Um desastre de dados está se aproximando para todos os negócios – e nossas leis de espionagem são as culpadas

Views: 128
0 0
Read Time:7 Minute, 16 Second

Um tribunal superior da UE considerou que alguns métodos de vigilância em massa são ilegais. Isso pode comprometer o livre fluxo de dados assim que o Reino Unido deixar o bloco.

Uma nova decisão do Tribunal de Justiça da União Europeia (TJUE) estabeleceu limites para a coleta governamental de dados móveis e internet nos Estados-membros do bloco, em um empurrão contra a vigilância em massa que provavelmente causará problemas para o Reino Unido por causa do Brexit.

Como parte do acórdão, o TJUE estabeleceu que a coleta e retenção em massa de dados de cidadãos de operadoras de internet e telefonia era contrária à carta de direitos fundamentais da UE.

Além disso, o tribunal confirmou que os direitos definidos na carta efetivamente excluem a legislação nacional, apesar de os Estados-membros terem contestado anteriormente a supremacia das leis da UE sobre o seu próprio assunto sobre este assunto.

As únicas vezes em que os governos podem receber os dados de comunicação pessoal de seus cidadãos é no caso de uma “grave ameaça” à segurança nacional, disse o TJUE. Sendo esta a exceção, e não a solução padrão, a instituição da UE também forneceu uma série de critérios e salvaguardas específicas, como os prazos, que precisam estar em vigor para regular esse tipo de medida.

No Reino Unido, a coleta e retenção em massa de dados de cidadãos é atualmente legal graças à Lei de Poderes Investigativos (IPA), também conhecida como Carta dos Snoopers, que controversamente entrou na lei do Reino Unido em 2016 para estabelecer os poderes de vigilância eletrônica dos serviços de inteligência e da polícia do país.

A lei efetivamente dá às agências governamentais britânicas os poderes para realizar interceptação em massa e coleta de dados de comunicações. Por exemplo, o IPA exige que os CSPs retenham detalhes das atividades online de seus clientes por até 12 meses e disponibilizem essas informações aos serviços de inteligência.

Com as negociações do Brexit ainda em curso, manter a confiança da UE nas práticas de proteção de dados do Reino Unido é fundamental para garantir que as informações digitais possam fluir livremente entre ambos os lados, mesmo quando o Reino Unido deixar o bloco. A decisão do TJUE parece ter jogado água fria sobre esta perspectiva, em vez disso, confirmando que as leis do Reino Unido não estão à base de normas da UE.

A decisão do tribunal veio como resultado de desafios legais trazidos por organizações de privacidade e ativistas na França e na Bélgica, além do Reino Unido, e todos relacionados às práticas de vigilância realizadas por seus respectivos governos.

Nos três países, segundo o TJUE, os governos que exigem que as operadoras de internet e telefonia compartilhem dados de tráfego e localização sobre os cidadãos “como medida preventiva” vão contra os direitos fundamentais estabelecidos na carta da UE. Os casos agora retornarão ao tribunal de cada país, que deverá agir em conformidade para mudar a legislação nacional.

No Reino Unido, o caso foi iniciado há cinco anos pela Privacy International, que na época desafiou o antecessor do IPA, chamado de Lei de Retenção de Dados e Poderes Investigativos (DRIPA). A DRIPA deu o tom para o IPA, com muitos dos poderes de arrecadação em massa da lei anterior agora incorporados na nova legislação.

Em resposta à decisão do TJUE, um porta-voz do Ministério do Interior disse à ZDNet: “Este julgamento diz respeito a um poder anterior que foi substituído por disposições da Lei de Poderes Investigativos de 2016.
“O julgamento não tem impacto direto no trabalho de nossas agências de segurança e inteligência, pois agora será remetido aos tribunais do Reino Unido por sua

interpretação.”

O governo britânico afirma que o uso de dados de comunicações em massa é essencial para a proteção da segurança nacional do país, e que o IPA fornece salvaguardas suficientes contra abusos.

Ativistas discordam. O Open Rights Group, por exemplo, que ao lado da Privacy International condenou vocalmente os métodos de vigilância do governo britânico, afirma que com grande parte das funções da DRIPA agora incorporadas ao IPA, perseguir um desafio legal contra as leis nacionais de vigilância do país ainda é relevante.

