Em decisão proferida no dia 16 de julho, o Tribunal de Justiça da União Europeia (TJUE) alterou o entendimento da Comissão de Proteção de Dados da União Europeia (Comissão Europeia) sobre o compartilhamento internacional de dados entre os Estados Unidos e a União Europeia.

A decisão, proferida no âmbito do Caso Schrems II,[1] levantou duas questões principais:

  • A primeira é referente à validade do acordo EU-U.S. Privacy Shield, que autorizava a transferência de dados pessoais de indivíduos localizados na União Europeia para os Estados Unidos. Questionou-se se esse instrumento, de fato, atenderia às exigências do Regulamento Geral de Proteção de Dados da União Europeia (GDPR), tendo em vista os programas de vigilância do governo norte-americano, que autorizam as autoridades de segurança pública do país a acessar e usar dados pessoais importados da União Europeia.

  • A segunda questão versou sobre a validade da previsão contratual das cláusulas padrão aprovadas pela Comissão Europeia (cláusulas contratuais padrão) como instrumentos adequados e suficientes para a transferência internacional de dados pessoais, nos casos em não há uma decisão de adequação proferida pela Comissão Europeia em relação ao país que receberá tais dados.

Invalidação do Privacy Shield: consequências para a transferência internacional de dados

Em 2016, o Departamento de Comércio dos Estados Unidos e a Comissão Europeia celebraram o acordo conhecido como Privacy Shield (em português, “Escudo de Privacidade”), que estabelecia uma série de princípios e salvaguardas a serem garantidas pelas empresas aderentes ao acordo para viabilizar a transferência de dados pessoais de indivíduos localizados na União Europeia para essas empresas localizadas nos Estados Unidos.

Até então, o Privacy Shield era um instrumento reconhecido pela Comissão Europeia como adequado para assegurar um nível de proteção compatível com aquele conferido pelo GDPR[2] e, consequentemente, a adesão ao acordo era suficiente para autorizar a transferência de dados de pessoas localizadas na União Europeia para empresas e organizações localizadas nos Estados Unidos que fossem aderentes ao Privacy Shield, sem a necessidade de salvaguardas ou autorizações adicionais por parte das autoridades de proteção de dados de cada um dos países-membro da União Europeia.

Contudo, a recente decisão do TJUE no Caso Schrems II invalidou esse entendimento, deixando de reconhecer a adequação do Privacy Shield como base legal para a transferência internacional de dados. De acordo com o entendimento do TJUE, os programas de vigilância implantados pelo governo norte-americano representam uma violação desproporcional dos direitos à privacidade e à proteção de dados garantidos pelo GDPR. Isso porque, ao não preverem de forma clara as limitações aos poderes conferidos aos serviços de inteligência, os programas de vigilância acabam por permitir que as autoridades públicas cometam excessos, não se limitando ao estritamente necessário para a garantia da segurança nacional, conforme dispõe o GDPR.

Além disso, para o TJUE, a legislação norte-americana não garante aos titulares dos dados medidas judiciais ou outros meios efetivos para pleitear a proteção de seus dados contra o acesso e uso abusivo por autoridades públicas, nem o direito de requerer a retificação ou exclusão de seus dados.

Isso posto, o TJUE concluiu que a legislação e as práticas norte-americanas não são adequadas ao GDPR e que o Privacy Shield não é suficiente para remediar esses problemas, não constituindo, portanto, base legal válida para legitimar a transferência de dados de indivíduos localizados na União Europeia para os Estados Unidos.

Cláusulas padrão: garantia de segurança na transferência internacional de dados?

As cláusulas contratuais padrão consistem em modelos-padrão de cláusula, pré-aprovados pela Comissão Europeia, que devem ser incluídos nos contratos que envolvem a transferência internacional de dados como medida de salvaguarda para garantir os padrões mínimos de segurança e de proteção aos direitos garantidos pelo GDPR. Desde 1987, tais cláusulas são reconhecidas pela Comissão Europeia como mecanismo válido e adequado para autorizar as transferências internacionais de dados, conforme ficou estabelecido na decisão 2010/87.

Esse entendimento foi confirmado pelo TJUE no âmbito do Caso Schrems II. No entanto, o TJUE destacou que a validade das cláusulas contratuais padrão não seria absoluta e estaria vinculada à sua efetividade prática à luz da legislação e das práticas do país de destino, cabendo ao controlador realizar essa análise.

Ou seja, antes de transferir dados pessoais para outros países, o controlador deve avaliar se as cláusulas contratuais padrão terão, de fato, efetividade ou se o importador dos dados será impedido de cumpri-las por determinação legal ou das autoridades públicas locais, uma vez que as cláusulas contratuais padrão vinculam tão somente as partes do contrato (exportador e importador de dados), mas não as autoridades públicas do país de destino.

Caso o controlador entenda que as cláusulas contratuais padrão não serão efetivas para garantir a proteção dos dados pessoais, caberá a ele adotar medidas de salvaguarda adicionais. Do contrário, o controlador poderá ser proibido pelas autoridades de proteção de dados dos países-membro da União Europeia de transferir dados para tais países. O TJUE destacou, ainda, que essa análise deve ser feita de forma periódica, devendo o controlador suspender a transferência dos dados caso as circunstâncias no país de destino se alterem.

Consequências do caso Schrems II nos âmbitos global e nacional

A decisão do Caso Schrems II terá grande impacto no mercado global, visto que mais de 5 mil empresas norte-americanas se utilizavam do Privacy Shield para legitimar a transferência de dados de pessoas localizadas na União Europeia e agora terão que adotar novas medidas de salvaguardas, como já ocorria com outros países que também não tiveram sua adequação reconhecida pela Comissão Europeia, como é o caso do Brasil.

Além disso, a decisão deixou claro que as cláusulas contratuais padrão não são absolutas, de modo que sua mera inserção nos contratos pode não ser mais suficiente para legitimar a transferência internacional de dados, principalmente no caso de países cujas leis e práticas inviabilizem sua eficácia.

Por fim, a decisão evidencia a importância de as leis e práticas de um país serem compatíveis com o nível de proteção garantido pelo GDPR, na medida em que a não adequação pode resultar em aumento dos custos para a transferência de dados (em razão das salvaguardas adicionais a serem adotadas pelo controlador) ou, ainda, na impossibilidade de transferência.

Nesse contexto, a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) brasileira e a formação da Autoridade Nacional de Proteção de Dados (ANPD) tonaram-se ainda mais urgentes. Isso porque, ainda que tenha clara inspiração no GDPR, o que pode ser um facilitador para o reconhecimento de sua adequação, a LGPD precisa entrar de fato em vigor e o país deve contar com uma ANPD com atuação independente, capaz de garantir a efetividade da LGPD e, consequentemente, da proteção dos dados pessoais aqui tratados.

[1] O Caso Schrems II teve origem em uma reclamação ajuizada pelo ativista austríaco Maximillian Schrems perante a autoridade de proteção de dados irlandesa, na qual ele requeria a proibição da transferência de seus dados pessoais do Facebook Ireland para o Facebook Inc, localizado nos Estados Unidos, sob o argumento de que as leis e práticas norte-americanas não ofereciam nível de proteção adequado contra o acesso a dados pessoais por autoridades públicas.

[2] A estrutura legal e o conjunto de normas estabelecidos no Privacy Shield foram objeto de decisão pela Comissão Europeia (decisão 2016/1250), publicada em agosto de 2016. Foi reconhecido que o Privacy Shield é instrumento adequado para justificar a transferência internacional de dados entre os EUA e a União Europeia.