.
Opinião A extensão do Reino Unido ao Quadro de Privacidade de Dados UE-EUA (também conhecido como Data Bridge) entrará em vigor em 12 de outubro, permitindo que as entidades certificadoras transfiram facilmente dados pessoais do Reino Unido para os EUA.
A transferência de dados pessoais através do Atlântico seria proibida pelo Regulamento Geral de Proteção de Dados do Reino Unido (GDPR do Reino Unido) sem mecanismos de transferência (como cláusulas contratuais padrão, também conhecidas como SCCs, ou regras corporativas vinculativas, também conhecidas como BCRs).
A Comissão Europeia adotou uma decisão de adequação a favor do Quadro de Privacidade de Dados UE-EUA (DPF) em Julho. O DPF substitui o Escudo de Privacidade UE-EUA, que foi declarado inválido pelo Tribunal de Justiça da União Europeia (TJUE) em 2020.
Como o Reino Unido é não mais um membro da União Europeia, o DPF não permite automaticamente a transferência de dados pessoais do Reino Unido para os EUA. As transferências de dados pessoais do Reino Unido exigirão uma ponte de dados.
O Departamento de Ciência, Inovação e Tecnologia (DSIT) publicou os Regulamentos de Proteção de Dados (Adequação) (Estados Unidos da América) de 2023 para a Extensão do Reino Unido à Estrutura de Privacidade de Dados UE-EUA (os Regulamentos) em 21 de setembro. Os Regulamentos estabelecem que, para efeitos do GDPR do Reino Unido e da Lei de Proteção de Dados de 2018, o Secretário de Estado considera que os EUA fornecem um nível adequado de proteção de dados pessoais para certos tipos de transferências.
Para que os exportadores de dados do Reino Unido possam contar com o Data Bridge, o importador dos EUA deve ter autocertificação para o DPF e o Data Bridge. Os dados pessoais transferidos devem ser tratados de acordo com os princípios do DPF após o recebimento pelo importador de dados dos EUA.
No entanto, o órgão de vigilância de dados britânico, o Information Commissioner’s Office (ICO), expressou reservas em relação ao Data Bridge.
Lacunas na ponte?
A OIC argumenta que as entidades podem não proteger adequadamente os dados sensíveis. A definição do Data Bridge de “dados sensíveis” não corresponde à do RGPD do Reino Unido, uma vez que a definição que aparece no Data Bridge não especifica todas as categorias especiais de dados pessoais identificadas no Artigo 9 do RGPD do Reino Unido.
Além disso, a definição do Data Bridge inclui uma disposição abrangente que especifica “…qualquer outra informação recebida de um terceiro que seja identificada e tratada por essa parte como sensível.” Esta discrepância significa que os exportadores do Reino Unido terão de identificar dados biométricos, genéticos, de orientação sexual e de crimes como “dados sensíveis” ao enviar informações para os EUA. No entanto, atualmente nada no GDPR do Reino Unido exige que as organizações do Reino Unido identifiquem informações como confidenciais. Isto significa que as proteções para categorias especiais de dados pessoais podem não ser aplicadas na prática.
A OIC também manifestou preocupação com o facto de os dados de infracções penais poderem ser menos protegidos nos Estados Unidos. Os EUA não oferecem proteções equivalentes às estabelecidas no Reino Unido Lei de Reabilitação de Infratores de 1974, que impõe limites à utilização de dados relativos a condenações penais quando essas condenações tenham sido «gastas» após o período de reabilitação relevante, incluindo a possibilidade de solicitar que esses dados sejam apagados. A OIC observa que não está claro como essas proteções se aplicariam às informações que foram transferidas para os EUA.
Há também um questionamento sobre se os indivíduos têm menos direitos de privacidade sob o Data Bridge. Não contém um direito substancialmente semelhante ao RGPD do Reino Unido na proteção dos indivíduos de serem sujeitos a decisões baseadas exclusivamente no processamento automatizado que resultariam em efeitos legais ou igualmente significativos para o titular dos dados. Em particular, o Data Bridge não inclui o direito de ter uma decisão automatizada revisada por um ser humano.
Além disso, o Data Bridge não inclui um “direito de ser esquecido” ou de retirar o consentimento substancialmente semelhante. Embora o Data Bridge dê aos indivíduos algum controlo sobre os seus dados pessoais, não é tão extenso como os direitos de que gozam no Reino Unido.
As empresas do Reino Unido que não podem contar com a Data Bridge para transferências de dados pessoais para os EUA podem ainda contar com outras salvaguardas, nomeadamente SCCs ou BCRs. No entanto, tal como acontece com o DPF, existem requisitos específicos para transferências do Reino Unido.
Os exportadores do Reino Unido que dependem das SCC para transferir dados pessoais para os EUA ou outros países terceiros devem estar cientes de que as SCC da UE já não podem ser utilizadas para novos acordos de transferência de dados do Reino Unido.
As SCCs da UE devem ser anexadas ao Adendo do Reino Unido às SCCs da UE ou os exportadores de dados do Reino Unido devem usar o Acordo Internacional de Transferência de Dados do Reino Unido (IDTA). Os exportadores de dados do Reino Unido que já celebraram contratos com base nas SCC da UE até 21 de setembro de 2022 podem continuar a contar com as SCC da UE até 21 de março de 2024.
Após este período, os exportadores do Reino Unido devem adotar o IDTA ou as SCCs da UE com o Adendo do Reino Unido. Os exportadores do Reino Unido também devem realizar uma Avaliação de Risco de Transferência (TRA) antes de transferirem dados pessoais usando as SCCs, usando a ferramenta TRA da ICO ou as orientações publicadas pelo Conselho Europeu de Proteção de Dados (EDPB).
Dado o alarde que surgiu quando o governo do Reino Unido anunciou o conceito da Data Bridge em junho, a crítica da OIC à iniciativa não é insignificante. Embora a Data Bridge entre em vigor em 12 de outubro, será interessante ver como ela funciona na prática, especialmente dadas as preocupações da OIC. ®
.
