O frágil novo acordo de proteção de dados dos europeus

A União Europeia e os EUA chegaram a um novo acordo para garantir a privacidade dos dados enviados da Europa para servidores dos EUA. Mas será suficiente?

A União Europeia e os Estados Unidos chegaram a um novo acordo na terça-feira sobre a proteção de privacidade dos dados dos europeus que são enviados para os servidores norte-americanos. O acordo, que se vai chamar "Escudo de Privacidade" (Privacy Shield), substitui o acordo repudiado pelo Tribunal Europeu de Justiça em outubro. Esta é uma notícia boa para grandes corporações como o Facebook e a Google que querem ter acesso continuado aos dados dos usuários europeus.

Mas o novo acordo exige a análise própria que os reguladores europeus e, provavelmente, o Tribunal, pretendem realizar. Devido aos interesses empresariais poderosos que estão em jogo, há razões para pensar que o acordo poderá ter lacunas que dificultem a situação para estes órgãos.

O acordo de 2000, chamado "Porto Seguro", foi anulado pelo Tribunal uma vez que as empresas norte-americanas estavam a dar acesso à Agência de Segurança Nacional (NSA) dos Estados Unidos aos dados dos europeus. A questão perante o Tribunal Europeu foi se os dados transferidos para os Estados Unidos receberiam um "nível adequado de proteção" sob a Diretiva da Proteção de Dados da União Europeia.

A resposta foi não - e por razões complicadas. O tribunal reconheceu que pela lei norte-americana as exigências legais não se enquadram da melhor forma com o acordo Porto Seguro. Com base em revelações do antigo elemento da NSA Edward Snowden, o nível de proteção da privacidade fornecido na prática pelos Estados Unidos não era alto o suficiente para satisfazer aos padrões europeus. Portanto, o acordo foi rejeitado.

É crucial reconhecer que a decisão do Tribunal Europeu de Justiça inclui o reconhecimento de que, pela lei europeia, é normal para um governo olhar para os dados privados dos consumidores em algumas circunstâncias. O que o Tribunal estava a dizer foi que a lei dos Estados Unidos não era protetora o suficiente para satisfazer os padrões europeus. Segundo o Supremo Tribunal da Irlanda:

Em particular, o tribunal irlandês estava preocupado que os cidadãos europeus "não tivessem o direito real de serem ouvidos" pelos tribunais dos Estados Unidos se a privacidade dos seus dados fosse violada pelas agências de segurança porque a violação ocorre em segredo.

O Tribunal Europeu de Justiça teve que admitir que a lei europeia não contém "uma definição do conceito de um nível adequado de proteção". Mas concluiu que a adequação deve significar "um nível de proteção de direitos e liberdades fundamentais que é essencialmente equivalente àquilo que é garantido pela União Europeia."

Por outras palavras, se a proteção de privacidade dos Estados Unidos for mais fraca do que a da União Europeia, o acordo deve ser anulado. O novo acordo deve ser avaliado, dado este contexto, para ver se irá atingir o nível legal exigido.

O destaque do acordo, enfatizado pela Comissão Europeia no seu comunicado, é o que deve ser, supostamente, a "garantia escrita" dos Estados Unidos de que os dados dos europeus serão protegidos. Segundo este acordo, o diretor de informações nacionais dos EUA vai atestar que os dados dos europeus não serão sujeitos à "vigilância em massa". Isto parece melhor que o antigo acordo, que não incluia uma promessa explícita da agência de informações.

Mas a agência de Informações Digitais de Rede (DNI) vai, quase certamente, ser capaz de fazer uma promessa em termos muito gerais. E, na prática, mesmo a própria vigilância norte-americana ainda vai poder ser muito mais ampla e menos relacionada com a proteção de privacidade do que qualquer coisa que os países europeus normalmente permitem. Os Estados Unidos dizem que vão rever os dados proporcionalmente, mas o que significa algo bem específico na Europa mas pode também significar algo diferente nos EUA.

Além disso, pela lei dos EUA, há geralmente pouca ou nenhuma proteção dos dados que pertencem aos estrangeiros que estão fora dos EUA. Esta lei não mudou. Pelo menos parece possível que a NSA pudesse simplesmente tentar focar-se nos dados dos europeus antes que fossem transferidos para os Estados Unidos. Se isto está a ser feito secretamente, ninguém vai saber disto para se queixar.

Outra cláusula do novo acordo cria um mediador para os europeus, de modo a aumentar as preocupações de privacidade de dados. Isto é presumivelmente considerado como uma fonte de recursos e também um meio para acalmar o Tribunal Irlandês em relação à segurança. Mas não haverá acesso às interpretações secretas da lei ou vigilância secreta.

Uma norma do acordo diz que as empresas norte-americanas deveriam concordar em introduzir proteções de privacidade robustas antes de transferir dados. Isto provavelmente teria que os impedir de enviar voluntariamente dados à NSA em violação das regulações de privacidade. Mas se a lei dos Estados Unidos requer a transferência, ainda têm que a cumprir.

Tudo isto significa que há muito espaço para o Tribunal Europeu achar que o "Escudo de Privacidade" é inadequado assim como o seu antecessor. Mas será que a decisão do Tribunal será nesse sentido?

Tal depende, em parte, do quão fortemente a União Europeia irá avaliar a sua posição nas negociações. Ninguém na elite política europeia quer realmente desistir do Facebook ou da Amazon. E nenhum burocrata realmente acha que os EUA vão mudar as suas leis de segurança nacional para agradar à União Europeia.

O novo acordo é um compromisso pragmático destinado a preservar a formalidade legal e uma aparência de privacidade de dados sem perturbar a segurança nacional dos EUA e a ação dos serviços de informações europeus, que poderiam gostar de uma chance de ver os dados dos seus próprios cidadãos.

O Tribunal Europeu de Justiça pode não querer estragar este balanço delicado. Neste caso, pode generosamente aprovar o novo acordo. Tal poderia resolver o problema prático. Mas a desigualdade entre as concepções europeias e norte-americanas sobre a privacidade vão ficar.