Na segunda-feira, o Supremo Tribunal dos EUA decidiu, no processo Trump v. Slaughter, que a Comissão Federal do Comércio dos EUA («FTC») poderá já não ser independente. Desde 2000 que a UE tem contado com a «independente» FTC como entidade responsável pela aplicação dos acordos UE-EUA em matéria de dados pessoais. De acordo com o direito dos Tratados da UE, essa supervisão deve ser independente. No atual acordo UE-EUA, a Comissão Europeia recorre à FTC independente 259 (!) vezes. Max Schrems: «Dado que já não existem autoridades independentes nos EUA, apelamos à Comissão Europeia para que revogue de forma ordenada a decisão de adequação relativa aos EUA.»
- Decisão de Execução (UE) 2023/1795 da Comissão relativa ao Quadro de Proteção de Dados UE-EUA (EUR-Lex)
- Decisão do Supremo Tribunal dos EUA no processo Trump contra Slaughter
- noyb carta à Comissão Europeia
O Quadro de Proteção de Dados UE-EUA. Desde 1995 que a UE proíbe, de um modo geral, a exportação de dados pessoais para países terceiros, a fim de impedir que as regras de privacidade da UE sejam contornadas através do simples envio de dados para o estrangeiro. Embora existam exceções para transferências necessárias, que vão desde algo tão simples como a reserva de um hotel até transações complexas, muitas empresas da UE simplesmente externalizaram o tratamento de dados pessoais a fornecedores de serviços na nuvem dos EUA. Desde 2000, a Comissão Europeia tem repetidamente reconhecido que os EUA são um país «adequado» no que diz respeito à proteção de dados pessoais — permitindo a livre circulação de dados entre a UE e os EUA. O Tribunal de Justiça da União Europeia (TJUE) anulou as duas decisões anteriores da Comissão no chamado «Schrems I» (que pôs fim ao «Safe Harbour») e «Schrems II» (que pôs fim ao «Privacy Shield») devido às leis de vigilância dos EUA e à falta de vias de recurso judiciais nos EUA. No entanto, em 2023, a Comissão Europeia celebrou um terceiro acordo entre a UE e os EUA, denominado «Quadro de Proteção de Dados UE-EUA”, que era, em grande parte, uma cópia dos acordos anteriormente anulados.
Requisito da UE de uma autoridade de proteção de dados independente.O direito dos Tratadosda UE(ou seja, o quadro «constitucional» da UE), nomeadamente artigo 16.º, n.º 2, do TFUE e n.º 3 do artigo 8.º da Carta dos Direitos Fundamentais, exigem que a supervisão das questões relativas à proteção de dados seja assegurada por uma autoridade «independente». Uma vez que os países terceiros devem dispor de proteções «essencialmente equivalentes», é necessário que qualquer país terceiro que pretenda beneficiar da livre circulação de dados pessoais provenientes da UE também ofereça tais proteções. Até ao momento, os EUA nomearam a «independente» FTC como entidade reguladora da privacidade nos EUA, a fim de cumprir o requisito da UE relativo à supervisão independente. A UE, por sua vez, recorreu à FTC nada menos que 259 (!) vezes na sua decisão relativa ao fluxo de dados entre a UE e os EUA.
Max Schrems: «Fundamentalmente, o quadro constitucional da UE exige uma supervisão independente. A única forma de alterar isto seria uma votação unânime de todos os Estados-Membros da UE para alterar os tratados da UE.»
A exigência de um tribunal independente. Além disso, o TJUE também salientou que os EUA teriam de disponibilizar um mecanismo de recurso judicial independente em matéria de vigilância governamental. Como os EUA não conseguiram aprovar legislação relevante, a Administração Biden criou um «Tribunal de Revisão da Proteção de Dados». Apesar de ser designado por «Tribunal», trata-se, na realidade, de um órgão executivo no âmbito do Ministério da Justiça dos EUA. Só é «independente» por força de um Ordem Executiva (EO) do ex-presidente Biden, que pode ser alterada por Trump a qualquer momento e não é vinculativa para o presidente.
A decisão «Slaughter»: executivo unitário (Trump). Numareviravolta de 180° em relação à jurisprudência anterior, a maioria conservadora do Supremo Tribunal dos EUA decidiu agora que a independência da FTC é inconstitucional. Esta decisão segue a «teoria do executivo unitário», segundo a qual o presidente dos EUA deve ter poder sobre todos os órgãos executivos dos EUA, declarando inconstitucionais todas as leis dos EUA que conferem independência a várias agências. Dado que a UE se baseava na «independência» da FTC como autoridade de proteção de dados em quase todos os casos, toda a estrutura do Quadro de Proteção de Dados UE-EUA acaba de ruir.
Max Schrems: «Mesmo segundo a lógica da Comissão Europeia, a base para qualquer acordo de transferência de dados entre a UE e os EUA está destruída. Apelamos à Comissão para que inicie uma saída ordenada da nuvem dos EUA — o que não é fácil, mas, infelizmente, é inevitável. A Comissão construiu um castelo de cartas jurídico sob pressão da indústria. Agora que este desmorona claramente, tem de assumir a responsabilidade.»
O impacto não é ilimitado. Mesmoque todos os fundamentos da decisão da UE tenham desaparecido, a decisão da Comissão Europeia mantém-se formalmente em vigor até que a própria Comissão Europeia a revogue ou o Tribunal de Justiça a anule. Por conseguinte, não há efeito imediato. O RGPD também regulamentou apenas a transferência de dados pessoais. Os dados não pessoais podem circular livremente. Além disso, o artigo 49.º do RGPD permite as transferências de dados necessárias para qualquer país terceiro. No entanto, não permite a transferência estrutural de dados para fora da UE, se tal não for estritamente necessário.
As Cláusulas Contratuais Tipo (SCC) e as Regras Vinculativas de Privacidade (BCR) também foram afetadas. Embora algumas empresas possam não se basear diretamente no Acordo-Quadro UE-EUA e, em vez disso, utilizem formalmente as SCC e as BCR, normalmente também se baseiam numa «avaliação de impacto», que, por sua vez, se baseia em órgãos executivos norte-americanos anteriormente independentes, como o PCLOB ou o Tribunal de Revisão da Proteção de Dados. A decisão do Supremo Tribunal afeta, portanto, normalmente também estas entidades, mesmo que não se baseiem na FTC. À exceção dos responsáveis pelo tratamento que se baseiem numa decisão formal da Comissão, todos os outros devem atualizar imediatamente a sua avaliação — e, logicamente, chegar à conclusão de que as transferências de dados já não são legais.
Próximos passos: a Comissão deve revogar o acordo UE-EUA. A noyb enviou uma carta formal à Comissão Europeia hoje, solicitando-lhe que tome as medidas adequadas para revogar o acordo de transferência de dados UE-EUA de forma ordenada. A nível político, muitos Estados-Membros da UE já avançaram para uma abordagem de «soberania digital» e anunciaram que irão dissociar-se dos prestadores de serviços norte-americanos. Alguns prestadores de serviços norte-americanos também estão a avançar para um tratamento de dados separado na UE. No entanto, dado que os EUA continuam a exercer uma pressão enorme sobre a UE para manter o fluxo de dados pessoais, a noyb também interporá uma ação judicial nas próximas semanas, com o objetivo de permitir que o TJUE anule o acordo atual. No entanto, uma ação deste tipo demora normalmente entre 2 a 3 anos até se chegar a uma decisão final.