Regra número 1 para aqueles na profissão de privacidade: sinta-se muito confortável com a incerteza.
Essa regra se aplica ao julgamento histórico da semana passada no caso Data Protection Commissioner vs. Facebook Ireland Limited, Maximilian Schrems (“Schrems II”) do Tribunal de Justiça da União Europeia (CJEU).
O que Schrems II significa para a privacidade de dados?
Ao longo da última década, têm havido tentativas contínuas de validar a manutenção, por parte das empresas norte-americanas, de um “nível adequado de proteção” para quaisquer dados da UE. Escudo de Proteção de Privacidade UE-EUA foi introduzido para abordar especificamente a proteção de dados pessoais transferidos da União Europeia para os Estados Unidos. Mais de 5.000 empresas logo aproveitaram a Escudo de Privacidade como seu principal mecanismo legal ao transferir dados pessoais da União Europeia para os Estados Unidos.
O julgamento histórico declara inválido o Escudo de Privacidade da UE, colocando o mundo da privacidade em desordem. Especificamente, questionando a legalidade da transferência de dados de cidadãos da UE para os Estados Unidos – e como os dados pessoais devem ser compartilhados entre fronteiras.
Onde o Escudo de Privacidade Falhou
O Tribunal concluiu que a legislação dos EUA não estabelece limites eficazes para atividades de inteligência de acesso e não prevê quaisquer soluções eficazes que indivíduos da UE possam aproveitar se seus dados forem transferidos para os EUA.
Embora o Escudo de Privacidade incluísse um Ombudsman para corrigir deficiências na transferência de dados, isso não era independente o suficiente dos requisitos legais dos EUA para ser considerado um mecanismo suficiente para reparação individual — e o próprio Escudo de Privacidade não estabeleceu limitações aos poderes de inteligência dos EUA.
O Departamento de Comércio declarou que continuará a administrar o programa Privacy Shield, mas a realidade é que o programa agora é imediatamente considerado um mecanismo ineficaz de proteção de dados para transferências de dados da UE.
Como disse Omer Tene, Diretor de Conhecimento da Associação Internacional de Profissionais de Privacidade brincou – a situação é essencialmente como tentar colocar uma estaca redonda em um buraco quadrado, já que “os requisitos de legitimidade da Constituição dos EUA não podem ser conciliados com contestações legais por indivíduos que nunca são informados de que estão sujeitos à vigilância governamental. E a Cláusula de Nomeações da Constituição dos EUA não é passível de um provedor de justiça totalmente independente que satisfaça as exigências do TJUE”.
Salvo pelos SCCs?
Schrems II felizmente não invalidou o por si só uso de Cláusulas Contratuais Padrão (CCPs) como um mecanismo de transferência de dados.
No entanto, o Tribunal previu a possibilidade de as empresas recorrerem a “medidas suplementares” ou “outras cláusulas e salvaguardas adicionais” nos casos em que as cláusulas contratuais especiais não possam garantir a proteção. O TJUE não deixou claro quais medidas ou salvaguardas as empresas devem adotar agora.
Ao refletir sobre o que isso poderia significar, o Dr. Chris Kunner, professor de direito e codiretor do Brussels Privacy Hub, concluiu: "O preço de manter as SCCs parece ter tornado os controladores de dados mais responsáveis por tomar medidas quando a legislação do país de importação permite acesso a dados que vão além dos padrões da UE".
Quem é afetado?
Em última análise, todas as empresas de qualquer dimensão, em qualquer setor, que processam dados da UE. Isto afeta a forma como dados pessoais são coletados, movido e compartilhado através de países e fronteiras, com potenciais ramificações em todos os setores, desde mídias sociais até varejo, agências governamentais e todos os lugares entre eles.
E agora?
Muitos estão aguardando orientação oficial do Conselho Europeu de Proteção de Dados (EDPB); outros conversarão com seus consultores jurídicos internos e externos sobre quais mecanismos legais devem recorrer nesse ínterim.
Enquanto isso, ao analisar “salvaguardas adicionais” para SCCs da perspectiva de dados, as organizações podem adotar uma abordagem proativa para governar a transferência de dados pessoais.
O BigID ajuda organizações a identificar, gerenciar e monitorar todas as atividades com dados pessoais e sensíveis, incluindo transferências internacionais de dados. Com o BigID, as organizações podem:
- Relatar e monitorar o compartilhamento de dados de terceiros
- Detectar transferências transfronteiriças de dados fora das políticas
- Dados de etiquetagem e rotulagem para fins legais
- Rotular atributos de dados com base na residência do titular dos dados para transferências intraempresariais
Compreender seus dados – como vincular a residência a uma identidade e saber onde que os dados são armazenados é um ótimo ponto de partida para empresas que tentam entender o que vem depois do Privacy Shield.
Como Secretário de Comércio dos EUA, Wilbur Ross declarou, “esperamos ser capazes de limitar as consequências negativas para o relacionamento econômico transatlântico de $7,1 trilhões que é tão vital para nossos respectivos cidadãos, empresas e governos. Os fluxos de dados são essenciais não apenas para empresas de tecnologia, mas também para empresas de todos os tamanhos e setores.”
Autor
