A União Europeia e os Estados Unidos chegaram esta semana a um acordo sobre o Data Privacy Framework com foco na transferência segura de informações da Europa para os EUA.
A estrutura é o culminar de uma batalha de um ano entre Bruxelas e Washington sobre a segurança dos dados dos cidadãos europeus armazenados por gigantes da tecnologia como Google e Meta nos Estados Unidos, onde as regras de privacidade de dados não são tão rígidas quanto na UE.
Embora muitos tenham aplaudido o novo acordo, os defensores da privacidade não estão satisfeitos com o Quadro de Privacidade de Dados UE-EUA.
A organização europeia de privacidade sem fins lucrativos Noyb disse que planeja desafiando o pacto, argumentando que a nova estrutura é em grande parte uma cópia do Privacy Shield com falha. O cofundador e presidente da Noyb, Max Schrems, observou que “o último acordo não se baseia em mudanças materiais, mas em interesses políticos”.
Os profissionais do setor comentaram vários aspectos da Estrutura de Privacidade de Dados UE-EUA, incluindo seus benefícios, suas falhas e implicações para as organizações.
E o feedback começa…
Christopher Dodson, membro da prática de Litígio de Privacidade – Tendências Emergentes, Cozen O’Connor:
“O novo Quadro de Privacidade de Dados UE-EUA (o “DPF”) destina-se a abordar as preocupações da UE sobre o acesso relacionado à segurança nacional a dados pessoais nos EUA, em particular as preocupações percebidas sobre a falta de supervisão judicial ou um processo de reparação para titulares de dados. O DPF limita as autoridades de inteligência dos EUA a acessar informações necessárias e proporcionais e inclui novos padrões de privacidade para a comunidade de inteligência. Como parte do DPF, um novo Oficial de Proteção das Liberdades Civis (“CLPO”) está sendo adicionado ao Gabinete do Diretor de Inteligência Nacional, cujas funções incluem investigar denúncias e determinar medidas corretivas, quando apropriado. Ademais, um novo Tribunal de Revisão de Proteção de Dados, composto por juízes nomeados de fora do governo dos EUA, revisará as decisões do CPLO.
Mas é provável que nada disso tenha impacto nas empresas que trabalham com dados pessoais da UE. Em vez disso, espera-se que as empresas que se autocertificam no DPF a partir de 17 de julho experimentem um processo e compromissos que são basicamente os mesmos do Privacy Shield, incluindo a adesão aos princípios do programa e a designação de um provedor terceirizado de resolução de disputas. O DPF fornecerá um mecanismo simplificado muito necessário para transferências compatíveis de dados pessoais da UE para os EUA. As empresas nos EUA, sem dúvida, esperam que as novas adições relacionadas à segurança nacional sejam suficientes para suportar os desafios judiciais esperados na UE. ”
Claude Mandy, evangelista chefe, segurança de dados, sistemas de simetria:
“A decisão de adequação para a estrutura de privacidade de dados UE-EUA representa uma tentativa contínua de resolver os desafios contínuos às transferências transfronteiriças entre a UE e os EUA e, especificamente, preocupações sobre a vigilância do governo dos EUA. A maior parte do feedback da indústria não foi surpreendentemente focado no fato de que a estrutura não aborda todas as preocupações levantadas na decisão do Schrems II (que levou à invalidação das estruturas Safe Harbor e Privacy Shield). Quase universalmente, é amplamente esperado que novos desafios, ou seja, “Schrems III” estejam por vir. Entretanto, esta decisão de adequação permite que os dados entre a UE e os EUA continuem desde que sejam cumpridos um conjunto de princípios de privacidade.
Portanto, independentemente da longevidade da estrutura de privacidade de dados UE-EUA, as organizações precisam ser capazes de demonstrar (por meio de afirmações e atestados) seu compromisso em proteger os dados pessoais dos indivíduos, conforme descrito nos princípios de privacidade estabelecidos na estrutura para criar confiança com seus clientes e parceiros. Como vimos repetidamente na Symmetry Systems, isso começa com uma compreensão clara dos dados pessoais que eles coletam, processam e transferem, incluindo sua origem, quem os está usando e para onde estão sendo enviados. É essencial estabelecer um forte recurso de gerenciamento de postura de segurança de dados (DSPM) que inclua não apenas dados dentro de seus próprios sistemas, mas também dados compartilhados com terceiros ou transferidos entre fronteiras. Isso dá às organizações a capacidade de monitorar o acesso e a atividade em torno de informações pessoais e fornecer segurança baseada em evidências para atender às suas necessidades de atestado e afirmação.”
“Para os defensores da privacidade, este é um bom começo, mas não vai longe o suficiente para os ativistas mais fortes da privacidade. Basicamente, adiciona um tribunal de revisão para proteção de dados. O que ele deve fazer é sinalizar para as organizações, como se não bastassem o GDPR e o CCPA (principalmente nos EUA), para que analisem de perto suas políticas de dados. Especificamente, o que é coletado e por quanto tempo é retido. Na economia digital de hoje, os dados são uma moeda e um grande gerador de receita. A tendência nos últimos anos, especialmente na UE, é que a privacidade deve estar em primeiro lugar. Como tal, os dados são uma responsabilidade. As empresas precisam parar de “hoovering” e coletar apenas os dados viáveis mínimos para fazer o que é necessário para executar seu serviço. Ademais, proteja os dados, saiba onde estão e seja capaz de excluir/remover. Ou, mediante solicitação (direito do consumidor ao esquecimento) ou uma vez que o tempo de retenção de dados tenha sido atingido.”
