Acordo sobre o Escudo de Proteção da Privacidade UE-EUA divulgado

Em 29 de fevereiro de 2016, a Comissão Europeia divulgou o texto completo do novo quadro do Escudo de Proteção da Privacidade UE-EUA, que regerá a transferência de dados pessoais entre a União Europeia e os Estados Unidos. Os documentos que anunciam e compõem o quadro do Escudo de Proteção da Privacidade podem ser encontrados aqui. A UE e o Departamento de Comércio dos EUA anunciaram anteriormente que um novo quadro para transferências de informações pessoais (também referidas como dados pessoais) de empresas na UE para empresas nos EUA havia sido acordado após a decisão de outubro de 2015 do Tribunal de Justiça da União Europeia (Tribunal de Justiça) que invalidou o quadro Safe Harbor existente entre os EUA e a UE. Embora ainda esteja em fase de rascunho, a decisão de adequação emitida pela Comissão Europeia propõe novos limites em torno da recolha e utilização de dados pessoais pelo governo dos EUA e pode fornecer orientações adicionais às organizações americanas que desejam utilizar a nova estrutura para fluxos transfronteiriços de dados.

Impacto nas empresas

Embora não finalize a estrutura do Privacy Shield, este é um desenvolvimento significativo no caminho para tal. Caso o Privacy Shield seja finalmente adotado por todas as partes necessárias, isso remediará a incerteza atual que ocorreu quando a estrutura do Safe Harbor foi invalidada. Assim, as empresas devem começar agora a informar as partes interessadas relevantes sobre os requisitos propostos do Privacy Shield, para que, caso ele seja aprovado na mesma forma ou em uma forma substancialmente semelhante à atualmente proposta, as organizações estejam prontas para agir rapidamente caso optem pela autocertificação sob o Privacy Shield. Adiar a consideração dessas questões apenas atrasará a decisão final das empresas e as atividades de implementação das empresas que aproveitam o Privacy Shield.

Requisitos do Escudo de Proteção da Privacidade aplicáveis às empresas dos EUA

O Privacy Shield estabelece obrigações mais rigorosas para as empresas americanas protegerem os dados pessoais dos cidadãos da UE. As empresas autocertificarão a conformidade com os Princípios de Privacidade estabelecidos no Privacy Shield por meio de uma lista pública do Privacy Shield mantida pelo Departamento de Comércio e precisarão recertificar anualmente a conformidade para continuar a contar com ele para fluxos transfronteiriços de dados entre a Europa e os Estados Unidos. Os Princípios de Privacidade exigirão que as empresas tomem as seguintes medidas afirmativas:

• Reclamações. No caso de qualquer reclamação por parte de um indivíduo relativamente ao tratamento dos seus dados pessoais por uma empresa, quer a reclamação seja recebida diretamente do indivíduo ou através do Departamento de Comércio, a empresa deve responder ao indivíduo no prazo de 45 dias.

• Resolução de litígios. As empresas devem fornecer aos indivíduos acesso a um órgão alternativo de resolução de litígios gratuito e independente para resolver litígios relativos ao tratamento de dados pessoais. Como tal, as empresas serão obrigadas a pagar pelos procedimentos alternativos de resolução de litígios, tais como mediação não vinculativa e arbitragem vinculativa obrigatória. O Departamento de Comércio verificará o registo da empresa junto do seu órgão de resolução de litígios divulgado. Além disso, as empresas devem concordar em submeter-se a um mecanismo de recurso de «último recurso» de arbitragem vinculativa pelo «Painel do Escudo de Proteção da Privacidade», composto por um grupo de árbitros designados pelo Departamento de Comércio e pela Comissão Europeia.

• Dados de recursos humanos. As empresas que lidam com dados de recursos humanos de cidadãos da UE também devem comprometer-se a cumprir as recomendações da Autoridade de Proteção de Dados (DPA) nacional aplicável. Isso fará com que as empresas americanas sejam, na prática, reguladas pelas DPAs da UE. Conforme discutido mais adiante, as disputas não resolvidas por meio de negociação estarão sujeitas a resolução por meio de um processo de arbitragem vinculativa obrigatória e sem custos.

