A adoção do Privacy Shield pelas autoridades reguladoras dos EUA e da UE, sucessor do Safe Harbor que regulamentou a transferência de dados pessoais entre os EUA, Canadá e a UE por mais de uma década, teve um impacto negativo, deixando muita incerteza. O principal ponto de discórdia para os defensores da privacidade na UE continua sendo se as empresas americanas podem, de fato, proteger os dados dos cidadãos da UE das proteções federais americanas contra a coleta de dados. Mas as diferenças em como os reguladores da UE querem que as organizações americanas tratem os dados de seus cidadãos também podem se traduzir em requisitos mais rigorosos para o cumprimento dos princípios do acordo.
A conformidade com o Privacy Shield, assim como muitas regulamentações focadas em fluxos de dados, baseia-se hoje na autodeclaração e autoavaliação fundamentadas em princípios de acordo. Mas por que ainda nos apoiamos em declarações de "estou em conformidade" como forma de comprovar a conformidade? Na era do Big Data e da infraestrutura distribuída, a confirmação dos fluxos de dados deveria ser feita por meio de inteligência de dados, e não por meras declarações de boa intenção.
Tornando a privacidade de dados orientada por dados
A autodeclaração de movimentação de dados apresenta um problema óbvio em termos de conformidade: como saber com certeza por onde os dados passaram ou para onde vão se não há rastreamento? Mesmo auditorias bem-intencionadas só podem revelar até certo ponto quando se baseiam apenas em entrevistas e pesquisas humanas falíveis. A conformidade deve ser um teste preciso de conformidade, não uma medida vaga de "melhor esforço". No caso do Privacy Shield, a autodeclaração cria o problema secundário de que o acordo inevitavelmente enfrentará contestações judiciais no Tribunal de Justiça da UE e, muito provavelmente, será revisado em algum momento. Isso levanta a seguinte questão para uma organização: como certificar a conformidade com confiança hoje, amanhã e no futuro, mesmo que a métrica mude?
O Departamento de Comércio dos EUA (a autoridade certificadora para organizações americanas) agora tem o poder de monitorar e verificar ativamente se as políticas de privacidade estão em conformidade com os princípios relevantes do Privacy Shield — mas não as práticas reais de processamento e gerenciamento de dados que deveriam estar em conformidade com as políticas. Além disso, como parte da revisão do Privacy Shield, o Departamento de Comércio pode iniciar revisões e exigir que as organizações participantes respondam prontamente às solicitações de investigação.
Certificar que as organizações estão em conformidade com uma regulamentação de privacidade em geral e com o Privacy Shield em particular terá que evoluir da confiança para a verificação. As organizações já monitoram e rastreiam todos os tipos de dados internamente, mas, até o momento, os dados pessoais não estão entre esses ativos. Isso se torna ainda mais problemático quando consideramos o escopo completo do Privacy Shield.
Embora a proteção dos dados de cidadãos da UE contra a vigilância generalizada dos EUA continue sendo a principal preocupação do Privacy Shield, o acordo atual também incorpora um princípio de limitação de "finalidade" — comprovando que os dados são processados apenas para os fins aos quais os usuários consentiram. O Privacy Shield anterior não impunha restrições sobre como os dados de cidadãos da UE poderiam ser usados nos EUA. Isso não ocorre mais. Agora, o acordo prevê a limitação de uso, retenção e outras restrições ao processamento de dados. Mas, sem um mecanismo exato de verificação, há pouca comprovação de conformidade que possa ser fornecida além da palavra de alguém. Os cidadãos da UE precisam confiar na afirmação das organizações americanas de que estão em conformidade, sem provas concretas baseadas em dados.
Deixando de lado as disputas políticas, o que fica claro com o Privacy Shield é que as transferências de dados através do Atlântico (e, após o Brexit, potencialmente através do Canal da Mancha) estarão sujeitas a um nível de escrutínio maior daqui para frente. No entanto, a base de comprovação usada para atestar a conformidade permanece presa a um período anterior aos computadores, quanto mais à análise de dados moderna. Quando se trata de dados pessoais, a certificação do Privacy Shield está longe de ser baseada em dados. É tudo uma questão de confiança, sem verificação.
Integrando o mapeamento de dados à era do GPS
Há uma variedade de opiniões sobre como as organizações irão reagir quando o processo de autocertificação for reaberto em 1º de agosto. Alguns observadores acreditam que, com tanta incerteza no ar, muitas irão adiar a autocertificação. Outros argumentam que, como a autocertificação significa que as organizações podem realizar transferências de dados transatlânticas legalmente sob um único acordo abrangente, em vez de implementar cláusulas contratuais com parceiros de dados individuais, muitas aproveitarão a oportunidade.
Em qualquer cenário, porém, as organizações que gerenciam e processam dados pessoais de cidadãos da UE terão que ser mais sistemáticas na compreensão não apenas de quem são os dados que possuem (e em que quantidade), mas também como esses dados pessoais transitam por sua infraestrutura e quais terceiros têm acesso a eles. Independentemente de a autodeclaração sobreviver ao próximo desafio legal, a adoção de práticas baseadas em dados, mapeamento de dados quantitativos surgirá como um requisito fundamental para atender aos novos princípios do Privacy Shield especificamente, mas também ao princípio geral de proteção responsável de dados pessoais e privacidade para todas as empresas que custodiam dados do consumidor.
Hoje vivemos na era da análise avançada de dados e do posicionamento global. Não há razão para depender da cartografia de fluxo de dados da época de Cristóvão Colombo para medir como a informação se move entre empresas ou países.
Autor
