A Lei CLOUD e as empresas europeias: qual o seu âmbito de aplicação?

Legal Watch nº 40 – Outubro de 2021

A Lei CLOUD e as empresas europeias: qual o seu âmbito de aplicação?A desmaterialização dos dados e o seu armazenamento nas “nuvens” têm consequências fundamentais e complexas nas obrigações das empresas.

Mesmo quando armazenados na Europa, os dados não estão imunes a uma solicitação de divulgação por um terceiro país em um contexto legal.

A questão cada vez mais atual da soberania digital encontra um eco particular na evolução da legislação dos Estados Unidos, com o CLOUD Act e seu escopo extraterritorial de aplicação.

Em que condições a subsidiária europeia de uma empresa americana, ou inversamente, a subsidiária americana de uma empresa europeia, pode ser forçada a comunicar seus dados às autoridades americanas?

A Lei CLOUD (Clarifying Lawful Overseas Use of Data) foi adotada nos Estados Unidos em março de 2018. Seu objetivo é permitir que autoridades criminais dos EUA acessem dados de provedores de serviços de nuvem dos EUA, independentemente de onde os dados estejam armazenados, e sem ter que iniciar processos por meio de assistência jurídica mútua internacional.

Pouco antes da adoção do CLOUD Act, a Microsoft se recusou a fornecer às autoridades dos EUA os dados armazenados em sua nuvem irlandesa, alegando a não aplicação da lei dos EUA aos dados armazenados na Europa, o que levou a longos processos judiciais.

A Lei CLOUD esclarece e amplia seu escopo para prevenir esse tipo de situação.

O texto também permite que estados estrangeiros tenham acesso a dados de provedores de serviços de nuvem sediados nos EUA, sem precisar protocolar pedido de assistência jurídica mútua, em caso de acordo bilateral.

Um acordo deste tipo foi recentemente concluído entre os Estados Unidos e o Reino Unido, o primeiro do gênero.

A Lei CLOUD se aplica a qualquer empresa dos EUA dentro do significado da lei dos EUA, ou seja, uma empresa constituída nos Estados Unidos e empresas controladas por ela.

Uma subsidiária europeia ou uma empresa europeia controlada por uma empresa americana pode, portanto, estar sujeita a esta lei, o que inevitavelmente causará conflitos de leis na medida em que essas empresas também estejam sujeitas ao GDPR.

Observe que o conceito também tem como alvo empresas europeias com "presença" nos Estados Unidos, o que amplia consideravelmente seu escopo.

É o que apontam o Comitê Europeu de Proteção de Dados em uma posição de 2019, assim como o Ministério da Justiça suíço em um estudo muito recente de 17 de setembro de 2021 sobre o CLOUD Act.

Essa incerteza sobre o escopo do CLOUD Act é relatada pelo próprio Departamento de Justiça dos Estados Unidos em um white paper de abril de 2019 sobre o assunto, do qual aqui está um trecho (tradução não oficial):

“Se uma empresa estrangeira localizada fora dos Estados Unidos, mas que presta serviços nos Estados Unidos, tem contatos suficientes com os Estados Unidos para estar sujeita à jurisdição dos EUA, é uma investigação específica de fatos, que depende da natureza, quantidade e qualidade dos contatos da empresa com os Estados Unidos.

Quanto mais deliberadamente uma empresa direcionar sua conduta para os Estados Unidos, maior será a probabilidade de um tribunal decidir que a empresa está sujeita à jurisdição dos EUA.

Os tribunais dos EUA que aplicam essa análise em casos civis envolvendo sites, por exemplo, têm se concentrado no grau de interatividade de um site com clientes em sua jurisdição, considerando fatores como a função e a mecânica do site, qualquer promoção específica aos clientes, a solicitação de negócios por meio do site e o uso real pelos clientes. 

Essa interpretação potencialmente sujeita um grande número de empresas europeias a ações judiciais nos EUA, mesmo quando os bancos de dados estão localizados na Europa. No entanto, de acordo com o Artigo 48 do GDPR, a legislação de um país estrangeiro não pode constituir base jurídica suficiente para a transferência de dados pessoais às autoridades daquele país.

O texto do GDPR prevê explicitamente que tais transferências de dados só podem ocorrer no âmbito de um acordo internacional, como um acordo de assistência jurídica mútua.

Este princípio visa garantir tanto a proteção dos dados transferidos quanto um mínimo de segurança jurídica.

Quais soluções?

