Transferts de données à caractère personnel vers les Etats-Unis : point d’étape

Transferências de dados pessoais para os Estados Unidos: relatório de progresso

Legal Watch nº 55 – Janeiro de 2023

Transferências de dados pessoais para os Estados Unidos: relatório de progressoA incerteza jurídica que atualmente pesa sobre as trocas de dados entre a Europa e os Estados Unidos afeta áreas tão concretas quanto o combate à escassez de moradias na França ou o uso de bibliotecas on-line na Finlândia.

A empresa Abritel se recusou a comunicar seus dados de aluguel à cidade de Paris porque esta usa um provedor de serviços para essa coleta que transfere os dados para os Estados Unidos.

O tribunal judicial de Paris decidiu a favor da Abritel em sua sentença de 30 de novembro de 2022.

Em dezembro passado, a Autoridade Finlandesa de Proteção de Dados descobriu que quatro cidades tinham, entre outras coisas, transferido ilegalmente dados pessoais para os Estados Unidos usando o Google Analytics e o Google Tag Manager nos serviços online de suas bibliotecas públicas.

A complexidade das transferências hoje é principalmente uma consequência das decisões “Schrems I” e “Schrems II” do Tribunal de Justiça da União Europeia datadas de outubro de 2015 e julho de 2020, respectivamente.

Essas decisões invalidaram acordos sucessivos concluídos entre a UE e os Estados Unidos sob os nomes de Princípios do Porto Seguro e Escudo de Privacidade.

Em sua decisão de 2020, o Tribunal decidiu que o Escudo de Privacidade, embora em princípio fornecesse um nível de proteção essencialmente equivalente ao da União Europeia, na prática era considerado ineficaz por exigências concretas relacionadas à segurança nacional, ao interesse público e à conformidade com a legislação dos EUA.

Constatou-se que o escopo dos poderes de vigilância das autoridades norte-americanas era excessivo segundo a legislação europeia e que os direitos de cidadãos não americanos de recorrer a tribunais independentes não estavam garantidos.

Desde a publicação desta decisão, os controladores de dados sujeitos ao GDPR devem tomar precauções especiais antes de qualquer transferência para os Estados Unidos.

A utilização de cláusulas contratuais que garantam a proteção de dados continua a ser uma opção, desde que sejam efetuadas verificações específicas quanto ao conteúdo das cláusulas, ao contexto da transferência e ao regime jurídico aplicável no país terceiro (em especial no que diz respeito à segurança nacional).

Se a situação apresentar riscos específicos, o controlador de dados deverá tomar medidas adicionais.

No ano passado, a Comissão adotou "cláusulas contratuais padrão" modernizadas para facilitar seu uso e publicou conselhos práticos para empresas.

O Conselho Europeu de Proteção de Dados também explicou em suas recomendações de 18 de junho de 2021 as verificações a serem realizadas como parte de uma análise de impacto de transferência.

No entanto, tais requisitos podem ser difíceis de implementar se o destinatário dos dados estiver em uma posição dominante.

Uma solução mais simples nesses casos é usar soluções de processamento de dados localizadas na União Europeia.

Em 13 de dezembro, após vários meses de negociações com os Estados Unidos, a Comissão Europeia publicou seu tão aguardado projeto de decisão de adequação referente ao nível de proteção de dados no Atlântico.

Entre os direitos dos quais os cidadãos da UE se beneficiarão sob o novo quadro legal, a Comissão Europeia menciona a garantia de recursos, incluindo o livre acesso a mecanismos independentes de resolução de disputas e a um painel de arbitragem.

Ele também cita uma série de limitações e salvaguardas relacionadas ao acesso a dados por autoridades públicas dos EUA, especialmente para fins de aplicação da lei e segurança nacional.

Essas garantias decorrem de novas regras introduzidas por um decreto dos EUA de 7 de outubro de 2022, que responderiam às questões levantadas pelo Tribunal de Justiça da UE no acórdão Schrems II.

Antes que uma decisão final possa ser adotada, o projeto deve ser revisado pelo Conselho Europeu de Proteção de Dados (CEPD).

Essa revisão pode resultar em uma decisão dentro de aproximadamente dois meses.

O projeto de decisão terá então de ser aprovado pelo comité de representantes dos Estados-Membros da UE.

O Parlamento Europeu também tem o direito de rever decisões de adequação.

A decisão final esperada para a próxima primavera fornecerá as garantias esperadas em termos de proteção de dados, onde acordos anteriores falharam?

A Autoridade Europeia para a Proteção de Dados (EDPS) comentou recentemente sobre o projeto em termos otimistas: "Isto é diferente do que vimos com o Safe Harbor. Não é o que vimos com o Privacy Shield. É algo novo e muito promissor."

Max Schrems, por sua vez, já anunciou que está preparado para tomar uma terceira ação judicial se o texto não proteger efetivamente os direitos fundamentais dos europeus.

E também

França:

A startup Lusha, acusada de desviar números de telefone profissionais e endereços de e-mail de 1,5 milhão de franceses, não está sujeita ao GDPR, de acordo com o comitê restrito da CNIL responsável por impor sanções.

