Em julho de 2020, o Schrems II decisão interrompeu o fluxo de transferências transfronteiriças de dados entre a UE e os Estados Unidos, invalidando efectivamente o acordo UE-EUA Estrutura do Escudo de Privacidade.
A decisão deixou as empresas lutando para usar outros mecanismos legais, como Cláusulas Contratuais Padrão (SCCs), para transferir dados.
As consequências de Schrems II
Avançando para o presente. Estamos apenas algumas semanas no novo ano, e já se seguiram duas decisões significativas na sequência da decisão Schrems II. As novas decisões foram emitidas pela Autoridade Austríaca de Proteção de Dados (APD) e pela Autoridade Europeia para a Proteção de Dados (AEPD).
Um destes casos foi o primeiro de uma série de 101 queixas coordenadas que foram apresentadas por NOYB (Não é da sua conta) — a empresa fundada por Max Schrems, o advogado austríaco no centro do caso titular — após Schrems II.
O A DPA austríaca concluiu que um site de saúde sediado na Áustria transferiu ilegalmente dados da UE para os EUA por meio do uso do Google Analytics, em violação ao Capítulo V do GDPR.
O segundo caso também estava entre a série de 101 reclamações coordenadas que o NYOB apresentou. Neste caso, o AEPD constatou que o Parlamento Europeu violou a decisão Schrems II sobre transferências de dados entre a UE e os EUA. A violação ocorreu por meio do uso do Google Analytics e de cookies da empresa de processamento de pagamentos Stripe em um site criado por ela para agendar testes de COVID-19.
A principal conclusão dessas duas decisões é que agora há orientações claras sobre o uso de análises e cookies na UE após a decisão Schrems II. Embora a Autoridade de Proteção de Dados (APD) austríaca tenha publicado um guia sobre como usar corretamente o Google Analytics em 2017-2018, isso foi antes da decisão Schrems II e, portanto, está desatualizado.
A Autoridade de Proteção de Dados holandesa também emitirá em breve uma decisão sobre um caso semelhante ao da Áustria. Assim, podemos esperar uma versão atualizada do guia do Google Analytics para os estados-membros da UE.
Google Analytics e Transferências Transfronteiriças
O Conselho Europeu para a Proteção de Dados (CEPD) criou uma força-tarefa em 2020 para coordenar as decisões nesses dois casos. A força-tarefa selecionou intencionalmente esses casos em função de como — e com quem — os sites envolvidos processavam os dados.
Embora ambos os sites utilizassem o Google Analytics, nenhum deles continha elementos transfronteiriços óbvios, garantindo que as supostas transferências permanecessem na área residencial da parte que apresentou a reclamação. Isso também ajudou a garantir que os casos tivessem conclusões semelhantes, o que aumenta a probabilidade de decisões semelhantes em casos futuros.
Os resultados desses casos contradizem a teoria da abordagem baseada em risco remanescente da decisão Schrems II. Essa teoria foi aplicada caso a caso, avaliando se os fatos de um caso individual interessariam a uma agência americana o suficiente para monitorar e acessar dados transferidos da UE.
Após estes casos, os factos de um caso individual já não importam — apenas que os dados NÃO devem ser transferidos da UE para os EUA se houver QUALQUER possibilidade de que o governo dos EUA tenha acesso a esses dados. Esta descoberta é relevante para todas as transferências transfronteiriças de dados entre a UE e os EUA — e tem impacto em quaisquer transferências que se enquadrem nos requisitos de Artigo 46 do RGPD.
Cookies e Dados Pessoais
A Autoridade de Proteção de Dados (APD) austríaca e a Autoridade Europeia para a Proteção de Dados (EDPS) constataram que dados pessoais estavam sendo processados por meio de cookies do Google Analytics e do Stripe instalados em sites. Após uma longa análise, a APD austríaca concluiu que, quando os números de identificação definidos pelos cookies são combinados com outros elementos, como um endereço IP, a combinação pode levar ao processamento de informações pessoais por meio do uso de cookies.
