A adoção do Privacy Shield pelas autoridades reguladoras dos EUA e da UE, sucessor do Safe Harbor, que rege a transferência de dados pessoais entre os EUA, o Canadá e a UE há mais de uma década, foi um anticlímax, deixando muita incerteza em seu rastro. O maior ponto de discórdia para os defensores da privacidade da UE continua sendo se as empresas americanas podem garantir que podem, de fato, proteger os dados de cidadãos da UE das proteções federais de coleta de dados dos EUA. Mas as diferenças na forma como os reguladores da UE desejam que as organizações americanas tratem os dados de seus cidadãos também podem se traduzir em requisitos mais rigorosos para o cumprimento dos princípios do acordo.
A conformidade com o Escudo de Privacidade, assim como muitas regulamentações focadas em fluxos de dados, baseia-se hoje em autocertificação e autoavaliação baseadas em princípios de acordo. Mas por que ainda dependemos do "eu concordo" como forma de comprovar a conformidade? Na era do big data e da infraestrutura distribuída, a confirmação dos fluxos de dados deve ser feita por meio de inteligência de dados, e não de declarações de boas intenções.
Tornando a privacidade de dados orientada por dados
A autocertificação em torno da movimentação de dados apresenta um problema óbvio quando se trata de conformidade: como saber onde os dados estiveram ou para onde estão indo com alguma certeza se não os estiver rastreando? Mesmo auditorias bem-intencionadas só podem revelar certa quantidade quando se baseiam apenas em entrevistas e pesquisas humanas falíveis. A conformidade deve ser um teste exato de conformidade, não uma medida imprecisa do melhor esforço. No caso do Privacy Shield, a autocertificação cria o problema secundário de que o acordo inevitavelmente enfrentará contestação judicial no Tribunal de Justiça da UE e, em algum momento, provavelmente será revisado. Isso levanta a questão para uma organização: como certificar a conformidade com confiança hoje, amanhã e no futuro, mesmo que a métrica possa mudar.
O Departamento de Comércio dos EUA (a autoridade de certificação para organizações americanas) agora tem o poder de monitorar e verificar ativamente se as políticas de privacidade estão em conformidade com os princípios relevantes do Escudo de Privacidade — mas não as práticas de processamento e gerenciamento de dados em vigor que deveriam estar em conformidade com as políticas. Além disso, como parte da revisão do Escudo de Privacidade, o Departamento de Comércio pode iniciar revisões e exigir que as organizações participantes "respondam prontamente" às solicitações de investigação.
Certificar que as organizações estão em conformidade com uma regulamentação de privacidade em geral e com o Escudo de Privacidade em particular terá que evoluir da confiança para a verificação. As organizações já monitoram e rastreiam todos os tipos de dados dentro da organização, mas, atualmente, dados pessoais não são um desses ativos. Isso se torna mais problemático quando se considera o escopo completo do Escudo de Privacidade.
Embora proteger os dados de cidadãos da UE de serem pegos pela rede de vigilância dos EUA continue sendo a principal preocupação do Privacy Shield, o acordo atual também incorpora um princípio de limitação de "finalidade" — provando que os dados são processados apenas para as finalidades para as quais os usuários consentiram. O antecedente do Privacy Shield não previa restrições sobre como os dados de cidadãos da UE poderiam ser usados nos EUA. Isso não é mais o caso. Agora, o acordo prevê a limitação de uso, retenção e outras restrições de processamento de dados. Mas sem um mecanismo exato de verificação, há pouca prova de conformidade que possa ser fornecida além da palavra de alguém. Os cidadãos da UE devem confiar nas organizações dos EUA afirmando que estão em conformidade sem prova de dados.
Deixando de lado todas as disputas políticas, o que fica claro com o Privacy Shield é que as transferências de dados através do Atlântico (e, após o Brexit, potencialmente através do Canal da Mancha) estarão sujeitas a um nível maior de escrutínio daqui para frente. No entanto, a base de prova usada para atestar a conformidade permanece estagnada em um período anterior aos computadores, e muito menos à análise de dados moderna. Quando se trata de dados pessoais, a certificação do Privacy Shield está longe de ser baseada em dados. É tudo confiança e nenhuma verificação.
Trazendo o mapeamento de dados para a era do GPS
Há uma série de opiniões sobre como as organizações responderão quando o processo de autocertificação for reaberto em 1º de agosto. Alguns observadores acreditam que, com tanta incerteza pairando, muitos adiarão a autocertificação. Outros argumentam que, como a autocertificação significa que as organizações podem se envolver legalmente em transferências transatlânticas de dados sob um único acordo abrangente, em vez de implementar cláusulas contratuais com parceiros de dados individuais, muitos aproveitarão a oportunidade.
Em qualquer dos casos, contudo, as organizações que gerenciam e processam dados pessoais de cidadãos da UE precisarão ser mais sistemáticas na compreensão não apenas de quem são os dados que possuem (e quanto deles possuem), mas também de como esses dados pessoais transitam por sua infraestrutura e quais terceiros têm acesso a eles. Independentemente de a autocertificação sobreviver ao próximo desafio legal, a autocertificação baseada em dados mapeamento de dados quantitativos surgirá como um requisito fundamental para atender aos novos princípios do Privacy Shield especificamente, mas também ao princípio geral de proteção responsável de dados pessoais e privacidade para todos os custodiantes corporativos de dados do consumidor.
Hoje, vivemos em uma era de análise avançada de dados e posicionamento global. Não há razão para confiar na cartografia de fluxo de dados da era Cristóvão Colombo para mensurar como as informações circulam entre empresas ou países.
Autor
