Acordar um novo acordo de transferência de dados com os EUA é uma "alta prioridade" para a UE, disse Margrethe Vestager, vice-presidente executiva de estratégia digital do bloco, ontem, mas também alertou que um substituto para o extinto Escudo de Privacidade UE-EUA. Safe Harbor antes disso) não é de forma alguma um acordo fechado, dado o conflito legal fundamental entre os direitos de privacidade europeus e a vigilância excessiva dos EUA.
Nas últimas semanas, alguns relatos da mídia sugeriram que um novo acordo sobre transferências transatlânticas de dados é iminente, de acordo com um relatório político de 3 de fevereiro.
No entanto, as mensagens do Comissário Vestager sugerem o contrário.
"Este é um esforço de alta prioridade para chegar a um acordo com os americanos", disse ele durante uma sessão de perguntas e respostas em uma entrevista coletiva sobre a mais recente proposta da Comissão sobre compartilhamento de dados (também conhecida como Data Law). “Isso não é fácil, para dizer o mínimo. Porque seguimos a orientação, é claro, do tribunal [TJUE] que decidiu com base na Carta dos Direitos Fundamentais, o que não é algo que podemos ou vamos mudar."
“Então, precisamos encontrar uma maneira de trabalhar com americanos que estejam de acordo com isso, é claro, para que não tenhamos um julgamento negativo de Schrems III (conformidade com Schrems II: Desafios e solução de privacidade de dados), se esse for o caso. Mas é uma prioridade para nós permitir que a comunidade empresarial tire o máximo proveito dos dados, mas novamente em condições seguras, claras e transparentes, e é por isso que estamos levando isso adiante”.
A razão pela qual a questão das transferências de dados surgiu no contexto da Data Act, sugerida pela própria Vestager, refere-se principalmente a dados não pessoais (enquanto a decisão Schrems que rejeitou o Privacy Shield e o seguro portuário se refere à exportação de dados pessoais para fora o bloco). )—é que o projeto de lei propõe uma espécie de “Schrems II para dados não pessoais”, como os especialistas em proteção de dados rapidamente o chamaram.
Uma exposição de motivos prefixada à proposta de Lei de Dados lista "salvaguardas contra a transferência ilegal de dados sem notificação por provedores de serviços em nuvem" como um de seus objetivos específicos, explicando: "Isso ocorre porque foram levantadas preocupações sobre o que está fora da UE /Espaço Econômico Europeu (EEE) acesso ilegal do governo aos dados. Essas salvaguardas devem aumentar ainda mais a confiança nos serviços de processamento de dados que sustentam cada vez mais a economia de dados europeia.”
O artigo 27 da Lei de Dados, que trata do acesso e transferência internacionais, também estabelece:
“Os prestadores de serviços de processamento de dados devem tomar todas as medidas técnicas, jurídicas e organizacionais razoáveis, incluindo acordos contratuais, para impedir a transferência internacional ou o acesso governamental a dados não pessoais mantidos na União quando tal transferência ou acesso criar um conflito com a União. ou a legislação nacional do Estado-Membro em causa”
Resumindo, de acordo com uma fonte da UE familiarizada com o assunto, ele disse: “Estamos dizendo que os dados não pessoais não devem sair da UE se for provável que caiam nas mãos de espiões estrangeiros”, comparando-o também a um “ Schrems II para dados não pessoais”. pessoais”.
Portanto, para quem imagina a incerteza jurídica regional pairando (especialmente) sobre os serviços em nuvem baseados nos EUA, desde meados de 2020, parece nada mais do que um pequeno nevoeiro que certamente desaparecerá, mas embora possa afetar ameaçadoramente as transferências de dados da UE.
Aqui, no rascunho do Data Act, a Comissão pode ser vista essencialmente dobrando o Schrems II, em vez de procurar maneiras de contornar a decisão do TJUE, como fez depois do Schrems I, apressando-se a aceitar um escudo de privacidade com muito óbvio falhas legais.
Os dois ataques sucessivos do Tribunal de Justiça da União Europeia (TJUE) sobre esta questão parecem ter acabado com qualquer tentativa igualmente superficial de ocultar falhas jurídicas fundamentais.
O que, por sua vez, significa que falar de segregação/federação de serviços e crescente localização de dados na UE é muito real, pelo menos enquanto as principais reformas da lei de vigilância dos EUA falham.
Durante a coletiva de imprensa do Data Act, Vestager rejeitou a sugestão de um jornalista de que o Data Act é protecionista, afirmando: "É benéfico para as empresas, não importa de onde sejam, que os dados possam fluir".
