Mídia & Notícias

Acompanhe os principais destaques de cada categoria.

Autoridade de Proteção de Dados Irlandesa proíbe fluxos de dados UE-EUA da Meta e emite multa recorde de € 1,2 bilhão

A Comissão Irlandesa de Proteção de Dados (DPC) divulgou recentemente uma decisão que pode ter um impacto significativo na capacidade de inúmeras empresas de transferir dados pessoais do Espaço Econômico Europeu (EEE) para os Estados Unidos. 
A decisão prevê que:
1.    “… esteja ciente de que, de acordo com o Artigo 58(2)(j) do Regulamento Geral de Proteção de Dados, foi emitida uma ordem exigindo que a Meta suspenda qualquer transferência futura de dados pessoais para os Estados Unidos dentro de um período de cinco meses a partir da data de notificação da decisão tomada pela Comissão de Proteção de Dados à Meta...”
2.    uma coima administrativa no valor de 1,2 mil milhões de euros; e
3.    … de acordo com o Artigo 58(2)(d) do GDPR, exige que a Meta garanta que suas operações de processamento estejam em conformidade com o Capítulo V do GDPR. Isso pode ser alcançado interrompendo o processamento e armazenamento ilegais de dados pessoais de usuários da UE/EEE que foram transferidos para os EUA em violação do GDPR. A DPC notificou a Meta Ireland de sua decisão, e a empresa deve cumprir dentro de seis meses. 
A Meta anunciou que vai recorrer da decisão e pedir a suspensão das ordens.

Histórico 
O assunto sob investigação, que levou à decisão do DPC, dizia respeito à legalidade da transferência de dados pessoais do EEE pela Meta para os EUA, baseando-se em Cláusulas Contratuais Padrão (SCCs), após o julgamento Schrems II pelo TJUE há quase três anos.
O veredicto acima mencionado tornou nula e sem efeito a Estrutura do “Privacy Shield UE-EUA”, até então acordo vidente, que regulamentava a transferência internacional de dados entre EUA e EU. Além disso, levantou dúvidas sobre a utilização de Cláusulas Contratuais Padrão de Proteção de Dados (SCCs) para fins de transferência de dados pessoais para os Estados Unidos. Isso se deve às preocupações destacadas pela Corte em relação ao acesso do governo americano a dados do setor privado.
À luz da decisão Schrems II, a Meta tomou as medidas para cumprir as SCCs. Além disso, foram implementadas medidas complementares, conforme recomendado pelo Comité Europeu para a Proteção de Dados (CEPD) em novembro de 2020 e junho de 2021.
Em julho de 2022, o DPC inicialmente divulgou seu projeto de decisão para revisão e comentários de outras Autoridades Europeias de Supervisão, também conhecidas como Autoridades de Supervisão Interessadas (CSAs). 
O projeto de decisão incluiu a ordem de suspensão da transferência, que agora faz parte da decisão final deste mês. No entanto, depois de várias ACS terem levantado objeções relativamente às insuficiências percebidas das medidas corretivas propostas, o DPC remeteu as objeções para o CEPD para determinação nos termos do mecanismo de resolução de litígios do artigo 65.º do RGPD. 
O EDPB então emitiu uma determinação vinculante para resolver a disputa dos CSAs sobre se a Meta também deveria ser multada e condenada a colocar seu processamento em conformidade com o GDPR. 
A decisão final do DPC reflete a determinação vinculativa tomada pelo CEPD.

