Estabelecida a cooperação entre a União Europeia e os EUA para a transferência de dados pessoais

Em discussão desde 2022, foi aprovado o novo Framework de Proteção de Dados, com relação à transferência de dados entre UE-EUA. Essa adequação substitui os acordos anteriores, como o Safe Harbour e o Privacy Shield, invalidados pelo Tribunal de Justiça da União Europeia ("TJ/UE"), temas já abordados pela nossa equipe ao analisar os critérios para a transferência internacional de dados pessoais.

A medida busca cuidar da insegurança jurídica, principalmente nas transferências internacionais de dados pessoais, com base no previsto no Regulamento Europeu de Proteção de Dados Pessoais (GDPR). Assim é que, o novo Framework trata das principais preocupações do TJUE, em relação ao que havia sido apontado anteriormente no Safe Harbour e no Privacy Shield. 

A decisão da Comissão Europeia ocorreu após meses de negociações com os EUA. O governo americano estabeleceu salvaguardas para a proteção de dados pessoais no país, tais como a instituição do Tribunal de Revisão de Proteção de Dados (DPRC) - responsável por investigar as reclamações relacionadas ao tratamento de dados pessoais pelas agências de inteligência dos EUA e pelos recursos de cidadãos europeus, caso haja alguma suspeita de que seus dados tenham sido tratados de forma ilegítima pelos serviços de inteligência dos EUA, possibilitando a exclusão ou correção desses dados.

No mais, segundo a decisão, ao aderir ao novo Framework, os dados pessoais poderão ser transferidos para os EUA sem a necessidade de ser adotada a previsão do artigo 46 do GDPR, que estabelece a exigência de exclusão dos dados pessoais quando eles não possuírem mais a necessidade para a qual foram coletados, visando garantir a continuidade da proteção quanto ao compartilhamento de dados pessoais com terceiros, principalmente os de teor sensível. Tal questão é crucial para a economia digital, principalmente por facilitar os trâmites para as transferências internacionais, impulsionando as empresas a se adequarem ao novo Framework. 

Contudo, há o risco de discussão da validade deste novo Framework perante o TJUE, uma vez que que o Comite Europeu de Proteção de Dados Pessoais ("CEPD"), apesar de reconhecer a melhora na proteção de dados pessoais nos EUA, ressaltou sua preocupação, especialmente quanto ao exercício do direito dos titulares dos dados pessoais tratados nos EUA.

Além disso, vigora nos EUA a Lei de Vigilância Norte-Americana, prevista na Constituição Federal, a qual conflita com a GDPR, especialmente no que tange aos requisitos para compartilhamento de dados pessoais e finalidades específicas para o tratamento.

Ainda no contexto da transferência internacional de dados, nova rede social lançada nos EUA não foi disponibilizada na União Europeia, pela ausência de cooperação na transferência internacional de dados pessoais com os EUA. Em maio deste ano, foi aplicada na União Europeia multa, no valor de 1,2 bilhões de euros, em razão do tratamento inadequado de dados pessoais em transferências internacionais de usuários de redes sociais.

No Brasil, a Autoridade Nacional de Proteção de Dados ("ANPD") emitiu nota pública, em 7/7/23, informando que, em razão da restrição imposta na União Europeia a esta nova rede social, a ANPD iniciou a análise do tratamento de dados pessoais pela referida rede social.

Relembramos que a Lei Geral de Proteção de Dados Pessoais ("LGPD") estabelece, em seus artigos 33 e 35, os requisitos para a transferência internacional de dados pessoais, definindo como principal critério que o país para o qual o dado será transferido estabeleça o mesmo nível de segurança vigente no Brasil. Nesse sentido, no ano passado (2022), a ANPD colheu subsídios para a edição de Resolução com critérios específicos para a transferência de dados internacionais, ainda pendente.

Por isso, a rede social em questão vem sendo observada pela ANPD, uma vez que não especifica a base legal para a coleta de dados dos usuários, não pede consentimento para usar os dados para anúncios ou compartilhá-los com outras empresas e impedem que os usuários usem a rede social, sem antes conceder seus dados. 

Os mencionados acontecimentos recentes, no âmbito da Proteção de Dados Pessoais, particularmente no contexto das transferências internacionais, são um ponto de virada crucial, convocando empresas e governos a ajustarem seus procedimentos com as normas emergentes, incentivando relações apenas com entidades adequadas às exigências da proteção de dados pessoais.