Mas ele também deixou claro que o livro de regras da UE é obrigatório, então fica claro que sem um acordo de transferência de dados de substituição entre a UE e os EUA, os dados não fluirão livremente.
Mesmo, aparentemente, dados 'não pessoais'. O que aumenta ainda mais as apostas e corre o risco de transformar a própria Lei de Dados em uma espécie de ferramenta de negociação do Escudo de Privacidade, uma vez que, sem um novo acordo robusto de transferência de dados entre a UE e os EUA, a mudança só poderá ser facilitada no futuro se os dados é transferido de um fornecedor dos EUA para um fornecedor da UE, e não o contrário.
“A questão é que, claro, temos a obrigação de garantir que a maneira como as coisas fluem esteja de acordo com as disposições de proteção de dados; é por isso que podemos tomar essas decisões de adequação”, enfatizou Vestager. “Isso vai além da Lei de Dados. Neste momento, nosso colega Didier Reynders [comissário de justiça] está arquivo principal das negociações com os EUA e do acompanhamento do acórdão Schrems II.
“Assim, o Data Act não ficará sozinho. Continuaremos este trabalho tomando decisões de adequação com as jurisdições de países terceiros, onde podemos ver que as coisas estão como deveriam ser."
O comissário do mercado interno, Thierry Breton, também reiterou o ponto à imprensa. “O objetivo da Lei de Dados é abrir e desbloquear dados industriais”, disse ele. “É importante darmos regras e explicações para que todas as empresas, europeias ou não, saibam exatamente quais são as regras do jogo no mercado único da UE. Damos essa legitimidade.”
“Para serviços em nuvem, precisamos garantir que existam salvaguardas para proteger os dados pessoais contra o acesso forçado de terceiros, digamos, um governo estrangeiro, onde não há proteção processual ou acordo internacional, e é por isso que estamos discutindo isso com nossos parceiros para definir as regras.
“Certamente não impede a transferência voluntária de dados se a empresa ou o cidadão assim o desejarem”, acrescentou. “É óbvio, mas temos que nos lembrar disso. A cooperação internacional entre autoridades judiciárias e autoridades policiais está obviamente incluída nisso”.
Com os EUA, a situação da proteção de dados definitivamente não está onde "deveria estar" em relação à equivalência com a legislação da UE tal como está. Ao contrário.
É por isso que, nos últimos meses, os reguladores de proteção de dados em toda a UE emitiram decisões de execução envolvendo o uso dos principais serviços baseados nos EUA, mas dizendo que o uso deve estar em conformidade com a legislação da UE (e atualmente não é) e, portanto, pode ser necessário buscar alternativas, devido à óbvia lacuna que existe.
O watchdog da França, por exemplo, começou a trabalhar para avaliar alternativas ao Google Analytics para medição e análise de audiência de sites que podem estar isentas da necessidade de obter o consentimento do usuário.
O uso de serviços em nuvem por órgãos do setor público europeu também está enfrentando um escrutínio coordenado por meio de uma ação conjunta de fiscalização que começou no início deste mês, concentrando-se igualmente em preocupações com transferências internacionais de dados.
Além disso, é claro, ainda há uma grande decisão pairando sobre os fluxos de dados UE-EUA do Facebook, que eram o alvo original de Schrems, em 2013.
Uma ordem para suspendê-los pode chegar já em maio, de acordo com a chefe da Comissão Irlandesa de Proteção de Dados (DPC), Helen Dixon, em entrevista ao Reuters. Embora ele também tenha deixado claro que o regulador irlandês não emitirá ordens gerais com base no que decidir no Facebook.
“A decisão que o DPC acabará por tomar em relação ao Facebook será específica do Facebook e direcionada apenas ao Facebook”, disse ele. “A consequência da decisão do TJUE é que não podemos chegar a uma conclusão mais ampla e radical. Temos que ir empresa por empresa”, observando ainda que existem “centenas de milhares de entidades” que potencialmente precisariam ser escrutinadas, de acordo com o relatório da Reuters, começando com outras grandes plataformas da Internet.
A DPC já emitiu uma ordem de suspensão preliminar ao Facebook logo após a decisão do TJUE Schrems II, em setembro de 2020, mas a gigante da tecnologia rapidamente obteve uma suspensão, antes de perder a contestação do processo regulatório no Supremo Tribunal da Irlanda em maio passado.