Implicações mais amplas
Embora seja verdade que a decisão da DPC está confinada às especificidades do caso Meta, e apesar da intenção da Meta de contestar a decisão e solicitar uma suspensão, o anúncio transmite uma mensagem clara e inequívoca às inúmeras empresas de que as despesas e os meandros do fornecimento de seus bens e serviços em mercados específicos aumentarão.
 "A análise da presente decisão expõe uma situação em que qualquer plataforma de Internet abrangida pela definição de prestador de serviços de comunicações eletrónicas sujeito ao programa FISA 702 PRISM pode igualmente infringir os requisitos do Capítulo V do RGPD e da Carta dos Direitos Fundamentais da UE no que diz respeito às suas transferências de dados pessoais para os EUA. "

As incertezas e riscos em torno das transferências de dados UE-EUA continuam
A ordem de suspensão emitida pelo DPC chegou em meio à contínua insegurança jurídica em torno dos fluxos de dados UE-EUA desde o julgamento Schrems II de 2020. Essa ordem tem o potencial de interromper as operações da Meta no Facebook na Europa. Embora ainda não se saiba como o processo de recurso se desenrolará ou como a Meta ajustará suas práticas para cumprir a ordem, a gigante da mídia social já indicou que não poderá transferir legalmente dados pessoais para os Estados Unidos para seu serviço do Facebook se uma decisão de adequação para o Marco de Privacidade de Dados (DPF) UE-EUA não for formalmente adotada antes que a ordem de suspensão entre em vigor em outubro.
É importante notar que as preocupações com possíveis interrupções nas transferências transatlânticas de dados vão além da Meta. Inúmeras empresas norte-americanas e europeias divulgaram nos seus recentes registos financeiros públicos junto dos reguladores que as incertezas em torno dos CCS poderiam dificultar a sua capacidade de processar e transferir dados pessoais do EEE, limitando assim a sua capacidade de fornecer determinados produtos e serviços.
A decisão do DPC de tornar juridicamente arriscado o principal mecanismo existente para transferências transatlânticas pode levar as empresas da UE a explorar opções alternativas, como localizar dados mudando de provedores de serviços em nuvem dos EUA para a Europa, entre outras medidas.
O DPC chegou a uma decisão sobre a confiança da Meta nos 'novos' SCCs de 2021. De acordo com o DPC, esses SCCs não compensam as deficiências na legislação norte-americana que foram identificadas no Schrems II. Especificamente, o programa da Lei de Vigilância de Inteligência Estrangeira (FISA) da Seção 702 dos EUA permite o acesso supervisionado por não tribunais aos dados de um usuário sem seu conhecimento. 
Infelizmente, a Meta não pode impedir esse acesso com os SCCs, deixando os titulares de dados do EEE sem uma solução se não forem informados de serem objeto de uma pesquisa FISA 702.
Além disso, o DPC determinou que a Meta não tinha nenhuma medida suplementar em vigor para compensar a proteção inadequada fornecida pela lei dos EUA. As medidas complementares que estavam em vigor não proporcionavam uma proteção essencialmente equivalente à legislação da UE contra a ampla discricionariedade que o Governo dos EUA tem para acessar dados pessoais dos usuarios da Meta US através de pedidos da Secção 702 FISA (PRISM).
De acordo com o DPC, foi afirmado que "as Recomendações de Medidas Complementares do EDPB não excluem a chamada abordagem baseada no risco...". No entanto, observou-se que a Meta não tomou nenhuma medida para compensar as inadequações na legislação dos EUA. A decisão tomada pelo DPC em relação à Meta, que também reflete a determinação vinculativa do CEPD, serve como mais uma indicação de que as Autoridades Europeias de Supervisão estão estabelecendo altos padrões para medidas complementares usadas para proteger os dados pessoais do EEE, independentemente do risco real de acesso a esses dados pelas autoridades públicas dos EUA.

Decisão de adequação UE-EUA
Para as organizações que transferem dados pessoais para prestadores de serviços dos EUA sujeitos à FISA, a decisão do DPC apresenta alternativas limitadas, e eles só podem esperar que a decisão de adequação UE-EUA para o DPF seja adotada neste verão, como esperado. 
O período de carência de seis meses antes da decisão de suspensão da transferência entrar em vigor deixa claramente a porta aberta para a decisão de adequação. "Assim, e por uma questão de clareza e segurança jurídica, as ordens especificadas na Seção 10, abaixo, permanecerão efetivas a menos e até que as questões que deram origem à constatação de violação do Artigo 46(1) GDPR tenham sido resolvidas, inclusive por meio de novas medidas, não atualmente em operação, como a possível adoção futura de uma decisão de adequação relevante pela Comissão Europeia nos termos do Artigo 45 GDPR.
As atuais atualizações do processo de negociação sugerem que um pacto UE-EUA finalizado será alcançado até ao final do verão no hemisfério norte. No entanto, vale a pena notar que os defensores da privacidade já estão planejando desafios legais. Consequentemente, é provável que qualquer decisão de adequação UE-EUA regresse ao TJUE mais cedo ou mais tarde.
 
