Em Grandes ideias em movimentoMatt Getz, advogado especializado em privacidade e conformidade da Boies Schiller Flexner LLP e ex-árbitro do Quadro de Proteção da Privacidade UE-EUA, discute as amplas implicações da decisão sobre o Privacy Shield — além de seu trabalho no caso Brown vs. Google, a ação coletiva iminente sobre o "modo anônimo" que já está nas manchetes.
O que a decisão Schrems II realmente significa para a privacidade de dados
Em 16 de julho, o Tribunal de Justiça da União Europeia (TJUE) O Escudo de Privacidade UE-EUA foi derrubado., um acordo entre os Estados Unidos e a União Europeia sobre como as empresas americanas lidam com os dados pessoais dos usuários da UE, considerando as proteções americanas "inadequadas" no âmbito desse acordo.
A decisão, comumente chamada de “Schrems II” por ser resultado do julgamento do caso Facebook vs. Schrems, tem amplas implicações para a transferência de dados entre fronteiras. “Francamente, se levarmos isso às suas últimas consequências”, prevê Getz, “transferências em massa de dados As coisas vão ficar muito, muito difíceis para os Estados Unidos.”
Antes da decisão histórica de revogar o Privacy Shield, que era utilizado por mais de 5.000 empresas da UE na transferência de dados pessoais para os EUA, “muito poucas” disputas envolvendo o Privacy Shield haviam surgido, e a Comissão Europeia consistentemente lhe dava “relatórios muito positivos”, diz Getz.
“Na verdade, achei que o programa funcionou muito bem do ponto de vista de titulares de dadosNão houve muitos problemas graves, e é por isso que acho a decisão Schrems II tão interessante em muitos aspectos.”
A reação da “Galinha sem Cabeça” a Schrems II
Eficaz ou não, muitos sinais indicavam que o Privacy Shield poderia estar com os dias contados. "O programa Privacy Shield foi alvo de muitas críticas desde o seu início. Algumas ONGs eram contra, os tribunais irlandeses não ficaram nada satisfeitos com ele e, claro, o Sr. Schrems também se opôs."
Embora Schrems II não tenha invalidado Cláusulas Contratuais Padrão (SCCs) do Privacy ShieldIsso gerou muita incerteza sobre quais “medidas suplementares” e “salvaguardas adicionais” poderão ser necessárias no futuro para proteger os dados que circulam entre a UE e os EUA.
As autoridades de proteção de dados e o Conselho Supervisor Europeu de Proteção de Dados tiveram uma reação um tanto confusa à decisão Schrems II. Quando se trata de "o que os controladores e exportadores de dados devem fazer em relação às cláusulas contratuais padrão, ninguém sabe ao certo o que isso significa — e o que eles devem fazer agora", diz Getz.
“Todos disseram: 'Ah, acolhemos bem a decisão. Estamos a pensar no assunto e entraremos em contacto consigo para lhe dizer o que precisa de fazer.' Isso diz-me”, afirma Getz, “que eles também ficaram surpreendidos e não tinham planos de contingência.”
O que uma empresa da UE deve fazer enquanto isso?
Embora a decisão sobre o Privacy Shield entre em vigor imediatamente, Getz acredita que as empresas na UE provavelmente podem esperar "muita liberdade e flexibilidade em termos de..." fiscalizaçãoAcho que os partidos vão deixar as pessoas começarem a pensar no que fazer e não tomarão medidas imediatas.”
Entretanto, estar prevenido é estar preparado — como costuma acontecer. em questões relativas à privacidade de dados.
"Acho que a primeira coisa a fazer, para quem ainda não fez isso, é realizar uma auditoria e descobrir exatamente quais dados você tem enviado usando o Privacy Shield, e verificar se existem outras maneiras de enviá-los. Descubra quais outras medidas você pode usar — se a anonimização funciona, se a pseudonimização funciona."
Em termos de preparação para as desconhecidas medidas suplementares e salvaguardas que se avizinham, “é necessário que as empresas, os responsáveis pela fiscalização e os exportadores realizem auditorias e revisões regulares”. O que exatamente está acontecendo com os dados deles e onde eles estão?.
“As pessoas vão precisar analisar com mais atenção e investir um pouco mais de tempo e recursos em avaliar quais dados estão sendo transmitidos.”
Enquanto todos os olhares estão voltados para como isso afeta os dados transferidos para os Estados Unidos, “se levarmos essa decisão às suas conclusões lógicas”, diz Getz, “parece-me que quase qualquer transferência em larga escala da UE para um país que não tenha uma decisão de adequação — e lembre-se de que existem apenas cerca de 12 países com decisões de adequação — qualquer um deles provavelmente seria afetado.” em violação das regras.”
Brown vs. Google — Quão privado é o modo privado?
Além de seu trabalho no Privacy Shield, Getz também faz parte da equipe jurídica do Caso Brown vs. Google, uma ação coletiva na Califórnia relacionada às atividades de processamento de dados do Google quando as pessoas navegam no modo privado ou "anônimo".
"A principal conclusão é que praticamente todo mundo que navegava em modo privado — e pensa que estava navegando em modo privado — na verdade não estava, porque o Google estava coletando, usando e armazenando esses dados."
O Google afirma que não rastreia seus dados quando você navega no modo anônimo, mas “devido à forma como o Google Analytics e o Google Ad Manager funcionam — porque estão incorporados nos sites de mais de 70% de todos os editores — se, enquanto você navega em modo privado, visitar uma página que tenha o Google Analytics e o Google Ad Manager, como o New York Times, o Washington Post, o BuzzFeed, o Reddit; eles estão por toda parte, então o Google está, na verdade, coletando, processando e armazenando dados dos usuários.
“E o Google está armazenando esses dados e fazendo coisas com eles, mesmo que as pessoas pensem que o Google não está coletando os dados. Acreditamos que isso seja uma violação da lei.” Leis de privacidade da Califórnia.”
Embora o caso esteja "em estágios iniciais" e o Google ainda nem tenha se manifestado, as implicações de processar um gigante da internet como o Google podem reforçar a ideia de que "se as pessoas querem agir de acordo com o que dizem, precisam ter palavras que condizem com o que dizem", afirma Getz.
Ouça o podcast Para saber mais sobre as previsões de Getz para Schrems II e Brown vs. Google.
Autor
