Camila Dutra
Co-Founder at X-Plan Consultoria Tech Empresarial

O Tribunal de Justiça da UE invalida a Decisão 2016/1250, relativa à adequação da proteção fornecida pelo Privacy Shield UE-EUA!

Aos colegas profissionais de privacidade e proteção de dados, essa manchete por si só já é um choque, mas como a interação neste meio de comunicação não é somente com profissionais da área, sinto que faz-se necessária a contextualização.

A GDPR (General Data Protection Regulation) é a regulamentação europeia de proteção de dados e é a base para a nossa LGPD (Lei Geral de Proteção de Dados). Portanto, de maneira geral, ela é o alicerce de insights, regula e especifica como serão tratados os dados, as relações digitais, transferências de dados mundiais, etc. Ela estabelece o direito à privacidade e a proteção de dados como um direito fundamental.

Dentro da GDPR, em geral, fica posto que as transferências de dados entre um país do Espaço Econômico Europeu (EEE) para um país de fora do EEE são feitas somente se houver uma jurisdição adequada com relação a proteção de dados deste terceiro.

Dentro do regulamento, é prescrito algumas formas legais para essas transferência internacionais:

Uma delas é a Decisão de Adequação, prevista no art. 45 (1) do GDPR, na qual a Comissão Europeia estabelece que o país tem determinado nível de adequação de proteção de dados em razão da sua legislação interna ou compromissos internacionais assumidos. Portanto, essa transferência de dados pode ser feito sem salvaguardas, e muito similar a transferência realizada entre os países do EEE.

A Comissão Europeia emitiu decisões de adequação com base na Diretiva 95/46/CE, reconhecendo que Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça e Uruguai proporcionam proteção adequada. Mas essas decisões estão em constante verificação e podem ser retiradas a qualquer momento.

E foi exatamente isso que aconteceu com os Estados Unidos ontem! A Comissão Europeia retirou a decisão de adequação após um processo iniciado pelo ativista austríaco, Maximillian Schrems, contra o Facebook, pois, em resumo, seus dados estavam sendo transferidos da Irlanda para os Estados Unidos, e apontou que o último não tem o nível adequado de proteção de dados.

Ainda não é possível mensurar as reais consequências desta decisão. No entanto, é seguro dizer que diversas companhias de tamanhos e valores gigantescos podem ser “prejudicadas” ou, numa vertente que se enquadra melhor ao meu pensamento, devem começar a refletir e pressionar os países para darem o devido valor a privacidade e proteção de dados.

Apesar da decisão de adequação ter sido invalidada, existem outras formas legais de transferência, sendo as cláusulas contratuais padrão (SCC) uma delas, e estas não foram invalidadas. Logo, a maioria das empresas pode recorrer a este recurso de transferência de dados, como também às regras vinculantes, cláusulas tipo proteção de dados, regras corporativas vinculantes (BCR).

De qualquer forma, o debate que quero provocar aqui é que mesmo que estas outras formas legais sejam válidas, as empresas estão administrando os dados sob leis que deixam privacidade em segundo plano e/ou que trazem o monitoramento, a vigilância da população e até mesmo a diferença de tratamento entre seus cidadãos e estrangeiros como base. 

Será que ocorrerá um comprometimento maior com a privacidade dos usuários ou irão encontrar outra maneira de continuar deixando este direito fundamental em segundo plano? Aguardo e almejo pela primeira proposição!

Deixo essa reportagem muito interessante da Techcrunch e que traz mais alguns pontos de debate importante sobre o futuro!

Camila Dutra
Co-Founder at X-Plan Consultoria Tech Empresarial | Privacy & Data Protection | Brazilian Law Degree | DPO Certified EXIN