SCHREMS II, un final attendu et redouté

SCHREMS II, um final esperado e temido

SCHREMS II, um final esperado e temidoEm 16 de julho de 2020, o Tribunal de Justiça da União Europeia invalidou o Escudo de Privacidade, um acordo fundamental que formou a base legal para transferências de dados pessoais entre a Europa e os Estados Unidos.

Mais de 5.300 empresas dos EUA usaram o Shield para processamento de dados e agora devem mudar a base legal para suas transferências.

A decisão foi motivada por uma reclamação de Max Schrems, um cidadão austríaco que já havia iniciado o cancelamento do acordo que antecedeu o Shield, os "Princípios do Porto Seguro".

O reclamante contestou as condições sob as quais seus dados processados pelo Facebook foram transmitidos aos Estados Unidos.

Com base nesta disputa, o Tribunal, em seu julgamento frequentemente chamado de "Schrems II", acaba de analisar a validade de dois instrumentos legais que permitem transferências para fora da União Europeia:

  • Cláusulas contratuais padrão, que podem, em princípio, ser utilizadas com qualquer país terceiro, e
  • Decisão da Comissão Europeia 2016/1250 sobre o Escudo de Privacidade, um acordo adaptado às transferências para os Estados Unidos.

O Tribunal não invalidou as cláusulas contratuais padrão – um cenário que deixou muitas empresas e advogados suando frio.

No entanto, seu uso continua sujeito à avaliação concreta, pelo exportador de dados, da maneira como as cláusulas são realmente aplicadas no país terceiro, levando em consideração, em especial, as possibilidades de autoridades públicas, como serviços de inteligência, terem acesso aos dados.

Em caso de acesso a dados incompatíveis com os princípios das cláusulas, é de responsabilidade do exportador, e caso não o faça, da autoridade de controlo (equivalente à CNIL), suspender a transferência.

 

No caso do Escudo de Privacidade, o Tribunal considerou que, mesmo que os princípios do acordo proporcionassem, em princípio, um nível de proteção essencialmente equivalente ao da União Europeia, os requisitos concretos relativos à segurança nacional, ao interesse público e ao cumprimento da legislação americana tornavam esses princípios ineficazes.

Constatou-se que o escopo dos poderes de vigilância das autoridades norte-americanas era excessivo segundo a legislação europeia e que os direitos de cidadãos não americanos de recorrer a tribunais independentes não estavam garantidos.

Essas constatações levaram-no a considerar a decisão inválida.

E agora?

Transferências para os Estados Unidos não podem mais ser baseadas no Shield.

Embora alguns estejam recorrendo a cláusulas contratuais padrão, essa solução levanta dúvidas: essas cláusulas permanecem válidas em princípio, mas enfrentam o mesmo problema que o Shield quando usado para uma transferência para os Estados Unidos: a escala das medidas de vigilância em solo americano e os meios insuficientes de reparação para as pessoas envolvidas.

Algumas pessoas falam sobre a possibilidade de criptografar os dados antes da transferência para evitar seu uso pelas autoridades dos EUA, mas isso não leva em consideração a possibilidade de as autoridades exigirem legalmente sua descriptografia.

O Conselho Europeu de Proteção de Dados (EDPB) publicou um comunicado de imprensa em 17 de julho no qual resume suas descobertas iniciais e anuncia diretrizes adicionais.

As seguintes observações podem ser notadas:

– A decisão do Tribunal afeta diretamente as transferências para os Estados Unidos, mas todas as transferências internacionais também são afetadas;

– A utilização de cláusulas contratuais-tipo para uma transferência para qualquer país terceiro continua a ser possível, mas deve ser sujeita, pelo exportador, a verificações específicas relativas ao conteúdo das cláusulas, ao contexto da transferência e ao regime jurídico aplicável no país terceiro (em particular no que diz respeito à segurança nacional);

– Se a situação apresentar riscos específicos, medidas adicionais terão de ser tomadas: o CEPD está atualmente a trabalhar para especificar essas medidas.

– Recorde-se que o importador tem o dever de informar o exportador sobre qualquer alteração na legislação que tenha impacto na aplicação das cláusulas e que possa, assim, conduzir à sua suspensão.

A Comissão Europeia anunciou que iniciou um diálogo com os seus homólogos americanos com vista a chegar a um acordo que preveja um nível mais elevado de proteção de dados.

 

Enquanto isso, a associação de Max Schrems, NOYB ("None Of Your Business"), entrou com 101 ações judiciais contra empresas que operam na União Europeia, incluindo Google, Facebook e Microsoft, ou que usam o Google Analytics e o Facebook Connect sem tomar nenhuma medida em resposta à decisão do Tribunal.

Há possibilidades de transferência de dados além das cláusulas contratuais padrão.

Elas foram explicadas no editorial de março deste boletim.

A alternativa é gerenciar dados em solo europeu em vez de transferi-los.

Esperando que esta decisão incentive o desenvolvimento de tais serviços locais.

E também

França:

  • A CNIL (Autoridade Francesa de Proteção de Dados) está iniciando uma investigação sobre o TikTok: além do impasse entre a empresa chinesa e os Estados Unidos, estão em andamento investigações na Europa sobre a conformidade do aplicativo com o GDPR. A CNIL está coordenando seu trabalho com outras autoridades de supervisão no âmbito do CEPD.
  • Ainda em cooperação com suas contrapartes europeias, a CNIL aplicou uma multa de 250.000 euros à empresa de vendas online Spartoo em 5 de agosto por não cumprimento dos princípios de minimização de dados, retenção, informação e segurança previstos pelo GDPR.

Europa:

  • A autoridade supervisora britânica, a ICO, foi criticada por parlamentares por sua ação insuficiente diante das violações do GDPR, particularmente no contexto da pandemia da COVID-19.
  • Também no Reino Unido, um tribunal de apelações decidiu em 11 de agosto que o uso da tecnologia de reconhecimento facial pela Polícia do Sul do País de Gales viola direitos fundamentais, incluindo o direito à proteção de dados.
  • A Comissão Europeia está atualmente trabalhando em uma regulamentação para serviços digitais, a fim de fortalecer esses serviços no mercado interno e esclarecer o quadro jurídico para pequenas empresas. O Parlamento Europeu está preparando uma recomendação nesse contexto, que deverá abordar uma série de questões de proteção de dados, incluindo criptografia de informações, auditabilidade de algoritmos e proteção de dados biométricos.
  • A Comissão Europeia anunciou em 4 de agosto que está abrindo uma investigação sobre a proposta de aquisição da Fitbit pelo Google. Suas preocupações estão relacionadas principalmente à concentração de dados nas mãos de um player dominante, especialmente dados de saúde.

Internacional:

  • Estados Unidos: Em uma análise de impacto datada de 30 de julho, o Departamento de Segurança Interna detalha práticas observadas durante anos nas fronteiras externas do país, que permitem que agentes copiem o conteúdo dos telefones e computadores de pessoas que entram nos Estados Unidos e os mantenham por um período de 75 anos.
  • O Twitter confirmou no início de agosto que estava sendo investigado pela Comissão Federal de Comércio dos EUA sobre o uso de dados de clientes para fins publicitários.
  • Brasil: A lei de proteção de dados pessoais entrará em vigor em 27 de agosto. Uma autoridade supervisora também acaba de ser criada.
  • Também na América Latina, o Chile está modernizando sua lei de proteção de dados, e projetos regulatórios estão em andamento no Paraguai e no Equador.
  • O Egito adotou uma lei sobre proteção de dados pessoais em 17 de junho.

 

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT