O que é o Privacy Shield?

O Privacy Shield é um quadro jurídico que regula como as empresas podem transferir dados pessoais de residentes na União Europeia (UE) para os EUA. Foi introduzido em 2016, pelo Tribunal de Justiça da União Europeia (TJUE) e substituiu o anterior acordo – International Safe Harbor Privacy Principles.

A invalidação do Safe Harbor foi o resultado de uma queixa apresentada contra o Facebook por um ativista de proteção de dados austríaco, Max Schrems (Schrems v. Data Protection Commission).

 

A história por detrás da recente decisão sobre o Privacy Shield 

O caso agora conhecido como Schrems II começou, uma vez mais, com Max Schrems apresentando a sua segunda queixa contra o Facebook. Ele argumentou que a gigante tecnológica estava a violar os seus direitos ao transferir seus dados para os Estados Unidos, sujeitando-os à vigilância das autoridades americanas.

Mais tarde, transformou-se num argumento muito mais amplo, contestando a legalidade dos acordos de transferência de dados da UE para os EUA.

 

Qual a decisão do Tribunal de Justiça da União Europeia (TJUE)?

A 16 de julho de 2020, o TJUE declarou inválido o Privacy Shield uma vez que não está em conformidade com os regulamentos de privacidade da UE, pondo em causa este mecanismo amplamente utilizados por empresas dos americanas para transferir dados pessoais de cidadãos da UE.

O TJUE considerou que o quadro jurídico falha em proteger os cidadãos da UE dos programas de vigilância massivos executados pelas agências de inteligência dos EUA.

Esta deliberação torna os Estados Unidos um país não adequado e sem qualquer especial acesso aos fluxos de dados pessoais da Europa.

 

O Resultado.

A decisão abalou todo o fluxo de dados UE-EUA.

Em seguida o TJUE validou a Standard Contractual Clauses (SCC), outro mecanismo comumente usado para transferências transatlânticas de dados, afirmando que esse mecanismo possibilita garantir, na prática,  a conformidade com o nível de proteção exigido pela legislação da UE.

No entanto, a decisão exige que os data controllers avaliem o nível de proteção dos dados no país destinatário, sendo necessário garantir que o país terceiro em questão, ofereça o mesmo nível de conformidade que as rigorosas leis de privacidade europeias. E suspendam a transferência, se os níveis de proteção forem considerados inadequados. 

A decisão também destaca a obrigatoriedade das autoridades de proteção de dados dos estados membros da UE, suspenderem a transferência de dados pessoais, se os considerarem inseguros, de acordo com os requisitos de proteção de dados da UE.

Pode ler aqui o comunicado de imprensa oficial do Tribunal de Justiça da UE sobre a decisão.

 

Como isto o impacta?

Esta decisão impacta mais de 5300 negócios (Veja no final do post algumas das empresas) que dependiam da invocação do Privacy Shield para transferir dados de cidadão europeus para os Estados Unidos. Para tornar este processamento de dados legítimo estes negócios têm que estar em conformidade com o SCC e provar aos seus clientes que cumprem as regras de privacidade da União Europeia.

Enquanto se espera uma resposta da Indústria, especialmente do Facebook que está directamente implicado na deliberação do TJUE, há que ganhar uma transparência sobre os data flows das suas propriedades digitais, incluindo o destino dos dados pessoais dos utilizadores finais.

Fale connosco se quiser saber mais como pode ganhar esta transparência e de como implementar um Tag Management Governance que garanta (para as tecnologias que tem implementadas nas suas plataformas digitais):

  • segurança dos dados da sua empresa e dos seus utilizadores; 
  • compliance com a legislação da UE em vigor;
  • performance das suas plataformas;
  • garantir controlo da continuidade das medições e da informação de negócio.

Algumas das empresas que estão activas na Lista do Privacy Shield:

Estar activo não quer dizer que estejam non compliant. No entanto questionar os providers sobre esta situação será recomendável.