#PrivacyShield - tribunal europeu declara inválido o contrato de compartilhamento de dados UE-EUA

Max Schrems do lado de fora do escritório do Comissário de Proteção de Dados da Irlanda

Pela segunda vez em menos de cinco anos, o Tribunal de Justiça da União Europeia constatou que um acordo de compartilhamento de dados UE / EUA falha em atender aos padrões de proteção de dados da UE. O acordo 'Safe Harbor' foi derrubado em 2015 e foi rapidamente substituído pelo 'Shield Shield', que agora também está em frangalhos. 

O tribunal governado que, para ser válido, o acordo UE / EUA precisaria fornecer proteções equivalentes às garantidas pelo Regulamento Geral de Proteção de Dados da UE e proteger o direito à privacidade e proteção de dados consagrado nos artigos 7 e 8 da Carta Fundamental da UE Direitos.

#ECJ: a decisão sobre a adequação da proteção fornecida pelo Escudo de Proteção de Dados UE-EUA é invalidada, mas EU_Commission A decisão sobre cláusulas contratuais-padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros é válida #Facebook #Schrems pic.twitter.com/BgxGAvuq3T

- Tribunal de Justiça da UE (@EUCourtPress) 16 de julho de 2020

Numa nota mais positiva, o tribunal considerou que a decisão da Comissão sobre as cláusulas contratuais padrão (CEC) para transferir dados pessoais para processadores estabelecidos em países terceiros (fora da UE) é válida - desde que haja acordo prévio de que o nível correto de proteção é fornecida. 

Anúncios

Todo o problema decorre da legislação nacional dos Estados Unidos. Schrems, o litigante homônimo por trás do julgamento conhecido como Schrems II, disse: “O Tribunal esclareceu pela segunda vez agora que há um conflito entre a lei de privacidade da UE e a lei de vigilância dos EUA. Como a UE não mudará seus direitos fundamentais para agradar à NSA, a única maneira de superar esse conflito é os EUA introduzirem direitos de privacidade sólidos para todas as pessoas - incluindo os estrangeiros. A reforma da vigilância torna-se, portanto, crucial para os interesses comerciais do Vale do Silício. "

QUEBRANDO: O Tribunal de Justiça da UE acaba de invalidar o sistema de compartilhamento de dados "Privacy Shield" entre a UE e os EUA, por causa da vigilância excessiva dos EUA. Todos os detalhes disponíveis aqui: https://t.co/xN4HKhZaBT #PRISMA # FISA702 #Privacidade #PrivacyShield #SCCs #GDPR #CJEU

- Max Schrems ???? (@maxschrems) 16 de julho de 2020

A UE já estava avisada de que o TJUE provavelmente derrubaria o escudo de privacidade e a decisão foi antecipada por discussões iniciais com os colegas americanos da UE. Comissão avalia vice-presidente Věra Jourová dito: “Didier e eu estivemos em contato com o secretário de Comércio dos EUA, Wilbur Ross, nos últimos dias.”

O comissário da Justiça, Didier Reynders, acrescentou que havia conversado com o procurador-geral William Barr em dezembro e que estava ansioso por uma discussão construtiva amanhã (17 de julho) com Wilbur Ross no caminho a seguir.

O secretário de Estado dos EUA, Wilbur Ross, disse: “Esperamos poder limitar as consequências negativas ao relacionamento econômico transatlântico de US $ 7.1 trilhões, que é tão vital para nossos respectivos cidadãos, empresas e governos. Os fluxos de dados são essenciais não apenas para empresas de tecnologia - mas para empresas de todos os tamanhos em todos os setores. À medida que nossas economias continuam sua recuperação pós-COVID-19, é essencial que as empresas - incluindo os 5,300+ participantes atuais do Privacy Shield - possam transferir dados sem interrupção, de acordo com as fortes proteções oferecidas pelo Privacy Shield. ” 

No afirmação, o Departamento de Comércio diz que continuará administrando o programa Privacy Shield, incluindo o processamento de envios para autocertificação e recertificação para as estruturas do Privacy Shield e a manutenção da lista de Privacy Shield. No entanto, Reynders disse: "Enquanto isso, os fluxos de dados transatlânticos entre empresas podem continuar usando outros mecanismos para transferências internacionais de dados pessoais disponíveis sob o GDPR".

Bridget Treacy, parceira de privacidade de dados da Hunton Andrews Kurth LLP com sede em Londres, comentando sobre o julgamento disse: “SCCs, comumente utilizados para transferências em todo o mundo, estarão sujeitos a um exame muito mais minucioso por exportadores de dados e reguladores da UE. As transferências de dados pessoais da UE para os EUA exigirão um cuidado especial, dados os comentários feitos pelo Tribunal sobre a vigilância dos EUA. Mas todas as transferências de dados pessoais da UE, seja para os EUA ou qualquer outro lugar (incluindo o Reino Unido após 1 de janeiro de 2021) agora exigirão um exame mais minucioso. ”

David Dumont, parceiro de privacidade de dados da Hunton Andrews Kurth LLP com sede em Bruxelas, disse: “As empresas que dependem dos SCCs serão obrigadas a avaliar cada destinatário da transferência de dados para determinar se o destinatário oferece um nível adequado de proteção. Isso significa avaliar que tipo de dados pessoais estão sendo transferidos, como serão processados, se podem estar sujeitos ao acesso de agências governamentais para fins de vigilância e, se houver, quais salvaguardas estão disponíveis. Se um destinatário não for capaz de fornecer um nível adequado de proteção, as empresas da UE deverão suspender essas transferências de dados, caso contrário o regulador poderá fazê-lo. Orientações urgentes serão exigidas dos reguladores de proteção de dados quanto ao nível prático de escrutínio que eles esperam das empresas que confiam nos SCCs. ”

Brexit

Quando o Reino Unido deixar a UE no final do ano, precisará solicitar um acordo de adequação de dados. A vigilância em massa do Reino Unido é realizada através de sua agência de inteligência (GCHQ) e revelada por EEdward Snowden, mostrou como o Reino Unido estava vasculhando os dados de milhões de comunicações privadas e compartilhando suas descobertas com a Agência de Segurança Nacional dos EUA e com as agências de inteligência de outros países. O Tribunal Europeu de Direitos Humanos considerou esta vigilância ilegal. Dado o histórico do Reino Unido, é provável que o Parlamento Europeu exija fortes garantias em qualquer acordo de proteção de dados. 

Treacy disse: “A decisão sobre o Escudo de Privacidade provavelmente terá implicações para as esperanças do Reino Unido de uma decisão de adequação de proteção de dados pós-Brexit da Comissão Europeia. O Reino Unido pode esperar que suas leis de vigilância estejam sujeitas a escrutínio semelhante ao dos EUA, para avaliar se eles respeitam os direitos à privacidade dos cidadãos da UE. ”

Dumont disse: “A maioria das empresas da UE planeja confiar nos SCCs para transferir dados pessoais para o Reino Unido quando o período de transição do Brexit terminar. Esse julgamento sinaliza que o mecanismo de CECs estará sujeito a níveis muito maiores de escrutínio e que as autoridades de proteção de dados da UE deverão ser mais proativas na aplicação desses requisitos, suspendendo as transferências, se necessário. ”

Contexto

Entrevista com Sophie Int'Veld de 2016

Entrevista com Max Schrems em 2018

Compartilhe este artigo: