Bruxelas, 28 de fevereiro — O CEPD adotou o seu parecer sobre o projeto de decisão de adequação relativa ao quadro de proteção de dados UE-EUA. O CEPD congratula-se com melhorias substanciais, como a introdução de requisitos que aplicam os princípios da necessidade e da proporcionalidade à recolha de dados pelos serviços de informações dos EUA e o novo mecanismo de recurso para os titulares de dados da UE. Ao mesmo tempo, manifesta preocupação e solicita esclarecimentos sobre vários pontos, nomeadamente no que respeita a determinados direitos dos titulares dos dados, às transferências ulteriores, ao âmbito das isenções, à recolha temporária em larga escala de dados e ao funcionamento prático do mecanismo de recurso. O CEPD seria favorável caso não só a entrada em vigor, como também a adoção da decisão, ficassem condicionadas à adoção de políticas e procedimentos atualizados para a aplicação do Decreto Presidencial 14086 por todos os serviços de informações dos EUA. O CEPD recomenda à Comissão que avalie estas políticas e procedimentos atualizados e partilhe a sua avaliação com o CEPD.
A presidente do CEPD, Andrea Jelinek, declarou: «Um elevado nível de proteção de dados é essencial para salvaguardar os direitos e liberdades das pessoas singulares da UE. Embora reconheçamos que as melhorias introduzidas no quadro jurídico dos EUA são significativas, recomendamos que seja dada resposta às preocupações manifestadas e que sejam prestados os esclarecimentos solicitados para assegurar a continuidade do processo da decisão de adequação. Pela mesma razão, consideramos que, após a primeira revisão da decisão de adequação, as revisões subsequentes devem ter lugar pelo menos de três em três anos e estamos empenhados em contribuir para as mesmas.»
O projeto de decisão sobre a adequação, publicado pela Comissão Europeia em 13 de dezembro de 2022, baseia-se no Quadro UE-EUA em matéria de proteção de dados (DPF), destinado a substituir o Escudo de Proteção da Privacidade invalidado pelo TJUE no acórdão Schrems II. O principal elemento do DPF são os «princípios do Quadro UE-EUA em matéria de proteção de dados», publicados pelo Departamento do Comércio dos EUA. O DPF só é aplicável às organizações norte-americanas com autocertificação. O CEPD adotou agora o seu parecer sobre o projeto de decisão, que tem em conta tanto os aspetos comerciais como o acesso e a utilização dos dados pelas autoridades públicas dos EUA.
Quanto aos aspetos comerciais, o CEPD congratula-se com uma série de atualizações efetuadas aos princípios do DPF. Observa igualmente que vários princípios continuam a ser essencialmente idênticos aos do Escudo de Proteção da Privacidade. Assim, subsistem algumas preocupações, por exemplo, no que diz respeito a algumas isenções ao direito de acesso, à ausência de definições fundamentais, à falta de clareza sobre a aplicação dos princípios do DPF aos subcontratantes, à ampla isenção do direito de acesso para as informações disponíveis ao público e à ausência de regras específicas sobre a tomada automatizada de decisões e a definição de perfis. O CEPD reitera ainda que o nível de proteção não deve ser comprometido por transferências ulteriores. Por conseguinte, convida a Comissão a esclarecer que as salvaguardas impostas pelo destinatário inicial ao importador no país terceiro devem ser eficazes à luz da legislação do país terceiro, antes de se realizar uma transferência ulterior.
Além disso, o CEPD solicita à Comissão que clarifique o âmbito das isenções relativas ao dever de aderir aos princípios do DPF e salienta a importância de uma supervisão e aplicação eficazes do DPF. Estes aspetos serão acompanhados de perto pelo CEPD, juntamente com a eficácia das vias de recurso disponibilizadas aos titulares de dados da UE cujos dados sejam tratados em violação do DPF.
No que diz respeito ao acesso governamental aos dados transferidos para os EUA, o CEPD reconhece as melhorias significativas introduzidas pelo Decreto Presidencial 14086. O decreto aplica os conceitos da necessidade e proporcionalidade à recolha de dados pelos serviços de informações dos EUA (informações de sinais).
Além disso, o novo mecanismo de recurso cria direitos para os cidadãos da UE e está sujeito à supervisão do Privacy and Civil Liberties Oversight Board (PCLOB). O decreto inclui igualmente mais garantias para assegurar a independência do Tribunal de Fiscalização da Proteção de Dados, em comparação com o anterior mecanismo do Provedor de Justiça, e introduz poderes mais eficazes para corrigir as violações, incluindo garantias adicionais para os titulares dos dados.
O CEPD salienta que é necessário um acompanhamento rigoroso da aplicação prática dos princípios da necessidade e da proporcionalidade recentemente introduzidos. É igualmente necessária uma maior clareza no que diz respeito à recolha temporária em larga escala e à conservação e divulgação posterior dos dados recolhidos em larga escala.
O CEPD manifesta ainda a sua preocupação com a ausência de um requisito de autorização prévia, por uma autoridade independente, para a recolha de dados em larga escala ao abrigo do Decreto Presidencial 12333, bem como com a ausência de fiscalização posterior independente e sistemática por um tribunal ou um organismo equivalente. No que diz respeito à autorização prévia independente da vigilância ao abrigo da secção 702 da FISA, o CEPD lamenta que o Tribunal da FISA não examine a conformidade com o Decreto Presidencial 14086 ao certificar programas que autorizam a vigilância de cidadãos de países terceiros, apesar de os serviços de informações que executam o programa estarem por ele vinculados. Seriam particularmente úteis relatórios do PCLOB sobre a forma como as salvaguardas do Decreto Presidencial 14086 serão aplicadas e como essas salvaguardas serão aplicadas quando os dados forem recolhidos ao abrigo da secção 702 da FISA e da secção 12333 do Decreto Presidencial 12333. No que diz respeito ao mecanismo de recurso, o CEPD reconhece as garantias adicionais previstas, como o papel dos advogados especiais e a fiscalização do mecanismo de recurso pela PCLOB. Ao mesmo tempo, o CEPD está preocupado com a aplicação geral da resposta normalizada do Tribunal de Fiscalização da Proteção de Dados, que notifica o autor da denúncia de que não foram identificadas violações ou de que foi emitida uma decisão que exige uma reparação adequada, especialmente tendo em conta que esta decisão não pode ser objeto de recurso. Por conseguinte, o CEPD insta a Comissão a acompanhar de perto o funcionamento prático deste mecanismo.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.