É hora de blefar sobre a privacidade de dados dos EUA?

O júri está em dúvida se a Ordem Executiva assinada pelo presidente Biden em 7 de outubro pode resolver as preocupações legais destacadas no caso Schrems II e restaurar “confiança e estabilidade” aos fluxos de dados transatlânticos, escreve Dick Roche, ex-ministro irlandês para os assuntos europeus que desempenhou um papel central no referendo irlandês que ratificou o Tratado de Lisboa que reconheceu a proteção de dados pessoais como um direito fundamental.

As leis de proteção de dados da UE são amplamente reconhecidas como o padrão-ouro para a regulamentação de dados e para a proteção dos direitos de privacidade de cidadãos individuais.

Quando a Internet estava em sua infância, a UE inovou em 1995, estabelecendo regras que regem o movimento e o processamento de dados pessoais na Diretiva Europeia de Proteção de Dados.

Ao abrigo do Tratado de Lisboa de 2007, a proteção de dados pessoais tornou-se um direito fundamental. O Tratado sobre o Funcionamento da União Europeia e a Carta dos Direitos Fundamentais da UE, que entrou em vigor em 2009, protegem esse direito.

Em 2012, a Comissão da UE propôs o Regulamento Geral de Proteção de Dados (GDPR) que estabelece um conjunto abrangente de reformas destinadas a impulsionar a economia digital da Europa e fortalecer a segurança online dos cidadãos.

Em março de 2014, o Parlamento Europeu registrou um apoio esmagador ao GDPR, quando 621 deputados de todo o espectro político votaram a favor das propostas. Apenas 10 deputados votaram contra e 22 abstiveram-se. 

O GDPR tornou-se o modelo global para a lei de proteção de dados.  

Anúncios

Os legisladores dos EUA não seguiram o mesmo caminho da Europa. Nos Estados Unidos, os direitos de proteção de dados no setor de aplicação da lei são limitados: a tendência é privilegiar os interesses da aplicação da lei e da segurança nacional.

Duas tentativas de preencher a lacuna entre as abordagens da UE e dos EUA e de criar um mecanismo para fluxos de dados falharam quando os acordos de Safe Harbor e Privacy Shield, um tanto fantasiosos, foram considerados insuficientes pelo Tribunal de Justiça da UE.  

Surge a questão de saber se os novos acordos do Quadro de Privacidade de Dados UE-EUA estabelecidos na Ordem Executiva “Reforçar as Salvaguardas para as Atividades de Inteligência de Sinais dos Estados Unidos” assinada pelo Presidente Biden em 7^th Outubro terá sucesso onde o Safe Harbor e o Privacy Shield falharam. Há muitas razões para duvidar que eles vão.

Schrems II estabeleceu um padrão alto

Em julho de 2020, no caso Schrems II, o TJUE decidiu que a lei dos EUA não satisfazia os requisitos de acesso e uso de dados pessoais estabelecidos na lei da UE.

O Tribunal manifestou a preocupação constante de que a utilização e o acesso aos dados da UE pelas agências norte-americanas não fossem restringidos pelo princípio da proporcionalidade. Considerou que era “impossível concluir” que o acordo do Escudo de Privacidade UE-EUA era suficiente para garantir um nível de proteção aos cidadãos da UE equivalente ao garantido pelo RGPD e decidiu que o mecanismo do Provedor de Justiça criado no âmbito do Escudo de Privacidade era inadequada e que sua independência não poderia ser garantida.  

As propostas do presidente Biden e o endosso da Comissão Europeia

Em 7^th Em outubro, o presidente Biden assinou uma Ordem Executiva (EO) “Aprimorando as Salvaguardas para as Atividades de Inteligência de Sinais dos Estados Unidos”.

Além de atualizar uma Ordem Executiva da era Obama sobre a maneira como a proteção de dados opera nos EUA, a ordem estabelece uma nova Estrutura de Privacidade de Dados UE-EUA.

O briefing da Casa Branca sobre o EO caracteriza o Framework como restaurando “confiança e estabilidade” aos fluxos de dados transatlânticos, que descreve como “críticos para permitir o relacionamento econômico UE-EUA de US$ 7.1 trilhões” – uma afirmação bastante exagerada.

O briefing descreve os novos arranjos como um reforço da “conjunto já rigoroso de salvaguardas de privacidade e liberdades civis para atividades de inteligência de sinais dos EUA”.

Afirma que os novos arranjos garantirão que as atividades de inteligência dos EUA sejam conduzidas apenas em busca de objetivos definidos de segurança nacional dos EUA e sejam limitadas ao que é “necessário e proporcional” – uma genuflexão ao julgamento Schrems II.  

O briefing também estabelece “um mecanismo de várias camadas” que permitirá aos prejudicados pelas atividades de inteligência dos EUA “obter (uma) revisão independente e vinculativa e reparação de reivindicações”.

A Comissão da UE endossou a ordem do presidente Biden, retratando-a entusiasticamente como fornecendo aos europeus cujos dados pessoais são transferidos para os EUA com “salvaguardas vinculativas que limitam o acesso aos dados pelas autoridades de inteligência dos EUA ao que é necessário e proporcional para proteger a segurança nacional”. Sem análise de suporte, caracteriza as disposições de reparação da Ordem e o Tribunal como um mecanismo “independente e imparcial” “para investigar e resolver reclamações sobre acesso a dados (de europeus) por autoridades de segurança nacional dos EUA”.

