1 pontos por GN⁺ 4 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • A transferência de dados pessoais entre UE e EUA vinha sendo mantida com base na existência de uma autoridade supervisora independente nos EUA, mas a decisão da Suprema Corte dos EUA em Trump v. Slaughter abalou a premissa de independência da FTC
  • O direito dos tratados da UE exige que a supervisão da proteção de dados pessoais seja feita por uma autoridade independente, e o EU-US Data Privacy Framework de 2023 também se apoiava na FTC como fundamento central
  • Como Safe Harbour e Privacy Shield já foram invalidados em Schrems I e Schrems II, a noyb entende que o novo arranjo de 2023 repete a mesma vulnerabilidade
  • Isso não significa que todas as transferências de dados serão interrompidas imediatamente; até que a European Commission revogue a decisão ou o CJEU a invalide, a decisão atual continua formalmente válida
  • Empresas que usam SCCs e BCRs talvez também precisem revisar suas avaliações de impacto, que dependem da independência de autoridades de supervisão e reparação nos EUA, e a noyb pede a revogação do acordo de dados entre UE e EUA

O enfraquecimento da independência da FTC abala o sistema de transferências entre UE e EUA

  • A Suprema Corte dos EUA decidiu em Trump v. Slaughter que a FTC talvez não seja mais independente
  • Desde 2000, a UE vem se apoiando em uma FTC independente como base de execução dos acordos de transferência de dados pessoais entre UE e EUA
  • Pelo direito dos tratados da UE, a supervisão da proteção de dados pessoais deve ficar a cargo de uma autoridade independente
  • No EU-US Data Privacy Framework de 2023, a European Commission citou a FTC 259 vezes como fundamento
  • A noyb e Max Schrems pedem que a European Commission retire de forma ordenada a decisão de adequação referente aos EUA, porque o país deixaria de ter uma autoridade supervisora independente

Invalidações repetidas e a fragilidade do novo acordo de 2023

  • Desde 1995, a UE em geral proíbe a exportação de dados pessoais para países terceiros para evitar contornar as regras europeias de proteção de dados
    • Há exceções para transferências necessárias, como reservas de hotel ou transações complexas
    • Muitas empresas da UE terceirizam o processamento de dados pessoais para provedores de nuvem dos EUA
  • Desde 2000, a European Commission reconheceu repetidamente os EUA como um país “adequado” em proteção de dados, permitindo o livre fluxo de dados entre UE e EUA
    • O CJEU invalidou o Safe Harbour em Schrems I
    • O CJEU invalidou o Privacy Shield em Schrems II
    • O motivo central foi a legislação de vigilância dos EUA e a falta de meios de reparação judicial dentro do país
  • O CJEU entendeu que, mesmo em casos de vigilância estatal, é necessário um mecanismo independente de reparação jurídica
    • O governo Biden criou o Data Protection Review Court
    • Apesar do nome, esse órgão é uma instância administrativa dentro do Departamento de Justiça dos EUA
    • Sua independência depende da Executive Order de Biden, que Trump pode alterar a qualquer momento e que não vincula o presidente
  • A decisão Slaughter é tratada como um caso em que a Corte deu uma guinada de 180 graus em relação à jurisprudência anterior ao considerar inconstitucional a independência da FTC
    • Isso segue a unitary executive theory, segundo a qual o presidente dos EUA deve controlar todos os órgãos executivos do país
    • A estrutura leva a considerar inconstitucionais várias leis americanas que tornam agências independentes

Efeitos imediatos e pontos que as empresas talvez precisem revisar

  • O impacto não é ilimitado
    • A decisão da European Commission continua formalmente válida até que a própria Commission a revogue ou o CJEU a invalide
    • Portanto, não há efeito jurídico imediato
    • O GDPR regula apenas transferências de dados pessoais; dados não pessoais podem circular livremente
    • O Article 49 GDPR permite transferências necessárias para países terceiros, mas não autoriza offshore estrutural fora da UE quando isso não for estritamente necessário
  • SCCs e BCRs também podem ser afetados
    • Algumas empresas usam formalmente SCCs ou BCRs em vez do EU-US Framework
    • Mesmo nesses casos, normalmente é necessária uma avaliação de impacto, e essa avaliação depende da independência de autoridades executivas dos EUA, como o PCLOB e o Data Protection Review Court
    • Controladores que não dependem de uma formal Commission Decision devem atualizar suas avaliações imediatamente
  • A noyb enviou uma carta oficial à European Commission pedindo a retirada ordenada do acordo de dados entre UE e EUA
    • Vários Estados-membros da UE já migraram para uma abordagem de “digital sovereignty” e anunciaram separação de provedores de serviços dos EUA
    • Alguns provedores de serviços dos EUA também estão promovendo processamento de dados separado dentro da UE
    • A noyb pretende entrar com ação nas próximas semanas para que o CJEU possa invalidar o acordo atual
    • Esse tipo de litígio normalmente leva de 2 a 3 anos até a decisão final

1 comentários

 
GN⁺ 4 시간 전
Comentários no Lobste.rs
  • Isso é uma coisa boa. A UE e o restante do mundo que seguirá seu exemplo não deveriam depender tanto assim de um Estado pária que insiste que sua própria autoridade está acima de todas e que já não trata outros países ou governos como iguais

    • Concordo 100%, mas as Big Techs dos EUA vão enviar um exército de lobistas para garantir que nada mude
    • A fragmentação da internet nunca é algo bom; é um sinal de que as relações políticas estão sob pressão. Não importa qual lado é menos ruim; o problema é que as partes não estão dispostas a cooperar
  • Estou irritado com esta decisão da Suprema Corte dos EUA, mas este resumo é um pouco exagerado. Isso porque as chamadas agências “independentes” nunca foram especialmente independentes para começo de conversa
    Talvez o autor tenha se deixado enganar por uma expressão comum e entendido mal a natureza delas desde o início. Não consigo pensar em nenhuma objeção prática que poderia ser levantada contra a FTC dos EUA pós-Slaughter que não se aplicasse exatamente da mesma forma antes de Slaughter
    Se há diferença, ela seria de aparência? E essa mudança de aparência por si só seria suficiente para a UE agir? Se for, ótimo, mas não vejo esta decisão como uma mudança substancial na natureza da “independência” dos reguladores dos EUA. Porque essa independência nunca existiu de fato
    Minha indignação não tem a ver com o impacto sobre a falsa independência das agências; é uma questão juridicamente mais sutil e também um pouco fora do tema deste texto e do Lobsters em geral

    • A noyb não afirma que a FTC e o Data Protection Review Court sejam independentes. Pelo contrário, chama o EU-US Data Privacy Framework de “cópia em grande parte” dos acordos anteriores que ela conseguiu invalidar
      O ponto do texto é que a Comissão Europeia usou a ficção de que essas instituições são suficientemente independentes para justificar o envio de dados pessoais aos EUA
    • Só pelo texto original isso não fica muito evidente, mas a organização que faz essa alegação parece ter participado diretamente, em duas ocasiões anteriores, da invalidação de regimes do tipo Safe Harbor