A Justiça da União Europeia invalidou nesta quinta-feira (16/07) um mecanismo de transferência de dados pessoais entre a União Europeia (UE) e os Estados Unidos conhecido como Privacy Shield e pediu aos reguladores dos países do bloco medidas mais rígidas para proteger a privacidade de dados dos cidadãos europeus.
O acordo Privacy Shield possibilita "possíveis interferências nos direitos fundamentais das pessoas cujos dados são transferidos" para os Estados Unidos, porque as autoridades públicas americanas podem ter acesso a eles, sem que isso se limite "ao estritamente necessário", considerou o Tribunal de Justiça da União Europeia.
A decisão não significa uma interrupção imediata de todas as transferências de dados para fora da União Europeia, mas significa que o escrutínio sobre as transferências de dados aumentará e que a UE e os EUA terão de encontrar um novo sistema que garanta que os dados dos europeus tenham a mesma proteção de privacidade nos EUA e na União Europeia. Empresas como Facebook e Google transferem regularmente dados de usuários entre servidores espalhados pelo mundo, o que está na base de seus negócios bilionários.
Snowden, NSA e Facebook
A decisão foi recebida como uma vitória pelo ativista austríaco e estudante de Direito Max Schrems, uma figura de destaque na luta pela proteção de dados. Em 2013, ele apresentou uma queixa contra o Facebook, pedindo a interrupção do envio de dados da sede europeia de Facebook, na Irlanda, e a matriz, na Califórnia, porque a privacidade dos usuários europeus não poderia ser garantida devido à espionagem feita pelo serviço secreto NSA e porque o sistema jurídico americano apenas protege os direitos dos cidadãos americanos.
"Depois de uma primeira leitura da decisão, parece que ganhamos em todos os aspectos", escreveu no Twitter o ativista, que se tornou conhecido por já ter anulado em 2015 o antecessor do Privacy Shield, conhecido como Safe Harbour. "Os Estados Unidos terão de iniciar uma reforma séria sobre a vigilância para voltar a conseguir um estatuto 'privilegiado' para as empresas americanas", permitindo a transferência de dados, acrescentou.
Por seu lado, Alexandre Roure, do CCIA, o lobby dos gigantes de tecnologia em Bruxelas, considerou que a decisão "cria uma incerteza jurídica para milhares de pequenas e grandes empresas de ambos os lados do Atlântico que contam com o privacy shield para a transferência diária de dados comerciais".
"Esperamos que os governos europeus e americanos desenvolvam rapidamente uma solução duradoura, de acordo com a legislação europeia, para garantir a continuação dos fluxos de dados", acrescentou.
O caso começou depois de o ex-administrador de sistemas da NSA Edward Snowden ter revelado, em 2013, que o governo americano fazia espionagem de comunicações online. As revelações incluíam detalhes de como a rede social Facebook deu às agências de segurança dos EUA acesso aos dados pessoais dos europeus.
Regras rígidas
A União Europeia possui algumas das regras mais rígidas de privacidade de dados, num sistema conhecido como Regulamento Geral sobre a Proteção de Dados (RGPD). Um balanço divulgado no fim do mês passado indicava que, até o fim de 2019, cerca de 275 mil queixas por violação da lei da proteção de dados foram apresentadas desde a entrada em vigor dessa legislação na UE, em maio de 2018, resultando em 785 multas.
As 5 mil empresas americanas que usam o Privacy Shield poderão passar a utilizar outro mecanismo para a transferência de dados: as cláusulas-tipo, ou cláusulas contratuais padrão, que são termos e condições padrões usados para garantir que as regras da UE sejam mantidas quando os dados deixam os países do bloco.
Essa alternativa é um modelo de contrato definido pela Comissão Europeia e que qualquer empresa pode utilizar para exportar seus dados, por exemplo para uma filial, uma empresa matriz ou uma terceira empresa. O Facebook pode usá-lo para, por exemplo, garantir por contrato à sua filial na Irlanda que os dados transferidos para os EUA receberão a proteção exigida pela UE.
O tribunal validou esse mecanismo na sua decisão, mas observou que as autoridades europeias de proteção de dados devem suspender os envios se a proteção de dados em nível europeu no país de destino não puder ser de fato garantida.