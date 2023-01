O Tribunal de Justiça da União Europeia (TJUE) considerou, em julho de 2020, através do Acórdão Schrems II, que a legislação de vigilância para fins de segurança nacional dos EUA implica uma ingerência desproporcional nos direitos fundamentais dos titulares dos dados uma vez que "impõe a obrigação legal de dar acesso irrestrito às autoridades dos EUA aos dados pessoais que tenha na sua posse ou à sua guarda ou custódia, sem que possa disso dar conhecimento aos seus clientes" não assegurando, por isso, um nível de proteção de dados adequado aos padrões da UE.

Deste acórdão resultou a invalidade imediata do mecanismo de certificação das empresas dos EUA denominado Privacy Shield, o que afetou os fluxos de transferências internacionais de dados pessoais, em particular para os EUA, aumentando os receios das organizações no que respeita à contratação de prestadores de serviços localizados nesta geografia.

Em Portugal, o tema das transferências internacionais ganhou mais relevância com a decisão da Comissão Nacional de Proteção de Dados (CNPD) de suspensão das transferências internacionais de dados feitas pelo Instituto Nacional de Estatística no âmbito dos Censos 2021. Desta ordem de suspensão veio a resultar a maior coima aplicada pela CNPD, de 4,3 milhões de euros.

Sem prejuízo da validade das cláusulas contratuais-tipo de proteção de dados, após o Acórdão Schrems II, tornou-se premente efetuar uma avaliação da legislação dos países terceiros de destino, a fim de se aferir se pode ser concedido um nível de proteção adequado, ou se é necessário implementar medidas adicionais para garantia de proteção equivalente àquela que é concedida dentro do espaço da UE, sendo a decisão de

adequação um dos instrumentos e mecanismos de garantia previstos no RGPD.

Neste âmbito, a 12 de dezembro de 2022, a Comissão Europeia lançou o processo para a adoção da decisão de adequação - Quadro de Privacidade de Dados UE-EUA (DPF/Framework) - para a promoção de fluxos internacionais de dados seguros e para dar resposta às preocupações levantadas pela decisão Schrems II.

O DPF contempla um conjunto detalhado de obrigações, nomeadamente, o apagamento de dados pessoais quando estes já não forem necessários para os fins para os quais foram recolhidos e a continuidade da proteção dos dados pessoais quando forem partilhados com terceiros.

Mas não se fica por aqui!

O DPF baseia-se em princípios semelhantes aos do Privacy Shield, numa perspetiva de alinhamento do regime de proteção de dados em vigor nos EUA com o da UE, dando resposta às questões fundamentais levantadas pela decisão Schrems II.

Neste sentido, impõe:

• A existência de garantias vinculativas, que limitam o acesso aos dados pessoais pelas agências de inteligência dos EUA ao que se mostrar essencial e proporcional para proteger a segurança nacional;

• O estabelecimento de um mecanismo de recurso independente e imparcial, que inclui um novo Tribunal de Revisão da Proteção de Dados (DPRC), com competência para investigar e resolver queixas relativas ao acesso aos dados pelas autoridades de segurança nacional dos EUA;

Adicionalmente, este framework estabelece ainda um novo mecanismo de reparação dividido em dois níveis:

• No primeiro nível, os titulares dos dados da UE poderão apresentar uma queixa junto do "Encarregado de Proteção das Liberdades Civis", figura responsável por assegurar o cumprimento dos direitos fundamentais e da privacidade por parte das agências de inteligência dos EUA.

• No segundo nível, os titulares dos dados terão a possibilidade de recorrer da decisão do Encarregado de Proteção das Liberdades Civis perante o agora criado Tribunal de Revisão da Proteção de Dados.

Relativamente aos próximos passos, o DPF será sujeito à avaliação e parecer do Comité Europeu para a Proteção de Dados e posteriormente, aprovação de um comité composto por representantes dos Estados-Membros da UE e do Parlamento Europeu. Uma vez concluído este procedimento, a Comissão poderá proceder à adoção da decisão final de adequação, a qual será sujeita a revisões periódicas para análise da sua implementação e eficácia.

Após a sua adoção e até que as empresas americanas se encontrem devida e plenamente certificadas, deverão continuar a ser aplicadas as cláusulas contratuais‑tipo e respetivas medidas suplementares para assegurar a proteção de dados pessoais e acautelar os direitos dos titulares dos dados.

Catarina Castanheira Lopes, associada da área de Propriedade Intelectual, Tecnologia, Media e Telecomunicações da Cuatrecasas

Lavínia Pinto Marques, associada da área de Propriedade Intelectual, Tecnologia, Media e Telecomunicações da Cuatrecasas