Data Privacy Framework UE-EUA: Guia Completo (2026)
O EU-US Data Privacy Framework (DPF), o Marco de Privacidade de Dados entre a UE e os EUA, é uma decisão de adequação adotada pela Comissão Europeia em 10 de julho de 2023, ao abrigo do Artigo 45 do RGPD (GDPR), que autoriza transferências lícitas de dados pessoais da UE para organizações dos Estados Unidos que se autocertificam junto ao Departamento de Comércio norte-americano.
O EU-US Data Privacy Framework (DPF) é a terceira tentativa da União Europeia e dos Estados Unidos de criar um mecanismo jurídico estável para transferir dados pessoais através do Atlântico. Seus dois antecessores, o Safe Harbor e o Privacy Shield, foram ambos derrubados pelo Tribunal de Justiça da União Europeia (TJUE). Entender por que esses marcos fracassaram, como o DPF foi desenhado para corrigir essas falhas e quais desafios o ameaçam hoje é essencial para qualquer organização que transfira dados pessoais entre a UE e os EUA.
Este guia aborda o histórico completo, o funcionamento do DPF, o novo mecanismo de reparação, a primeira revisão de 2024, o litígio Latombe e seu recurso pendente no TJUE, a crise do PCLOB e as medidas práticas que as empresas devem adotar agora.
Resposta Rápida
O EU-US Data Privacy Framework é um mecanismo legal válido. A decisão de adequação da Comissão Europeia de julho de 2023 permanece em vigor. O Tribunal Geral da UE a confirmou em setembro de 2025, e o DPF continua sendo a base jurídica mais simples para transferências de dados pessoais da UE para os EUA. No entanto, um recurso ao TJUE (processo C-703/25 P) está pendente, o órgão de supervisão que revisa as salvaguardas de inteligência do DPF (o PCLOB) encontra-se em limbo jurídico, e a Seção 702 da FISA opera sob uma prorrogação de curto prazo enquanto o Congresso debate sua renovação. Organizações que dependem exclusivamente do DPF devem manter as Cláusulas Contratuais-Tipo como alternativa de reserva.
Do Safe Harbor ao Privacy Shield, até o DPF
O caminho até o marco atual abrange mais de duas décadas e duas decisões históricas do TJUE.
Safe Harbor (2000 a 2015)
O marco Safe Harbor foi adotado em 2000 para superar a diferença fundamental entre as abordagens da UE e dos EUA em matéria de proteção de dados. As empresas americanas podiam autocertificar que cumpriam um conjunto de princípios de privacidade alinhados aos padrões europeus. Cerca de 4.500 empresas participaram.
Em outubro de 2015, o TJUE invalidou o Safe Harbor na decisão Schrems I (processo C-362/14). O ativista austríaco de privacidade Max Schrems contestou as transferências de dados do Facebook Ireland, argumentando que as revelações de Edward Snowden sobre os programas de vigilância em massa da NSA mostravam que os EUA não ofereciam proteção adequada. O Tribunal concordou: o Safe Harbor não limitava suficientemente o acesso do governo americano a dados pessoais da UE e não oferecia reparação judicial efetiva aos cidadãos europeus.
Privacy Shield (2016 a 2020)
O EU-US Privacy Shield substituiu o Safe Harbor em agosto de 2016. Incluía princípios de privacidade mais rígidos, supervisão reforçada da FTC e um Ombudsman do Departamento de Estado para tratar reclamações da UE sobre atividades de inteligência. Mais de 5.300 empresas americanas se certificaram.
Em julho de 2020, o TJUE derrubou o Privacy Shield no caso Schrems II (processo C-311/18). Os programas de vigilância dos EUA, particularmente a Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA) e a Ordem Executiva 12333, permitiam a coleta em massa de dados além do que era "estritamente necessário" segundo o direito da UE. O Ombudsman não era suficientemente independente e não tinha autoridade vinculante sobre as agências de inteligência.
As Negociações que Levaram ao DPF (2020 a 2023)
Após o Schrems II, as organizações passaram a depender principalmente das Cláusulas Contratuais-Tipo combinadas com Avaliações de Impacto de Transferência. As negociações entre UE e EUA começaram quase de imediato.