• Políticas de Privacidade. A política de privacidade de uma empresa deve notificar os indivíduos sobre o tipo de dados recolhidos, como os dados são tratados e os mecanismos de exclusão disponíveis. As empresas com políticas de privacidade online também devem incluir o seguinte:

  • Uma declaração de compromisso de que a empresa cumprirá o Privacy Shield

  • Um compromisso de não recolher mais informações pessoais do que o necessário para os seus serviços

  • Um ponto de contacto, interno ou externo à organização, para lidar com reclamações de indivíduos

  • Hiperligações para o site do Escudo de Proteção da Privacidade do Departamento de Comércio e para o site ou formulário de apresentação de reclamações do órgão independente de resolução de litígios selecionado

• Transferências posteriores (adicionais) para prestadores de serviços terceirizados. Caso uma empresa realize transferências posteriores de dados pessoais para prestadores de serviços terceirizados, a empresa permanecerá totalmente responsável pelos dados pessoais nas mãos dos subcontratados, independentemente das obrigações contratuais. Uma empresa só pode participar em transferências posteriores quando essas transferências forem adequadamente limitadas e quando mecanismos contratuais ou outros mecanismos proporcionarem o mesmo nível de proteção garantido pelos Princípios de Privacidade. A estrutura do Escudo de Proteção da Privacidade exige ainda que as empresas realizem a devida diligência para garantir que os contratantes processem os dados pessoais de forma consistente com os Princípios de Privacidade; tomem medidas para impedir e remediar o processamento não autorizado de dados pessoais por contratantes mediante notificação; e forneçam ao Departamento de Comércio um resumo ou cópia das suas proteções contratuais de privacidade com um contratante, mediante solicitação.

Remédios Disponíveis para Indivíduos

Além de apresentar uma reclamação à própria empresa e através do método alternativo gratuito de resolução de litígios, os indivíduos lesados podem procurar reparação junto da DPA aplicável, que encaminhará tais reclamações ao Departamento de Comércio. Da mesma forma, o incumprimento por parte de uma empresa da decisão do órgão independente de resolução de litígios deve ser comunicado por esse órgão ao Departamento de Comércio e à Comissão Federal do Comércio, ou a um tribunal competente. No caso de um encaminhamento ao Departamento de Comércio por uma DPA, o Departamento resolverá as reclamações no prazo de 90 dias ou, caso não seja possível, a reclamação poderá ser encaminhada à FTC para investigação e resolução. A FTC dará prioridade às investigações e resoluções de reclamações de não conformidade recebidas do Departamento de Comércio, órgãos independentes de resolução de litígios e DPAs, e poderá fazer cumprir a conformidade por meio de ordens de consentimento.

Um método de recurso de «último recurso» estará disponível na forma de arbitragem vinculativa por um Painel do Escudo de Proteção da Privacidade, que poderá impor «medidas corretivas equitativas, específicas para cada indivíduo e não monetárias» necessárias para remediar o incumprimento dos Princípios de Privacidade por parte de uma empresa. As empresas que certificam a conformidade com o Privacy Shield devem participar em qualquer método de reparação buscado por um indivíduo e devem responder às solicitações de informações de conformidade emitidas por meio de tais mecanismos de resolução de disputas, incluindo solicitações do Departamento de Comércio, da FTC, de órgãos independentes de resolução de disputas e das DPAs.

Por fim, se uma empresa não cumprir o seu compromisso de respeitar os princípios do Escudo de Proteção da Privacidade e a sua política de privacidade publicada, os indivíduos também podem procurar reparação ao abrigo das leis estaduais dos EUA, tais como as que prevêem recursos legais ao abrigo do direito civil, falsas declarações, atos ou práticas injustas ou enganosas e violação de contrato.

Vigilância do governo dos EUA será limitada sob estrutura

O acordo Safe Harbor entre os EUA e a UE foi invalidado devido às preocupações da UE com o programa de recolha em massa de dados da Agência de Segurança Nacional, revelado por Edward Snowden em 2013. Como resultado, um dos principais objetivos do acordo Privacy Shield era limitar a vigilância do governo dos EUA sobre os cidadãos da UE. O Privacy Shield permite a recolha de dados pessoais para fins de segurança nacional apenas quando a recolha é proporcional e limitada em âmbito para abordar o risco de segurança aplicável e equilibrada em relação ao direito do indivíduo à privacidade. O Privacy Shield não proíbe a recolha em massa de dados pessoais, mas exige que tais métodos só possam ser utilizados quando a recolha direcionada não for possível «devido a considerações técnicas ou operacionais». Ao abrigo do novo quadro, os cidadãos da UE que pretendam obter reparação relativamente à recolha e utilização dos seus dados pessoais pelo governo dos EUA podem apresentar queixa diretamente a um novo provedor de justiça no Departamento de Estado. O provedor de justiça será independente da comunidade de segurança nacional dos EUA e terá o compromisso de responder a queixas apropriadas ou outros pedidos de informação apresentados por cidadãos da UE.

