Confira os impactos para a proteção de dados no Brasil com o fim do EU-U.S. Privacy Shield

O que muda para a proteção de dados no Brasil com o fim do EU-U.S. Privacy Shield? 

No dia 16 de julho de 2020, a Corte de Justiça da União Europeia publicou uma decisão extremamente importante para o contexto internacional da privacidade e proteção de dados, a respeito do Privacy Shield, regramento existente entre os Estados Unidos e a Europa. 

O que ocorreu foi, em resumo, um aumento nas exigências da União Europeia para compartilhamento de dados pessoais com os Estados Unidos. Apesar de dizer respeito a países estrangeiros, essa decisão traz diversas consequências para o mundo inteiro. 

Confira o nosso post para entender essa decisão e como essa situação afeta o Brasil e as empresas brasileiras que precisam estar adequadas à LGPD. 

O que era o EU-U.S. Privacy Shield? 

Criado em 2016, o EU-U.S. Privacy Shield é um acordo internacional entre essas duas regiões do mundo. Seu objetivo foi facilitar a transferência de dados pessoais entre os EUA e a UE, através do reconhecimento mútuo de que ambas as regiões contavam com níveis adequados de proteção para esses dados. 

O Privacy Shield, em geral, representava o reconhecimento pelos países europeus de que a legislação estadunidense de proteção de dados estava adequada aos altos padrões de proteção de dados da União Europeia. Por causa desse reconhecimento, o Regulamento Geral de Proteção de Dados (GDPR) permitia a simplificação das burocracias necessárias para o compartilhamento de dados entre os países. 

Na prática, isso significava que era mais simples para uma empresa dos EUA atuar no território europeu e utilizar dados pessoais para suas atividades societárias. Isso possibilitava maiores chances de lucros para as empresas norte-americanas, pois o território europeu é extremamente importante em termos de mercado internacional. 

Estima-se que milhares de empresas utilizavam o sistema, pois isso lhes oferecia uma facilidade em seu negócio, visto que em muitos estados norte-americanos não há legislações que sejam equivalentes à GDPR ou mesmo legislações relativas à proteção de dados pessoais propriamente dita. 

A decisão da Corte de Justiça da UE e seus motivos 

A decisão europeia é a conclusão do caso C-311/18, que envolveu o Comissariado de Proteção de Dados Europeu, o Facebook Ireland Limited, que é o braço da empresa norte-americana na Europa, e o austríaco Maximillian Schrems, que advoga pela privacidade e proteção de dados dos cidadãos europeus. 

Dentre outras coisas, as alegações contrárias à permanência em vigor do Privacy Shield se centram na incompatibilidade do modelo de vigilância ostensiva dos cidadãos norte-americanos, como denunciado por Edward Snowden em 2013, e o modelo de proteção individual e autodeterminação informativa da Europa, consolidado na GDPR. 

Com a decisão da CJUE, passou a ser considerado ilegal o uso do Privacy Shield para justificar a transferência de dados entre os EUA e a União Europeia. As preocupações que motivaram essa decisão foram aspectos da legislação de proteção de dados dos EUA como a necessidade de compartilhamento dos dados armazenados pelas empresas com o governo estadunidense, sob os pretextos da defesa e da segurança nacional. 

Dessa forma, a UE determinou que a legislação estadunidense desrespeita princípios fundamentais defendidos no GDPR, como os da necessidade do tratamento de dados, da proporcionalidade, entre outros. O que se observa, portanto, é uma pressão europeia muito forte para que os EUA alterem suas leis, tornando-as mais próximas do modelo praticado na União Europeia. 

Assim, a decisão afeta todas as empresas norte-americanas envolvidas no tráfego transatlântico de dados pessoais de cidadãos europeus, que agora não gozam mais das facilidades burocráticas trazidas pelo Privacy Shield e precisam adequar suas práticas. 

Consequências da invalidade do Privacy Shield para os EUA 

 As empresas estadunidenses, não podendo mais contar com o Privacy Shield para tratar dados dos cidadãos europeus, passam a precisar de adequações contratuais mais específicas para operar na União Europeia. Essas adequações contratuais consistem nas chamadas de Standard Contractual Clauses (SCC), ou “cláusulas contratuais padrão”. 

 As SCCs consistem em mecanismos contratuais elaborados pelas autoridades da UE que servem de requisitos para que uma empresa possa tratar dados pessoais no território europeu. As principais diferenças entre esse modelo e o Privacy Shield são uma menor burocracia e a existência de salvaguardas que exigem que as empresas estrangeiras estejam adequadas aos requisitos de proteção de dados da GDPR, mesmo que as leis de seu país não sejam tão rígidas. 

