Decisão da Corte de Justiça Europeia em ação movida contra o Facebook modifica o panorama de compartilhamento internacional de dados entre os Estados Unidos (EU-U.S. Privacy Shield) e a União Europeia (GDPR), podendo ter implicações por todo o mundo.
A Corte de Justiça da União Europeia publicou no dia 16 de julho de 2020 sua decisão sobre o caso C-311/18 Facebook Ireland X Schrems, apelidado de caso Schrems II, por ser o segundo processo julgado entre Facebook e o ativista digital Max Schrems.
Índice
O que é o EU-U.S. Privacy Shield?
O EU-U.S. Privacy Shield e o Swiss-U.S. Privacy Shield foram projetadas pelo Departamento de Comércio dos EUA e pela Comissão Europeia e Administração Suíça para fornecer às empresas de ambos os lados do Atlântico um mecanismo para atender aos requisitos de proteção de dados ao transferir dados pessoais da União Europeia e da Suíça para os Estados Unidos em apoio ao comércio transatlântico.
O Caso Schrems II – EU-U.S. Privacy Shield em transferências internacionais de dados pessoais
A decisão tinha por objetivo avaliar a legalidade da transferência de dados pessoais de cidadãos europeus para tratamento nos EUA, e para tal revisou duas decisões anteriores na justiça europeia que vinham embasando a matéria até então: a decisão 2016/1250 e a decisão 2010/87.
Cada uma destas decisões diz respeito à uma base legal específica para a transferência internacional de dados pessoais. A decisão 2016/1250, publicada em agosto de 2016, considerava a legislação EU-U.S. Privacy Shield (estrutura legal e conjunto de normas que regula a matéria entre os EUA e o bloco europeu) adequada para justificar a transferência internacional de dados entre os EUA e a União Europeia. A decisão 2010/87, por outro lado, admite a transferência de dados pessoais com base nos chamados SCCs (Standard Contractual Clauses, um conjunto de cláusulas contratuais que dispõem padrões mínimos para a transferência internacional de dados).
Na decisão de 16 de julho de 2020, a Corte de Justiça da União Europeia afirmou categoricamente que a EU-U.S. Privacy Shield não consiste de base jurídica válida para a transferência de dados de cidadãos europeus para os Estados Unidos.
Citando especificamente as práticas de vigilância em massa utilizadas pelo governo estadounidense em cima dos dados pessoais armazenados e tratados no país, a Corte afirmou que a legislação doméstica norte-americana sobre o acesso à dados pessoais pelas autoridades impõe limitações ao direito fundamental à proteção de dados dos cidadãos europeus, uma vez que os requisitos legais que justificam o acesso aos dados não seguem, por exemplo, o princípio da proporcionalidade, de modo que o acesso das autoridades aos dados pessoais não é limitado aos acessos estritamente necessários. Assim, por priorizar os interesses de segurança nacional norte-americana à frente dos direitos fundamentais dos cidadãos europeus, o EU-U.S. Privacy Shield não é mais considerado forma válida para transferência internacional de dados.
Sobre a decisão 2010/87, sobre os SCCs, porém, a Corte confirmou a sua validade. A Corte afirmou que, uma vez que os SCCs contém cláusulas que permitem a suspensão da transferência dos dados pessoais caso o recipiente destes não seja capaz de tratá-los de acordo com o GDPR e a legislação europeia, esta base legal se demonstra adequada aos níveis mínimos de segurança e de proteção aos direitos dos cidadãos europeus para ser considerada válida. De qualquer forma, a decisão aponta para a necessidade de ser levada a sério e implementada à risca a cláusula que exige a informação de se o recipiente dos dados está de acordo com o GDPR.
A decisão da Corte de Justiça da União Europeia terá grande impacto nas empresas estadounidenses que tratam dados de cidadãos europeus em solo norte-americano, uma vez que todas as que se utilizam da base legal do EU-U.S. Privacy Shield deverão modificar seus contratos para implementar os SCCs. Esta decisão é ainda mais grave para grandes empresas como o Facebook, que por diversas decisões internas da justiça estadounidense são obrigadas por lei ou por decisões judiciais a compartilhar seus dados com as agências de segurança do país.
EU-U.S. Privacy Shield: consequências da Decisão na transferência internacional de Dados
Na prática, a decisão pressiona o governo norte-americano a modificar suas políticas de vigilância em massa, bem como pode ser lida como uma decisão protecionista, que força as empresas estadounidenses que tratam dados de cidadãos europeus a o fazerem dentro da própria União Europeia, de acordo com o GDPR, ao invés de nos EUA.
Por fim, demonstra a propensão da justiça europeia para pressionar todos os países, agências e legislações de proteção de dados a manterem o padrão de proteção de dados e dos direitos dos titulares no nível proposto pelo GDPR. O Brasil, que ainda não tem uma Autoridade Nacional de Proteção de Dados devidamente instituida, deve estar atento ao fato de que a Corte Europeia está acompanhando de perto a prática no tratamento de dados de cidadãos europeus, e não somente a existência ou não de legislação na área.
Fonte: Court of Justice of the European Union, PRESS RELEASE No 91/20.
Julgamento da Corte sobre o EU-U.S. Privacy Shield na íntegra
Time BL Consultoria Digital – Direito Digital e Análise Regulatória
Este artigo “EU-U.S. Privacy Shield: Corte de Justiça Europeia invalida acordo para transferência internacional de dados entre Europa – EUA“ foi escrito Por Rodrigo Glasmeyer e revisado por MSc. Graziela Brandão Conheça o BL Consultoria Digital, acesse aqui!
Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD), Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail [email protected] ou fale com um Advogado online agora.
Conheça nossos Serviços em Privacidade e Proteção de Dados e Compliance Digital:
- Assessoria para Mapeamento de Dados (Data Mapping)
- Assessoria para Mapeamento de Legislação Setorial
- Análise Regulatória da Coleta de Dados
- Revisão e Elaboração de Políticas de Privacidade
- Assessoria de Implementação de Garantia e Direitos de Usuários
- Revisão e Adequação de Contratos
- Assessoria jurídica para realização de transferência internacional de dados
- Política de Segurança da Informação (PSI)
- Plano de Respostas a Incidentes
- Relatório de Impacto a Proteção de Dados (DPIA – Data Protection Impact Assessment)
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.
