EU - U.S. data transfers, data protection, and foreign surveillance

Abstract

Desde a revelação da vigilância em massa efetuada pelos Estados Unidos (EUA) por Edward Snowden, preocupações relativas à recolha generalizada de dados pessoais têm sido levantadas. Na União Europeia (UE), onde o Regulamento Geral de Proteção de Dados (RGPD) está em vigor desde 2018, garantindo direitos e princípios de proteção de dados aplicáveis ao tratamento de dados pessoais e alargando-os para fora das fronteiras do continente, o debate sobre esta questão tem sido particularmente vigoroso. Num mundo cada vez mais conectado, a transmissão transnacional de dados é importante para o crescimento económico, para o comércio e a conexão humana; contudo, as transferências de dados entre duas das economias mais fortes do mundo têm sido contestadas desde as revelações de Snowden, com a invalidação pelo Tribunal de Justiça da União Europeia (TJUE) de duas decisões de adequação que asseguravam a transferências de dados entre a EU e os EUA em Schrems I (2015) e Schrems II (2020). O objetivo desta tese é esclarecer o regime jurídico da UE em matéria de transferência de dados, as leis de vigilância americana, designadamente a Secção 702 do FISA e a E.O.12333, e como estas são um obstáculo aos direitos e proteções decorrentes desse regime, assim como avaliar se é possível uma reconciliação entre a proteção de dados e sistemas de informações. Para além de uma análise aprofundada das leis norte-americanas que autorizam programas de vigilância como o PRISM e Upstream, será realçada a diferença de tratamento que existe entre cidadãos norte-americanos e não norte-americanos. Para além disso, uma análise das consequências da jurisprudência Schrems e a mudança de base jurídica nas transferências de dados do Artigo 45º do RGPD, relativo a decisões de adequação, para transferências baseadas no Artigo 46º, relativo a transferências sujeitas a garantias adequadas, particularmente as cláusulas-tipo de proteção de dados, permitirá concluir que a questão da transferência de dados para os EUA continuará a ser um tema de debate devido às leis de vigilância americanas. Por uma questão de perspetiva, e para avaliar o lugar da proteção de dados no âmbito da segurança nacional nos Estados-Membros, serão também referidas as leis de vigilância da Franca, Suécia e Alemanha.

Ever since the extent of mass foreign surveillance operated by the United States (U.S.) was revealed by Edward Snowden, concerns regarding the bulk collection of personal data have been raised. In the European Union (EU), where the General Data Protection Regulation (GDPR) is in force since 2018, guaranteeing data protection rights and principles applicable to the processing of personal data and extending these outside the continent’s borders, the debate has been particularly vigorous. In an increasingly digital and connected world, transnational data flows are important for economic growth, trade, and human connection; however, data transfers between two of the most powerful economies in the world have been challenged in the years following the Snowden leaks with the invalidation by the Court of Justice of the European Union (CJEU) of two adequacy decisions ensuring data transfers between the EU and the U.S. in Schrems I (2015) and Schrems II (2020). The aim of this thesis is to clarify the EU data transfer legal regime, how American surveillance laws such as Section 702 of FISA and E.O. 12333 are a hinderance to the rights and protections arising from EU law, and whether a reconciliation is possible between data protection and surveillance for foreign intelligence purposes. Besides providing an in-depth look into U.S. laws authorising surveillance programs such as PRISM and Upstream, the difference in treatment between U.S. persons and non-U.S. persons will be emphasised. In addition, an analysis of the consequences of the Schrems case law and the shift in legal basis from transfers based on Article 45 of the GDPR pertaining to an adequacy decision, to transfers based on Article 46 regarding the implementation of appropriate safeguards, particularly, Standard Contractual Clauses (SCCs), will bring to light how the matter of data transfers to the U.S. might continue to be an issue due to American surveillance laws themselves. For the sake of perspective, and to gauge the place of data protection in matters of national security in the EU insight into France, Sweden and Germany’s surveillance laws and programs will also be provided.