O debate centrou-se na interpretação do artigo 3.º, n.º 2, alínea b), do Regulamento, que prevê a aplicação do direito europeu às empresas não sediadas na UE quando estas efetuam “monitorização do comportamento” dos titulares dos dados: na sua deliberação de 20 de dezembro de 2022, a CNIL, distanciando-se das conclusões do seu relator, “não considera que a recolha ou análise online de dados pessoais relativos a indivíduos na União seja automaticamente considerada como “monitorização””, e considera necessário ter em conta a finalidade do tratamento de dados e, em particular, quaisquer técnicas subsequentes de análise comportamental ou de criação de perfis que envolvam esses dados.

Em 29 de dezembro, a CNIL impôs uma multa de € 5.000.000 ao TikTok. para implantar identificadores de publicidade nos dispositivos dos usuários sem seu consentimento prévio.

O banner de cookies do TikTok também foi considerado insuficientemente informativo.

No mesmo dia, também sancionou a empresa VOODOO, uma editora de jogos para smartphones, foi multada em € 3 milhões por usar um identificador principalmente técnico para publicidade sem o consentimento dos usuários.

Contrariando a tendência atual, a Câmara Municipal de Montpellier decidiu em 16 de dezembro, no final de uma apresentação sobre reconhecimento facial no contexto da videovigilância e das liberdades públicas, proibir o "uso de processamento automatizado de análise de imagens com base em dados pessoais ou individuais" em seu espaço público.

O projeto de lei sobre o uso de inteligência artificial no contexto dos Jogos Olímpicos de 2024 foi aprovado pelo Senado em 24 de janeiro.

A CNIL emitiu observações sobre este texto, embora tenha notado que várias medidas estavam em consonância com as suas recomendações: implementação experimental, limitada no tempo e no espaço, para determinados fins específicos e correspondentes a riscos graves para os indivíduos, ausência de tratamento de dados biométricos e de conciliação com outros ficheiros, e decisões sujeitas a intervenção humana prévia.

A CNIL também destacou a natureza intrusiva das disposições que preveem o processamento de dados genéticos para análises antidoping.

Europa:

Após a reclamação do Conselho Irlandês para as Liberdades Civis (ICCL) e a decisão do Ombudsman da UE datada de 19 de dezembro de 2022, a Comissão Europeia se comprometeu a revisar o tratamento dado pelas autoridades de proteção de dados às violações do GDPR envolvendo grandes empresas de tecnologia.

Ele medirá o tempo gasto em cada etapa de cada procedimento e seu progresso, e realizará essa revisão seis vezes por ano.

O Conselho Europeu para a Proteção de Dados (EDPB) criou um grupo de trabalho para analisar detalhadamente questões relacionadas a cookies..

Num projecto de relatório datado de 17 de Janeiro, o CEPD esclarece as práticas específicas que são ilegais, incluindo:

  • A falta de uma opção de cancelamento na página inicial
  • Caixas pré-marcadas
  • Links para a opção de exclusão em letras minúsculas impressas em texto separado
  • Links para a opção de cancelamento fora do banner de cookies
  • Alegando um interesse legítimo na instalação de cookies não essenciais
  • A ausência de uma opção permanente para retirar o consentimento.

O CEPD esclarece que estas conclusões refletem um limite mínimo na avaliação de cookies.

Eles devem ser combinados com os requisitos da Diretiva de Privacidade Eletrônica e lidos à luz de outros trabalhos do CEPD sobre padrões obscuros.

Comissão especial do Parlamento Europeu (PEGA) para investigar a utilização do Pegasus e outros softwares de vigilância spyware continuam seu trabalho conduzindo estudos, audiências com especialistas e visitas de investigação a Israel, Polônia e Grécia. As recomendações preliminares serão apresentadas ao Parlamento em 10 de junho.

A ONG EDRi organizou sua conferência anual, o Privacy Camp, em 25 de janeiro. que reúne defensores dos direitos digitais, ativistas, acadêmicos e formuladores de políticas em torno de questões atuais de direitos humanos.

As apresentações estão disponíveis on-line no site do evento.

Em importante sentença de 12 de janeiro de 2023 (processo C-154/21), o Tribunal de Justiça da União Europeia confirmou que o responsável pelo tratamento dos dados tem a obrigação de comunicar a qualquer pessoa que o solicite a lista de destinatários exatos dos seus dados pessoais quando estes forem partilhados com terceiros, e não apenas com categorias de destinatários.

O TJUE especifica noutro acórdão de 12 de Janeiro (processo C-132/21) que os recursos administrativos e civis previstos no RGPD podem ser exercidos concomitantemente e de forma independente um do outro.

Assim, procedimentos paralelos de reclamação perante autoridades de proteção de dados (APDs) e processos judiciais podem ser iniciados sobre a mesma questão.

Cabe aos Estados-Membros garantir que o exercício paralelo destes recursos não prejudique a aplicação coerente e uniforme do Regulamento.

O Projeto de Lei de Segurança Online do Reino Unido está atualmente sendo debatido no Parlamento.

