The impact of Schrems case law on the development of the transatlantic data privacy framework

Abstract

Esta dissertação de mestrado centra-se principalmente nas políticas jurídicas europeia e americana. Analisa a evolução da proteção de dados nas últimas décadas, especialmente considerando os acórdãos do TJUE, vulgarmente conhecidos como Schrems I e Schrems II. Ambas as decisões e os eventos que levaram à sua invalidação são avaliados, como o descrédito dos Estados Unidos quanto aos direitos fundamentais dos titulares dos dados e a vigilância dos dados pessoais dos cidadãos por parte de entidades governamentais. Os acórdãos permitiram discernir que os Estados Unidos não asseguravam garantias equivalentes de proteção de dados, nem o nível de proteção equivalente exigido pelas decisões de adequação. Isto culminou na necessidade de regular as transferências transatlânticas de dados e de convergir o modelo americano e europeu de proteção de dados. Na sequência da publicação da ordem executiva dos Estados Unidos que reforça as salvaguardas para as atividades de inteligência de sinais americanas e após vários procedimentos de entidades europeias, foi publicada a decisão sobre a privacidade de dados transatlântica. Esta dissertação estuda o Quadro-legislativo de acordo com o RGPD e a Carta dos Direitos Fundamentais da União Europeia, particularmente as salvaguardas reais das transferências de dados pessoais e o mecanismo de dois níveis para analisar as reclamações de indivíduos relativamente às atividades de inteligência americana. Além disso, discute-se a criação do tribunal de revisão da proteção de dados “Data Protection Review Court”, que consiste numa nova instituição e autoridade independente, até determinado ponto, que permite a possibilidade de solicitar uma revisão após uma decisão judicial e avaliar se a remediação correspondente foi determinada. As principais preocupações da emissão do Quadro Transatlântico de Privacidade de Dados, como o cumprimento das medidas estabelecidas pelo governo americano, o respeito aos direitos fundamentais, expressamente os definidos na Carta, e a competência para regular as transferências de dados pessoais, são examinadas. Esta investigação levou à conclusão de que a decisão de adequação representa um novo caminho a seguir para resolver conflitos de privacidade, e que a possível convergência das leis de proteção de dados da UE e dos EUA pode ser a chave para resolver futuros obstáculos que poderão surgir face ao ritmo acelerado a que a tecnologia está a evoluir.

This master's thesis focuses mainly on European and American legal policies. It analyses data protection developments in the last decades, especially considering the CJEU judgments, commonly known as Schrems I and Schrems II. Both decisions were tackled while evaluating the events that led to their invalidation. For instance, the United States discredit for data subjects’ fundamental rights and the surveillance of citizens by governmental entities. The judgments allowed to discern that the United States was not assuring equivalent guarantees of data protection and an equivalent level of protection required by the adequacy decisions towards European citizens. This culminated in the need to regulate transatlantic data transfers and to converge the American and the European data protection model. Following the publication of the United States executive order enhancing safeguards for American signals intelligence activities and after several procedures from European entities, the Trans-Atlantic Data Privacy decision was published. This thesis studies the framework in accordance with the GDPR and the Charter of Fundamental Rights of the European Union, particularly the safeguards of personal data transfers and the two-tier redress mechanism to review the complaints by individuals regarding US intelligence activities. In addition, the creation of the Data Protection Review Court is discussed as it consists on a new institution and independent authority, to a certain extent, that allows the possibility to seek a review after a legal dispute decision and asses if the accordingly remediation was determined. The main concerns of the Trans-Atlantic Data Privacy Framework are considered, such as, the American government’s compliance with the established measures, the respect of fundamental rights, expressly the ones defined in the Charter, and the proficiency to regulate personal data transfers. This research concludes that the framework represents a fresh start and the path forward to resolve privacy conflicts and that the convergence of EU and US data protection laws is the key to solving future obstacles that might arise from the swiftly pace technology is evolving.