EEE.
De modo a assegurar essa protecção, a Comissão Europeia (CE) emitiu decisões de adequação relativamente a alguns países, permitindo-se assim a exportação de dados para esses países sem necessidade de qualquer requisito adicional, além, obviamente, da regulação das relações interpares por via dos já célebres acordos de subcontratação (ou responsabilidade conjunta).
O tema ganha especial relevo no que concerne às transferências internacionais para os EUA, sobretudo devido ao que se tornou o hot topic do último verão (não obstante o reduzido eco que obteve, porventura pelo monopólio assumido pela pandemia). É, pois, incontornável abordar a decisão do Tribunal de Justiça da União Europeia (TJUE) de 16 de Julho de 2020 que veio declarar a invalidade da decisão de adequação existente (conhecida por Privacy Shield).
Na verdade, o Acórdão Schrems II veio, sem precedente, colocar em crise as garantias de privacidade e os mecanismos de reacção ao dispor dos titulares de dados pessoais quando perante organizações sediadas nos EUA.
Recorde-se que a sumptuosa decisão, honra lhe seja feita, nasce da persistência do advogado e activista pela privacidade austríaco (Maximiliam Schrems) em demandar a americana Facebook pelas transferências de dados pessoais para os EUA sem existência de proteção suficiente na legislação local em virtude dos “mecanismos de vigilância massivos” desenvolvidos, entre outros, pela NSA e FBI.
A este respeito, desengane-se quem possa pensar que os impactos desta decisão são exíguos. Estamos perante o que se pode revelar uma verdadeira hecatombe pela considerável incerteza gerada nos operadores económicos com impactos que se estimam em mais de cinco triliões de euros.
A invalidade da Privacy Shield acarreta um esforço acrescido em matéria de compliance com o RGPD, na medida em que implica uma análise casuística a todas as transferências de dados para os EUA e a implementação de métodos e soluções que permitam viabilizar juridicamente as transferências. Em boa verdade, as cláusulas contratuais-tipo aprovadas pela CE com aquele destino deveriam ter semelhante consequência jurídica, porém o TJUE (quiçá para sossego da política internacional) não foi tão longe.
Assim, quer este método quer o recurso a binding corporate rules, permanecem como os cenários legalmente possíveis para a realização de transferências para aquela geografia, ficando, contudo, dependentes do resultado da avaliação casuística, a par da aplicação de medidas adicionais no sentido garantir que a legislação do destino não fere o nível adequado de proteção.
Avizinham-se, assim, novos tempos e novos desafios com os olhos postos nas mais recentes recomendações da European Data Protection Board (EDPB) e, em grande medida, dependentes da proactividade e actuação das Autoridades de Controlo nesta matéria.
O autor escreve de acordo com a antiga ortografia.
