Como o próprio nome diz, é um escudo de privacidade. O Privacy Shield foi um acordo internacional entre Estados Unidos (Departamento de Comércio) e União Europeia (Comissão Europeia), realizado em 2016.

Mas, para que servia?

Tratava-se de uma permissão para transferências de dados pessoais entre esses dois países, uma vez que o fluxo de dados entre eles é volumoso, ou seja, a transferência de dados pessoais de indivíduos localizados na União Europeia para empresas localizadas nos Estados Unidos.

Como o Privacy Shield surgiu?

Esse acordo foi resultado da anulação de outro pacto internacional chamado Safe Harbor, o qual também foi invalidado pela Corte Europeia, uma vez inexistente a proteção de dados pessoais, semelhante à legislação europeia.

Assim, com a nova decisão, o Privacy Shield também foi anulado. Mas, o que foi observado?

– Qual seria a validade do Privacy Shield?

– Qual a validade das cláusulas padrões em um contrato entre particulares?

– O Privacy Shield acolhia a legislação europeia de proteção de dados pessoais?

– E o fato dos programas americanos de vigilância consentirem o acesso e utilização dos dados pessoais importados da união europeia para as autoridades de segurança pública do país (e a proteção da GDPR aos cidadãos europeus?

Os fundamentos do Privacy Shield não foram suficientes para recepcionar as bases da GDPR, deixando os cidadãos europeus desprotegidos.

O GDPR dispõe que, se a lei de um país terceiro como os Estados Unidos não garantir direito mínimo de proteção de dados e privacidade, não será permitida a transferência de dados para esse país.

Se isso ocorresse, o cidadão europeu seria prejudicado, por isso, a Corte Europeia invalidou referido acordo internacional. Lembrando ainda, que as leis de vigilância do país americano são amplamente conhecidas como desproporcionais e arbitrárias, pois as leis americanas sempre prevalecerão nos acordos em que os Estados Unidos forem parte.

No Privacy Shield era ausente o mecanismo para os europeus (titulares de dados) saberem quais dados foram coletados, a finalidade, como é realizado o compartilhamento dessas informações, o tempo de retenção e descarte. Enfim, não havia transparência sobre o que se seria feito com os dados pessoais das pessoas, nem mesmo havia possibilidade de acionar a justiça para requerer as informações acerca da vigilância.

O escudo da privacidade ainda informava a existência de meios para realização da transferência internacional de dados pessoais, através das conhecidas cláusulas contratuais padrão, pré-aprovados pela Comissão Europeia, que deveriam ser incluídos nos contratos que envolvessem a transferência internacional de dados como forma de garantir padrão mínimo de segurança aos direitos elencados aos titulares dos dados pessoais no GDPR.

Essas cláusulas foram reconhecidas pela Comissão Europeia desde 1987, como sendo um suporte válido e adequado para realização de transferências de dados internacionais.

No entanto, mesmo que o contrato privado firmado entre as partes possuísse disposições firmes, se o país que os dados pessoais foram transferidos tivesse uma lei que sobrepusesse o contrato, e esta norma não fizesse referência à proteção de dados pessoais, esta prevaleceria, e o contrato firmado perderia utilidade. Assim, o Privacy Shield foi invalidado diante da falta de proteção aos cidadãos europeus sobre a transferência de seus dados pessoais para os Estados Unidos.