O Comité Europeu para a Proteção de Dados (CEPD) emitiu ontem o seu parecer sobre a proposta da Comissão Europeia para uma decisão de adequação do nível de proteção de dados oferecido pelo Data Privacy Framework (DPF) entre a UE e os EUA.

O CEPD vai ser ouvido hoje de manhã no Parlamento Europeu, no Comité LIBE, sobre a proposta de decisão de execução da Comissão Europeia, apresentada em dezembro último, ao abrigo do artigo 45.º do RGPD, sobre a adequação do nível de proteção de dados do Data Privacy Framework entre a UE e os EUA.

No Parecer 5/2023, aprovado ontem, o CEPD reconhece as melhorias significativas introduzidas no quadro legal norte-americano quanto aos princípios da necessidade e da proporcionalidade na recolha de dados pelos serviços de informação dos EUA e quanto ao mecanismo de recurso para os titulares de dados da UE. No entanto, o CEPD manifesta ainda as suas preocupações em relação a alguns aspetos e solicita clarificações por parte da Comissão Europeia.

As principais questões prendem-se com o exercício dos direitos dos titulares, as transferências subsequentes de dados, o âmbito das derrogações, a recolha temporária de dados em bulk e o funcionamento prático do mecanismo de recurso. O CEPD considera também haver insuficiências no que diz respeito à monitorização independente.

O Comité Europeu entende que não apenas a entrada em vigor da decisão de adequação, mas também a sua própria adoção, deveriam ser condicionais à aprovação e consequente notificação à Comissão Europeia de todos os atos que irão regulamentar a Ordem Executiva 14086 por parte de todas agências de informação norte-americanas. O CEPD recomenda que a Comissão avalie esses atos e informe o Comité das suas conclusões.

O Parecer do CEPD considera tanto os aspetos comerciais como o acesso aos dados e a sua utilização posterior pelas autoridades públicas dos EUA. Recorde-se que o DPF será apenas aplicável às organizações dos EUA que se tenham autocertificado junto do Departamento de Comércio.

O DPF vem substituir o quadro do Privacy Shield, que por sua vez substituiu o Safe Harbor, tendo ambas as decisões de adequação da Comissão Europeia sido invalidadas pelo Tribunal de Justiça da União Europeia, respetivamente nos casos Schrems II e Schrems I.