A União Europeia e os EUA chegaram a acordo na passada semana para avançar com a legislação mais favorável à transferência de dados pessoais.

O anúncio pelos presidentes da Comissão Europeia e dos EUA, Ursula von der Leyen e Joe Biden, respectivamente, deste “Trans-Atlantic Data Privacy Framework“, ou “Privacy Shield 2.0“, mereceu algumas críticas do activista austríaco dos direitos digitais Max Schrems. Ele alertou que
– “há apenas um anúncio político, não um texto que possa ser analisado”; este “não existe e levará alguns meses a ser elaborado”;

– isso significa provavelmente que “os advogados ainda precisam de encontrar soluções para os problemas levantados pelo Tribunal de Justiça (TJUE)” mas, “até agora, nenhuma solução totalmente funcional foi entregue, apesar de dois anos de discussões;

– os EUA não estão a planear mudar as suas leis de vigilância, mas apenas a prever garantias executivas”. Assim, “não é claro como isto passaria remotamente no teste do TJUE [quando] acordos anteriores falharam duas vezes a este respeito;

– parece não haver nenhuma actualização do princípio ‘Privacy Shield’ para uso de dados comerciais, apesar da entrada em vigor do RGPD desde a aprovação do Privacy Shield;

– qualquer novo acordo não será um acordo bilateral, mas uma decisão executiva da Comissão Europeia, que teria de ser revista antes pelo Conselho Europeu de Protecção de Dados (EDPB). Este processo só pode ser iniciado uma vez que haja um texto legal. Uma ‘decisão de adequação’ real, portanto, precisa de mais alguns meses;

– as empresas não podem usar um acordo até que ele seja formalmente aprovado, o que levará meses.

No geral, escreveu Schrems, “um anúncio político sem um texto sólido parece gerar ainda mais insegurança jurídica”.

Mercado digital com alterações
Ao final de quinta-feira, também o Parlamento e o Conselho europeus se comprometeram a limitar o domínio das grandes plataformas online através do Digital Markets Act (ou DMA).

A “regulação económica mais importante das últimas décadas” terá impacto sobre práticas anti-concorrência, privacidade ou interligação entre empresas. Afecta praticamente toda a Big Tech, desde as redes sociais aos motores de busca ou aos sistemas operativos móveis, cuja sede original está nos Estados Unidos mas também na China, como a Alibaba, por exemplo.

O DMA terá ainda impacto na publicidade focada (“targeted advertising”) da Google ou da Meta, a Apple terá de abrir a sua loja de apps à concorrência e a Amazon não poderá favorecer os seus produtos. Até serviços como o WhatsApp da Meta podem ser obrigados a ter níveis de interoperabilidade com a concorrência, como o Telegram.

Alguns críticos apontam que esta “interoperabilidade obrigatória por meio de APIs abertas prejudicará irrevogavelmente os serviços de mensagens cifradas ‘end-to-end’, como o WhatsApp. Isso parece nascer principalmente da preocupação de que o DMA esteja de alguma forma a tentar subverter a criptografia ‘end-to-end’, apesar do facto de o DMA exigir explicitamente que as APIs exponham o mesmo nível de segurança, incluindo criptografia, que os utilizadores estão a usar”.

No geral, “o DMA põe fim ao domínio cada vez maior das grandes empresas de tecnologia”, disse o eurodeputado e relator da proposta de lei, Andreas Schwab. “A partir de agora, as grandes empresas de tecnologia devem mostrar que também permitem uma concorrência justa na Internet”.

Quanto a essas empresas, a Apple comentou estar “preocupada” com “certas disposições [que] criarão vulnerabilidades desnecessárias de privacidade e de segurança para os nossos utilizadores, enquanto outras nos proibirão de cobrar pela propriedade intelectual em que investimos muito”. A Google esclareceu que, “embora apoiemos muitas das ambições do DMA sobre a escolha e a interoperabilidade do consumidor, continuamos preocupados com os riscos potenciais para a inovação e a variedade de opções oferecidas aos europeus”.

Antecipa-se que haverá reguladores atentos para aplicar sanções às empresas com uma capitalização de 75 mil milhões de euros, uma facturação anual de pelo menos €7.5 mil milhões e com pelo menos 45 milhões de utilizadores mensais finais.

Como é que tudo isto vai acontecer? Recorde-se que é um “acordo de princípio” que só deverá começar a ser finalizado até ao início de 2023.

Segundo o comunicado do Parlamento Europeu, “depois de finalizado a nível técnico e verificado por juristas-linguistas, o texto jurídico terá de ser aprovado pelo Parlamento e pelo Conselho. Uma vez concluído este processo, entrará em vigor 20 dias após a sua publicação no Jornal Oficial da UE e as regras serão aplicadas seis meses depois”.