Validação judicial do quadro de proteção da privacidade dos dados UE-EUA: Entre a estabilidade e a erosão
1. Contexto e objeto do litígio
O acórdão do Tribunal Geral da União Europeia (TJUE), de 3 de setembro de 2025, no processo T-553/23, Latombe/Comissão, confirma a validade do Quadro UE-EUA sobre a Privacidade dos Dados (a seguir "DPF"), negando provimento ao recurso interposto por Philippe Latombe. O principal objetivo deste recurso era a anulação da Decisão de Execução (UE) 2023/1795 da Comissão, de 10 de julho de 2023, que determina, nos termos do Regulamento (UE) 2016/679 (RGPD), o nível adequado de proteção dos dados pessoais assegurado pelo DPF.
2. Antecedentes e relevância histórica
Historicamente, o principal impulsionador das contestações à adequação deste quadro regulamentar tem sido Max Schrems, cujas acções resultaram na anulação dos anteriores acordos "Safe Harbour" e "Privacy Shield". Embora o presente caso seja diferente quanto ao mérito, este precedente é relevante, pois mostra que a segurança jurídica das transferências internacionais de dados entre os EUA e a UE ainda está a ser debatida. Apesar disso, os esforços diplomáticos de ambas as jurisdições têm demonstrado resiliência, mantendo um diálogo regulamentar em constante evolução.
3. Fundamentação da decisão do TJUE
O Tribunal considera que o sistema dos EUA oferece garantias "essencialmente equivalentes" às exigidas pela legislação da UE. Este critério, menos restritivo do que o aplicado nos processos Schrems I e II, baseia-se em dois pontos fundamentais: a independência efectiva do Tribunal de Controlo da Proteção de Dados (DPRC), sem necessidade de reproduzir as estruturas constitucionais europeias, e a suficiência do controlo judicial ex post face à vigilância em massa, eliminando a exigência de autorização prévia por uma autoridade independente.
4. Incertezas e riscos identificados
Embora o acórdão sugira uma fase de reconsolidação institucional, subsistem incertezas que o impedem de ser considerado definitivo. Estas incluem a possibilidade de um recurso para o TJUE, o âmbito limitado do recurso inicial e as alterações nos principais organismos dos EUA, como o desmantelamento do Privacy and Civil Liberties Oversight Board (PCLOB) em 2024, o que evidencia a sua fragilidade institucional.
5. Avisos das autoridades europeias
Várias autoridades de proteção de dados na Europa (Noruega, Suécia, Dinamarca e Alemanha) instaram as empresas a desenvolver "estratégias de saída" do DPF. Estes avisos não são meras precauções, mas sinais técnicos de que as alterações nos EUA podem comprometer a base da decisão de adequação.
6. Impacto prático e recomendações
Embora o acórdão possa ser interpretado como uma luz verde para as transferências entre a UE e os EUA, os cenários futuros apontam para a necessidade de uma abordagem mais flexível. Embora a decisão possa ser interpretada como uma luz verde para as transferências entre a UE e os EUA, os cenários futuros apontam para riscos significativos: desde uma eventual suspensão administrativa devido a alterações legislativas nos EUA até uma nova denúncia de maior alcance.
Atualmente, mais de 2800 empresas nos EUA estão certificadas ao abrigo da DPF, o que lhes permite continuar a basear-se na decisão de adequação (artigo 45.º do RGPD) como base jurídica para as suas transferências transatlânticas. Isto reduz a incerteza imediata e evita perturbações maciças dos fluxos de dados. No entanto, a estabilidade do quadro não está garantida e deve ser ativamente monitorizada, uma vez que podem surgir eventos regulamentares ou judiciais que o ponham em causa.
Por conseguinte, recomenda-se que as organizações mantenham estratégias flexíveis, preparem mecanismos alternativos, como as cláusulas contratuais-tipo (CCP), e revejam periodicamente os fluxos de dados.