Em março de 2022, o presidente Biden e a presidente da Comissão von der Leyen anunciaram um acordo de princípio. Em 7 de outubro de 2022, o presidente Biden assinou a Ordem Executiva 14086 ("Reforço das Salvaguardas para as Atividades de Inteligência de Sinais dos Estados Unidos"), criando as mudanças jurídicas substantivas que o novo marco exigia.
A Comissão publicou seu projeto de decisão de adequação em dezembro de 2022. O CEPD emitiu seu parecer em fevereiro de 2023, reconhecendo avanços, mas levantando preocupações. A decisão de adequação final foi adotada em 10 de julho de 2023.
Como o DPF Funciona
O DPF tem duas partes complementares: a autocertificação das empresas americanas e compromissos vinculantes do governo dos EUA sobre atividades de inteligência.
O Processo de Certificação
As empresas americanas aderem ao DPF autocertificando-se junto à Administração de Comércio Internacional (ITA) do Departamento de Comércio. A certificação é voluntária, mas gera obrigações juridicamente vinculantes uma vez concedida.
Para se certificar, uma organização deve:
- Confirmar que está sujeita à jurisdição de fiscalização da FTC ou do Departamento de Transporte (DOT)
- Desenvolver uma política de privacidade em conformidade com os Princípios do DPF
- Identificar um mecanismo independente de reparação para tratar reclamações individuais
- Pagar a taxa anual aplicável com base na receita anual
- Enviar sua certificação por meio do site do Data Privacy Framework
Mais de 2.800 organizações mantinham certificações ativas em 2026. A ITA mantém uma lista pública de organizações certificadas que os exportadores de dados da UE devem verificar antes de qualquer transferência.
Os Princípios do DPF
As organizações certificadas devem cumprir princípios de privacidade que espelham conceitos centrais do RGPD:
- Aviso: informar os indivíduos sobre as finalidades, práticas e direitos relacionados à coleta de dados
- Escolha: permitir que os indivíduos optem por não participar de usos materialmente diferentes ou de divulgações a terceiros
- Responsabilidade por Transferência Posterior: proteger os dados compartilhados com terceiros por meio de contratos que exijam proteções equivalentes
- Segurança: implementar medidas razoáveis e apropriadas contra perda, uso indevido e acesso não autorizado
- Integridade dos Dados e Limitação de Finalidade: limitar os dados pessoais ao que for relevante para a finalidade declarada
- Acesso: permitir que os indivíduos acessem, corrijam ou excluam seus dados pessoais
- Reparação, Aplicação e Responsabilidade: manter mecanismos robustos de conformidade e reparação
Fiscalização
A FTC é o principal órgão de fiscalização. As empresas que não cumprem os compromissos do DPF enfrentam ação com base na Seção 5 da Lei da FTC, que proíbe práticas comerciais desleais ou enganosas. O Departamento de Comércio monitora a conformidade, realiza verificações pontuais e pode remover organizações não conformes da lista de certificados.
Ordem Executiva 14086: O Fundamento Jurídico
A Ordem Executiva 14086 tratou diretamente das duas deficiências identificadas pelo TJUE no Schrems II: a ausência de limites de proporcionalidade na coleta de inteligência dos EUA e a falta de um mecanismo de reparação independente.
Restrições à Coleta de Inteligência
A ordem limita a coleta de inteligência de sinais a 12 objetivos definidos de segurança nacional, incluindo contraterrorismo, contraespionagem e proteção de infraestrutura crítica. Pela primeira vez em uma ordem executiva americana, a "proporcionalidade" surge como uma restrição vinculante: as atividades devem ser proporcionais à prioridade de inteligência validada e devem ponderar essa prioridade em relação aos impactos sobre a privacidade de todas as pessoas, não apenas dos cidadãos americanos.
Exigências de Privacidade e Liberdades Civis
Cada agência de inteligência deve atualizar suas políticas para incorporar essas salvaguardas. O Conselho de Supervisão de Privacidade e Liberdades Civis (Privacy and Civil Liberties Oversight Board, PCLOB) recebe um papel central: revisar os procedimentos das agências quanto à conformidade, ser consultado sobre nomeações de juízes do DPRC e conduzir uma revisão anual de como os órgãos de reparação tratam as reclamações.
Vulnerabilidade: Trata-se de uma Ordem Executiva
Como a Ordem Executiva 14086 é um ato do Poder Executivo, e não uma lei aprovada pelo Congresso, ela pode ser modificada ou revogada por qualquer presidente sem necessidade de aprovação legislativa. Essa vulnerabilidade estrutural tem sido uma crítica constante de defensores da privacidade e do CEPD. O tratamento dado ao PCLOB pelo governo Trump em 2025 demonstrou como componentes do marco pertencentes ao Poder Executivo podem ser facilmente perturbados.
