Privacy Shield deixa de ser forma válida de transferir Dados Pessoais para fora da EEA

12.08.2020 – Em 16 de julho de 2020, o Tribunal de Justiça Europeu, ao julgar o caso Schrems II, decidiu que o Privacy Shield não é mais uma forma válida de transferir dados pessoais para fora da EEA (A EEA significa European Economic Area, criada em 01 de janeiro de 1994 e compreende os Estados-Membros da União Europeia e 3 países da EFTA – European Free Trade Association -, isto é, Islândia, Liechtenstein e Noruega; excluindo-se a Suíça), tendo em vista que, segundo o Tribunal, a legislação norte-americana não garante o nível de proteção exigido pela GDPR, considerando que nos Estados Unidos, a segurança nacional, o interesse público e a aplicação da lei prevalecem sobre os direitos fundamentais de privacidade de dados pessoais.

O caso Schrems II ocorreu em junho de 2013, quando o cidadão austríaco Maximillian Schrems apresentou uma queixa ao Comissário de Proteção de Dados da Irlanda contra o Facebook Ireland, na qual ele argumentou que o Facebook Ireland, uma subsidiária do Facebook na Irlanda, deveria ser proibido de transferir seus dados pessoais para os EUA. Ele também argumentou satisfatoriamente que a lei de privacidade não protegia adequadamente seus dados pessoais. Essa reclamação, embora inicialmente rejeitada pelo órgão regulador irlandês, acabou levando o Tribunal de Justiça Europeu a derrubar o acordo transatlântico Safe Harbor entre os EUA e a UE, que permitia às empresas transferir dados da Europa para os Estados Unidos.

O EU-US Privacy Shield tornou-se operacional em 1 de agosto de 2016, depois que a Comissão Europeia emitiu sua decisão formal de que o Privacy Shield forneceria proteção adequada para permitir a transferência de dados pessoais para os Estados Unidos, em substituição ao Safe Harbor. É importante salientar que a GDPR (Lei de Proteção de Dados vigente na União Europeia) entrou em vigor somente em 25 de maio de 2018.

O Privacy Shield determinava obrigações mais rígidas às empresas dos Estados Unidos para proteger os dados pessoais dos europeus. Na verdade, o Privacy Shield exigia que os EUA monitorassem e aplicassem de forma mais robusta e cooperassem mais com as autoridades europeias de proteção de dados. Incluía compromissos por escrito e garantia em relação ao acesso aos dados pelas autoridades públicas.

Além disso, o Privacy Shield exigiu que as autoridades dos EUA criassem mecanismos para que os titulares de dados da UE buscassem reparação nos tribunais dos EUA para salvaguardar seus direitos de privacidade, incluindo acesso a uma resolução de disputa independente, sem nenhum custo.

O Departamento de Comércio dos EUA, supervisionava a certificação e se a empresa para a qual se desejasse transferir os dados não fosse certificada, as proteções do Privacy Shield não se aplicariam.

A questão é que atualmente existem 5000 empresas certificadas no esquema EU-US Privacy Shield e essa decisão traz os seguintes impactos:

Transferência de Dados	Privacy Shield deixa de ser uma base jurídica válida para transferir dados da UE para os EUA. GDPR terá que ser observada.
Transações Comerciais	Barreiras e obstáculos consideráveis podem ser criados, especialmente para as empresas digitais
Cláusulas Contratuais	A decisão deixou cláusulas contratuais padrão em aberto.

Diversos especialistas norte-americanos insurgiram-se contra a decisão, alegando os severos impactos econômicos que a mesma pode acarretar nas transações comerciais entre a União Europeia e os Estados Unidos. Dentre todos os argumentos, prospera aquele que infere que a decisão derrubou o Privacy Shield, mas deixou intactos outros métodos de transferência de dados pessoais para os EUA; o que não faria sentido, pois se a segurança nacional dos EUA representa uma ameaça para os dados europeus, ela continuaria sendo um risco, independentemente do método usado para transferir os dados para os EUA.

O fato é que, talvez, essa decisão possa catalizar os congressistas norte-americanos a estabelecer uma legislação federal mais rígida, que possa corresponder ao mesmo nível de proteção às informações pessoais conferidas pela GDPR.