 Essas salvaguardas dos SCCs, inclusive, permitem que o compartilhamento de dados com a empresa estrangeira seja interrompido caso esta não respeite os requisitos da GDPR e da legislação europeia. Dessa forma, as empresas americanas que operam no território europeu agora precisam comprovar sua adequação a essas diretrizes para manter suas operações na Europa. 

Como o fim do EU-U.S. Privacy Shield afeta as empresas brasileiras 

 As consequências do fim do Privacy Shield para o contexto brasileiro serão sentidas de maneira indireta pelas empresas locais. Isso porque, em primeira análise, a decisão da Corte de Justiça da União Europeia não traz nenhuma consequência específica quanto às empresas sediadas no Brasil ou em qualquer lugar fora os EUA. 

 Contudo, a decisão da CJUE representa uma pressão europeia para que todos os países que mantenham relações com a Europa estejam adequados aos padrões de proteção de dados estabelecidos pela GDPR.  

 O fato de que essas exigências foram realizadas até mesmo com relação a empresas situadas em um país poderoso como os EUA ilustra que a União Europeia está disposta a demandar adequação generalizada de todos os seus parceiros comerciais. 

 Assim, as empresas europeias agora vão precisar conduzir um exame detido das transferências de dados pessoais realizadas, da adequação de cada país para o qual os dados serão transferidos, bem como das partes envolvidas nessa transação. Isso quer dizer que as empresas europeias vão ser mais criteriosas ao firmar acordos internacionais com empresas em países que não contem com leis como a LGPD. 

 O Brasil, por sua vez, depende fortemente do mercado Europeu, tanto para nossa economia quanto para diversos serviços que utilizamos diariamente, cujos servidores por diversas vezes são localizados na Europa. Dessa forma, observa-se uma tendência de que as autoridades brasileiras cobrem e fiscalizem com mais afinco o nível de adequação das empresas brasileiras à nossa Lei Geral de Proteção de Dados (LGPD). 

 Nesse sentido, é importante reforçar que a LGPD foi criada justamente com o objetivo de adequar as leis brasileiras às exigências trazidas pela GDPR. Isso, acima de tudo, ilustra o quanto o Brasil vê como importante a possibilidade de compartilhamento de dados pessoais com a União Europeia. 

Adequação à LGPD está mais importante do que nunca 

 Todo esse cenário acrescenta cada vez mais à importância de as empresas brasileiras estarem preparadas para a vigência da Lei Geral de Proteção de Dados. Isso porque tudo indica que, para que o Brasil consiga firmar um acordo de facilitação do compartilhamento de dados com a Europa, será necessária uma rigidez acima da anteriormente esperada na fiscalização do uso de dados pessoais no país. 

Essa intensificação da cobrança quanto à LGPD pode se dar justamente porque, caso contrário, o país corre o risco de não ser reconhecido como detentor de um nível adequado de proteção de dados perante à União Europeia. Isso, por sua vez, pode resultar em pressões similares às que os EUA estão sofrendo com relação ao Privacy Shield, o que tornaria em vão grande parte do esforço envolvido na criação e efetivação da Lei Geral de Proteção de Dados no Brasil. 

Nesse sentido, também é importante lembrar que, após alguns conflitos legislativos recentes, a LGPD teve o início de sua validade definido para agosto de 2020. Apesar das tentativas de adiamento da lei, decidiu-se por manter essa data, entre outros motivos, por causa das pressões europeias para que a legislação entre em vigor.  

Dessa forma, apesar de ainda não existir uma Autoridade Nacional de Proteção de Dados constituída, muito menos a possibilidade de aplicação das multas e sanções da LGPD, pois foram adiadas para maio de 2021, a lei já merece atenção das empresas, especialmente daquelas que possuem alguma atuação na Europa ou tratam dados pessoais de cidadãos europeus. 

Busque a adequação da sua empresa 

Isso quer dizer que, agora mais do que nunca, é necessário que todas as empresas que devem estar preparadas para a LGPD busquem finalizar seus processos de adequação o quanto antes. É importante lembrar que o compliance com a Lei Geral de Proteção de Dados é um procedimento extenso, que demanda alterações tanto jurídicas quanto tecnológicas na maioria dos casos, portanto não há tempo a perder. 

Em qualquer caso, é necessário procurar profissionais competentes e especializados nos processos de adequação à LGPD: tanto com relação à proteção de dados (adequação jurídica) quanto com relação à segurança da informação (adequação tecnológica).  

A advocacia Camargo & Vieira, por exemplo, realiza a adequação das empresas no âmbito jurídico, garantindo a regularização contratual, a educação da equipe da empresa para lidar com o novo cenário legal, o mapeamento das atividades de tratamento de dados pessoais da empresa para fins de transparência e adequação em larga escala, entre outros. 

Gostou deste artigo sobre como o cenário internacional de proteção de dados pode interferir na realidade brasileira? Acesse mais conteúdo que produzimos sobre esse tema clicando neste link!