O Tribunal de Justiça Europeu anulou o Privacy Shield, um acordo entre os Estados Unidos e a União Europeia sobre como as empresas americanas lidam com dados pessoais de usuários europeus, porque as proteções de privacidade para usuários europeus sob a estrutura eram "inadequadas".
A decisão faz parte da decisão do caso Facebook v Schrems, no qual o ativista de privacidade Max Schrems reclamou ao Comissário Irlandês de Proteção de Dados que o Facebook estava transferindo seus dados (e de outros usuários europeus) para data centers nos EUA. O problema era que, segundo a lei dos EUA, a Lei de Esclarecimento do Uso Legal de Dados no Exterior de 2018 (Lei CLOUD), um tribunal dos EUA pode exigir que uma empresa americana entregue dados pessoais de um indivíduo, o que significa que a empresa não seria capaz de fornecer aos usuários os controles de privacidade exigidos pelo Regulamento Geral de Proteção de Dados da Europa.
“Quanto ao nível de proteção exigido em relação a tal transferência, o Tribunal considera que os requisitos estabelecidos para tais fins pelo GDPR (Regulamento Geral de Proteção de Dados) relativos a salvaguardas adequadas, direitos executáveis e recursos legais efetivos devem ser interpretados no sentido de que os titulares de dados cujos dados pessoais são transferidos para um país terceiro de acordo com cláusulas-padrão de proteção de dados devem receber um nível de proteção essencialmente equivalente ao garantido na UE pelo GDPR”, afirmou o Tribunal de Justiça Europeu em sua decisão.
A UE e os EUA negociaram o Acordo-Quadro UE-EUA sobre Proteção de Dados, ou Escudo de Proteção de Dados, após o tribunal da UE ter revogado o Safe Harbor em outubro de 2015 por ser insuficiente para proteger os direitos de privacidade dos cidadãos da UE. O Escudo de Proteção de Dados permite que empresas americanas transfiram dados de usuários da UE para fora da UE sem a necessidade de criar data centers na Europa especificamente para lidar com dados da UE. O tribunal afirmou, com essa decisão, que as empresas não podem conceder aos usuários direitos de privacidade menores transferindo dados de usuários europeus para data centers fora da Europa.
A combinação da seção 702 da Lei de Vigilância de Inteligência Estrangeira dos EUA com as políticas americanas demonstrou que o governo americano tinha autoridade para coletar dados de cidadãos da UE de empresas americanas, de forma "não limitada ao estritamente necessário", afirmou o tribunal. Os amplos poderes de vigilância não atendem aos requisitos de proteção de dados da UE.
O Escudo de Proteção de Dados "não concede aos titulares dos dados direitos de ação judicial contra as autoridades americanas", afirmou o Tribunal de Justiça em sua decisão. Não há nenhuma disposição neste quadro que permita aos cidadãos da UE contestar a empresa americana pelo uso indevido de seus dados armazenados em servidores americanos.
“As implicações desta decisão são potencialmente monumentais e deixaram a comunidade de privacidade em alerta”, disse Heather Federman, vice-presidente de privacidade e política da BigID.
De acordo com o Escudo de Proteção de Dados (Privacy Shield), as empresas poderiam definir a privacidade por meio de Cláusulas Contratuais Padrão — mas a nova decisão indica que as CCPs devem, no mínimo, proteger os dados dos usuários da maneira exigida pelo Regulamento Geral sobre a Proteção de Dados (RGPD) e outras leis de privacidade. Em suma, a proteção da privacidade está vinculada às informações, não ao local onde as informações são armazenadas, processadas ou transferidas. As empresas precisam cumprir o GDPR mesmo que os dados dos usuários europeus estejam em servidores dos EUA, sob pena de multas elevadas.
“As cláusulas contratuais padrão continuam sendo uma ferramenta válida para a transferência de dados pessoais para processadores estabelecidos em países terceiros”, afirmou Vera Jourová, vice-presidente da Comissão Europeia. Os processadores de dados da UE garantirão que as empresas que assinaram as CSCs estejam em conformidade com o GDPR.