O Tribunal de Revisão da Proteção de Dados
A inovação mais significativa do DPF é o Tribunal de Revisão da Proteção de Dados (Data Protection Review Court, DPRC), criado pela Ordem Executiva 14086 e implementado por meio de regulamentos do Procurador-Geral.
Como Funciona o DPRC
Indivíduos da UE que acreditem que seus dados foram coletados ilegalmente por agências de inteligência dos EUA apresentam uma reclamação à sua autoridade nacional de proteção de dados. Essa autoridade encaminha a reclamação ao Diretor de Proteção das Liberdades Civis (Civil Liberties Protection Officer, CLPO) do Gabinete do Diretor de Inteligência Nacional, que conduz uma investigação inicial.
Se o reclamante não ficar satisfeito, pode recorrer ao DPRC. O tribunal é composto por juízes nomeados pelo Procurador-Geral, externos ao governo dos EUA, que possuem as habilitações de segurança apropriadas. Um advogado especial é designado para representar os interesses do reclamante, já que os procedimentos sigilosos impedem sua participação direta. O DPRC tem autoridade vinculante sobre as agências de inteligência, a principal melhoria estrutural em relação ao Ombudsman do Privacy Shield.
O que o Tribunal Geral Decidiu no Caso Latombe
Quando o processo T-553/23 chegou ao Tribunal Geral da UE, um dos argumentos centrais de Latombe era que o DPRC não constituía um tribunal suficientemente independente. O Tribunal Geral rejeitou esse argumento em sua decisão de 3 de setembro de 2025, considerando que a composição, os mecanismos de supervisão e os poderes vinculantes do DPRC atendiam aos padrões exigidos pelo direito da UE. O Tribunal também concluiu que a legislação dos EUA limitava suficientemente a coleta em massa de dados e que as proteções relativas à segurança de dados e à tomada de decisões automatizadas eram substancialmente equivalentes aos padrões da UE.
Críticas Persistentes
Defensores da privacidade, incluindo a NOYB (liderada por Max Schrems), continuam argumentando que o DPRC não atende ao padrão do TJUE de proteção judicial efetiva, porque os reclamantes recebem apenas uma confirmação genérica de que sua revisão foi concluída, sem explicação substantiva sobre o resultado. A natureza sigilosa dos procedimentos é uma característica estrutural, não uma falha corrigível.
A Extensão do Reino Unido e o DPF Suíça-EUA
O DPF não abrange automaticamente transferências de dados do Reino Unido ou da Suíça. Cada uma exigiu um processo de adequação separado.
UK-US Data Bridge (Extensão do Reino Unido)
O Reino Unido estabeleceu a Extensão do Reino Unido ao DPF, comumente chamada de UK-US Data Bridge, em outubro de 2023. Empresas americanas com certificações ativas do DPF podem aderir para cobrir transferências de dados do Reino Unido pelo mesmo portal da ITA. A extensão do Reino Unido opera sob o RGPD do Reino Unido (UK GDPR), e não sob o RGPD da UE, refletindo o regime independente de proteção de dados do Reino Unido após o Brexit. A extensão conta com regras suplementares próprias para tratar das diferenças entre o direito de proteção de dados do Reino Unido e da UE.
Data Privacy Framework Suíça-EUA
A Suíça seguiu um caminho separado. Em 14 de agosto de 2024, o Conselho Federal Suíço reconheceu a adequação da proteção de dados oferecida por empresas americanas certificadas sob o DPF. A decisão entrou em vigor em 15 de setembro de 2024. O comunicado de imprensa do Conselho Federal Suíço confirmou que os Estados Unidos foram incluídos na lista suíça de países adequados, limitada às organizações certificadas pelo DPF. Empresas americanas podem estender sua certificação do DPF para cobrir transferências suíças pelo portal da ITA.
O DPF Suíça-EUA enfrenta a mesma vulnerabilidade da Ordem Executiva 14086 que a versão UE-EUA. Defensores suíços de privacidade já apontaram que a paralisação do PCLOB em 2025 gera incerteza sobre os mecanismos de supervisão nos quais a avaliação de adequação suíça se baseou.