O texto, que visa proteger as crianças, identifica conteúdos de risco, em especial conteúdos de automutilação, “deep fakes” e o compartilhamento de imagens íntimas sem consentimento, que serão definidos como novas infrações penais.

Críticos apontam a falta de definição ou precisão no texto, o que permitiria exclusões excessivas de conteúdo e o estabelecimento de uma vigilância generalizada.

O site "enforcementtracker" apresenta um inventário das sanções financeiras impostas pelas autoridades de supervisão em aplicação do RGPD: o ano de 2022 terminou com um total de mais de 830 milhões de euros para 448 sanções, em comparação com 1,3 mil milhões de euros em 2021.

Não é de surpreender que a Irlanda, lar das maiores empresas de tecnologia, esteja no topo, com mais de 80.000 multas.

A DPA irlandesa anunciou uma multa de € 5,5 milhões contra o WhatsApp na quinta-feira, 19 de janeiro, além de decisões semelhantes contra o Facebook e o Instagram.

A base legal usada pelo WhatsApp para processar dados pessoais (melhoria do serviço e segurança) foi considerada contrária à legislação europeia.

Esta decisão foi criticada pela sociedade civil, que observa que a questão central do uso de dados para publicidade comportamental, marketing, fornecimento de dados métricos a terceiros e troca de dados com empresas afiliadas não foi abordada pela autoridade irlandesa, apesar da decisão do CEPD publicada em 24 de janeiro.

ODA norueguesa concluiu que uma empresa de courier e logística violou o Artigo 32 do RGPD devido a uma avaliação de risco insuficiente e à falta de medidas de segurança adequadas.

O aplicativo usava números de telefone como único meio de autenticação para acessar o perfil do cliente.

autoridade espanhola considerou que a Comissão Nacional contra a Violência, o Racismo, a Xenofobia e a Intolerância no Desporto não poderia invocar a exceção de interesse público do Artigo 9(2)(g) do RGPD para processar os dados biométricos dos adeptos de futebol que entram nos estádios.

ODA italiana multou um clube esportivo em € 20.000 por usar ilegalmente um sistema de impressão digital para registrar a presença de seus funcionários no trabalho.

A empresa também multou a fornecedora de energia Areti em € 1 milhão por rotular erroneamente alguns de seus clientes como fraudadores, impedindo-os de trocar de fornecedor de energia.

ODA da Estônia considerou que a utilização de câmaras de CFTV para monitorizar funcionários não poderia basear-se no consentimento, mas apenas no interesse legítimo, na acepção do artigo 6.º, n.º 1, alínea f), do RGPD, desde que tivesse sido efectuada uma avaliação válida desse interesse.

Internacional

“Privacidade desde a concepção” torna-se um padrão internacional:Em 8 de fevereiro, a Organização Internacional para Padronização (ISO) adotará o padrão ISO 31700.

Isso inclui 30 requisitos e orientações sobre princípios de privacidade por design.

ESTADOS UNIDOS: Além de desenvolver padrões técnicos (NIST Risk Management Framework) na área de política de IA, a Casa Branca divulgou um rascunho da Declaração de Direitos da IA.

Vários estados dos EUA também estão trabalhando em legislação nessa área.

O presidente Biden recentemente repetiu essas recomendações em uma coluna para o Wall Street Journal, destacando os esforços de seu governo para combater a discriminação algorítmica, promover a transparência algorítmica e implementar legislação para governança de IA.

Também no campo da IA, a Em 27 de janeiro, a Comissão Europeia e o governo dos EUA assinaram um "acordo administrativo sobre inteligência artificial para o bem público".

O acordo foi assinado no âmbito do Conselho de Comércio e Tecnologia UE-EUA (TTC).

Microsoft anunciou em seu blog em meados de dezembro que estava transferindo o armazenamento de dados de seus clientes europeus para a União Europeia.

No entanto, este programa não resolve todos os problemas relacionados ao acesso aos dados europeus pelos Estados Unidos.

O Cloud Act permite que autoridades criminais dos EUA acessem dados de provedores de serviços de nuvem dos EUA, independentemente de onde os dados estejam armazenados, e sem precisar iniciar processos por meio de assistência jurídica mútua internacional.

Austrália tem sido vítima de ataques cibernéticos direcionados a agências governamentais e ao setor privado há vários meses.

O país suspeita de ataques de origem russa e chinesa, que visam paralisar as instituições e empresas do país e afetar diretamente a vida dos cidadãos por meio da disseminação massiva de dados pessoais.

Para alguns, isso é uma amostra do que aguarda os países ocidentais, com vários sistemas ferroviários alemães, por exemplo, tendo recentemente passado por estranhas avarias.

Depois de anunciá-lo em março passado, o governo russo retira-se formalmente da Convenção 108 do Conselho da Europa sobre protecção de dados bem como todos os outros tratados internacionais do Conselho da Europa.

Após esse anúncio, o Conselho, por sua vez, implementou um mecanismo formal e encerrou unilateralmente a adesão da Rússia.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT