Regra número 1 para quem trabalha na área de privacidade: acostume-se com a incerteza.
Essa regra se aplica à decisão histórica da semana passada no caso Data Protection Commissioner vs. Facebook Ireland Limited, Maximilian Schrems (“Schrems II”), do Tribunal de Justiça da União Europeia (TJUE).
O que significa o caso Schrems II para a privacidade de dados?
Ao longo da última década, têm ocorrido tentativas contínuas de validar se as empresas americanas mantêm um “nível adequado de proteção” para quaisquer dados da UE. Escudo de Privacidade UE-EUA Foi introduzida para abordar especificamente a proteção de dados pessoais transferidos da União Europeia para os Estados Unidos. Mais de 5.000 empresas logo passaram a utilizá-la. Proteção de Privacidade como seu principal mecanismo legal ao transferir dados pessoais da União Europeia para os Estados Unidos.
A decisão histórica declara o Escudo de Privacidade UE inválido., lançando o mundo da privacidade no caos. Mais especificamente, questionando a legalidade da transferência de dados de cidadãos da UE para os Estados Unidos – e como os dados pessoais devem ser compartilhados além-fronteiras.
Onde o Privacy Shield falhou
O Tribunal concluiu que a legislação dos EUA não estabelece limites eficazes ao acesso às atividades de inteligência e não prevê quaisquer medidas eficazes que os cidadãos da UE possam utilizar caso os seus dados tenham sido transferidos para os EUA.
Embora o Privacy Shield incluísse um Provedor de Justiça para corrigir deficiências na transferência de dados, este não era suficientemente independente dos requisitos legais dos EUA para ser considerado um mecanismo suficiente para reparação individual – e o próprio Privacy Shield não estabelecia limitações aos poderes de inteligência dos EUA.
O Departamento de Comércio declarou que continuará administrando o programa Privacy Shield, mas a realidade é que o programa agora é considerado imediatamente um Mecanismo de proteção de dados ineficaz para transferências de dados na UE.
Como afirma Omer Tene, Diretor de Conhecimento da Associação Internacional de Profissionais de Privacidade. brincou – a situação é essencialmente como tentar encaixar uma peça redonda em um buraco quadrado, já que “os requisitos de legitimidade na Constituição dos EUA não podem ser conciliados com contestações legais por indivíduos que nunca são informados de que estão sujeitos à vigilância governamental. E o Cláusula de Nomeações da Constituição dos EUA não é passível de um ouvidor totalmente independente que satisfaça as exigências do TJUE.”
Salvos pelos SCCs?
Schrems II felizmente não invalidou o por si só uso de Cláusulas Contratuais Padrão (CCPs) como um mecanismo de transferência de dados.
Contudo, o Tribunal previu a necessidade de as empresas recorrerem a “medidas suplementares” ou “outras cláusulas e salvaguardas adicionais” nos casos em que as Cláusulas Contratuais Padrão (SCCs) não consigam garantir a proteção. O Tribunal de Justiça da União Europeia (TJUE) não esclareceu quais medidas ou salvaguardas as empresas deveriam adotar agora.
Ao refletir sobre o que isso poderia significar, o Dr. Chris Kunner, professor de direito e codiretor do Brussels Privacy Hub, concluiu: "O preço da manutenção das Cláusulas Contratuais Padrão parece ter sido tornar os controladores de dados mais responsáveis por tomar medidas quando a legislação do país de importação permite o acesso a dados que vão além dos padrões da UE."
Quem é afetado?
Em última análise, todas as empresas, de qualquer porte e setor, que processam dados da UE. Isso afeta a forma como... São coletados dados pessoais, mudou-se e compartilhado que atravessam países e fronteiras, com potenciais ramificações em diversos setores, desde as redes sociais ao varejo, passando por agências governamentais e todos os outros.
E agora?
Muitos aguardam orientações oficiais do Conselho Europeu de Proteção de Dados (EDPB); outros consultarão seus assessores jurídicos internos e externos sobre quais mecanismos legais devem utilizar nesse ínterim.
Entretanto, ao analisar as "salvaguardas adicionais" às Cláusulas Contratuais Padrão (SCCs) sob a perspectiva de dados, as organizações podem adotar uma abordagem proativa para governar a transferência de dados pessoais.
A BigID ajuda as organizações a identificar, gerenciar e monitorar todas as atividades relacionadas a dados pessoais e sensíveis, incluindo transferências internacionais de dados. Com a BigID, as organizações podem:
- Relatar e monitorar o compartilhamento de dados com terceiros
- Detectar transferências de dados transfronteiriças que violem as políticas estabelecidas.
- Dados de etiquetas e rótulos para fins legais
- Atribuir atributos de dados com base na residência do titular dos dados para transferências intraempresariais.
Compreender seus dados armazenados – como vincular a residência a uma identidade e saber onde Saber como esses dados são armazenados é um ótimo ponto de partida para empresas que tentam entender o que vem depois do Privacy Shield.
Como Secretário de Comércio dos EUA, Wilbur Ross declarouEsperamos poder limitar as consequências negativas para a relação econômica transatlântica de $7,1 trilhões, que é tão vital para nossos respectivos cidadãos, empresas e governos. O fluxo de dados é essencial não apenas para empresas de tecnologia, mas para empresas de todos os portes e setores..”
Autor