Gerenciando riscos com transferências de dados contínuas
As organizações que transferem dados pessoais do EEE para os EUA podem ter preocupações em relação ao impacto da decisão DPC em sua capacidade de confiar em SCCs e quaisquer TIAs de suporte como uma salvaguarda suficiente para continuar transferindo legalmente dados para os EUA de acordo com o Artigo 46 do GDPR.
As conclusões do DPC certamente trouxeram a validade das salvaguardas existentes sob maior escrutínio, especialmente considerando a natureza generalizada das preocupações levantadas sobre a vigilância dos EUA sob a FISA. No entanto, continua a não ser claro se as Autoridades Europeias de Supervisão tomarão medidas de execução que reproduzam as conclusões do DPC de forma restrita ou se começará a surgir uma abordagem mais baseada no risco. 
A decisão do DPC sugere que a porta não está fechada numa abordagem baseada no risco, como anteriormente defendido pelo CEPD. Os factos e a história deste caso em particular, que envolve a transferência de grandes volumes de dados pessoais conhecidos no âmbito do programa de vigilância FISA 702 PRISM, merecem certamente ser considerados. 
É muito provável que o desencadeamento de um risco material de aplicação da regulamentação seja sempre uma preocupação. No entanto, ainda não está claro se os reguladores estarão inclinados a suspender o fluxo de transferências de dados benignas que muitas organizações fazem como parte de suas operações de rotina. 
Por exemplo, quando se trata de gerenciamento internacional de RH, pode ser possível determinar com um alto grau de confiança que a vigilância sob FISA é improvável de ocorrer. 
Até que os reguladores tomem tais medidas, esperamos que as organizações continuem fazendo transferências em relação a conjuntos de dados considerados de "menor risco". Enquanto se aguarda a confirmação da decisão de adequação do DPF, as transferências de dados de “maior risco” serão certamente uma preocupação, devendo estes serem identificados e geridos como uma potencial exposição à conformidade.

O COTS Advogados, nos EUA e na Europa pode auxiliar nestas questões.

POSTAGENS RELACIONADAS

AUTORIDADE DE PROTEÇÃO DE DADOS IRLANDESA PROÍBE FLUXOS DE DADOS UE-EUA DA META E EMITE MULTA RECORDE DE € 1,2 BILHÃO

Decisão também pode colocar em risco as transferências transatlânticas de outras empresas Por: Marcio Cots – Advogado Europeu

JORNAL DA CULTURA - REGULAMENTAÇÃO DA PUBLICIDADE

Participação do Dr. Márcio Cots, sócio do COTS Advogados, no Jornal da Cultura (17/04) sobre o tema "Regulamentação da Publicidade".

A IMPORTÂNCIA DE UMA DUE DILIGENCE DE TRATAMENTO DE DADOS PESSOAIS EM PROCESSO DE M&A.

Entenda o processo de M&A e a importância de apoio jurídico neste processo.

LGPD: TUDO PRONTO PARA AS SANÇÕES ADMINISTRATIVAS

Entenda sobre o Regulamento de Dosimetria mais profundamente.

UM PROGRAMA DE PRIVACIDADE DE DADOS, POR SI SÓ NÃO COMPROVA QUE A SUA ORGANIZAÇÃO ESTÁ DE ACORDO COM A LGPD

A importância da implementação efetiva da LGPD para garantir a proteção de dados pessoais.

LEI GERAL DE PROTEÇÃO DE DADOS

A Lei Geral de Proteção de Dados regula a utilização de informações relacionadas a pessoas físicas identificadas e identificáveis.