Introdução
Em 16 de julho de 2020, o Tribunal de Justiça Europeu (TJEU) proferiu sua sentença no processo C-311/18, conhecido como Schrems II. O CJEU decidiu que o Privacy Shield UE-EUA deveria ser invalidado. Por sua vez, são reconhecidas como válidas as Cláusulas Contratuais Padrão (CEC), instrumento jurídico que permite a transferência de dados da UE para países terceiros.
Escudo de privacidade UE-EUA
O EU-US Privacy Shield era um mecanismo de “adequação” que permitia às organizações que aderiam aos princípios regulatórios transferir dados pessoais da UE para os EUA.
Qual é o próximo?
No momento da redação deste artigo, o veredicto do CJEU deixava as transferências de dados da UE para os EUA no limbo. Obviamente, o Privacy Shield não pode mais ser usado, mas muitas questões permanecem se os SCCs permanecem válidos para transferências de dados entre a UE e os EUA ou outros países com sistemas de vigilância nacionais eficazes.
FAQs:
QUAIS AS RESPONSABILIDADES DO GDPR AFETADAS POR ESTA DECISÃO?
A decisão diz respeito à responsabilidade dos controladores e processadores de dados pela transferência de dados de cidadãos da UE para países fora da UE. Qualquer transferência deve fornecer um nível de proteção e, portanto, requer o uso de um "mecanismo de transferência" especial, incluindo:
- Adequação : Esta solução permite a transferência irrestrita de dados para um país ou região que oferece um nível adequado de proteção de dados na opinião da Comissão Europeia. Esses países incluem Andorra, Argentina, Canadá (somente PIPEDA), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Suíça e Uruguai. Todas as decisões de adequação estão sendo revistas após a entrada em vigor do GDPR.
- Appropriate Safeguards: GDPR , . Schrems-II, , « » GDPR. Standard Contractual Clauses (SCC), . , , .
- Binding Corporate Rules (BCR): GDPR . BCRs EDPB. Schrems-II BCR « » GDPR .
- : GDPR 49, . , , . .
GDPR?
Até 4% da receita anual ou € 20 milhões, o que for maior. Além disso, a DPA (Autoridade de Proteção de Dados) tem o direito de suspender a transferência de dados de seu país para os Estados Unidos.
O que preciso fazer com minha certificação atual do Privacy Shield da UE-EUA?
O Departamento de Comércio dos Estados Unidos (DOC) declarou que o Privacy Shield continuará a operar e espera que os membros continuem a cumprir suas obrigações de privacidade. US DOC, Comissão Europeia, Conselho Europeu de Proteção de Dados (EDPB) indicaram que pretendem criar um sucessor para o Privacy Shield. As empresas que permanecem no Privacy Shield podem simplificar sua transição para um sucessor, uma vez estabelecidas.
As transferências de dados anteriores dentro do escudo de privacidade UE-EUA serão afetadas?
Todas as transferências de dados anteriores permanecem sujeitas ao Privacy Shield da UE-EUA.
Haverá um período de carência?
A EDPB emitiu guidance informando que não haverá período de carência. Visto que o Privacy Shield UE-EUA foi invalidado, as empresas que até agora o usaram para transferir dados precisarão encontrar uma base jurídica alternativa para a transferência de dados sem atrasos indevidos.
Quero sair do Privacy Shield UE-EUA. O que eu preciso fazer?
Se você decidir deixar a EU-US PRIVACY SHIELD, deverá seguir o procedimento estabelecido nos Estados Unidos.
Devo atualizar a política de privacidade da empresa?
Recomendamos que você não faça nenhuma alteração na Política de Privacidade como um membro do Privacy Shield neste momento. Atualmente, não há base ou orientação regulamentar para qualquer alteração, a menos que você tenha declarado (como exportador de dados sob o GDPR) que confia no Privacy Shield como sua base legal para a transferência de dados para fora do EEE.
A política de privacidade da minha organização afirma claramente que usamos o escudo de privacidade UE-EUA para legitimar as transferências de dados da UE para os EUA. Devemos remover este aviso?
Você precisará atualizar a Política e indicar qual alternativa está usando. Você também pode considerar incluir um aviso temporário de que a organização está revisando uma decisão com base em uma decisão Schrems-II.
standard contractual clauses?