De uma perspectiva política, antes de mais nada, observemos que a Comissão Europeia está atualmente negociando um acordo com os Estados Unidos com o objetivo de facilitar o acesso a provas eletrônicas em investigações criminais, enquanto o Conselho da Europa está desenvolvendo um segundo protocolo à Convenção de Budapeste sobre Crimes Cibernéticos... dois textos que esclareceriam o arcabouço legal referente a essas transferências de dados em conformidade com a legislação europeia.

Mais especificamente, o Cloud Act prevê que uma empresa que enfrenta um conflito de leis pode invocar a lei à qual está sujeita, neste caso o GDPR, para contestar a solicitação americana ("risco material de violação de leis estrangeiras").

No entanto, isso envolve procedimentos que podem ser longos e caros, sem nenhuma certeza quanto ao seu resultado.

Na prática, medidas técnicas podem ser tomadas para proteger os dados, inspiradas nas recomendações do Comitê Europeu de Proteção de Dados.

Armazenamento de dados na Europa, nenhuma retenção de dados "em texto simples", medidas específicas de criptografia, como as detalhadas pelo EDPS em seu parecer de junho de 2021 sobre ferramentas de transferência de dados fora da União Europeia (p. 30) e a retenção de chaves de criptografia na União Europeia.

O CLOUD Act não proíbe a criptografia (embora os Estados Unidos exijam que as empresas cooperem com as autoridades governamentais nessa questão) e não se posiciona sobre as regras de descriptografia de terceiros países.

Por fim, acrescentamos que as primeiras nuvens europeias foram recentemente aprovadas pelas autoridades europeias de proteção de dados: na primavera passada, a CNIL aprovou o primeiro código de conduta europeu dedicado aos provedores de serviços de infraestrutura em nuvem.

Também acaba de aprovar o Laboratório Nacional de Metrologia e Ensaios (LNE) e o Bureau Veritas Italia Spa para realizar verificações de conformidade com este código de conduta.

Sem considerar "tudo local" como a panaceia absoluta, as nuvens europeias têm o mérito de oferecer maior segurança jurídica, enquanto um acordo internacional não esclarecer a situação.

E também

França:

A CNIL notificou formalmente a empresa Teste de França para proteger os dados de saúde (testes de triagem) que coleta em nome das farmácias. Também contatou mais de 300 farmácias para verificar sua conformidade com o GDPR.

A autoridade também publicou no início de outubro uma white paper sobre dados e métodos de pagamento, e uma consulta pública sobre um projeto de guia de recrutamento.

Por fim, a CNIL está a estudar a possibilidade de Uso do reconhecimento facial nos Jogos Olímpicos a partir de 2024.

Europa

Autoridade Holandesa de Proteção de Dados Em 21 de outubro, o Reino Unido rejeitou um pedido de autorização para colocar na lista negra suspeitas de fraude em telecomunicações e pagamentos online.

autoridade espanhola multou o responsável pela implementação de um sistema de identificação biométrica no local de trabalho sem uma avaliação prévia de impacto em 16.000 euros.

Na sequência de uma violação de segurança no contexto da utilização do sistema de reconhecimento facial Clearview AI, aAutoridade Finlandesa de Proteção de Dados considerou que a polícia havia utilizado esse software sem base legal e ordenou que cumprisse a lei e informasse os interessados.

O Tribunal Administrativo Provincial de Varsóvia considerou ilegal que um banco processe dados pessoais com base no Artigo 6(1)(f) do RGPD (equilíbrio de interesses), unicamente devido à sua possível utilidade futura. Fonte das decisões nacionais: gdprhub

A Amazon firmou um contrato com a Serviço Secreto Britânico (GCHQ, MI5, MI6), por meio do qual a empresa hospedará e operará análises de inteligência artificial em dados confidenciais de agências de inteligência. 

Na Suíça, Proton, o serviço de mensagens seguras e VPN, venceu um recurso em 22 de outubro contra a obrigação que lhe foi imposta de monitorar e armazenar os dados de seus usuários.

O Parlamento Europeu Em 6 de outubro, o Senado dos EUA adotou uma resolução rejeitando o reconhecimento facial e a análise preditiva baseada em inteligência artificial no policiamento.

Internacional:

O 43º Conferência Internacional de Autoridades de Proteção de Dados ocorreu na Cidade do México e por videoconferência de 18 a 21 de outubro.

A conferência adotou várias resoluções, incluindo uma sobre os direitos digitais das crianças e outra sobre o acesso das autoridades policiais aos dados do setor privado.

A Autoridade de Proteção de Dados de Coréia do Sul recomenda uma indenização de US$ 257 para cada usuário cujos dados foram transmitidos indevidamente a terceiros após uma violação de segurança do Facebook (Meta).

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.