Fernando Borges, Associado Sênior
Luane Oliveira, Advogada Associada
No dia 10 de julho de 2023, A Comissão Europeia emitiu sua decisão definitiva quanto à viabilidade do framework que respaldaria juridicamente transferências internacionais de dados pessoais entre Estados Unidos e União Europeia. A referida Adequacy Decision encerrou o processo de aprovação para entrada em vigor do TADPF.
Recordando as etapas anteriores da discussão em torno, é importante recordar que comitê do Parlamento Europeu para assuntos de liberdade civil, justiça e assuntos domésticos se opôs, por meio de resolução publicada em 11 de maio, quanto à edição de uma decisão de adequação baseada na Executive Order emitida em 7 de outubro de 2022, pelo Presidente Biden.
Em tal resolução, o Parlamento Europeu argumentou falhas no quesito de garantia, nos EUA, de proteção equivalente àquela prevista pelo GDPR para os dados pessoais oriundos da Europa, coletados e tratados nos EUA.
Naquela ocasião, o Parlamento asseverou que os princípios de proporcionalidade e necessidade, que nortearia a atuação agências de segurança americanas, seria interpretado de acordo com a lei e prática jurídica americana, o que não estaria alinhado com os parâmetros interpretativos praticados na União Europeia. Além disso, as decisões emitidas pelo Data Protection Review Court (“DPRC”), órgão responsável pela análise de reivindicações de titulares de dados vítimas de abuso, não seriam públicas, prejudicando a transparência, independência e imparcialidade do órgão. Por fim, uma das principais ressalvas do comitê recaiu sobre o fato de os EUA ainda não possuírem legislação federal abrangente sobre o tema.
O projeto de framework foi também analisado pelo European Data Protection Board (EDPB), que, contrariamente ao Parlamento, emitiu um relatório de opinião positivo, afirmando, por exemplo, que a introdução do princípio da necessidade/proporcionalidade e os novos mecanismos para reivindicações e reparação de danos aos titulares de dados oriundos da Europa seriam melhorias que devem ser bem-vistas pelo parlamento. Contudo, a referida opinião não é vinculativa, tendo ficado pendente a aprovação pelo Parlamento.
Então, conforme introduzido acima, a Comissão Europeia emitiu a chamada “Decisão de Adequação”, sendo este um instrumento jurídico previsto no artigo 45, n. 3, do GDPR que legitima as transferências de dados da União Europeia para países terceiros. Por meio de tal decisão, a Comissão confirma que as salvaguardas implementadas pela Ordem Executiva 14086 seriam suficientes para garantir que os EUA proporcionam um nível adequado de proteção aos dados pessoais transferidos da União Europeia para organizações que participam da TADPF.
O TADPF possui muitos pontos de convergência com seu antecessor Privacy Shield, especialmente com relação aos seus princípios, aplicabilidade e mecanismos de certificação. No entanto, a referida Ordem Executiva 14086 proporcionou mais clareza quanto aos novos mecanismos de proteção aos titulares de dados, com uma descrição mais detalhada do órgão responsável pela investigação e endereçamento de eventuais violações, bem como dos recursos de proteção e reclamações à disposição de data subjects. O referido órgão será, portanto, independente e imparcial, com funcionamento em dois níveis, sendo o primeiro composto por um Civil Liberties Protection Officer, pertencente à comunidade de inteligência do governo americano, com possibilidade de recurso para o Data Protection Review Court (DPRC), órgão composto por membros não pertencentes ao governo. O DPRC conta com poderes amplos de investigação e obtenção de informações junto a agências de inteligência, assim como suas decisões são vinculantes, podendo conter condenações a reparação de danos a titulares de dados prejudicados, por exemplo.
É importante compreender que, para uma empresa poder se valer das prerrogativas de transferência de dados previstas no framework, o destinatário nos EUA deve se submeter às disposições do TADPF, assumindo um compromisso vinculativo quanto ao cumprimento das obrigações previstas. Assim, empresas europeias que pretendam legitimar as suas transferências de dados para os EUA com base na recente Adequacy Decision devem verificar se os seus parceiros nos EUA estão certificados e em conformidade.
Por fim, destaca-se que a organização fundada por Max Schrems, responsável pela instauração dos procedimentos que levaram à in validação dos dois frameworks anteriores, indicou a sua intenção de contestar o TADPF, de forma que sua validade deverá ser novamente posta em discussão pelo Tribunal de Justiça da União Europeia em 2024 ou 2025. Resta, agora, aguardar os próximos desdobramentos.
