Em 16 de julho, a mais alta Corte de Justiça da União Europeia (“CJUE”) publicou decisão reconhecendo a invalidade do acordo de proteção à privacidade celebrado entre a União Europeia (“UE”) e os EUA.
O caso que ensejou a referida decisão teve origem na lide judicial envolvendo o ativista irlandês de proteção de dados, Max Schrems, e a empresa Facebook.
Conforme apresentado pelo cidadão irlandês em sua demanda, o acordo sobre proteção de dados celebrado entre a UE e os EUA não oferece um nível suficiente quanto à efetiva proteção dos dados de particulares sob a ótica da Lei Geral de Proteção de Dados Europeia (“GDPR”), em vigência desde 2018.
Como os EUA não possuem lei própria que discipline em mesmo detalhamento os termos expostos na GDPR, a Comissão Europeia tinha elaborado modelos de cláusulas contratuais padrões (“SCC”) a fim de que fossem utilizadas por empresas que realizem operações de transferência de dados entre a UE e países estrangeiros.
Contudo, a CJUE, em sua decisão, denotou que, no caso específico dos EUA, essas mesmas cláusulas não provêm suficientemente os requisitos necessários para que se seja assegurada uma efetiva proteção de dados. Isso se deve porque, de acordo com a Lei de Segurança Nacional Americana, o governo dos EUA é autorizado a interceptar informações de cidadãos sob pretexto de segurança nacional.
Por isso, na análise da Corte, a possibilidade da transferência de dados pessoais sem um conjunto de regras que assegure, efetivamente, a proteção no armazenamento e processamento dessas informações resultaria na possibilidade do governo americano acessar dados pessoais de cidadãos europeus transmitidos ao continente americano.
Consequências na transmissão de dados intergovernamentais
Uma questão que a decisão da CJUE levanta diz respeito à validade jurídica de acordos intergovernamentais celebrados sob as normas do Foreign Accounting Tax Compliance (“FATCA”) e Common Reporting Standard (“CRS”).
A partir da decisão, os países que compartilham informações tributárias sobre as duas normas-padrão referenciadas devem monitorar alterações dentro do sistema legislativo da jurisdição à qual esses dados são destinados, de modo a solicitar a devolução ou a remoção deles quando o quadro legislativo não oferecer um grau suficiente de proteção.
Do mesmo modo, os Estados-Membros da UE deverão, a partir do julgamento, reavaliar contratos celebrados que utilizam as SCCs com países onde não há um sistema legal que assegure a proteção de dados em moldes similares à GDPR.
Publicado em 31 de julho de 2020