Foi publicada, no dia 12 de julho de 2016, a decisão de adequação da Comissão Europeia relativa ao novo enquadramento para a transferência, para os Estados Unidos, de dados pessoais cujos titulares sejam cidadãos da União Europeia: o "EU-US Privacy Shield" ("Privacy Shield"). Neste âmbito, criou-se um sistema de autocertificação para empresas americanas que pretendam tratar estes dados, pretendendo facilitar a sua transferência e, simultaneamente, impor obrigações mais exigentes àquelas empresas, numa ótica de proteção dos direitos dos cidadãos visados.

I. "EU-US PRIVACY SHIELD"

O novo enquadramento trazido pelo Privacy Shield surgiu na sequência de decisão anterior do Tribunal de Justiça da União Europeia, que declarou inválida a decisão de adequação da Comissão Europeia quanto aos princípios de privacidade "Safe Harbour" – sob os quais era permitida a transferência de dados pessoais de titulares da União Europeia para os Estados Unidos.

O Privacy Shield é baseado num sistema de autocertificação, através do qual as organizações americanas se comprometem a respeitar um conjunto de princípios relativos à privacidade dos dados pessoais que recebam da União Europeia.

A vinculação a estes princípios obrigará estas empresas a, nomeadamente, fornecer informações essenciais aos titulares dos dados, limitar o tratamento dos dados a determinadas finalidades e providenciar mecanismos de fiscalização do cumprimento destes princípios, bem como de recurso para os titulares dos dados contra tratamentos de dados ilegítimos.

II. NÍVEL DE PROTEÇÃO ADEQUADO

A Comissão Europeia considera que a vinculação aos princípios do Privacy Shield permite às organizações americanas garantir um nível de proteção adequado no que respeita à transferência de dados pessoais a partir da União Europeia. Assim, é garantido que:

  • Haverá uma proteção efetiva dos direitos dos titulares;
  • Existirá maior transparência em todos os processos de transferência de dados pessoais, bem como de certificação das empresas americanas;
  • Qualquer acesso por parte de autoridades dos Estados Unidos a dados pessoais transferidos será limitado a situações muito particulares, ligadas a fins de segurança nacional, prevendo-se mecanismos de supervisão e recurso para salvaguardar os interesses dos titulares e excluindo-se a possibilidade de acesso indiscriminado ou em massa a esses dados;
  • As empresas americanas incumpridoras serão sancionadas, podendo ser, em última instância, revogada a sua certificação;
  • As retransferências de dados pessoais serão limitadas a situações excecionais, garantindo-se que não serão subvertidas ou defraudadas as proteções garantidas aos titulares, independentemente de os dados serem retransmitidos para uma nova entidade subcontratante (third party processor) ou para novo responsável pelo tratamento (third party controller), e independentemente de serem retransmitidos para dentro ou fora dos Estados Unidos.

III. MECANISMOS DE COMPENSAÇÃO/REPARAÇÃO

O Privacy Shield prevê melhorias nos mecanismos de reação / compensação para os titulares dos dados:

  • As empresas americanas que tratem os dados serão obrigadas a responder a queixas que lhes sejam dirigidas pelos titulares, num prazo máximo de 45 dias;
  • Alternativamente, poderão os titulares recorrer a uma entidade independente de resolução de litígios designada (que poderá estar localizada nos Estados Unidos ou na União Europeia), sendo este recurso livre de quaisquer encargos;
  • Poderão também os titulares recorrer às Autoridades de Proteção de Dados Pessoais nacionais da União Europeia (como, no caso de Portugal, a CNPD), que cooperarão com as autoridades americanas de modo a encontrar soluções para as queixas recebidas, a garantir uma investigação apropriada e uma decisão célere;
  • Em último recurso, poderá recorrer-se a arbitragem, dirimida pelo designado "Privacy Shield Panel" (composto por um a três árbitros, escolhidos de uma lista criada pelo Department of Commerce americano e pela Comissão Europeia), para garantir uma decisão executória.

IV. MONITORIZAÇÃO

É estabelecido um mecanismo anual de revisão conjunta, em que serão partes a Comissão Europeia, o Department of Commerce dos Estados Unidos, e especialistas europeus e americanos em matérias de segurança nacional. Estes avaliarão se os princípios do Privacy Shield estão a ser respeitados, promovendo a discussão de questões relacionadas com o acesso aos dados pessoais pelas Autoridades Públicas. Desta revisão conjunta, e de outras fontes de informação que possam ser consideradas relevantes, resultará um relatório público a ser enviado ao Parlamento Europeu e ao Conselho da União Europeia.

V. CONSEQUÊNCIAS PRÁTICAS

As consequências desta decisão de adequação surgem, para as empresas americanas que pretendam tratar dados de titulares que sejam cidadãos da União Europeia, e para esses cidadãos, nos seguintes termos:

  • As empresas americanas terão, nomeadamente, (i) que se autocertificar anualmente, garantindo que cumprem os princípios e os requisitos do Privacy Shield quanto à transferência, tratamento e proteção de dados pessoais, (ii) de divulgar publicamente esta certificação, bem como as suas políticas de privacidade, com as eventuais alterações necessárias; (iii) de responder, da forma mais célere possível, e dentro dos 45 dias seguintes à sua receção, a quaisquer queixas que lhe sejam dirigidas por titulares, e (iv) de cumprir as instruções que lhes sejam dadas pelas autoridades americanas competentes, bem como cooperar com as autoridades europeias para a proteção de dados na investigação e resolução de queixas que hajam sido feitas junto dessas autoridades.
  • Os cidadãos da União Europeia beneficiarão (i) de maior transparência, segurança e proteção nas transferências dos seus dados pessoais para os Estados Unidos, e de (ii) um processo de resolução de queixas e reação / compensação por danos mais célere e com menos custos.

O Department of Commerce dos Estados Unidos começou a aceitar certificações de organizações americanas no âmbito do Privacy Shield a partir de 1 de agosto de 2016. Resta agora saber se a decisão de adequação da Comissão Europeia se manterá, ou se o Tribunal de Justiça da União Europeia porá em causa a eficácia e/ou suficiência destes princípios para garantir um nível adequado de proteção aos dados pessoais transmitidos para fora da União – tal como sucedeu com o "Safe Harbour".

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.