Blog

Fim do Privacy Shield? E agora?

No passado dia 25 de Maio de 2018 entrou em vigor o famoso Regulamento Geral de Proteção de Dados, através do Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, o qual veio estabelecer uma série de regras para a proteção das pessoas singulares face ao tratamento e circulação dos seus dados pessoais. Sendo, pois, um instrumento legislativo emanado pela União Europeia, o Regulamento tornou-se imediatamente aplicável em todos os Estados Membros da União Europeia, os quais, idealmente, terão adaptado os seus procedimentos para respeitarem os direitos que o Regulamento veio trazer e reforçar.

Ora, se no âmbito da União Europeia o Regulamento refere mecanismos a serem adotados para o seu cumprimento – podemos recordar aqui as noções abstratas de privacy by default e privacy by design- problemas se colocam perante a transferência de dados pessoais para países terceiros. Neste ponto, vamos focar-nos no país terceiro Estados Unidos. Nos termos do art. 45.º do RGPD, e em termos relativamente sumários, as entidades podem transferir dados para países terceiros ou organizações internacionais (empresas sediadas fora da EU, por exemplo), desde que o país terceiro ou a organização em causa assegurem um nível de proteção adequado.

Foi, pois, este conceito que deu origem ao caso Schrems I e, mais recentemente, ao denominado Schrems II, cuja decisão foi proferida pelo Tribunal de Justiça da União Europeia, a título de reenvio prejudicial, no passado dia 16 de Julho de 2020. Para contextualizar: o cidadão austríaco Maxmillian Schrems, em 2014, apresentou uma queixa relativa à transferência dos seus dados pessoais pela “Facebook Ireland” para a “Facebook Inc.”, sediada nos Estados Unidos. Esta transferência de dados estava alegadamente protegida e tutelada pelo conhecido privacy shield, ou seja, por um entendimento da Comissão, de 2016, que determinava que as organizações autocertificadas dos Estados Unidos asseguravam um nível de proteção adequado dos dados pessoais transferidos da União. Este entendimento, diga-se, tinha por base uma série de elementos fornecidos pelos Estados Unidos. Todavia, em 2020 e através de um pedido de reenvio prejudicial, veio o Tribunal de Justiça entender que o nível de proteção assegurado pelo Privacy Shield não é adequado, invalidando o entendimento anteriormente formulado pela Comissão. Deu, pois, razão ao Sr. Maximillian Schrems, determinando a proibição imediata da transferência dos seus dados para os Estados Unidos por parte da Facebook Ireland.

Cumpre, então, questionar: o que deverão fazer as empresas sediadas nos Estados Membros que, diariamente e com base no privacy shield, transferem dados pessoais para os Estados Unidos?

Será que bastará uma revisão e reformulação dos contratos existentes para esse efeito? Ou será necessário fazer contratos ex novo tendo em conta esta decisão judicial? E os dados que já foram transferidos? Terá de haver uma renovação do consentimento para garantir que as entidades nos Estados Unidos asseguram o nível de proteção adequado conforme estipula  o Regulamento?

As questões existem e não deverá, também, a pandemia atrasar as respostas legais para as mesmas.

Catarina Venceslau de Oliveira | DCM LAWYERS 

Comentar