EU-U.S. Privacy Shield: Corte de Justiça Europeia invalida acordo para transferência internacional de dados entre Europa – EUA

Compartilhe!

Decisão da Corte de Justiça Europeia em ação movida contra o Facebook modifica o panorama de compartilhamento internacional de dados entre os Estados Unidos (EU-U.S. Privacy Shield) e a União Europeia (GDPR), podendo ter implicações por todo o mundo.

compartilhamento de dados privacy shields
EU-U.S. Privacy Shield – transferência internacional de dados entre Europa – EUA

A Corte de Justiça da União Europeia publicou no dia 16 de julho de 2020 sua decisão sobre o caso C-311/18 Facebook Ireland X Schrems, apelidado de caso Schrems II, por ser o segundo processo julgado entre Facebook e o ativista digital Max Schrems. 

O que é o EU-U.S. Privacy Shield?

O EU-U.S. Privacy Shield e o Swiss-U.S. Privacy Shield foram projetadas pelo Departamento de Comércio dos EUA e pela Comissão Europeia e Administração Suíça para fornecer às empresas de ambos os lados do Atlântico um mecanismo para atender aos requisitos de proteção de dados ao transferir dados pessoais da União Europeia e da Suíça para os Estados Unidos em apoio ao comércio transatlântico.

O Caso Schrems II – EU-U.S. Privacy Shield em transferências internacionais de dados pessoais

A decisão tinha por objetivo avaliar a legalidade da transferência de dados pessoais de cidadãos europeus para tratamento nos EUA, e para tal revisou duas decisões anteriores na justiça europeia que vinham embasando a matéria até então: a decisão 2016/1250 e a decisão 2010/87.

Cada uma destas decisões diz respeito à uma base legal específica para a transferência internacional de dados pessoais. A decisão 2016/1250, publicada em agosto de 2016, considerava a legislação EU-U.S. Privacy Shield (estrutura legal e conjunto de normas que regula a matéria entre os EUA e o bloco europeu) adequada para justificar a transferência internacional de dados entre os EUA e a União Europeia. A decisão 2010/87, por outro lado, admite a transferência de dados pessoais com base nos chamados SCCs (Standard Contractual Clauses, um conjunto de cláusulas contratuais que dispõem padrões mínimos para a transferência internacional de dados).

Na decisão de 16 de julho de 2020, a Corte de Justiça da União Europeia afirmou categoricamente que a EU-U.S. Privacy Shield não consiste de base jurídica válida para a transferência de dados de cidadãos europeus para os Estados Unidos. 

Citando especificamente as práticas de vigilância em massa utilizadas pelo governo estadounidense em cima dos dados pessoais armazenados e tratados no país, a Corte afirmou que a legislação doméstica norte-americana sobre o acesso à dados pessoais pelas autoridades impõe limitações ao direito fundamental à proteção de dados dos cidadãos europeus, uma vez que os requisitos legais que justificam o acesso aos dados não seguem, por exemplo, o princípio da proporcionalidade, de modo que o acesso das autoridades aos dados pessoais não é limitado aos acessos estritamente necessários. Assim, por priorizar os interesses de segurança nacional norte-americana à frente dos direitos fundamentais dos cidadãos europeus, o EU-U.S. Privacy Shield não é mais considerado forma válida para transferência internacional de dados.

Sobre a decisão 2010/87, sobre os SCCs, porém, a Corte confirmou a sua validade. A Corte afirmou que, uma vez que os SCCs contém cláusulas que permitem a suspensão da transferência dos dados pessoais caso o recipiente destes não seja capaz de tratá-los de acordo com o GDPR e a legislação europeia, esta base legal se demonstra adequada aos níveis mínimos de segurança e de proteção aos direitos dos cidadãos europeus para ser considerada válida. De qualquer forma, a decisão aponta para a necessidade de ser levada a sério e implementada à risca a cláusula que exige a informação de se o recipiente dos dados está de acordo com o GDPR.

A decisão da Corte de Justiça da União Europeia terá grande impacto nas empresas estadounidenses que tratam dados de cidadãos europeus em solo norte-americano, uma vez que todas as que se utilizam da base legal do EU-U.S. Privacy Shield deverão modificar seus contratos para implementar os SCCs. Esta decisão é ainda mais grave para grandes empresas como o Facebook, que por diversas decisões internas da justiça estadounidense são obrigadas por lei ou por decisões judiciais a compartilhar seus dados com as agências de segurança do país.

EU-U.S. Privacy Shield: consequências da Decisão na transferência internacional de Dados

Na prática, a decisão pressiona o governo norte-americano a modificar suas políticas de vigilância em massa, bem como pode ser lida como uma decisão protecionista, que força as empresas estadounidenses que tratam dados de cidadãos europeus a o fazerem dentro da própria União Europeia, de acordo com o GDPR, ao invés de nos EUA. 

Por fim, demonstra a propensão da justiça europeia para pressionar todos os países, agências e legislações de proteção de dados a manterem o padrão de proteção de dados e dos direitos dos titulares no nível proposto pelo GDPR. O Brasil, que ainda não tem uma Autoridade Nacional de Proteção de Dados devidamente instituida, deve estar atento ao fato de que a Corte Europeia está acompanhando de perto a prática no tratamento de dados de cidadãos europeus, e não somente a existência ou não de legislação na área. 

Fonte: Court of Justice of the European Union, PRESS RELEASE No 91/20

Julgamento da Corte sobre o EU-U.S. Privacy Shield na íntegra

Time BL Consultoria Digital – Direito Digital e Análise Regulatória

Este artigo “EU-U.S. Privacy Shield: Corte de Justiça Europeia invalida acordo para transferência internacional de dados entre Europa – EUA foi escrito Por Rodrigo Glasmeyer e revisado por MSc. Graziela Brandão Conheça o BL Consultoria Digital, acesse aqui!

Para Assessoria Jurídica e implementação do projeto de adequação à LGPD, contate agora os nossos Advogados

Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (LGPDGDPR & CCPA), Advogado para Adequação à LGPD, Aspectos Regulatórios e Compliance Digital de novas tecnologias e Due Diligence para Startup, Fintech e HealthTech, entre em contato pelo e-mail contato@blconsultoriadigital.com.br  ou fale com um Advogado online agora.

Conheça nossos Serviços em Privacidade e Proteção de Dados e Compliance Digital:

  • Assessoria para Mapeamento de Dados (Data Mapping)
  • Assessoria para Mapeamento de Legislação Setorial
  • Análise Regulatória da Coleta de Dados
  • Revisão e Elaboração de Políticas de Privacidade
  • Assessoria de Implementação de Garantia e Direitos de Usuários
  • Revisão e Adequação de Contratos
  • Assessoria jurídica para realização de transferência internacional de dados
  • Política de Segurança da Informação (PSI)
  • Plano de Respostas a Incidentes
  • Relatório de Impacto a Proteção de Dados (DPIA – Data Protection Impact Assessment)

BL Consultoria e Advocacia Digital

Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue  +55 11 3090 5979.


Compartilhe!