Regulação do fluxo de dados pessoais entre fronteiras: os contornos e limites da decisão de adequação de países terceiros

Abstract

Esta dissertação analisa as decisões de adequação proferidas pela Comissão Europeia sob as regras da Diretiva 95/46/CE e do atual General Data Protection Regulation (Regulamento no 679/2016 ou GDPR). Para fazer isso, utiliza-se da categoria de análise desenvolvida por Graham Greenleaf que identifica a existência de dez padrões globais e dez padrões europeus de proteção de dados pessoais. Os dez padrões globais compreendem padrões comuns de proteção de dados pessoais contidos nas Diretrizes de 1980, Convenção 108, Diretiva 95/46/CE e APEC Privacy Framework. Por sua vez, os dez padrões europeus compreendem padrões típicos do regime regulatório europeu, encontrados, exclusivamente, na Convenção 108 e na Diretiva 95/46/CE. As decisões analisadas são apresentadas em três eixos distintos. O primeiro eixo compreende as decisões proferidas entre os anos de 2000 e 2012, ainda sob a Diretiva 95/46/CE (Suíça, Canadá, Guernsey, Argentina, Ilha de Man, Jersey, Andorra, Ilha Faroé, Israel, Nova Zelândia, Uruguai). O segundo compreende a decisão a respeito dos Estados Unidos, no âmbito de aplicação do Privacy Shield. Por fim, o terceiro eixo compreende a decisão do Japão, sendo a primeira proferida sob o atual regime do GDPR. A dissertação conclui que a União Europeia vem construindo um regime de regulação extraterritorial forte, em que se busca mecanismos capazes de proteger o nível adequado do tratamento dos dados pessoais independentemente do local de seu tratamento. As decisões, porém, demonstram uma análise superficial do regime jurídico do terceiro avaliado por parte da Comissão Europeia, bem como uma avaliação estática das regras de proteção dos dados pessoais.

This dissertation analysis the European Comission’s adequacy decisions under the rules of the Directive 95/46/EC and the General Data Protection Regulation (GDPR or Regulation 2016/679). In order to so, it relies on Graham Greenleaf’s categories of analysis, which identify the existence of ten global standards and ten European standards of data protection. The ten global standards comprise common standards of data protection contained in the Directives of 1980, the Convention 108, the Directive 95/46/EC, and the APEC Privacy Framework. The ten European standards, in turn, comprise standards that are typical of the European regulatory regime, found, exclusively, in the Convention 108 and in the Directive 95/46/EC. The analysed decisions are then presented in three distinct groups. The first group comprises the decisions rendered from 2000 and 2012, still under the Directive 65/46/EC ((Switzerland, Canada, Guernsey, Argentina, Isle of Man, Jersey, Andorra, Faroe Island, Israel, New Zealand, Uruguay). The second group comprises the decision on the United States with regards to the Privacy Shield Framework. Finally, the third group comprises the decision on Japan, the first decision rendered by the Commission under the current GDPR regime. This dissertation concludes that the European Union is setting up a strong regime of extraterritorial regulation, by which it searches for mechanisms that are capable of protecting an adequate level of data protection regardless of the place of its actual treatment. The decisions, however, demonstrate a superficial analysis of the legal regime of the third party under assessment, as well as a static assessment of the rules on data protection.