Cibereconomy: EU-US Privacy Shield – A decisão que abalou as empresas de tecnologia dos EUA

Views: 365
0 0
Read Time:5 Minute, 56 Second

Nesse cenário de privacidade e proteção de dados, temos observado com bastante preocupação o tema sobre a transferência internacional de dados pessoais, que entendo ser um dos pontos mais sensíveis atualmente, tendo em vista que muitas empresas que prestam serviços de tecnologia possuem sede nos Estados Unidos, país que ainda não tem uma legislação federal de proteção de dados.

Na verdade, disciplinar a transferência internacional de dados no Regulamento Geral sobre a Proteção de Dados (RGPD) foi a forma viável que a União Europeia, sabiamente, encontrou para impor o cumprimento de uma legislação de proteção de dados, sem ferir a autonomia legislativa interna de outros países.

Em 02 de fevereiro de 2016, a União Europeia e os Estados Unidos firmaram o acordo conhecido como EU-US Privacy Shield, que substituiu o acordo Safe Harbor, visando à proteção dos dados dos consumidores da União Europeia e a transferência desses dados com facilidade e sem violar as regras de transferência dos europeus.

Ocorre que, no dia 16 de julho de 2020, ou seja, transcorridos mais de 04 anos da data da celebração do segundo acordo, a Corte de Justiça da União Europeia (CJEU) invalidou o Privacy Shield e pediu aos reguladores nacionais medidas mais duras para proteger a privacidade dos dados dos utilizadores.

O citado Tribunal de Justiça entendeu que os organismos de segurança pública norte-americanos podem requerer dados da União Europeia sem garantias e que não existe mecanismo para que os titulares desses dados se oponham ao processamento de dados por aquelas autoridades públicas.

A Corte, em sua análise sobre o nível de proteção de dados na transferência deste entre a UE e os EUA, identifica que não há limitações e garantias necessárias na regulamentação nacional norte-americana relativas às ingerências que resultam, por exemplo, dos programas de vigilância baseados na secção 702 da FISA e no E O. 12333, que permitem acessar inclusive os dados em trânsito para os Estados Unidos sem que esse acesso seja objeto de qualquer supervisão judicial daquele país.

Assim, a decisão, além de expor os riscos de acesso dos dados pelos programas de vigilância das autoridades públicas americanas, inclusive em trânsito, constata que não existe garantia de proteção jurisdicional efetiva contra tais ingerências.

Ademais, o posicionamento da Corte, também inviabiliza a justificativa da existência do mecanismo de mediação previsto no Privacy Shield, quando diz que “a instauração do Mediador para o Escudo de Proteção não pode, em seu entender, sanar essas lacunas, uma vez que este mediador não pode ser equiparado a um tribunal”.

Outro viés importante a ser observado na decisão diz respeito às cláusulas-padrão (SCCs), que continuam sendo um mecanismo possível para a transferência internacional de dados, desde que atendam às garantias de proteção dos dados.

Nesse sentido, o Tribunal afirma que, caso seja aplicada a cláusula-padrão de transferência internacional de dados, será de responsabilidade da empresa verificar, caso a caso, se o direito do país terceiro de destino assegura uma proteção adequada dos dados pessoais transferidos com fundamento em cláusulas‑tipo de proteção dos dados. E acrescenta que “Caso não possam tomar medidas adicionais suficientes para garantir essa proteção, o responsável pelo tratamento ou o seu subcontratante estabelecidos na União ou, a título subsidiário, a autoridade de controlo competente são obrigados a suspender ou a pôr termo à transferência de dados pessoais para o país terceiro em causa”.

Dessa forma, as empresas serão responsabilizadas por violação das normas de transferência internacional de dados, caso não exista no país para onde os dados são transferidos uma legislação que cumpra com os padrões de proteção de dados adequados, como no caso dos Estados Unidos, que permitem às autoridades públicas um nível de acesso questionável aos dados dos titulares.

Essa decisão judicial impacta não apenas o setor de tecnologia, mas todas as empresas que possuem vínculos econômicos transfronteiriços com a União Europeia, ou seja, mais de 5,3 mil empresas que transferem dados alicerçadas no Privacy Shield, o que envolve em torno de US$ 7,1 trilhões.

É importante ressaltar que, por força de outros mecanismos legais, não haverá uma interrupção imediata nas transferências internacionais de dados entre a União Europeia e os Estados Unidos, mas com certeza essa decisão desestabiliza fortemente a relação entre as duas partes.

Vale ressaltar, ainda, que, em março de 2018, os Estados Unidos editaram a lei  Clarifying Lawful Overseas Use of Data Act, mas conhecida como Cloud  Act, que permite que o governo americano quebre o sigilo de servidores de empresas americanas hospedados fora dos EUA, o que coloca o país em uma situação mais delicada ainda.

Em julho de 2019, o estado de Hesse, na Alemanha, através do comissário responsável pela segurança de dados do estado, baniu das escolas o Microsoft 365, sob a alegação de que o Windows 10 e o pacote office 365 não se adequavam aos parâmetros do RGPD, visto que o sistema operacional enviava dados para os Estados Unidos através do seu sistema de nuvem.

E o que tudo isso nos acrescenta como lição?

Inicialmente é importante destacar que a LGPD também normatiza de forma semelhante a transferência internacional de dados: de acordo com o art. 33, dentre as 9 hipóteses nele previstas, encontra-se a admissão da transferência internacional de dados pessoais para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD e as cláusulas-padrão contratuais, mencionadas na decisão judicial europeia.

Portanto, servirá como orientação para a Autoridade Nacional de Proteção de Dados (quando for criada) na formalização de acordos internacionais com países que não tenham uma legislação de proteção de dados adequada ou que tenham mecanismos e programas questionáveis de vigilância de autoridades públicas internos.

Para as empresas cujos dados estão ou são replicados em outros países é importante avaliar o seu nível de apetite de risco, já que a cláusula-padrão de proteção de dados não será mecanismo de exclusão de penalidade pela transferência de dados dos titulares.

É importante ressaltar que, mesmo a empresa tendo uma política de privacidade e respeitando todos os direitos dos titulares, inclusive aplicando o pedido de consentimento, se ela estiver em um país que não tenha uma legislação de proteção de dados adequada, encontrará um mercado internacional muito adverso, para não dizer fechado.

E isso se aplica ao Brasil, cuja LGPD ainda não entrou em vigor e onde nem foi devidamente constituída a Autoridade Nacional de Proteção de Dados.

Espero que essa tensão estabelecida entre a UE e os Estados Unidos agilize a aprovação do projeto de Lei de Proteção de Dados de 2020 (Data Protection Act of 2020), em trâmite no Senado americano, para a criação da Agência de Proteção de Dados Federal nos Estados Unidos.

AUTORA: Carmina Hissa, Advogada-sócia de Hissa & Galamba Advogados e da Infoteam Education, professora de Direito Cibernético em cursos técnicos, graduação, pós graduação e MBA desde 1997, palestrante, presidente nacional da Comissão de Compliance e vice presidente da Comissão de Crimes Cibernéticos da ABCCRIM,  Diretora Jurídica da Associação Brasileira de Segurança Cibernética da ABRASECI, membro do IBDEE, e da ISOC Capitulo Brasil.

FONTE: CBN RECIFE

POSTS RELACIONADOS