O Comité Europeu de Protecção de Dados (EDPB) na “Opinion 5/2023”, de 28 de fevereiro de 2023 sobre a “Draft Decision” da Comissão Europeia relativa ao reconhecimento dos EUA como Estado que garante proteção adequada na transferência de dados pessoais.

“However” e “lack of clarity” são expressões frequentemente usadas na posição do Comité. Após a declaração de invalidade do Privacy Shield pelo Acórdão Schrems II (C‑311/18, ECLI:EU:C:2020:559), desenvolveram-se esforços para um entendimento entre a EU e os US de forma a que pudesse ser aprovada uma nova decisão de adequação nos termos do RGPD.
A posição do Comité assenta em múltiplas fontes, mas é interessante o diálogo entre a “Draft Decision” e a Executive Order 14086 emitida pelo Presidente Biden, a 7 de outubro de 2022.

O Comité considera adequada a inclusão de uma lista de finalidades na EO 14086, embora censure a falta de clareza quanto à intervenção do Presidente; considera positiva a criação de um “Data Protection Review Court”, substituindo o inútil Ombudsman previsto no “Privacy Shield”, embora não encontre bem definido o estatuto dos “judges”; considera louvável a menção expressa aos princípios da necessidade e da proporcionalidade.

Por outro lado é censurada a não referência aos “data controllers” na “Draft Decision” e a manutenção de um sistema de autocertificação junto da FTC, sendo a EO 14086 a qualifica como certificação.

O Comité, entre muitos outros aspetos, crítica que a secção FISA 702 e a EO 1233 fiquem intocadas.

Parece que ainda não chegou o “golpe de asa” que permita chegar a uma decisão de proteção adequadas com os US. Continuarão a ser aplicáveis normas derrogatória e sistema de garantias reforçadas.

O Comité sumariza:

“(244) The EDPB considers that the state law protection in relation to access by law enforcement authorities, the derogation for temporary bulk collection in view of targeted collection by US national security authorities, the application in practice of the newly introduced principles of necessity and proportionality, including in the context of the UPSTREAM program, the interplay between the EO 14086 and the different U.S. legal instruments allowing U.S. intelligence agencies to collect and further process personal data, the implementing internal policies and procedures, how these safeguards will also be taken into account in the context of the oversight led by the FISC, and how the redress mechanism will function effectively, and the question of onward transfers, automated-decisions, substantive and effective oversight and enforcement of the DPF Principles as well as effective redress will deserve specific attention in the course of the next periodic reviews.”

Texto Alexandre Sousa Pinheiro

Link Original aqui.