Além disso, em 24 de fevereiro de 2016, o presidente Obama assinou a Lei de Reparação Judicial, que permitirá aos cidadãos da UE buscar reparação por supostas violações cometidas pelo governo federal nos tribunais dos EUA. Os cidadãos da UE (e cidadãos de outros países/organizações designados no futuro pelo Departamento de Justiça dos Estados Unidos) terão o direito de buscar reparação, nos termos da Lei de Privacidade, contra certas agências dos EUA pelo tratamento inadequado de dados pessoais em investigações criminais ou de terrorismo, incluindo a divulgação indevida de seus dados. As reparações potenciais incluem medidas cautelares e indenizações monetárias.

Próximos passos

O Grupo de Trabalho do Artigo 29, um grupo de reguladores que representa os 28 Estados-Membros da UE, deve emitir a sua aprovação do Escudo de Proteção da Privacidade antes que ele possa ser apresentado à Comissão Europeia para uma conclusão de «adequação», conforme exigido pela Diretiva de Proteção de Dados da UE (e conforme seria exigido pelo próximo Regulamento Geral de Proteção de Dados). Embora uma conclusão de adequação por parte da comissão represente que as salvaguardas previstas no novo quadro são semelhantes às proteções de dados da UE, já surgiram críticas significativas ao quadro proposto.

Os membros do Parlamento Europeu expressaram ceticismo quanto à capacidade do novo acordo de proteger a privacidade dos cidadãos da UE mais do que o Safe Harbor e resistir ao escrutínio judicial, enquanto Max Schrems, o ativista australiano de privacidade que apresentou a queixa que resultou na invalidação da estrutura do Safe Harbor, e Fanny Hidvegi, membro internacional do Electronic Privacy Information Center (EPIC), juntamente com outros grupos ativistas, criticaram abertamente o Privacy Shield e expressaram frustração com o que consideram problemas fundamentais não resolvidos no acordo.

Assim, o Privacy Shield pode enfrentar uma batalha difícil antes de poder ser utilizado para a transferência de dados pessoais, e é prudente que as empresas se mantenham informadas, mas cautelosas, enquanto as críticas ao Privacy Shield são abordadas antes da sua aceitação pela Comissão Europeia. Além disso, as empresas devem estar cientes de que o Tribunal de Justiça decidiu que as autoridades nacionais de proteção de dados podem exercer uma supervisão independente para determinar a adequação das proteções de privacidade por parte dos controladores e processadores de dados. Assim, mesmo que o Escudo de Proteção da Privacidade seja finalmente adotado, as empresas americanas ainda podem estar sujeitas a um escrutínio adicional em relação às atividades de recolha e processamento de dados pelas autoridades de proteção de dados de diferentes Estados-Membros, e podem estar sujeitas a requisitos adicionais, «incluindo medidas corretivas ou compensatórias em benefício das pessoas afetadas por qualquer incumprimento dos Princípios». Este processo demonstrou que as autoridades nacionais de proteção de dados têm posições muito diferentes em relação à privacidade, o que, como resultado, pode levar a soluções muito diferentes e contraditórias contra a mesma empresa norte-americana, incluindo a capacidade de investigar e/ou bloquear separadamente as transferências de dados dentro do seu Estado-Membro.

A Foley continuará a acompanhar os desenvolvimentos na adoção, implementação e revisão contínua do Privacy Shield e fornecerá análises contínuas sobre as melhores práticas para cumprir a estrutura e gerir as responsabilidades associadas.

———————————————————————————————

As Notícias Jurídicas fazem parte do nosso compromisso contínuo de fornecer informações jurídicas aos nossos clientes e colegas. Se tiver alguma dúvida ou quiser discutir estes tópicos mais detalhadamente, entre em contacto com o seu advogado da Foley ou com as seguintes pessoas:

Chanley Howell
Sócia
Jacksonville, Flórida
904.359.8745
[email protected]

James Kalyvas
Parceiro
Los Angeles, Califórnia
213.972.4542
[email protected]

Eileen Ridley
Parceira
São Francisco, Califórnia
415.438.6469
[email protected]

Aaron Tantleff
Parceiro
Chicago, Illinois
312.832.4367
[email protected]

Sophie Lignier
Advogada Consultora
Bruxelas, Bélgica
322.787.9700
foley.com/sophie_lignier

Steven Millendorf
Associado
San Diego, Califórnia
858.847.6737
[email protected]

Elizabeth Mitro
Associada
Boston, Massachusetts
617.502.3287
[email protected]