O Tribunal de Justiça da UE invalida a partilha de dados sob Protecção de Privacidade devido à vigilância dos EUA.
O Facebook e a Co não podem mais transferir dados de cidadãos da UE sob o Privacy Shield porque isso prejudica a proteção de dados garantida pelo GDPR.
O escudo de privacidade não é mais válido
O ativista de privacidade Max Schrems e a sua organização NOBY (abreviação para não ser da sua empresa) entrou com uma ação judicial contra a prática de transferência de dados do Facebook logo após a introdução da GDPR em maio de 2018.
O Tribunal de Justiça Europeu (TJUE) declarou hoje em seu julgamento que as leis dos EUA não protegem adequadamente os dados dos cidadãos europeus, já que os programas de vigilância nos EUA não se limitam ao estritamente necessário.
A Corte salientou "que, em relação a certos programas de vigilância, essas disposições não indicam quaisquer limitações ao poder que conferem para implementar esses programas, nem a existência de garantias para pessoas potencialmente não americanas visadas".
Assim, o Tribunal de Justiça da UE declarou inválido o sistema de compartilhamento de dados do Privacy Shield entre a UE e os EUA.
#ECJ: the Decision on the adequacy of the protection provided by the EU-US Data Protection Shield is invalidated, but @EU_Commission Decision on standard contractual clauses for the transfer of personal data to processors established in third countries is valid #Facebook #Schrems pic.twitter.com/BgxGAvuq3T
— EU Court of Justice (@EUCourtPress) July 16, 2020
Privacidade ganha para os europeus
Max Schrems diz que isto é uma vitória generalizada da privacidade: "Estou muito feliz com o julgamento. Parece que o Tribunal nos tem seguido em todos os aspectos. Isto é um golpe total para o DPC irlandês e para o Facebook. É claro que os EUA terão de alterar seriamente as suas leis de vigilância se as empresas americanas quiserem continuar a desempenhar um papel importante no mercado da UE".
BREAKING: The EU's Court of Justice has just invalidated the "Privacy Shield" data sharing system between the EU and the US, because of overreaching US surveillance. All details available here: https://t.co/xN4HKhZaBT #PRISM #FISA702 #Privacy #PrivacyShield #SCCs #GDPR #CJEU
— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020
Proteção de dados questionável nos EUA
Um grande problema que o tribunal da UE apontou é que os dados de estrangeiros não são protegidos nos EUA. As proteções que estão lá - mesmo que limitadas - só se aplicam a cidadãos dos EUA. A NSA pode obter acesso total a todo e qualquer dado de não cidadãos dos EUA a partir do Facebook a qualquer momento. Além disso, as pessoas que não são titulares de dados nos EUA não têm direitos passíveis de acção perante os tribunais contra as autoridades dos EUA, o que viola a "essência" de certos direitos fundamentais da UE, que o TJUE encontrou.
De acordo com o julgamento, a Comissão Européia não avaliou adequadamente as leis de vigilância dos EUA ao aprovar o acordo do Privacy Shield. Em vez disso, a Comissão cedeu à pressão dos EUA.
Como consequência, a transferência dos dados sob o Privacy Shield negaria aos cidadãos europeus os direitos de protecção de dados que lhes são concedidos ao abrigo do GDPR.
"Por todos esses motivos, o Tribunal declara inválida a Decisão 2016/1250", decidiu o Tribunal da UE.
O conflito de diferenças nas leis de proteção de dados só pode ser resolvido de duas maneiras:
Os EUA e a UE não aprovarão um "novo" acordo de Proteção de Privacidade, o que significará que as empresas do Vale do Silício não terão acesso especial ao mercado europeu.
Ou, os EUA alteram as suas leis de vigilância de tal forma que os dados das pessoas que vivem na União Europeia são protegidos de uma forma que satisfaz os elevados requisitos do GDPR.
Max Schrems comenta: "O Tribunal esclareceu pela segunda vez agora que existe um conflito entre a lei de privacidade da UE e a lei de vigilância dos EUA. Como a UE não irá alterar os seus direitos fundamentais para agradar à NSA, a única forma de ultrapassar este conflito é os EUA introduzirem direitos de privacidade sólidos para todas as pessoas - incluindo estrangeiros. A reforma da vigilância torna-se assim crucial para os interesses comerciais do Vale do Silício".
"Este julgamento não é a causa de um limite para as transferências de dados, mas a consequência das leis de vigilância dos EUA. Você não pode culpar o Tribunal por dizer o inevitável - quando a merda atinge o ventilador, você não pode culpar o ventilador".
Sem Privilégios de Proteção de Privacidade
Os fluxos de dados para os EUA ainda são possíveis nos termos do artigo 49 do GDPR. No entanto, eles têm de ser limitados ao absolutamente necessário para cumprir um contrato. Além disso, se um usuário quiser que seus dados fluam para os EUA, isso também é legal, mas o consentimento pode ser retirado a qualquer momento pelo usuário.
Em resumo: os EUA não têm mais privilégios quando se trata de transferir dados de cidadãos da UE. As empresas de tecnologia dos EUA perderam o seu acesso especial ao mercado da UE devido à vigilância dos EUA.
Schrems diz: "O Tribunal destacou explicitamente que a invalidação do Privacy Shield não criará um 'vácuo legal', uma vez que os fluxos de dados crucialmente necessários ainda podem ser realizados. Os EUA são agora simplesmente colocados de volta a um país médio sem acesso especial aos dados da UE".
Esta é uma vitória marcante para os direitos de privacidade.
