Em BigIDeas em movimento, Matt Getz, advogado de privacidade e conformidade da Boies Schiller Flexner LLP e ex-árbitro do Privacy Shield Framework UE-EUA, discute as implicações generalizadas da decisão do Privacy Shield — além de seu trabalho em Brown vs. Google, o próximo caso de ação coletiva de "modo anônimo" que já está nas manchetes.
O que a Decisão Schrems II realmente significa para a privacidade de dados
Em 16 de julho, o Tribunal de Justiça da União Europeia (TJUE) derrubou o Escudo de Proteção de Dados UE-EUA, um acordo entre os Estados Unidos e a União Europeia sobre como as empresas norte-americanas lidam com dados pessoais de usuários da UE, chamando as proteções dos EUA de "inadequadas" sob a estrutura.
A decisão, comumente chamada de "Schrems II" por ser resultado da decisão do caso Facebook vs. Schrems, tem implicações abrangentes para a transferência de dados entre fronteiras. "Francamente, se levarmos isso até o seu efeito final", prevê Getz, "transferências em massa de dados para os Estados Unidos vão ficar muito, muito difíceis.”
Antes da decisão histórica de revogar o Privacy Shield, que mais de 5.000 empresas da UE usaram ao transferir dados pessoais para os EUA, "muito poucas" disputas envolvendo o Privacy Shield surgiram, e a Comissão Europeia consistentemente deu a ele "relatórios positivos", diz Getz.
“Na verdade, senti que o programa funcionava muito bem do ponto de vista de titulares de dados. Não houve muitos problemas importantes, e é por isso que acho que a decisão Schrems II é tão interessante em muitos aspectos.”
A reação da “galinha sem cabeça” ao Schrems II
Eficaz ou não, muitos indícios sugeriam que o Privacy Shield poderia ter chegado ao fim. "Houve muita pressão contra o programa Privacy Shield desde o seu lançamento. Algumas ONGs eram contra, os tribunais irlandeses pelos quais passou não ficaram muito satisfeitos e, claro, o Sr. Schrems se opôs."
Embora Schrems II não tenha invalidado Cláusulas Contratuais Padrão (SCCs) do Escudo de Privacidade, criou muita incerteza sobre quais “medidas suplementares” e “salvaguardas adicionais” podem ser necessárias no futuro para proteger os dados que circulam entre a UE e os EUA.
As autoridades de proteção de dados e o Conselho Europeu de Supervisão da Proteção de Dados vivenciaram "uma reação de galinha sem cabeça" à decisão Schrems II. Quando se trata "do que os controladores e exportadores de dados têm que fazer em relação às cláusulas contratuais padrão, ninguém sabe realmente o que isso significa — e o que eles devem fazer agora", diz Getz.
"Todos disseram: 'Ah, nós acolhemos a decisão. E estamos pensando nisso, e voltaremos para dizer o que vocês precisam fazer'. Então, isso me diz", diz Getz, "que eles também ficaram surpresos e não tinham planos de contingência em vigor."
O que uma empresa da UE deve fazer enquanto isso?
Embora a decisão do Escudo de Privacidade entre em vigor imediatamente, Getz acredita que as empresas na UE podem provavelmente esperar “muita latitude e margem de manobra em termos de execução. Acho que os partidos vão deixar as pessoas começarem a decidir o que fazer e não tomar medidas imediatas.”
Entretanto, prevenido é melhor que remediado — como tende a ser o caso em questões relativas à privacidade de dados.
Acho que a primeira coisa a fazer, para quem ainda não fez isso, é realizar uma auditoria e descobrir exatamente quais dados você tem enviado usando o Privacy Shield e descobrir se há outras maneiras de enviá-los. Descubra quais outras medidas você pode usar — se a anonimização funciona, se a pseudonimização funciona.
Em termos de preparação para as medidas suplementares e salvaguardas desconhecidas que temos pela frente, “é necessário que haja auditorias e revisões regulares por parte das empresas, dos controladores e dos exportadores, exatamente o que está acontecendo com seus dados e onde eles estão.
“As pessoas vão precisar de olhar mais de perto e investir um pouco mais de tempo e recursos avaliar quais dados estão sendo transmitidos.”
Embora todos os olhos estejam voltados para como isso afeta os dados transferidos para os Estados Unidos, “se levarmos essa decisão às suas conclusões lógicas”, diz Getz, “parece-me que quase todas as transferências em grande escala da UE para um país que não tem uma decisão de adequação — e lembre-se de que existem apenas cerca de 12 países que têm decisões de adequação — qualquer uma delas provavelmente seria em violação das regras.”
Brown vs. Google — Quão privado é o modo privado?
Além de seu trabalho no Privacy Shield, Getz também faz parte da equipe jurídica do Caso Brown vs. Google, uma ação coletiva da Califórnia relacionada às atividades de processamento de dados do Google quando as pessoas navegam em modo privado ou “anônimo”.
“A manchete é que quase todo mundo que navega de forma privada — e acha que está navegando de forma privada — na verdade não está, porque o Google vem coletando, usando e armazenando os dados.”
O Google afirma que não rastreia seus dados quando você navega no modo anônimo, mas "devido à maneira como o Google Analytics e o Google Ad Manager funcionam — porque eles estão incorporados nos sites de mais de 70% de todos os editores — se, enquanto você estiver navegando em modo privado, você visitar uma página que tenha o Google Analytics e o Google Ad Manager, como o New York Times, o Washington Post, o BuzzFeed, o Reddit; eles estão em todos os lugares, então o Google está, na verdade, coletando, processando e armazenando dados dos usuários.
“E [o Google] está mantendo esses dados e fazendo coisas com eles, mesmo que as pessoas pensem que o Google não está pegando os dados. Achamos que isso é uma violação da Leis de privacidade da Califórnia.”
Embora o caso esteja "em seus primeiros dias" e o Google ainda não tenha precisado responder, as implicações de ir atrás de um gigante da internet como o Google podem reforçar a ideia de que "se as pessoas querem fazer o que dizem, elas terão que falar o que dizem", diz Getz.
Ouça o podcast para saber mais sobre as previsões de Getz para Schrems II e Brown vs. Google.
Autor