Para Estelle Massé, líder global de proteção de dados na organização de direitos digitais AccessNow, o Reino Unido não terá escolha a não ser reformar o IPA se quiser cumprir as normas da UE. “As leis do Reino Unido não estão em conformidade com os direitos da UE à privacidade, proteção de dados e liberdade de expressão”, diz ela à ZDNet. “Isso significa que, assim como a França e a Bélgica, a fim de cumprir a legislação da UE, o Reino Unido terá que mudar suas leis.”

Há uma ressalva: enquanto a França e a Bélgica devem permanecer firmemente sob o estado do direito da UE para o futuro previsível, o Reino Unido em breve não o fará.

Por mais tentador que seja esperar até que o país não esteja mais sujeito ao direito da UE, há muito mais em jogo para o Reino Unido. A não mudança das leis nacionais de vigilância poderia efetivamente colocar em risco a chance do país de alcançar a “adequação” – um status concedido pela UE a países terceiros que têm normas suficientes de proteção de dados em vigor, e que será necessário que as informações continuem sem obstáculos entre as duas zonas após o Brexit.

Embora os termos exatos do acordo pós-Brexit do Reino Unido com a UE, se houver um, ainda estejam sendo negociados, uma coisa é certa: quando o Reino Unido deixar a UE no próximo ano, o país deixará de ser protegido pelo Regulamento Geral de Proteção de Dados (GDPR) do bloco. Isso significa que, caso não se chegue a um acordo sobre o assunto, os dados não poderão mais fluir livremente do bloco europeu para o Reino Unido.

O governo britânico está, portanto, apostando em alcançar a chamada “adequação” antes do prazo final do Brexit. “O governo do Reino Unido agiu na medida em que a decisão de adequação foi um acordo feito”, diz Massé. “Mas, neste caso, a UE disse que pelo menos algumas medidas de vigilância no Reino Unido relativas ao acesso a dados não estão em conformidade com as leis da UE. Isso é um grande não-ir para uma decisão de adequação.

Em outras palavras, a menos que o Reino Unido faça alterações em sua legislação nacional, os dados podem não ser capazes de entrar legalmente no país da UE após o Brexit. E embora a ideia possa parecer ridícula, dada a facilidade com que a informação viaja atualmente entre ambas as partes, não é de forma alguma um cenário impossível.

Caso em questão: apenas alguns meses atrás, o TJUE invalidou um acordo de adequação em vigor entre o bloco europeu e os EUA, depois que o tribunal considerou que as leis de segurança nacional em todo o Atlântico não protegem suficientemente a privacidade dos cidadãos da UE.

Os EUA fornecem evidências dos danos econômicos que uma reviravolta semelhante poderia causar no Reino Unido. Cerca de 75% das transferências de dados transfronteiriços no país acontecem com a UE. Uma enorme interrupção, portanto, pode afetar em breve as empresas britânicas, para operações que vão desde o rastreamento de pedidos até e-mails.

Se a adequação não for alcançada como parte das negociações que levaram ao Brexit em janeiro deste ano, as empresas no Reino Unido terão que criar novos mecanismos legais para permitir que os dados da UE fluam. Estes incluem cláusulas contratuais padrão (SCCs), que precisam ser assinadas por organizações em ambas as extremidades, bem como a Autoridade de Proteção de Dados da UE (DPA), para cada transferência ponto a ponto.

“Muitas empresas no Reino Unido provavelmente não se prepararam para mecanismos alternativos, porque esperam que o Reino Unido tenha uma decisão de adequação – que as chances já eram pequenas, mas agora são realmente limitadas”, diz Massé. “Isso pode criar muita interrupção na forma como as empresas funcionam a partir de 1º de janeiro.”

A última decisão do TJUE já é vinculante, e embora não haja um prazo específico, isso significa que o Reino Unido, a França e a Bélgica já devem começar a mudar a legislação nacional.

À medida que o prazo do Brexit se aproxima, não está claro se ainda há tempo para o Reino Unido trazer mudanças impactantes às suas leis existentes – nem é evidente que o governo está mesmo contemplando a opção de reforma.

Massé, por sua vez, não está convencido de que há problemas pela frente: “Sinceramente, não espero que o Reino Unido receba uma decisão de adequação até janeiro”, diz ela. As empresas devem estar se preparando com outros mecanismos, porque isso simplesmente não vai acontecer.”

FONTE: ZDNET

Previous post Número de credenciais corporativas expostas na dark web aumentou 429%
Next post Principais dicas para CISOs e CIOs: Como combater um ataque de ransomware

Deixe um comentário