Abstract:
|
Em setembro de 2020, o Tribunal de Justiça da União Europeia (TJUE) publicou o acórdão referente ao caso Data Protection Commissioner v. Facebook Ireland, Ltd and Maximillian Schrems (C-311/18), ou, simplesmente, Schrems II. O acórdão, que invalidou o acordo UE-EUA “Escudo de Segurança” (Privacy Shield) - o principal método legal para transferir dados pessoais entre o território da União Europeia para os Estados Unidos – repercutiu amplamente em ambos bloco e país. Schrems II foi considerado “uma decisão histórica no direito da proteção de dados” (MARGUILES, RUBINSTEIN, 2021), mas que, ao mesmo tempo, “cria muitas incertezas sobre a base jurídica das futuras transferências de dados da UE para outros países” (CHRISTAKIS, 2020) e que gera um “grande obstáculo para o comércio internacional” (MARGUILES, RUBINSTEIN, 2021). O objetivo deste trabalho foi, por meio de revisão bibliográfica e documental, analisar os impactos da citada decisão sobre as bases legais de transferências internacionais de dados contidas no Regulamento Geral de Proteção de Dados da União Europeia (GDPR). A análise realizada evidenciou que o acórdão de Schrems II enfatiza a necessidade de se interpretar o GDPR por meio da Carta de Direitos Fundamentais da União Europeia (CDFUE). Para o TJUE, os programas de vigilância ampla e de acesso e retenção de dados de terceiros, empregados pelo governo americano, representaram interferência desproporcional (Art. 52° da CDFUE) aos direitos de respeito pela vida privada e familiar (Art. 7° da CDFUE) e de proteção de dados pessoais (Art. 8° da CDFUE). Esta interferência impediu que o ordenamento jurídico americano fosse considerado “adequado” - sob a escrita do Art. 45 do GDPR – para receber dados pessoais oriundos de titulares residentes no território da União Europeia. O acórdão também apontou que bases legais contratuais para transferências internacionais de dados, descritas no Art. 46 do GDPR, eram suficientes para garantir a “continuidade da proteção dos dados pessoais” durante o processo, desde que “medidas suplementares” fossem implementadas dos envolvidos na transferência (controladores e processadores), estas não clarificadas no acórdão. O TJUE também apontou para a viabilidade das derrogações, contidas no Art. 49 do GDPR, como base legal para as transferências, apesar de serem consideradas pelo regulamento europeu como base estritamente excepcional. Diante disso, apesar das incertezas sobre a operacionalização do conteúdo do acórdão, foi possível verificar, conforme a literatura analisada, que Schrems II assinala para a necessidade de reavaliar o sistema de transferências internacionais de dados do GDPR, tendo os direitos fundamentais como pressuposto básico. O acórdão, nessa linha, consolidou o padrão de que o país destinatário dos dados pessoais oriundos da União Europeia deve oferecer níveis de proteção “essencialmente equivalentes” a esses dados. Também determinou que programas de vigilância conduzidos por terceiros países que sequer obedeçam aos princípios contidos no Art. 5° do GDPR (transparência, delimitação de propósito, limitação de uso, qualidade de dados, segurança de dados e direitos dos titulares de dados) serão considerados desproporcionais segundo o ordenamento jurídico da União Europeia. |