Ani Chaudhuri, CEO, Dasera:
“Esta estrutura de privacidade de dados UE-EUA, produto de anos de negociação, tenta equilibrar a segurança nacional e a privacidade pessoal. Essa façanha é tão complexa quanto crítica.
Superficialmente, é um passo louvável. Ele fornece um mecanismo para os residentes da UE contestarem violações percebidas em seus dados por agências de inteligência dos EUA e visa garantir que as proteções estejam ‘viajando com os dados’. No entanto, Max Schrems, um importante ativista da privacidade, já está planejando processar, questionando a legalidade e praticidade do Framework. A situação ressalta uma questão fundamental – é possível manter simultaneamente a privacidade e a segurança em um mundo movido a dados?
Em primeiro lugar, vamos concordar com isso: os dados são a espinha dorsal da economia moderna. A ausência desse acordo teria criado um ambiente tumultuado para empresas multinacionais que dependem fortemente de fluxos de dados. No entanto, este pacto é um band-aid em uma ferida purulenta. Ele substitui o Privacy Shield invalidado, mas mantém muitas das deficiências de seu antecessor.
Por que? Porque, em sua essência, o Quadro pressupõe a confiança entre os cidadãos da UE e as agências de inteligência americanas. Ele assume que um sistema baseado em reclamações apoiado por um órgão de revisão independente forneceria reparação adequada. Mas sejamos realistas: quantos europeus se sentiriam à vontade para expressar suas preocupações, quanto mais confiantes de que suas reclamações seriam tratadas de maneira justa e imparcial? A questão principal, como Schrems corretamente coloca, é se as mudanças na lei de vigilância dos EUA podem genuinamente garantir os direitos de privacidade dos europeus. Eu diria que a resposta é, tal como está, “não”.
As questões são mais profundas do que apenas políticas. A Estrutura de Privacidade de Dados UE-EUA marca um passo à frente, mas não resolve necessariamente o problema. O elefante na sala continua sendo o equilíbrio entre os direitos de privacidade e as preocupações de segurança nacional”.
Elle Todd, parceira, Reed Smith:
“As empresas ainda estão marcadas pela batalha e cansadas do simples administrador e do número de mudanças nas transferências de dados que sofreram nos últimos dois anos. Tem sido muito demorado e muito caro e muitas vezes desviou os recursos da equipe de privacidade de outras atividades urgentes.
A notícia de uma nova solução de transferência UE/EUA será bem-vinda, mas é claro que também traz consigo ainda mais mudanças na documentação, desde atualizações da política de privacidade até certificações e mudanças nas avaliações de impacto. Portanto, é uma notícia bem-vinda, mas não se surpreenda se for recebida com uma resposta mais hesitante de muitos, pelo menos no curto prazo.”
Erfan Shadabi, especialista em cibersegurança, comforte AG:
“A recente aprovação de um novo acordo pela UE, permitindo a transferência gratuita de dados entre a UE e os Estados Unidos, marca um desenvolvimento significativo que pode resolver a incerteza jurídica de três anos enfrentada por gigantes da tecnologia como Facebook e Google. Este passo positivo representa os esforços persistentes da Comissão Europeia para estabelecer um acordo estável sobre transferências de dados UE-EUA.
No entanto, apesar desse avanço, ainda existe a possibilidade de que a questão retorne ao Tribunal de Justiça (TJUE) nos próximos meses. Uma grande preocupação reside no fato de que o problema fundamental com o FISA 702, uma controversa lei de vigilância nos EUA, aparentemente não foi tratado adequadamente. Este aspecto particular pode revelar-se espinhoso, potencialmente levando a desafios legais e mais incertezas no futuro. No entanto, é necessário ter paciência e observar a próxima divulgação dos detalhes específicos sobre este novo acordo, bem como acompanhar de perto seus desenvolvimentos subsequentes.”
Kris Lahiri, CSO, co-fundador, Egnyte:
“Sinto-me encorajado pela recente decisão de adequação da Estrutura de Privacidade de Dados UE-EUA, que serve como um importante ponto de inflexão para a proteção de dados.
À medida que as organizações navegam em um cenário de privacidade de dados cada vez mais complexo, essa estrutura ajudará a fornecer a clareza necessária quando se trata de transferir dados através do Atlântico, além de fortalecer as proteções individuais de privacidade.”
Dan DeMers, CEO e cofundador da Cinchy:
“Não há dúvida de que a Europa define o padrão para a regulamentação de proteção de dados globalmente, mas seria um erro supor que alinhar as regulamentações dos EUA com o GDPR resolve qualquer um dos problemas que afetam fundamentalmente a capacidade dos consumidores de obter controle significativo de seus dados pessoais.
Até que jurisdições em todos os lugares, incluindo a UE, comecem a adotar novas estruturas e regulamentos, como Integração de cópia zero que incentivam os desenvolvedores de software a adotar abordagens colaborativas para o design de aplicativos, continuaremos a ver a proliferação de silos de dados e a cópia em larga escala de dados pessoais para cima e para baixo nas cadeias de suprimentos digitais.
Somente quando essa cópia for restrita de maneira semelhante à forma como a moeda e a propriedade intelectual são protegidas, os dados do consumidor deixarão de ser coletados, acessados e, em alguns casos, armados fora de seu controle”.