.
Os legisladores do Parlamento Europeu instaram a Comissão Europeia a não emitir a “decisão de adequação” necessária para que o Data Privacy Framework (DPF) UE-EUA se torne oficialmente o canal para que os dados fluam livremente da UE para os Estados.
É quase desnecessário dizer que a operação atual do setor de tecnologia na Europa não funcionaria sem os serviços das empresas de tecnologia dos EUA – portanto, as transferências de dados para essas corporações americanas não podem ser evitadas de forma prática. No entanto, as regras europeias sobre privacidade, coleta de dados e direitos dos titulares de dados são consideravelmente mais fortes do que as da América, daí a necessidade de regras de engajamento que tornem o tratamento dos dados da UE pelas empresas americanas tão bom quanto o que receberiam em casa.
O DPF foi anunciado em março do ano passado e visa atender às preocupações levantadas pelo Tribunal de Justiça da UE em Schrems IIum caso de 2020 que derrubou os chamados acordos de proteção de dados Privacy Shield entre o bloco político e os EUA.
A presidente da UE, Ursula von der Leyen, e o presidente dos EUA, Joe Biden, disseram que chegaram a um acordo de princípio sobre a estrutura para fluxos de dados transatlânticos na época, com Biden assinando uma ordem executiva (EO) sobre o assunto em outubro do ano passado.
Mas a Comissão de Liberdades Cívicas, Justiça e Assuntos Internos (LIBE) do Parlamento Europeu ainda não está satisfeita com o que vê e emitiu um parecer não vinculativo projeto de parecer [PDF] sobre quão adequada considera ser a proteção conferida pelas regras de dados transfronteiriças propostas. Resumindo: não é.
De acordo com a moção apresentada esta semana, a mais recente Estrutura de Privacidade de Dados ainda está muito aquém do padrão do Regulamento Geral de Proteção de Dados que os residentes da UE podem esperar de empresas regulamentadas dentro do bloco. O Comitê diz que “a menos que reformas significativas sejam introduzidas”, o Commish não deve prosseguir. O advogado de tecnologia Neil Brown, da decoded.legal, disse Strong The One que “Em outras palavras … nenhuma quantidade de papelada superará o que eles percebem como aspectos da lei dos EUA que consideram incompatíveis com o GDPR da UE.”
A LIBE disse que as regras reformuladas não têm as salvaguardas robustas de vigilância do governo e os mecanismos de reparação do consumidor que esperaria para “criar equivalência real no nível de proteção” fornecido aos dados transferidos dos residentes da UE.
Entre outras questões, apontou:
O comitê também apontou que “ao contrário de todos os outros países terceiros que receberam uma decisão de adequação ao GDPR, os EUA ainda não possuem uma lei federal de proteção de dados”. Isso importa quando os princípios em torno de quaisquer “limites” impostos ao trabalho do US SigInt “serão interpretados exclusivamente à luz da lei e das tradições legais dos EUA”, afirmou.
O DPF previu vários mecanismos de reparação. Entre outras coisas, os europeus podem apresentar queixas ao Tribunal de Revisão de Proteção de Dados (DPRC) se acreditarem que seus dados pessoais foram coletados em violação à lei aplicável dos EUA.
No entanto, o comitê concluiu que “o processo de reparação fornecido pelo EO é baseado em sigilo e não estabelece uma obrigação de notificar o reclamante de que seus dados pessoais foram processados, prejudicando assim seu direito de acessar ou retificar seus dados”.
Também concluiu que o DPRC não atendeu aos padrões de imparcialidade ou independência previstos na Carta dos Direitos Fundamentais da UE, pois o “queixoso será representado por um ‘advogado especial’ designado pelo DPRC, para quem não há exigência de independência” e também que havia via de recurso federal para o titular dos dados.
Se passar por todas as barreiras da União Europeia, uma decisão de adequação do DPF pode ser esperada por volta de julho de 2023. Uma vez adotado, as empresas europeias poderão transferir dados pessoais para “empresas participantes nos Estados Unidos, sem ter que colocar em colocar salvaguardas adicionais de proteção de dados.”
Mas isso vai acontecer? Brown disse Strong The One: “Meu sentimento … é que haveria ceticismo de qualquer Édito emitido pelos EUA, que falhou em proibir a coleta em massa (e tal proibição parece altamente improvável), ou que permite interpretações/expansões secretas da lei.” ®
.
