O Tribunal de Justiça da União Europeia anulou o Privacy Shield, um acordo entre os Estados Unidos e a União Europeia sobre como as empresas americanas lidam com os dados pessoais dos usuários europeus, porque as proteções de privacidade para os usuários europeus no âmbito do acordo eram "inadequadas".
A decisão surge no âmbito do julgamento do caso Facebook v. Schrems, no qual o ativista da privacidade Max Schrems reclamou ao Comissário de Proteção de Dados da Irlanda que o Facebook estava transferindo seus dados (e os de outros usuários europeus) para centros de dados nos EUA. O problema era que, segundo a lei americana, a Lei de Esclarecimento do Uso Legal de Dados no Exterior de 2018 (CLOUD Act), um tribunal americano pode exigir que uma empresa americana entregue os dados pessoais de um indivíduo, o que significa que a empresa não seria capaz de fornecer aos usuários os controles de privacidade exigidos pelo Regulamento Geral de Proteção de Dados (RGPD) da Europa.
“No que diz respeito ao nível de proteção exigido para tal transferência, o Tribunal considera que os requisitos estabelecidos para esses fins pelo RGPD (Regulamento Geral sobre a Proteção de Dados) relativos a salvaguardas adequadas, direitos exigíveis e recursos jurídicos eficazes devem ser interpretados no sentido de que os titulares dos dados cujos dados pessoais são transferidos para um país terceiro ao abrigo de cláusulas-tipo de proteção de dados devem ter garantido um nível de proteção essencialmente equivalente ao garantido na UE pelo RGPD”, afirmou o Tribunal de Justiça da União Europeia na sua decisão.
A UE e os EUA negociaram o Acordo Guarda-Chuva UE-EUA sobre Proteção de Dados, ou Escudo de Privacidade, depois que o tribunal da UE invalidou o Safe Harbor em outubro de 2015 por considerá-lo insuficiente para proteger os direitos de privacidade dos cidadãos da UE. O Escudo de Privacidade permite que empresas americanas transfiram dados de usuários da UE para fora da UE sem a necessidade de estabelecer centros de dados na Europa especificamente para lidar com esses dados. Com essa decisão, o tribunal afirmou que as empresas não podem oferecer aos usuários direitos de privacidade inferiores ao transferir os dados de usuários europeus para centros de dados fora da Europa.
A combinação da seção 702 da Lei de Vigilância de Inteligência Estrangeira dos EUA e das políticas americanas demonstrou que o governo dos EUA tinha autoridade para coletar dados de cidadãos da UE de empresas americanas, de uma maneira ’não limitada ao estritamente necessário“, afirmou o tribunal. Os amplos poderes de vigilância não atendem aos requisitos de proteção de dados da UE.
O Privacy Shield “não concede aos titulares dos dados direitos acionáveis perante os tribunais contra as autoridades dos EUA”, afirmou o Tribunal de Justiça em sua decisão. Não há nenhuma disposição nesse acordo que permita aos cidadãos da UE contestar a empresa americana pelo mau uso de seus dados armazenados em servidores nos EUA.
“As implicações dessa decisão são potencialmente monumentais e deixaram a comunidade de privacidade em polvorosa”, disse Heather Federman, vice-presidente de privacidade e políticas da BigID.
No âmbito do Privacy Shield, as empresas podiam definir a privacidade utilizando Cláusulas Contratuais Padrão (SCCs, na sigla em inglês) — mas a nova decisão indica que as SCCs devem, no mínimo, proteger os dados do usuário da maneira exigida pelo Regulamento Geral de Proteção de Dados (RGPD) e outras leis de privacidade. Em resumo, a proteção da privacidade está vinculada à informação, e não ao local onde a informação é armazenada, processada ou transferida. As empresas devem cumprir o RGPD mesmo que os dados dos usuários europeus estejam em servidores nos EUA, sob pena de multas elevadas.
“As cláusulas contratuais padrão continuam sendo uma ferramenta válida para a transferência de dados pessoais para processadores estabelecidos em países terceiros”, afirmou Vera Jourová, vice-presidente da Comissão Europeia. Os processadores de dados da UE garantirão que as empresas que assinaram cláusulas contratuais padrão estejam em conformidade com o RGPD.