Bruxelas, 5 de novembro – Durante a sua última sessão plenária, o Comité Europeu para a Proteção de Dados (CEPD) adotou um relatório sobre a primeira revisão* do Quadro de Privacidade de Dados (QPD) UE-EUA, bem como uma declaração sobre as recomendações do Grupo de Alto Nível (GAN)** sobre o acesso aos dados para uma aplicação eficaz da lei.
O CEPD congratula-se com os esforços envidados pelas autoridades dos EUA e pela Comissão Europeia para aplicar o QPD e toma nota de vários desenvolvimentos ocorridos desde a adoção da decisão de adequação em julho de 2023.
No que diz respeito aos aspetos comerciais,ou seja, a aplicação e o cumprimento dos requisitos aplicáveis às empresas autocertificadas ao abrigo deste quadro, o CEPD observa que o Departamento do Comércio dos EUA tomou todas as medidas pertinentes para aplicar o processo de certificação. Tal inclui o desenvolvimento de um novo sítio Web, a atualização dos procedimentos, o diálogo com as empresas e a realização de atividades de sensibilização.
Além disso, foi implementado o mecanismo de recurso para os cidadãos da UE e foram publicadas orientações abrangentes sobre o tratamento de queixas em ambos os lados do Atlântico. No entanto, o reduzido número de queixas recebidas até à data ao abrigo do QPD salienta a importância de as autoridades dos EUA iniciarem atividades de controlo da conformidade das empresas certificadas no âmbito do QPD com os princípios substantivos do QPD.
O CEPD incentiva a elaboração de orientações pelas autoridades dos EUA, clarificando os requisitos que as empresas certificadas ao abrigo do QPD teriam de cumprir quando transferem dados pessoais que receberam de exportadores da UE. A orientação das autoridades dos EUA sobre dados de recursos humanos também seria bem-vinda. O CEPD manifesta a sua disponibilidade para apresentar observações sobre estes documentos de orientação.
No que diz respeito ao acesso das autoridades públicas dos EUA aos dados pessoais transferidos da UE para organizações certificadas, o CEPD centrou-se na aplicação efetiva das garantias introduzidas pelo Decreto Presidencial 14086 no quadro jurídico dos EUA, como os princípios da necessidade e da proporcionalidade e o novo mecanismo de recurso. O Comité considera que os elementos do mecanismo de recurso estão em vigor; ao mesmo tempo, renova o apelo à Comissão Europeia para que acompanhe o funcionamento prático das diferentes salvaguardas, por exemplo, a aplicação dos princípios da necessidade e da proporcionalidade. O CEPD recomenda igualmente que a Comissão acompanhe os desenvolvimentos futuros relacionados com a Lei de Vigilância de Informações Externas dos EUA, em especial tendo em conta o alcance alargado da secção 702 após a sua reautorização pelo Congresso dos EUA no início deste ano.
O vice-presidente do CEPD, Zdravko Vukić, declarou: «Congratulamo-noscom os progressos realizados desde a adoção da decisão de adequação, graças à cooperação frutuosa entre as autoridades dos EUA, a Comissão Europeia e o CEPD. Ao mesmo tempo, ainda há margem para melhorias e devemos continuar a trabalhar em conjunto para manter um elevado nível de proteção de dados e salvaguardar os direitos e liberdades dos cidadãos da UE.»
Por último, o Comité recomenda que a próxima revisão da decisão de adequação UE-EUA tenha lugar no prazo de três anos ou menos.
A declaração sobre as recomendações do Grupo de Alto Nível sobre o acesso aos dados para uma aplicação eficaz da lei sublinha que os direitos fundamentais devem ser salvaguardados quando os serviços responsáveis pela aplicação da lei acedem aos dados pessoais das pessoas. Embora apoie o objetivo de uma aplicação eficaz da lei, o CEPD salienta que algumas das recomendações do GAN podem causar graves intrusões em relação aos direitos fundamentais, em especial o respeito pela privacidade e pela vida familiar.
Embora o CEPD considere positiva a recomendação, que pode conduzir à criação de condições de concorrência equitativas em matéria de conservação de dados, considera que uma obrigação ampla e geral de conservação de dados em formato eletrónico por todos os prestadores de serviços criaria uma interferência significativa nos direitos das pessoas singulares. Por conseguinte, o CEPD questiona se tal cumpriria os requisitos de necessidade e proporcionalidade da Carta dos Direitos Fundamentais da UE e da jurisprudência do TJUE.
Na sua declaração, o CEPD salienta igualmente que as recomendações relativas à cifragem não devem impedir a sua utilização nem enfraquecer a eficácia da proteção que proporciona. Por exemplo, a introdução de um processo do lado do cliente que permita o acesso remoto aos dados antes de serem encriptados e enviados num canal de comunicação, ou depois de serem desencriptados no destinatário, enfraqueceria, na prática, a encriptação. A preservação da proteção e da eficácia da cifragem é importante para evitar que o respeito pela vida privada e pela confidencialidade seja negativamente afetado e para garantir que a liberdade de expressão e o crescimento económico, que dependem de tecnologias fiáveis, são salvaguardados.
Nota aos editores
* Em conformidade com o artigo 3.o da decisão de adequação UE-EUA, a Comissão da UE deve rever a decisão de adequação um ano após a sua adoção. A reunião de revisão realizou-se em Washington D.C., em 18 e 19 de julho de 2024, e a Comissão da UE foi acompanhada por cinco representantes do CEPD.
** O Grupo de Alto Nível foi lançado pela Comissão Europeia em junho de 2023 e é copresidido pela Comissão Europeia e pela Presidência rotativa do Conselho. Foi lançado com o objetivo de explorar os desafios que se colocam aos profissionais responsáveis pela aplicação da lei no que diz respeito ao acesso aos dados e propor soluções e recomendações.
Em junho de 2024, o GAN publicou 42 recomendações para um maior desenvolvimento das políticas e da legislação da UE, estruturadas como «medidas de reforço das capacidades», «cooperação com a indústria e normalização» e «medidas legislativas». As recomendações abrangem, em especial, a cifragem, a cooperação com a indústria, bem como entre os serviços responsáveis pela aplicação da lei, e a necessidade de regras harmonizadas em matéria de conservação de dados.
O comunicado de imprensa aqui publicado foi traduzido automaticamente do inglês. O CEPD não garante a exatidão da tradução. Queira consultar o texto oficial na sua versão inglesa em caso de dúvida.