Transferências transatlânticas de dados pessoais na era pós-Snowden à luz do regulamento geral sobre a proteção de dados

Abstract

Os desenvolvimentos tecnológicos dos últimos 20 anos revolucionaram a forma pela qual os dados são coletados, armazenados e partilhados. As novas tecnologias, em especial os avanços nos ramos da tecnologia da informação e da comunicação, aliadas ao fenómeno da massificação da Internet e da globalização contribuíram para o surgimento da economia da informação e da sociedade da informação. Neste âmbito, os dados pessoais assumem o papel da principal moeda de um mercado multimilionário, o qual utiliza técnicas como os algoritmos para analisar as informações pessoais e identificar o produto e/ou serviço que melhor se adequa às vontades e necessidades dos consumidores. Enquanto principal moeda deste novo mercado, os dados pessoais assumem a posição de ativos que podem ser comercializados entre organizações de diferentes partes do globo, tornando a transferência de dados entre países uma atividade de presença constante na atual sociedade da informação. No entanto, e à diferença das demais moedas, os dados pessoais são um elemento indissociável da vida privada dos seus titulares, direito fundamental garantido pela Carta dos Direitos Fundamentais da União Europeia. Destarte, demandam o respaldo jurídico necessário à garantia da efetividade da sua proteção. A proteção dos dados pessoais ganhou maior destaque nos últimos cinco anos, em especial no ano de 2013, após as revelações de Edward Snowden sobre as coletas indiscriminadas e em larga escala das informações pessoais realizadas sob o âmbito de programas de vigilância de autoridades públicas dos Estados Unidos. As referidas revelações incitaram o debate sobre a efetividade da proteção dos dados tanto no cenário americano como no cenário europeu. À época, a União Europeia já havia proposto uma reforma em sua legislação concernente à proteção dos dados pessoais, a qual tinha como objetivo não só adequar o direito da UE às novas tecnologias, mas também harmonizar as legislações vigentes nos Estados-Membros, ao mesmo tempo em que reforçava os direitos e liberdades dos titulares dos dados. Fruto da referida reforma, o instrumento jurídico que atualmente regula a proteção dos dados a nível da União Europeia é o Regulamento Geral sobre a Proteção de Dados, o qual passou a ser aplicado em 25 de maio de 2018. A presente dissertação objetiva analisar as transferências transatlânticas dos dados pessoais na era pós-Snowden à luz do novo quadro jurídico da União Europeia. A pertinência e adequação dos principais instrumentos utilizados pelos exportadores de dados para fundamentar as transferências de dados pessoais a dois dos maiores parceiros comerciais da UE, quais sejam, os Estados Unidos e o Canadá, será a questão principal a ser examinada por este estudo. Para tanto, abordar-se-á não só o quadro legal e a jurisprudência da União Europeia referente à proteção e transferência dos dados pessoais, como também os desenvolvimentos dos sistemas jurídicos canadiano e americano neste âmbito.

The technological developments of the last 20 years have revolutionized the way data is collected, stored and shared. The new technologies, especially the developments in the fields of information and communications technologies, allied to the phenomenon of the Internet and globalization have contributed to the emergence of the information society and the information economy. In this context, personal data assume the role of the main currency of a multi-million dollar market, which uses techniques such as algorithms to analyze personal information and identify the product and/or service that best fits the desires and needs of consumers. As the main currency of this new market, personal data became an asset that can be traded between organizations from different parts of the globe, making the transfer of data between countries an activity of constant presence in the current information society. However, unlike other currencies, personal data is inseparable from the private life of their holders, a fundamental right guaranteed by the Charter of Fundamental Rights of the European Union. Therefore, they demand the legal support necessary to guarantee the effectiveness of their protection. Personal data protection has gained more prominence in the last five years, especially in 2013, following the revelations of Edward Snowden on the indiscriminate and large-scale collection of personal information held under US government surveillance programs. These revelations stimulated the debate on the effectiveness of data protection both in the American scene and in the European scenario. At the time, the European Union had already proposed a reform of its legislation concerning the protection of personal data, which was intended not only to bring EU law into line with new technologies, but also to harmonize existing legislation in the Member States, strengthening the rights and freedoms of data subjects. As a result of this reform, the legal instrument currently governing data protection at the level of the European Union is the General Data Protection Regulation, which was implemented on May 25, 2018. The present dissertation aims to analyze the transatlantic transfers of personal data in the post-Snowden era, under the European Union new legal framework. The relevance and adequacy of the main instruments used by data exporters to fundament their data transfers to two of the EU’s biggest trading partners, namely the United States and Canada, will be the principal question to be examined by this study. To do so, it will be analyzed not only the EU case law and legal framework regarding the protection and transfers of personal data, but also the developments of the Canadian and American legal systems in this regard.