A Primeira Revisão Periódica (Outubro de 2024)
O Artigo 45(3) do RGPD exige que a Comissão Europeia revise periodicamente as decisões de adequação. A primeira revisão do DPF ocorreu em outubro de 2024.
Conclusões da Comissão
O primeiro relatório de revisão da Comissão Europeia concluiu que o DPF continua a garantir um nível adequado de proteção. As agências americanas haviam implementado a Ordem Executiva 14086, o DPRC estava operacional e o Departamento de Comércio monitorava ativamente as organizações certificadas.
A Comissão identificou uma preocupação significativa: o PCLOB não teve quórum durante boa parte do período avaliado. A Comissão declarou que restaurar a capacidade operacional plena do PCLOB era importante para o funcionamento contínuo do marco.
Conclusões do CEPD
O primeiro relatório de revisão do CEPD reconheceu avanços, mas pediu maior transparência sobre a forma como o DPRC trata as reclamações e recomendou esclarecimentos adicionais sobre como as agências de inteligência dos EUA aplicam, na prática, o padrão de proporcionalidade.
Desafios Jurídicos e Riscos
O Caso Latombe: T-553/23 e o Recurso Pendente ao TJUE, C-703/25 P
Philippe Latombe, deputado da Assembleia Nacional francesa, apresentou uma ação no Tribunal Geral da UE buscando a anulação da decisão de adequação da Comissão. Este foi o primeiro questionamento judicial direto ao DPF.
Em 3 de setembro de 2025, o Tribunal Geral rejeitou a ação. O Tribunal considerou que o DPRC era suficientemente independente e imparcial, que a legislação dos EUA limitava adequadamente a coleta em massa de dados e que as proteções americanas relativas à segurança de dados e à tomada de decisões automatizadas eram substancialmente equivalentes ao direito da UE.
Latombe interpôs recurso em 31 de outubro de 2025. O processo foi registrado no Tribunal de Justiça como processo C-703/25 P. O recurso ao TJUE limita-se a questões de direito. Até maio de 2026, nenhuma data de audiência havia sido anunciada. Se o TJUE proferir uma decisão de mérito contrária ao DPF, seria a terceira invalidação consecutiva de um marco de transferência de dados transatlântico.
A NOYB e a Ameaça do "Schrems III"
A NOYB ainda não apresentou seu próprio questionamento ao DPF, mas o critica de forma consistente. Argumentos centrais: o marco se sustenta em uma ordem executiva, e não em legislação; o DPRC não oferece transparência aos reclamantes; a Seção 702 da FISA não foi fundamentalmente reformada. A NOYB acompanha o recurso Latombe e os desdobramentos do PCLOB em busca de gatilhos que possam embasar uma ação separada.
A Crise do PCLOB
A paralisação do PCLOB é o risco operacional mais imediato às salvaguardas subjacentes do DPF.
Em 27 de janeiro de 2025, o presidente Trump demitiu três dos cinco membros do PCLOB, todos democratas, por meio de um e-mail de uma única frase, sem justificativa. Isso eliminou o quórum do colegiado. Dois dos membros demitidos, Edward Felten e Travis LeBlanc, entraram com ação na justiça federal. Em 21 de maio de 2025, um tribunal distrital considerou a demissão ilegal e determinou a reintegração.
O governo Trump recorreu. Em 1º de julho de 2025, a Corte de Apelações do Circuito de DC suspendeu a ordem de reintegração enquanto o recurso tramitava, e o caso foi posteriormente adiado até que a Suprema Corte julgasse Trump v. Slaughter (nº 25-332), que determinará os limites constitucionais do poder presidencial de destituir membros de conselhos independentes de supervisão. Até que essa questão seja resolvida, o PCLOB não pode funcionar em plena capacidade.
As consequências práticas para o DPF: o PCLOB não pode conduzir as revisões anuais de conformidade com a Ordem Executiva 14086 exigidas pela própria ordem; seu papel consultivo nas nomeações de juízes do DPRC está suspenso; e tanto o CEPD quanto a Comissão Europeia já apontaram a incapacidade do PCLOB como uma preocupação para a avaliação contínua da adequação do marco.