No segundo caso, o Parlamento Europeu argumentou que os cookies do Stripe estavam inativos e que a sua única finalidade era auxiliar no processamento de pagamentos — e não nos testes de Covid-19. A AEPD concluiu que se um cookie está ativo ou inativo é irrelevante, desde que o número de identificação seja colocado para marcar o usuário final.
Portanto, se uma empresa sediada nos EUA colocar um cookie em um site controlado por uma entidade da UE, a ação constituirá uma transferência de dados, e um mecanismo legal será necessário de acordo com o Artigo 5 do GDPR.
SCCs e Medidas Suplementares
Tanto a Autoridade de Proteção de Dados austríaca quanto a Autoridade Europeia para a Proteção de Dados (EDPS) constataram que, sempre que ocorrer uma transferência internacional de dados entre a UE e os EUA com base em CSCs, as partes devem fornecer "medidas suplementares" além das CSCs. Sugestões sobre o que essas medidas podem implicar permanecem vagas — visto que não há documentação, provas ou outras informações sobre as medidas contratuais, técnicas ou organizacionais necessárias para garantir um nível de proteção essencialmente equivalente.
A Autoridade de Proteção de Dados austríaca também concluiu especificamente que certas medidas suplementares podem ser insuficientes se não eliminarem a possibilidade de vigilância e acesso a dados pessoais por agências americanas. Observe que foi nesse momento que a teoria da abordagem baseada em risco de Schrems II foi oficialmente rejeitada.
No entanto, o AEPD esclareceu que as transferências da UE para os EUA ainda podem ocorrer em condições restritas, como quando uma entidade pode garantir que os dados pessoais sejam completamente anonimizados.
Finalmente, estes casos demonstram que por vezes DSARsRelatórios de transparência, notificações ao consumidor, tecnologias de criptografia e outras medidas de segurança podem não ser suficientes para superar a possibilidade de vigilância e acesso aos dados pelo governo dos EUA. Em alguns casos — como o movido contra o Parlamento Europeu — a interrupção total das transferências é considerada conformidade com o GDPR e a decisão Schrems II.
O que vem a seguir para transferências de dados transfronteiriças?
O Google está se voltando para grandes esforços de lobby na UE — uma iniciativa que tem sido recebida com algum ceticismo. Só o tempo dirá se isso valerá a pena ou se será um esforço infrutífero.
Espera-se que as APDs em vários estados-membros da UE — incluindo Chipre, Malta, Polônia e Romênia — emitam uma onda de decisões em um futuro próximo, que provavelmente estão no mesmo nível dessas decisões recentes.
Um possível problema que poderia surgir de tais decisões pode incluir a interrupção de todas as transferências de dados entre a UE e os EUA. Omer Tene, sócio da Goodwin Procter e membro sênior do IAPP, refletiu que "a decisão lança uma nuvem negra sobre qualquer método concebível de transferência legal de dados entre os continentes", acrescentando que terá "implicações de longo alcance".
Por enquanto, entidades que utilizam empresas americanas para fins analíticos devem abordar cada cenário com cautela e ter em mente que até mesmo a mera possibilidade de um número de identificação de cookie será considerada uma violação, uma vez que se trata de informação pessoal que carrega uma pegada digital única. Isso se aplica independentemente de um endereço ou número IP estar truncado ou inativo. Tais medidas não eliminam a possibilidade de táticas de vigilância nos EUA.
Como o BigID ajuda nas transferências de dados entre fronteiras
O BigID ajuda organizações identificar, gerenciar, e monitorar tudo dados pessoais e sensíveis atividade — incluindo transferências de dados entre fronteiras. Com o BigID, as organizações podem:
- Relatar e monitorar compartilhamento de dados de terceiros
- Detecte transferências de dados transfronteiriças fora das políticas
- Dados de etiquetagem e rotulagem para fins legais
- Atributos de dados de rótulo com base na residência do titular dos dados para transferências intraempresariais
- Anonimizar técnicas para medidas suplementares necessárias
Compreender seus acervos de dados — como saber onde os dados pessoais estão armazenados e ser capaz de vincular sua residência a uma identidade — é um ótimo ponto de partida para empresas que possam precisar responder a esses casos de transferência transfronteiriça da UE. Agende uma consulta Demonstração do BigID para saber mais.