O Comité Europeu para a Proteção de Dados avaliou o Data Privacy Framework UE-EUA, destacando melhorias na certificação e no mecanismo de recurso, mas apontando lacunas na conformidade, transferência subsequente e proteção de dados fora do âmbito da Ordem Executiva 14086. Sublinhou ainda a necessidade de acompanhamento contínuo e responsabilidade das organizações na gestão de dados.
No início deste mês, o Comité Europeu para a Proteção de Dados (CEPD) publicou um relatório sobre a primeira revisão da Decisão de Execução da Comissão Europeia relativa à adequação do nível de proteção dos dados pessoais no âmbito do Data Privacy Framework UE-EUA. O CEPD centrou-se na avaliação dos aspetos comerciais do Data Privacy Framework UE-EUA (DPF) e no acesso das autoridades públicas dos Estados Unidos da América (EUA) aos dados pessoais transferidos da União Europeia (UE) para organizações certificadas pelo DPF.
Relativamente aos aspetos comerciais da DPF, o CEPD salientou essencialmente que:
- O Departamento do Comércio dos EUA adotou as medidas necessárias para estabelecer o processo de certificação para as empresas americanas; e
- O mecanismo de recurso do DPF foi atualizado e implementado, oferecendo canais múltiplos e acessíveis para os cidadãos da UE apresentarem reclamações.
No entanto:
- O número limitado de reclamações válidas recebidas no primeiro ano do DPF parece corroborar as preocupações anteriores do CEPD de que o processo de apresentação de reclamações deveria ser apoiado por verificações proativas do cumprimento dos princípios do DPF por parte das autoridades competentes dos EUA;
- O CEPD incentiva o Departamento do Comércio a elaborar e emitir orientações práticas relativas ao princípio da responsabilidade pela transferência subsequente previsto no DPF; e
- O CEPD considera que a persistente diferença de interpretação entre as autoridades da UE e dos EUA no que respeita ao conceito de “dados dos recursos humanos” ao abrigo do DPF deve ser resolvida e pede que o Departamento do Comércio elabore, sem demora, orientações sobre esta questão.
No que respeita ao acesso das autoridades públicas dos EUA aos dados pessoais transferidos da UE para organizações certificadas ao abrigo do DPF:
- Quanto à aplicação dos princípios da necessidade e da proporcionalidade, o CEPD reconheceu as atualizações e a publicação das políticas e procedimentos internos das agências de informação dos EUA;
- O CEPD observou que os componentes do mecanismo de recurso delineado na Ordem Executiva 14086 estão operacionais; no entanto, aquando da revisão, não tinham sido apresentadas reclamações por indivíduos da UE ao abrigo do novo quadro;
- Relativamente à reautorização da Secção 702 da Foreign Intelligence Surveillance Act (FISA), o CEPD registou as alterações legislativas que reforçam a proteção da privacidade, sublinhando que a Ordem Executiva 14086 se aplica plenamente quando são feitos pedidos de acesso a dados ao abrigo da Secção 702 da FISA.
Não obstante, o CEPD:
- Expressou que teria apreciado uma oportunidade, durante a revisão periódica, para discutir exemplos específicos que ilustrem a forma como os princípios da necessidade e da proporcionalidade são interpretados e aplicados ao nível das entidades;
- Observou que não pode avaliar exaustivamente a aplicação prática da necessidade e da proporcionalidade nesta fase, sublinhando a importância de um acompanhamento contínuo e cuidadoso desta questão em futuras revisões;
- Manifestou a preocupação de que a recente alteração da definição de “fornecedor de serviços de comunicações eletrónicas” ao abrigo da Secção 702 da FISA não cumpre os critérios de uma legislação clara, precisa e acessível;
- Salientou que um nível adequado de proteção deve também estender-se aos casos em que as agências de informação dos EUA adquirem dados pessoais de data brokers e de outras fontes comerciais, que não são abrangidos pela Ordem Executiva 14086.
Como nota final, o CEPD sublinhou que existem mais de 2800 organizações listadas como participantes ativos no âmbito do DPF, 1100 que se retiraram do DPF e 2600 listadas como inativas por terem deixado caducar a sua certificação e que o DPF exige que o Departamento do Comércio verifique se as organizações que se retiram ativamente do DPF ou que deixam caducar a sua certificação, devolvem, apagam ou conservam os dados pessoais obtidos no âmbito do DPF. Se uma organização optar por conservar os dados, deve continuar a cumprir os princípios do DPF e designar um ponto de contacto para questões adicionais.
É possível consultar as organizações listadas como participantes ativos e inativos no âmbito do Quadro de Privacidade de Dados aqui.