Seção 702 da FISA
A Seção 702 da FISA autoriza a coleta de inteligência estrangeira de pessoas não americanas fora dos Estados Unidos. A reautorização de dois anos promulgada em abril de 2024 (a Lei de Reforma da Inteligência e Segurança da América, RISAA) expirou em abril de 2026. O Congresso aprovou uma prorrogação de curto prazo de 45 dias, mantendo a Seção 702 operacional até meados de junho de 2026, enquanto o debate sobre a reautorização de longo prazo continua.
A ampliação, pela RISAA, das definições de "provedor de serviços de comunicação eletrônica" gerou críticas de defensores europeus da privacidade, que argumentaram que ela ampliou o escopo de empresas sujeitas a obrigações de vigilância. O resultado do debate de reautorização de 2026 será acompanhado de perto pela Comissão e pelo CEPD na avaliação de se as condições de adequação do DPF continuam satisfeitas.
Se o DPF Cair: A Alternativa das SCCs
Considerando que o Safe Harbor e o Privacy Shield foram ambos invalidados, as organizações devem manter um plano de contingência.
As Cláusulas Contratuais-Tipo (SCCs) são a principal alternativa de reserva. As SCCs são cláusulas contratuais padrão aprovadas pela Comissão Europeia com base no Artigo 46 do RGPD. Elas vinculam o importador de dados dos EUA a proteções equivalentes às da UE e conferem aos titulares dos dados direitos contratuais diretamente exercíveis contra o importador.
As SCCs não tornam uma transferência da UE para os EUA automaticamente lícita: o exportador também deve conduzir uma Avaliação de Impacto de Transferência (Transfer Impact Assessment, TIA), avaliando se a legislação e a prática dos EUA permitem que o importador cumpra as SCCs na prática. Após o Schrems II, as organizações desenvolveram metodologias de TIA; a maioria dessas avaliações permanece válida hoje e pode ser atualizada caso o DPF caia.
Outros mecanismos de transferência previstos no Artigo 46 incluem as Normas Corporativas Vinculativas (Binding Corporate Rules, BCRs) para transferências intragrupo, códigos de conduta aprovados e as restritas derrogações do Artigo 49 (consentimento, execução de contrato, motivos importantes de interesse público). As derrogações não são adequadas como base rotineira de transferência.
Organizações que mantiveram SCCs paralelamente ao uso do DPF poderiam continuar as transferências com mínima interrupção caso o DPF seja invalidado. As que dependem exclusivamente do DPF enfrentariam uma transição bem mais significativa, como pode atestar quem se apressou para firmar aditivos de SCCs nas semanas seguintes ao Schrems II.
Em que o DPF Difere do Privacy Shield
Limites à coleta de inteligência: o Privacy Shield se baseava na Diretiva de Política Presidencial 28 (PPD-28), que pedia que a coleta em massa fosse "tão direcionada quanto viável". O TJUE considerou isso permissivo demais. A Ordem Executiva 14086 a substitui por uma exigência vinculante de proporcionalidade e 12 objetivos permissíveis enumerados.
Mecanismo de reparação: o Ombudsman do Departamento de Estado do Privacy Shield carecia de independência em relação ao Poder Executivo e não tinha autoridade vinculante. O DPRC é estruturalmente mais independente (juízes externos ao governo) e suas decisões vinculam as agências de inteligência.
Supervisão: o papel do PCLOB é explicitamente definido pela Ordem Executiva 14086, com obrigações específicas de revisão e prestação de contas, embora, como 2025 demonstrou, os componentes de supervisão do Poder Executivo estejam sujeitos a instabilidade política.
Orientações Práticas para Organizações
Para Empresas Americanas que Recebem Dados da UE
Verifique se sua organização está sujeita à jurisdição da FTC ou do DOT. Conclua ou renove a autocertificação por meio do site dataprivacyframework.gov. Atualize sua política de privacidade pública para refletir todos os Princípios do DPF. Designe um órgão independente de resolução de disputas. Implemente procedimentos internos para solicitações de acesso a dados e reclamações. Recertifique-se anualmente: uma certificação vencida invalida a base de transferência para os dados recebidos durante o período de inatividade.
Se você também recebe dados do Reino Unido, adira à Extensão do Reino Unido pelo portal da ITA. Se recebe dados da Suíça, adira à extensão do DPF Suíça-EUA.
Para Organizações da UE que Transferem Dados
Antes de qualquer transferência, verifique se o destinatário mantém uma certificação ativa do DPF na lista oficial de participantes. O status da certificação pode mudar; faça verificações pontuais antes do início de novos fluxos de dados significativos. Documente a decisão de adequação como base jurídica em seus Registros de Atividades de Tratamento, conforme o Artigo 30 do RGPD.