Algumas perguntas sérias

Há muito a questionar nas apresentações da Casa Branca e da Comissão.

Muitos questionariam a ideia de que as agências de inteligência dos EUA estão sujeitas a uma “rigorosa gama de privacidade e liberdades civis”. 

Uma questão importante surge em relação ao instrumento legal que está sendo usado pelos EUA para introduzir as mudanças. As ordens executivas são instrumentos executivos flexíveis que podem ser alterados a qualquer momento por um presidente dos EUA em exercício. Uma mudança na Casa Branca pode fazer com que os arranjos acordados sejam enviados para a lixeira, como aconteceu quando o presidente Trump se afastou do acordo meticulosamente negociado para restringir o programa nuclear do Irã em troca de alívio das sanções.

Também surgem questões sobre como as palavras “necessário" e “proporcional” que aparecem nas declarações da Casa Branca e da Comissão devem ser definidas. A interpretação dessas palavras-chave pode diferir consideravelmente em ambos os lados do Atlântico. 

O Centro Europeu de Direitos Digitais, a organização fundada por Max Schrems, faz questão enquanto a administração dos EUA e a Comissão da UE copiaram as palavras "necessário"E"proporcional" do julgamento Schrems II, eles não são ad idem quanto ao seu significado legal. Para que ambos os lados estejam na mesma página, os EUA teriam que limitar fundamentalmente seus sistemas de vigilância em massa para se alinharem com o entendimento da UE de vigilância "proporcional" e que não vai acontecer: a vigilância em massa por agências de inteligência dos EUA continuará sob os novos arranjos.

Surgem preocupações particularmente sérias sobre o mecanismo de reparação. O mecanismo criado pelo EO do presidente Biden é complexo, restrito e longe de ser independente.

Os acordos de reparação exigem que as queixas sejam apresentadas primeiro aos Oficiais de Proteção às Liberdades Civis nomeados pelas agências de inteligência dos EUA para garantir a conformidade da agência com a privacidade e os direitos fundamentais – um acordo de caçador furtivo transformado em guarda-caça.  

As decisões desses oficiais podem ser apeladas para um Tribunal de Revisão de Proteção de Dados (DPRC) recém-criado. Este 'Tribunal' será “composto por membros escolhidos fora do governo dos EUA”.

O uso da palavra “tribunal” para descrever este órgão é questionável. O Centro Europeu de Direitos Digitais rejeita a ideia de que o órgão esteja dentro do significado normal do artigo 47 da Carta dos Direitos Fundamentais da UE.

Seus “juízes”, que devem ter “certificação de segurança (EUA) necessária”, serão nomeados pelo Procurador-Geral dos EUA em consulta com o Secretário de Comércio dos EUA.

Longe de estar “fora do governo dos EUA”, uma vez nomeados, os membros do Tribunal passam a fazer parte da máquina do governo dos EUA.

Quando uma apelação for feita ao Tribunal por um reclamante ou por “um elemento da Comunidade de Inteligência”, um painel de três juízes se reunirá para analisar o pedido. Este painel seleciona novamente um advogado especial com “certificação de segurança necessária” dos EUA para representar “os interesses do reclamante no assunto”.

Em matéria de acesso, os queixosos da UE devem apresentar o seu caso a uma agência competente na UE. Essa agência transfere a reclamação para os EUA. Após a análise do caso, o queixoso é informado “através do órgão apropriado no estado de qualificação” quanto ao resultado “sem confirmar ou negar que o queixoso estava sujeito a atividades de sinais dos Estados Unidos”. Os reclamantes serão informados apenas de que “a revisão não identificou nenhuma violação coberta” ou que “uma determinação exigindo a correção apropriada” foi emitida. É difícil ver como esses acordos satisfazem o teste de independência que as propostas do Ombudsman no Privacy Shield falharam. 

Em geral, os acordos do Tribunal de Revisão de Proteção de Dados têm mais do que um cheirinho do muito insultado Tribunal FISA dos EUA, que é amplamente visto como pouco mais do que um carimbo de borracha para os serviços de inteligência dos EUA.

O que vem a seguir?

Com a adoção da Ordem Executiva dos EUA, a ação volta para a Comissão da UE, que proporá um projeto de decisão de adequação e lançará os procedimentos de adoção.

O procedimento de adoção exige que a Comissão obtenha um parecer, não vinculativo, da Proteção de Dados Europeia. A Comissão também deve receber a aprovação de um comité composto por representantes dos Estados-Membros da UE.

O Parlamento Europeu e o Conselho têm o direito de solicitar à Comissão Europeia que altere ou retire a decisão de adequação com o fundamento de que o seu conteúdo excede os poderes de execução previstos no regulamento GDPR de 2016.

Enquanto órgão que representa directamente o povo da Europa e o órgão que endossou de forma tão esmagadora os princípios estabelecidos no RGPD, o Parlamento Europeu tem a responsabilidade de analisar atentamente o que está em cima da mesa e de ter uma visão clara sobre as até que ponto as propostas são compatíveis com os princípios estabelecidos no GDPR com as expectativas dos europeus de que seus direitos de privacidade sejam respeitados.

As diferenças fundamentais entre a UE e os EUA sobre a proteção dos direitos de privacidade de cidadãos individuais dificilmente serão interrompidas pela ordem executiva do presidente Biden: a controvérsia ainda tem algum caminho a percorrer.

Compartilhe este artigo: