Em julho de 2020, o Schrems II A decisão interrompeu o fluxo de transferências de dados transfronteiriças entre a UE e os Estados Unidos, invalidando efetivamente o acordo UE-EUA. Quadro de Proteção da Privacidade.
A decisão fez com que as empresas se mobilizassem para usar outros mecanismos legais, como as Cláusulas Contratuais Padrão (SCCs), para transferir dados.
As consequências de Schrems II
Avançando para o presente, estamos apenas algumas semanas no novo ano e já duas decisões importantes foram tomadas na sequência da sentença Schrems II. As novas decisões foram emitidas pela Autoridade Austríaca de Proteção de Dados (DPA) e pelo Supervisor Europeu de Proteção de Dados (EDPS).
Um desses casos foi o primeiro de uma série de 101 denúncias coordenadas apresentadas por NOYB (Não é da sua conta) — a empresa fundada por Max Schrems, o advogado austríaco no centro do caso que dá título ao livro — seguindo Schrems II.
O A Autoridade de Proteção de Dados da Áustria concluiu que um site de saúde com sede na Áustria transferiu ilegalmente dados da UE para os EUA através do uso do Google Analytics, em violação do Capítulo V do RGPD.
O segundo caso também fazia parte da série de 101 reclamações coordenadas apresentadas pela NYOB. Neste caso, o EDPS O tribunal constatou que o Parlamento Europeu violou a decisão Schrems II sobre a transferência de dados entre a UE e os EUA. A violação ocorreu através da utilização do Google Analytics e de cookies da empresa de processamento de pagamentos Stripe num website criado para agendamento de testes de COVID-19.
Uma das principais conclusões dessas duas decisões é que agora existe uma orientação clara sobre o uso de análises e cookies na UE após as consequências da decisão Schrems II. Embora a Autoridade de Proteção de Dados da Áustria tenha publicado um guia sobre como usar o Google Analytics corretamente em 2017-2018, esse guia foi publicado antes da decisão Schrems II e, portanto, está desatualizado.
A Autoridade Holandesa de Proteção de Dados (DPA) também deverá emitir em breve uma decisão sobre um caso semelhante ao que foi julgado na Áustria. Consequentemente, podemos esperar uma versão atualizada do guia do Google Analytics para os Estados-Membros da UE.
Google Analytics e transferências internacionais
Em 2020, o Conselho Europeu de Proteção de Dados (EDPB) criou um grupo de trabalho para coordenar as decisões nesses dois casos. O grupo de trabalho selecionou esses casos intencionalmente devido à forma como — e com quem — os sites envolvidos processavam os dados.
Embora ambos os sites utilizassem o Google Analytics, nenhum deles continha elementos transfronteiriços óbvios, garantindo que as supostas transferências permanecessem na área residencial da parte que apresentou a reclamação. Isso também contribuiu para assegurar que os casos tivessem conclusões semelhantes, o que aumenta a probabilidade de decisões similares em casos futuros.
Os resultados desses casos contradizem a teoria da abordagem baseada em risco, herdada da decisão Schrems II. Essa teoria era aplicada caso a caso, avaliando se os fatos de um caso específico seriam de interesse suficiente para uma agência dos EUA monitorar e acessar dados transferidos da UE.
Após esses casos, os fatos de um caso individual deixam de importar — Apenas que os dados NÃO devem ser transferidos da UE para os EUA se houver QUALQUER possibilidade de o governo dos EUA ter acesso a esses dados. Essa descoberta é relevante para todas as transferências de dados transfronteiriças entre a UE e os EUA — e impacta quaisquer transferências que se enquadrem nos requisitos de Artigo 46 do RGPD.
Cookies e dados pessoais
A Autoridade Austríaca de Proteção de Dados (DPA) e o Supervisor Europeu para a Proteção de Dados (EDPS) constataram que dados pessoais estavam sendo processados por meio de cookies do Google Analytics e do Stripe instalados em websites. Após uma análise minuciosa, a DPA concluiu que, quando os números de identificação definidos pelos cookies são combinados com outros elementos, como um endereço IP, essa combinação pode levar ao processamento de informações pessoais por meio do uso de cookies.
No segundo caso, o Parlamento Europeu argumentou que os cookies da Stripe estavam inativos e que sua única finalidade era auxiliar no processamento de pagamentos, e não nos testes de Covid-19. O CEPD (Serviço Europeu para a Proteção de Dados) concluiu que O fato de um cookie estar ativo ou inativo é irrelevante, desde que o número de identificação seja inserido para marcar o usuário final.
Portanto, se uma empresa sediada nos EUA colocar um cookie em um site controlado por uma entidade da UE, essa ação constituirá uma transferência de dados e será necessário um mecanismo legal de acordo com o Artigo 5 do RGPD.
SCCs e medidas suplementares
Tanto a Autoridade Austríaca de Proteção de Dados (APD) quanto o Supervisor Europeu para a Proteção de Dados (SEPD) concluíram que, sempre que ocorrer uma transferência internacional de dados entre a UE e os EUA com base nas Cláusulas Contratuais Padrão (SCCs), as partes devem fornecer "medidas suplementares" além das próprias SCCs. As sugestões sobre quais seriam essas medidas permanecem vagas, visto que não há documentação, evidências ou outras informações a respeito das medidas contratuais, técnicas ou organizacionais necessárias para garantir um nível de proteção essencialmente equivalente.
A Autoridade de Proteção de Dados Austríaca também concluiu especificamente que certas medidas suplementares podem ser insuficientes se não eliminarem a possibilidade de vigilância e acesso a dados pessoais por agências dos EUA. Note-se que foi nesse momento que a teoria da abordagem baseada no risco, proposta no caso Schrems II, foi oficialmente rejeitada.
O EDPS esclareceu, no entanto, que as transferências da UE para os EUA ainda podem ocorrer sob condições específicas, como quando uma entidade pode garantir que os dados pessoais sejam completamente anonimizados.
Finalmente, esses casos demonstram que, às vezes, DSARsRelatórios de transparência, notificações ao consumidor, tecnologias de criptografia e outras medidas de segurança podem não ser suficientes para impedir a vigilância e o acesso do governo dos EUA aos dados. Em alguns casos — como o movido contra o Parlamento Europeu — a interrupção total das transferências é considerada em conformidade com o RGPD e a decisão Schrems II.
Qual o futuro das transferências de dados internacionais?
O Google está se voltando para grandes esforços de lobby na União Europeia — uma medida que tem sido recebida com certo ceticismo. Só o tempo dirá se isso se provará um exercício proveitoso ou um esforço infrutífero.
Espera-se que as autoridades de proteção de dados em vários Estados-Membros da UE — incluindo Chipre, Malta, Polónia e Roménia — emitam uma série de decisões num futuro próximo, que provavelmente serão semelhantes a estas decisões recentes.
Uma possível questão decorrente de tais decisões pode ser a suspensão de todas as transferências de dados entre a UE e os EUA. Omer Tene, sócio da Goodwin Procter e membro sênior da IAPP, refletiu que "a decisão lança uma sombra sobre qualquer método concebível de transferência legal de dados entre os continentes", acrescentando que terá "implicações de longo alcance".
Por ora, entidades que utilizam empresas americanas para fins analíticos devem abordar cada cenário com cautela e ter em mente que mesmo a mera possibilidade de um número de identificação de cookie constitui uma violação, visto que se trata de informação pessoal com um rastro digital único. Isso se aplica independentemente de um endereço IP ou número estar truncado ou inativo. Tais medidas não eliminam a possibilidade de táticas de vigilância nos EUA.
Como o BigID ajuda nas transferências de dados internacionais
A BigID ajuda as organizações. identificar, gerenciare monitorar tudo dados pessoais e sensíveis atividade — incluindo transferências de dados internacionais. Com o BigID, as organizações podem:
- Relatar e monitorar compartilhamento de dados com terceiros
- Detectar transferências de dados transfronteiriças que violem as políticas estabelecidas.
- Dados de etiquetas e rótulos para fins legais
- Atributos de dados de rótulo com base na residência do titular dos dados para transferências intraempresariais
- Técnicas de anonimização para medidas suplementares necessárias
Compreender seus ativos de dados — como saber onde os dados pessoais estão armazenados e ser capaz de vincular sua localização a uma identidade — é um ótimo ponto de partida para empresas que podem precisar responder a esses casos de transferência transfronteiriça de dados na UE. Agende uma consulta. Demonstração do BigID para saber mais.
Autor