Monitore a data de renovação anual do destinatário. Uma certificação vencida significa que a base de adequação deixa de se aplicar a novas transferências.
Planejamento de Contingência
Diante do histórico de marcos invalidados e do recurso pendente ao TJUE no processo C-703/25 P, organizações prudentes devem:
- Executar SCCs paralelamente à certificação do DPF para fluxos de dados de alto volume ou sensíveis
- Manter uma Avaliação de Impacto de Transferência pronta para ser ativada caso o DPF seja derrubado
- Documentar um plano de transição identificando quais fluxos dependem do DPF e como cada um seria coberto por SCCs
- Acompanhar os desdobramentos do processo C-703/25 P no TJUE e a decisão da Suprema Corte em Trump v. Slaughter
Este conteúdo é uma informação jurídica de caráter geral, e não uma consultoria jurídica. Organizações que lidam com transferências de dados transfronteiriças devem consultar advogados qualificados para orientação específica ao seu caso.
Frequently Asked Questions
O que é o EU-US Data Privacy Framework?
O EU-US Data Privacy Framework (DPF) é o mecanismo jurídico que permite o fluxo de dados pessoais da União Europeia para organizações certificadas nos Estados Unidos. A Comissão Europeia adotou sua decisão de adequação em 10 de julho de 2023. Ele substituiu o Privacy Shield, invalidado pelo TJUE em 2020. O DPF combina a autocertificação voluntária de empresas americanas com compromissos vinculantes do governo dos EUA para limitar o acesso das agências de inteligência a dados pessoais da UE e oferecer reparação independente por meio do Tribunal de Revisão da Proteção de Dados.
O DPF já foi questionado judicialmente?
Sim. O deputado francês Philippe Latombe contestou a decisão de adequação da Comissão no Tribunal Geral da UE (processo T-553/23). O Tribunal Geral rejeitou a ação em 3 de setembro de 2025, confirmando a validade do DPF. Latombe interpôs recurso ao Tribunal de Justiça da UE em 31 de outubro de 2025 (processo C-703/25 P). Esse recurso permanece pendente desde maio de 2026. Uma decisão de mérito do TJUE contrária ao DPF seria a ameaça mais grave já enfrentada pelo marco, dado o histórico do Tribunal de invalidar seus antecessores.
O que é o Tribunal de Revisão da Proteção de Dados?
O Tribunal de Revisão da Proteção de Dados (Data Protection Review Court, DPRC) é um órgão independente criado pela Ordem Executiva 14086 para revisar reclamações de indivíduos da UE que acreditam que seus dados foram coletados ilegalmente por agências de inteligência dos EUA. Seus juízes são nomeados fora do governo dos EUA, e suas decisões vinculam as agências de inteligência. Ele substituiu o Ombudsman do Departamento de Estado do Privacy Shield, que o TJUE considerou insuficientemente independente. O Tribunal Geral da UE confirmou a independência e a imparcialidade do DPRC em setembro de 2025.
O que aconteceu com o PCLOB?
Em 27 de janeiro de 2025, o presidente Trump demitiu três membros democratas do Conselho de Supervisão de Privacidade e Liberdades Civis (composto por cinco membros) por meio de um e-mail de uma única frase, eliminando seu quórum. Dois dos membros demitidos entraram na justiça e obtiveram a reintegração em primeira instância. O governo Trump recorreu, e a Corte de Apelações do Circuito de DC suspendeu a ordem de reintegração. O caso foi adiado até que a Suprema Corte julgue Trump v. Slaughter (nº 25-332). O PCLOB não pode conduzir suas revisões anuais de supervisão do DPF nem cumprir seu papel consultivo nas nomeações de juízes do DPRC até que a questão do quórum seja resolvida.
O que é a Ordem Executiva 14086?
A Ordem Executiva 14086, assinada pelo presidente Biden em 7 de outubro de 2022, é o fundamento jurídico do DPF. Ela limita a coleta de inteligência de sinais dos EUA a 12 objetivos definidos de segurança nacional, introduz uma exigência de proporcionalidade para atividades de vigilância (a primeira em uma ordem executiva americana) e cria o Tribunal de Revisão da Proteção de Dados. Por se tratar de uma ordem executiva, e não de uma lei, ela pode ser modificada ou revogada por qualquer presidente seguinte sem aprovação do Congresso, o que constitui uma crítica estrutural persistente ao DPF.
