O Comité Europeu para a Proteção de Dados (CEPD) aprovou esta semana um relatório sobre a primeira avaliação do Data Privacy Framework (DPF) entre a UE e os EUA, que estabelece um quadro de adequação para as transferências de dados.
No seu último plenário, que decorreu na segunda-feira, dia 4 de novembro, o CEPD aprovou o primeiro relatório sobre a execução do DPF, na sequência da visita de avaliação realizada em meados de julho, a Washington, e na qual a Comissão Europeia foi acompanhada por cinco representantes do CEPD.
O CEPD salienta positivamente os esforços das autoridades norte-americanas e da Comissão Europeia para dar execução ao DPF, bem como os desenvolvimentos verificados desde a adoção da decisão de adequação em 2023.
Em relação à vertente comercial do DPF, aplicável às empresas auto-certificadas ao abrigo deste quadro, o Comité Europeu reconhece que o Departamento de Comércio dos EUA encetou todos os passos significativos para efetivar o processo de certificação. Além disso, foi implementado o mecanismo de recurso para os titulares de dados da UE e foram publicadas orientações quanto ao tratamento de queixas.
No entanto, atendendo ao reduzido número de queixas recebido até agora, o CEPD salienta a importância de as autoridades dos EUA realizarem atividades de controlo às empresas sobre o cumprimento do DPF e dos seus princípios. O CEPD considera ainda que seria útil a elaboração de diretrizes pelas autoridades norte-americanas, quanto aos requisitos a que devem obedecer as empresas certificadas do DPF, para o tratamento de dados que recebem de exportadores de dados da UE, em particular no domínio dos recursos humanos.
Em relação ao acesso pelas autoridades públicas a dados pessoais transferidos da UE para as organizações certificadas do DPF, o Comité Europeu centrou-se no estabelecimento efetivo de salvaguardas, introduzidas pela Ordem Executiva 14086, no quadro legal norte-americano. O CEPD considera que os mecanismos de recurso estão criados, ao mesmo tempo que recomenda à Comissão Europeia que monitorize o funcionamento prático das diferentes salvaguardas, designadamente a aplicação dos princípios da necessidade e da proporcionalidade.
O CEPD recomenda ainda à Comissão Europeia que siga os desenvolvimentos relacionados com a lei norte-americana FISA (Foreign Intelligence Surveillance Act), especialmente devido ao alcance alargado da Secção 702, em resultado da sua reautorização no início deste ano.
Por último, o Comité Europeu recomenda que a próxima avaliação da decisão de adequação UE-EUA seja feita no prazo máximo de três anos.