Em fevereiro de 2020, o European Data Protection Board (EDPB) lançou um guia de recomendações sobre garantias essenciais no que concerne às medidas de vigilância implementadas sob a ótica da lei de proteção de dados europeia (GDPR).
O objetivo das referidas garantias foi fornecer elementos para examinar se as medidas de vigilância que permitiam o acesso a dados pessoais por autoridades públicas de um outro país – seja por parte de agências de segurança nacional ou por autoridades responsáveis pelo cumprimento das leis – poderiam ser consideradas como uma interferência justificável ou não.
Assim, o propósito desse exame seria determinar se tal país ofereceria um nível de proteção equivalente àquele garantido na União Europeia.
Por todo o exposto, os elementos que serão referendados a seguir devem ser interpretados como as garantias essenciais a serem providas por outros países para justificar medidas de vigilância de países estrangeiros, interferindo em direitos relacionados à privacidade e proteção de dados de cidadãos europeus.
Os elementos referidos acima são listados a seguir:
1. O tratamento deve ser baseado em regras claras, precisas e acessíveis
2. A necessidade e a proporcionalidade em relação aos objetivos legítimos perseguidos devem ser demonstradas
3. Deve existir um mecanismo de supervisão independente
4. Remédios eficazes precisam estar disponíveis para o indivíduo
Essa questão ganhou bastante relevância, quando o Tribunal Europeu considerou que o Privacy Shield – um acordo para garantir a troca de dados pessoais de cidadãos europeus entre a União Europeia e os Estados Unidos – não seria mais suficiente para garantir a transferência de dados de cidadãos europeus a destinatários localizados nos Estados Unidos, pois a interferência norte-americana nos direitos de privacidade e proteção de dados, sob os argumentos de segurança nacional ou cumprimento das leis, seria desmedida.
Finalmente, é importante salientar que o documento preconizou que qualquer governo que interferisse no direito de privacidade de um cidadão viesse a notificar tal cidadão, a fim de que ele pudesse exercer seus direitos de acesso a respeito de quais dados pessoais seus estariam sendo tratados, bem como o direito de requerer a correção ou o descarte. Tal notificação ocorreria somente se não colocasse em risco o propósito legítimo das tarefas desenvolvidas pelas respectivas autoridades.
As prerrogativas estabelecidas nesse documento certamente poderiam contribuir para a análise da Autoridade Nacional de Proteção de Dados (ANPD) ao regulamentar o Art. 33, I da LGPD, acerca da transferência internacional de dados, fundamentada na permissão baseada no grau de proteção adequado do país ou organismo internacional.