Contanto que os dados não sejam coletados e / ou acessados pelas autoridades dos EUA para fins de segurança nacional, os SCCs podem ser usados caso a caso, dependendo se o importador de dados dos EUA é capaz de cumprir suas obrigações específicas de processamento. Isso significa que o ônus da prova para o exportador de dados e o importador de dados no terceiro país aumentou para garantir que eles possam atender a todos os requisitos da SCC. O importador de dados também deverá confirmar que cumprirá integralmente todos os princípios básicos do GDPR. Isso também significa que o importador e o exportador dos dados terão de avaliar a legislação de um país terceiro para descobrir, por exemplo, se eles estão sujeitos a leis de vigilância que possam causar interferências nos direitos dos cidadãos da UE. Se sim,nesse caso, a transmissão não pode ser baseada no SCC. Isso se aplica de forma semelhante ao BCR. No seu documento, a EDPB indicou que irá fornecer orientações adicionais sobre as medidas jurídicas, técnicas e organizacionais que podem ser tomadas para complementar o CEC de forma a garantir a transferência ininterrupta de dados legais.
E quanto às transferências posteriores de dados de empresas dos EUA que processam dados pessoais da UE para outras empresas dos EUA (por exemplo, provedores de nuvem)?
As transferências subsequentes de dados pessoais provenientes de qualquer um dos países do EEE devem ser processadas de acordo com os padrões de proteção de dados definidos pelo GDPR. O Exportador de Dados é responsável por toda a cadeia de processamento de dados da qual é o Controlador de Dados. Se o importador de dados não puder garantir que os padrões incluídos no GDPR e os mecanismos de transferência aplicáveis possam ser cumpridos, salvaguardas adicionais devem ser acordadas. Se isso não for possível, a transmissão de dados não será possível.
Se minha empresa nos Estados Unidos estiver mudando um servidor para a UE, ainda preciso de um mecanismo de transferência de dados?
Depende de como os dados são processados na empresa. Desde que os dados sejam armazenados em servidores na UE e sejam acessados somente da UE, nenhum mecanismo de transferência de dados é necessário. No entanto, assim que os dados são acessados de fora da UE, o processamento de dados ocorre (conforme definido no artigo 4.º, n.º 2, do RGPD), o que também constituirá uma transferência de dados, que requer a utilização de mecanismos de transferência. Além disso, se uma empresa estiver sujeita às leis de vigilância dos EUA, incluindo, mas não se limitando à seção 702 da FISA e EO 12333, o uso do servidor EU não tem proteção garantida.
A criptografia será uma medida de mitigação suficiente no caso de possível intervenção do governo dos EUA?
A criptografia é um bom mecanismo de segurança, o que significa que os dados não podem ser interceptados. No entanto, existem outros mecanismos que podem permitir ao governo dos Estados Unidos obter acesso às informações pessoais. Em última análise, o conjunto de dados pode ser descriptografado quando acessado por outras partes.
Outros métodos de transferência ainda são válidos?
Todos os mecanismos de transferência de dados incluídos no GDPR permanecem em vigor. O TJUE revogou uma das decisões (EU-US Privacy Shield) e estabeleceu critérios de avaliação mais rígidos para o uso de outros mecanismos de transmissão.
O Privacy Shield SWISS-US foi revogado?
Não.
Qual impacto esses processos terão no Brexit e no Reino Unido?
É muito cedo para saber. Até o final do período de transição (atualmente até 31 de dezembro de 2020), o Reino Unido continuará a aplicar o GDPR inalterado. O que vem a seguir é um assunto de negociações entre o Reino Unido e a Comissão Europeia.
Como os reguladores comentam essa decisão?
CONSELHO EUROPEU DE PROTEÇÃO DE DADOS (EDPB),
“Nenhuma informação sobre aplicação ou aconselhamento sobre transferências; mais análises a seguir ".Departamento de Comércio dos EUA,
"Embora o Departamento de Comércio esteja profundamente desapontado com o fato de o tribunal parecer ter invalidado a decisão de adequação da Comissão Europeia subjacente ao Privacy Shield UE-EUA, ainda estamos estudando a decisão para entender completamente seus impactos práticos."Inspetor Geral Polonês para a Proteção de Dados Pessoais - GIODO,
“Os controladores precisam realizar uma avaliação individual do nível de proteção de dados garantido como parte das transferências de dados transfronteiriças, que deve levar em consideração não apenas as disposições contratuais acordadas entre exportadores e importadores de dados, mas também as disposições legais em um terceiro país, em particular no que diz respeito ao possível acesso por parte das autoridades públicas desse país aos dados transmitidos. Mais orientações virão através do EDPB ".Estonian Data Protection Inspectorate,
«When transferring personal data to any third country with an insufficient level of data protection, it must be borne in mind that it is also important to be convinced of the third country’s adequate level of protection of personal data. Therefore, EU companies must always assess the European Commission’s data protection clauses themselves. The assessment must determine whether the protection of Europeans’ personal data can be protected in the future or in the future by ensuring data protection clauses. If the protection of personal data cannot be guaranteed, the transfer of data must be suspended. If it is desired to continue the data transfer, another appropriate safeguard must be found».