A ponte de dados Reino Unido-EUA está agora em vigor. Como resultado, as organizações no Reino Unido podem transferir dados pessoais para organizações dos EUA que se autocertificaram para a Estrutura de Privacidade de Dados (DPF) UE-EUA sem a necessidade de implementar salvaguardas adicionais.
O que é a ponte de dados e o que ela procura abordar?
O capítulo V da aplicação do Regulamento (UE) 2016/679 (RGPD do Reino Unido) impõe uma proibição geral de transferências transfronteiriças de dados pessoais para destinatários localizados fora do Reino Unido, a menos que sejam implementados mecanismos de transferência adequados ou se aplique uma derrogação.
Existem vários mecanismos disponíveis para as organizações do Reino Unido superarem essas restrições, inclusive quando o Information Commissioner's Office (ICO) determinou que uma jurisdição fornece um nível "adequado" de proteção para dados pessoais transferidos do Reino Unido para essa jurisdição.
Quando o ICO decidir que uma jurisdição oferece proteções adequadas, os dados pessoais podem fluir livremente para essa jurisdição sem que o cedente precise implementar salvaguardas adicionais (ou procurar contar com derrogações) sob o GDPR do Reino Unido.
Os EUA foram considerados adequados duas vezes sob o regime GDPR pré-Brexit (UE). No entanto, o Tribunal de Justiça da UE (TJUE) emitiu acórdãos que invalidaram efetivamente essas decisões de adequação em duas ocasiões. Uma preocupação central tem sido o grau de proteção concedido aos dados pessoais nos EUA, que podem ser acessados por agências públicas para fins de aplicação da lei e segurança nacional.
Posteriormente, a UE e os EUA negociaram o DPF. O DPF permite que os dados pessoais sejam transferidos do Espaço Económico Europeu (EEE) para organizações dos EUA que se autocertificaram junto do DPF, fornecendo salvaguardas adicionais e mecanismos de reparação aos indivíduos afetados (particularmente quando as agências de informações dos EUA podem aceder aos seus dados). A Comissão Europeia declarou que o DPF é adequado para fins do GDPR (UE).
A ponte de dados funciona como uma extensão do DPF, permitindo que os dados pessoais sejam legalmente transferidos do Reino Unido para entidades autocertificadas nos EUA. Proporciona às pessoas afetadas salvaguardas e mecanismos de recurso semelhantes aos estabelecidos no DPF, garantindo assim (em princípio) que os seus dados pessoais continuam a estar sujeitos a um nível de proteção «adequado» depois de transferidos para os EUA. A Suíça também implementou recentemente uma abordagem semelhante.
Para as organizações do Reino Unido, a ponte de dados tem dois benefícios principais. Primeiro, elimina a necessidade de implementar salvaguardas adicionais, que podem ser complexas, caras e demoradas. Em segundo lugar, harmoniza os regimes transatlânticos de transferência de dados, permitindo que entidades no Reino Unido e no EEE (e, uma vez formalizada a adequação, na Suíça) usem efetivamente o mesmo mecanismo de envio de dados pessoais para os EUA.
No entanto, vale a pena notar que existem algumas considerações importantes para aqueles que desejam usar a ponte de dados.
As organizações do Reino Unido não podem simplesmente transferir dados pessoais para qualquer destinatário dos EUA
Para que os dados pessoais fluam livremente sob a ponte de dados, o destinatário dos EUA deve ser autocertificado sob o DPF e a ponte de dados.
No entanto, nem todas as organizações dos EUA têm permissão para se autocertificar no DPF. Atualmente, apenas organizações dos EUA sujeitas à jurisdição da Federal Trade Commission ou do Departamento de Transportes são elegíveis para participar.
Isso geralmente exclui organizações de seguros, bancos e telecomunicações. O destinatário dos EUA também deve optar especificamente por participar da ponte de dados.
Certas categorias de dados pessoais estão sujeitas a requisitos adicionais
As organizações do Reino Unido devem analisar cuidadosamente os tipos de dados pessoais a serem transferidos para os EUA e considerar se eles são cobertos pelas restrições aplicáveis sob a ponte de dados.
Por exemplo, dados jornalísticos (incluindo quaisquer informações pessoais coletadas para publicação, transmissão ou outras formas de comunicação pública) não podem ser transferidos sob a ponte de dados.
Além disso, certas categorias especiais de dados (como dados genéticos e dados biométricos usados para identificar exclusivamente um indivíduo e dados de ofensas criminais) devem ser especificamente identificados como dados "sensíveis" para serem transferidos sob a ponte de dados e esses dados requerem proteções adicionais ao serem transferidos.
A ponte de dados pode ter desafios nos próximos anos
É altamente provável que o DPF enfrente desafios legais perante o TJUE, com base no fato de que o DPF provavelmente não faz o suficiente para proteger os cidadãos da UE cujos dados pessoais são transferidos para os EUA. Isso talvez não seja surpreendente, uma vez que o TJUE invalidou decisões de adequação anteriores por motivos semelhantes.
Parece provável que tais desafios possam levar anos para serem levados aos tribunais europeus, e resta saber se desafios semelhantes serão levantados no Reino Unido.
No entanto, o ICO já emitiu um parecer destacando áreas específicas que podem deixar a ponte de dados aberta a desafios.
Como tal, as organizações do Reino Unido devem manter-se a par dos desenvolvimentos nesta área e considerar se devem confiar na ponte de dados ou continuar a usar outros mecanismos de transferência de dados (por exemplo, Cláusulas Contratuais Padrão ou o Contrato Internacional de Transferência de Dados do Reino Unido) ao transferir dados pessoais para os EUA, para evitar o risco de que a ponte de dados seja posteriormente invalidada pelos tribunais.