E, como informamos no início desta semana, o DPC agora enviou uma minuta de decisão revisada para a Meta, controladora do Facebook, dando à empresa um mês para responder.
Depois disso, os outros observadores de dados da UE terão a chance de revisar e potencialmente contestar o projeto de decisão irlandês, que pode adicionar mais meses ao processo de tomada de decisão. Mas se houver um amplo acordo sobre o que a Irlanda concluiu, a linha de Dixon é que "o primeiro momento em que poderíamos ter uma decisão final poderia ser no final de maio".
O ritmo lento de aplicação da Irlanda nas investigações sobre gigantes da tecnologia significa que não há absolutamente nenhuma chance de que outras decisões de curto prazo cheguem à questão das transferências de dados contra empresas como o Google.
No entanto, em toda a UE, estamos a ver outros reguladores a agirem onde têm competência local, pelo que pode ser um caso de 'morte por milhares de reclamações' contra ferramentas como o Google Analytics, para as quais existem alternativas viáveis (o Facebook não é a única rede social, mas é mais vinculativa, devido aos efeitos de rede e desafios de portabilidade de dados).
Uma questão candente é se haverá um novo 'Escudo de Privacidade 2.0' acordado pela UE e pelos EUA antes que a Irlanda decida sobre os fluxos de dados do Facebook, supondo que haja uma decisão final da Irlanda até o final de maio.
Mesmo que haja um acordo básico entre as duas partes sobre o conteúdo de um novo acordo até então, esse calendário parece apertado, e qualquer novo projeto de acordo de adequação ainda precisa ser adotado pela Comissão, que terá que aguardar um parecer do Comissão Europeia de Proteção de Dados (EDPB).
A última vez, após a invalidação do Safe Harbor em outubro de 2015, decorreram cerca de sete meses entre a publicação do projeto de acordo do Escudo de Proteção da Privacidade (fevereiro de 2016) e o mecanismo adotado pela Comissão e, finalmente, a marcha de implementação para as empresas autocertificarem ( agosto de 2016).
Embora, em particular, o Grupo de Trabalho 29, também conhecido como o órgão composto pelas agências de proteção de dados dos Estados Membros que se tornou o EDPB, tenha concordado em não cortar quaisquer transferências durante o período de análise do Data Shield Privacy.
A Meta pode estar apostando em um período de carência de implementação igualmente generoso para qualquer novo Privacy Shield, permitindo que continue se esquivando de uma ordem de suspensão de seus fluxos de dados entre a UE e os EUA.
Dito isto, não está claro se o EDPB teria vontade de fazê-lo desta vez, uma vez que os pedidos sobre a questão das transferências de dados já estão acontecendo sem a necessidade de esperar pela Irlanda.
As 101 reclamações de Schrems de agosto de 2020, deliberadamente registradas em agências de toda a UE para combater as compras em grupo, garantiram isso.
É claro que o TJUE provavelmente também terá uma visão muito negativa de qualquer acordo de adequação de substituição que repita os erros do passado. E o tribunal tem demonstrado capacidade de agilizar as deliberações quando percebe riscos significativos aos direitos fundamentais. Assim, embora o Privacy Shield tenha se arrastado por quatro anos, qualquer substituição defeituosa - vamos chamá-lo de 'guarda-chuva de privacidade' - pode ter uma vida útil ainda mais curta antes de explodir irremediavelmente.
Talvez o destaque: uma terceira greve do TJUE seria um grande constrangimento para a Comissão, o que explica os fortes sinais de alerta de Vestager, a ponto de afirmar explicitamente que não quer "um julgamento negativo de Schrems III".
Se a Comissão voltará a aceitar voluntariamente fluxos de Metadados ilegais é uma questão particularmente interessante.
Não é a mesma entidade que passou por tudo isso da última vez. Além disso, embarcou em uma ambiciosa agenda de política de tecnologia, da qual o Data Act é apenas a última peça do quebra-cabeça, juntamente com novos planos abrangentes para domar o poder de mercado dos gigantes da tecnologia, atualizar as regras de comércio eletrônico e definir uma estrutura para 'IA confiável'. , entre muitos outros movimentos legislativos, quer remodelar a economia digital e a sociedade europeia para impulsionar a economia da UE.
Assim, fala-se de um grande movimento de 'soberania digital'.
No entanto, o apetite da UE para descobrir o que a soberania digital significa na prática poderá em breve ser posto à prova no lado comercial de dezenas de fluxos de dados interrompidos.
