Por António Coutinho (*) 

Entre as notícias que têm circulado abundantemente sobre as tarifas impostas pela administração Trump aos produtos europeus e às possíveis retaliações europeias, a questão do armazenamento de dados pessoais recolhidos na União Europeia por empresas americanas tem sido pouco debatida nos meios de comunicação.

O problema de base é que o Governo dos Estados Unidos se reserva o direito de, num contexto de segurança nacional, ordenar às empresas americanas que cooperem com a NSA (Agência Nacional de Segurança) para aceder aos dados de cidadãos estrangeiros que detenham.  Essa possibilidade é incompatível com as leis de privacidade europeias, em particular a GDPR / RGPD, por isso se tem procurado algum mecanismo que dê segurança jurídica às práticas atuais.

Em 2000, foi criado o acordo "Safe Harbor" entre a União Europeia e os Estados Unidos, que permitia às empresas americanas auto-certificarem o cumprimento de normas de privacidade compatíveis com as europeias. No entanto, este acordo foi invalidado em 2015 pelo Tribunal de Justiça da União Europeia (TJUE) no caso conhecido como "Schrems I", devido à falta de garantias contra a vigilância massiva por parte dos serviços de inteligência dos EUA. Tentou-se resolver a situação com um novo acordo, o "Privacy Shield", em 2016, mas este também foi anulado pelo TJUE em 2020, no caso "Schrems II", pelos mesmos motivos.

Em resposta, foi criado um novo enquadramento em 2023, o Quadro de Privacidade de Dados UE-EUA (Data Privacy Framework), que inclui compromissos reforçados por parte dos EUA, nomeadamente a criação de um tribunal independente, o Data Protection Review Court (DPRC), para proteger os direitos dos cidadãos europeus. Apesar destas melhorias, muitos especialistas e defensores da privacidade continuam céticos quanto à sua eficácia, e há expectativas de que o novo acordo possa voltar a ser contestado judicialmente na UE.

O perigo de não se conseguir manter o atual enquadramento em vigor é muito elevado, por mais dois fatores: por um lado o atual acordo depende de decisões da Administração Biden que a atual Administração já indicou que quer abolir em massa e também do cumprimento por parte dos Estados Unidos das condições necessárias, em particular no que diz respeito à nomeação dos representante americanos para os órgãos que fiscalizam o acordo.

Por outro lado, a UE procura formas de retaliar contra as tarifas e muitas vozes dizem que a melhor forma de o fazer seria limitar ou taxar a prestação de serviços digitais pelas empresas americanas. Também as preocupações em torno da NATO não podem deixar de influenciar a atitude dos países europeus sobre a possibilidade de a NSA aceder livre e secretamente aos dados dos seus cidadãos.

Poderá ser muito simples do lado europeu simplesmente constatar que as condições legais para o armazenamento de dados pessoais por empresas americanas não se verificam.

Nesse caso, toda a utilização de serviços de cloud pública ficam em causa, porque quase todos são propriedade de empresas americanas: Amazon, Microsoft, Google, IBM, etc.  O impacto que esta situação teria nas empresas europeias que usam esse serviço é difícil de imaginar. Mesmo que essa utilização não ficasse explicitamente proibida, estaria criada uma grande incerteza jurídica para qualquer entidade europeia que continuasse a depender desses serviços.

Em conclusão, torna-se indispensável que as empresa europeias tenham planos para poderem não depender totalmente de plataformas extraeuropeias. No atual estado do mercado, em que não há alternativas europeias completas às clouds públicas americanas, esses planos terão que passar por soluções hibridas, que permitam manter os dados mais sensíveis dentro de portas, ou alojados em empresas europeias.

Todas as decisões relativas a dados sensíveis terão que ter em conta questões de soberania digital, que no fundo se prende com o reconhecimento de quem é a entidade soberana que têm a última palavra sobre o acesso aos dados.

(*) CEO Eurotux