Com as paisagens de privacidade de dados mudando em todo o mundo, como podem as organizações lidar com transações transfronteiriças e ainda permanecer em conformidade? Essa tem sido uma pergunta urgente nos últimos anos.

É comum que as organizações tenham uma presença global ou realizem atividades em vários países. A necessidade de estabelecer transferências de dados envolvendo áreas sujeitas a regulamentações rigorosas, como o Regulamento Geral de Proteção de Dados (GDPR) da UE, criou obstáculos. Um quadro atualizado para transferências de dados entre os EUA e a UE foi recentemente finalizado. As organizações afetadas devem entender como essa mudança se materializou, os novos requisitos impostos pelo quadro e o que os analistas preveem para o futuro das transferências de dados UE-EUA.

A História

Por quase 25 anos, a UE e os EUA tinham algum tipo de acordo para agilizar as transferências de dados enquanto mantinham proteções adequadas. Quando o GDPR mudou drasticamente a paisagem de privacidade da UE, foram necessárias revisões significativas no processo de transferência de dados. Veja a linha do tempo:

• Em 2000, o Quadro de Escudo de Privacidade UE-EUA foi estabelecido para permitir transferências transfronteiriças. Foi considerado inválido em outubro de 2015.
• Em julho de 2016, o novo quadro Privacy Shield entrou em vigor.
• Em julho de 2020, a decisão histórica Schrems II invalidou o quadro Privacy Shield devido a proteções de privacidade diminuídas em violação ao GDPR e apreensões quanto à vigilância dos EUA durante atividades de transferência. A UE declarou que não reconhecia os EUA como tendo salvaguardas adequadas de privacidade de dados em vigor.
• Em junho de 2021, a Comissão Europeia criou novas cláusulas contratuais padrão (SCCs) que aprimoraram a responsabilidade e a transparência. As SCCs se aplicam a transferências de dados pessoais de Estados membros da UE para outros países e garantem que a atividade transfronteiriça esteja alinhada com os padrões do GDPR.
• Com o fim do Privacy Shield, as organizações passaram a utilizar as novas SCCs para efetuar transferências de dados entre UE e EUA. Esse é um mecanismo mais complexo e imprevisível que requer avaliações de impacto de transferência de dados demoradas.
• Em março de 2022, a UE e os EUA chegaram a um acordo preliminar para implementar outro mecanismo para transferências que simplificaria o processo, permitiria a auto-certificação e aprimoraria as proteções de privacidade.
• Em outubro de 2022, o presidente Biden assinou uma ordem executiva delineando as etapas para implementar oficialmente o novo quadro, mencionando novamente a auto-certificação e o aumento da supervisão sobre as transferências de dados.
• Em 10 de julho de 2023, a Comissão Europeia finalizou a decisão de adequação sob o novo Quadro de Privacidade de Dados UE-EUA, afirmando que as disposições relativas à vigilância dos EUA e à reparação ao consumidor eram satisfatórias.

O Novo Quadro

O Departamento de Comércio dos EUA administrará o novo programa Quadro de Privacidade de Dados UE-EUA. Não é obrigatório, e as organizações podem optar por usar outros mecanismos, como as SCCs, para efetuar transferências, mas este quadro simplificará o processo. Aqui estão os principais recursos:

• As organizações devem declarar publicamente que cumprirão as obrigações de privacidade prescritas durante as transferências. Isso inclui minimização de dados, limites de compartilhamento de dados e muito mais. Fazer isso confere à Comissão de Comércio Federal jurisdição sobre a aplicação, se necessário.
• As organizações devem fornecer proteções semelhantes ao GDPR para os indivíduos, para que as informações possam fluir sem a necessidade de medidas de segurança extras.
• Para lidar com preocupações de vigilância, agora existem limites sobre quando determinados órgãos podem acessar informações provenientes da UE, aumento da supervisão e estabelecimento de um processo independente de reparação.
• Os indivíduos podem apresentar reclamações à sua própria autoridade de proteção de dados nacional para tratar de suspeitas de mau uso de informações. Depois disso, haverá camadas adicionais para encaminhar reclamações para os EUA para investigação, análise e resolução perante um novo Tribunal de Revisão de Proteção de Dados. Esse processo de reparação também estará disponível para transferências ocorrendo fora do novo quadro, incluindo o método SCC.
• A UE realizará uma revisão contínua do programa para garantir que ele mantenha o status de adequação.

Com isso, as organizações agora podem tomar medidas para se auto-certificar sob o novo quadro. Enquanto muitas estiveram esperando em suspenso, algumas optaram por manter certificações sob o Privacy Shield invalidado, mesmo que não estejam em uso.

Previsão para o Futuro

Sendo esta a terceira tentativa de implementar um mecanismo simplificado de transferência de dados, duas perguntas estão na mente de todos. Será que dessa vez ele vai se sustentar? E se o novo quadro for rejeitado, o que será suficiente? Os analistas estão divididos e as opiniões estão por toda parte.

O líder do caso Schrems já declarou que não acredita que esse quadro seja válido e pretende apresentar um desafio judicial. O Parlamento Europeu e outras autoridades de proteção de dados concordaram. Céticos acreditam que há necessidade de ação legislativa pelo Congresso para mudar a lei de vigilância dos EUA e fornecer proteções adicionais.

Por outro lado, o Presidente da Comissão Europeia reconheceu que o novo quadro contém compromissos sem precedentes que facilitarão transferências seguras. Mas isso será verdade? Somente o tempo dirá.

Enquanto isso, alguns analistas estão incentivando as organizações a aproveitar o quadro para aliviar o fardo dos últimos três anos. Outros estão aconselhando a serem mais cautelosos, considerar novas obrigações de conformidade e realizar análises de risco antes de avançar.

Independentemente do caminho escolhido, acompanhar os novos desenvolvimentos deve ser uma prioridade. Um desafio judicial provavelmente levará anos para se desenrolar e, com a indústria dividida nessa questão, há incerteza sobre como a decisão será tomada. Enquanto isso, como as organizações dos EUA implementam esforços de conformidade e as decisões futuras do novo Tribunal de Revisão de Proteção de Dados lançarão mais luz sobre o destino do mais recente Quadro de Privacidade de Dados UE-EUA.