O DPF cobre transferências de dados do Reino Unido ou da Suíça?
Não automaticamente. O Reino Unido criou um acordo separado, a Extensão do Reino Unido ao DPF, comumente chamada de UK-US Data Bridge, em outubro de 2023. A Suíça reconheceu a adequação das empresas americanas certificadas pelo DPF em 14 de agosto de 2024, com a decisão de adequação suíça entrando em vigor em 15 de setembro de 2024. Empresas americanas com certificações ativas do DPF podem aderir para cobrir transferências do Reino Unido e da Suíça pelo mesmo portal da ITA.
Qual é a alternativa das SCCs caso o DPF seja invalidado?
As Cláusulas Contratuais-Tipo (SCCs) são o principal mecanismo de transferência de reserva previsto no Artigo 46 do RGPD. São termos contratuais padrão aprovados pela Comissão Europeia que vinculam o importador de dados dos EUA a proteções equivalentes às da UE. As organizações que usam SCCs também devem conduzir uma Avaliação de Impacto de Transferência. Organizações que já contam com SCCs poderiam continuar os fluxos de dados da UE para os EUA imediatamente após uma invalidação do DPF; as que dependem exclusivamente do DPF enfrentariam uma transição mais disruptiva.
Qual é a situação atual da Seção 702 da FISA?
A Seção 702 da Lei de Vigilância de Inteligência Estrangeira autoriza a coleta de inteligência estrangeira de pessoas não americanas fora dos Estados Unidos. A reautorização de dois anos, de abril de 2024, expirou em abril de 2026. O Congresso aprovou uma prorrogação de curto prazo de 45 dias, mantendo a Seção 702 operacional até meados de junho de 2026, enquanto o debate sobre a reautorização de longo prazo continua. O resultado importa para o DPF porque a Seção 702 foi uma das autoridades de vigilância americanas citadas no Schrems II, e os reguladores europeus acompanham de perto seu alcance.
Como uma empresa americana se certifica no DPF?
As empresas se certificam enviando uma solicitação pela Administração de Comércio Internacional no site dataprivacyframework.gov. A empresa deve estar sujeita à jurisdição de fiscalização da FTC ou do DOT, desenvolver uma política de privacidade compatível com o DPF, identificar um mecanismo independente de resolução de disputas e pagar uma taxa anual. A certificação deve ser renovada a cada ano. Mais de 2.800 organizações mantinham certificações ativas em 2026.
Sources and References
- Comissão Europeia - Transferências de Dados UE-EUA(commission.europa.eu).gov
- Comissão Europeia - Comunicado sobre a Decisão de Adequação(ec.europa.eu).gov
- Ordem Executiva 14086(whitehouse.gov).gov
- Programa Data Privacy Framework(dataprivacyframework.gov).gov
- Princípios do DPF(dataprivacyframework.gov).gov
- Tribunal de Revisão da Proteção de Dados(justice.gov).gov
- Regulamentos do Procurador-Geral sobre o DPRC(justice.gov).gov
- Parecer 5/2023 do CEPD sobre o DPF(edpb.europa.eu).gov
- Primeira Revisão do DPF pela Comissão Europeia(commission.europa.eu).gov
- Relatório do CEPD sobre a Primeira Revisão do DPF(edpb.europa.eu).gov
- Comunicado do Tribunal Geral da UE - Processo T-553/23 Latombe(curia.europa.eu).gov
- EUR-Lex - Processo C-703/25 P, Recurso de Latombe(eur-lex.europa.eu).gov
- Análise da NOYB sobre o DPF(noyb.eu)
- Conselho Federal Suíço - Decisão de Adequação do DPF Suíça-EUA(admin.ch).gov
- Visão Geral do DPF Suíço(dataprivacyframework.gov).gov
- UK-US Data Bridge(gov.uk).gov
- Visão Geral do Safe Harbor(trade.gov).gov
- Casos da FTC sobre o Privacy Shield(ftc.gov).gov
- Brennan Center - Caso PCLOB LeBlanc(brennancenter.org)
- Página de Referência sobre a Seção 702 da FISA (2026)(brennancenter.org)
- FAQ do CEPD sobre o DPF para Empresas v2.0(edpb.europa.eu).gov