A privacidade transatlântica acabou

Os tempos do Safe Harbor e do Privacy Shield acabaram. O que agora?

Esta é a segunda vez em quase 5 anos que uma decisão da Comissão Europeia relativa aos Estados Unidos é invalidada pelo Tribunal. No seu julgamento, o tribunal confirmou as críticas à privacidade transatlântica repetidamente expressas pela Autoridade Europeia para a Proteção de Dados e pelo Conselho Europeu de Proteção de Dados.

Porto Seguro

Os Princípios de Privacidade Safe Harbor emitidos pelo Departamento de Comércio dos Estados Unidos em julho de 2000 foram a primeira estrutura para regulamentar as trocas transatlânticas de dados pessoais para fins comerciais entre a União Europeia e os Estados Unidos. Antes de os dados pessoais serem exportados, a entidade europeia deve garantir que o controlador de dados que recebe os dados fornece a proteção adequada desses dados.

Em outubro de 2015, o Tribunal de Justiça Europeu invalidou os Princípios de Privacidade do Safe Harbor:
a legislação que permite às autoridades públicas um acesso generalizado ao conteúdo das comunicações eletrónicas deve ser considerada como comprometendo a essência do direito fundamental ao respeito pela vida privada.

Privacy Shield

O Privacy Shield foi a segunda estrutura para regular as trocas transatlânticas de dados pessoais para fins comerciais entre a União Europeia e os Estados Unidos. Desde agosto de 2016, a estrutura altera o porto seguro com o objetivo de permitir que as empresas dos EUA recebam dados pessoais de entidades europeias sob as leis de privacidade da UE destinadas a proteger os cidadãos da União Europeia.

Em janeiro de 2017, o presidente dos EUA assinou a ordem de reforço da segurança pública, que afirma que as proteções de privacidade dos EUA não serão estendidas para além dos cidadãos ou residentes dos EUA. Assim, o US Privacy Act violou os direitos fundamentais dos europeus nos EUA.

Em julho de 2020, o Tribunal de Justiça Europeu invalidou a decisão sobre a adequação da proteção fornecida pelo Privacy Shield:
As limitações à proteção de dados pessoais decorrentes da legislação nacional dos Estados Unidos sobre o acesso e uso por autoridades públicas dos EUA não são circunscritas de forma a satisfazer requisitos que são essencialmente equivalentes aos exigidos pela legislação da UE, pelo princípio da proporcionalidade , na medida em que os programas de vigilância baseados nessas disposições não se limitem ao estritamente necessário.

Impacto

Em geral, a proteção de dados pessoais nos EUA deve ser equivalente à garantida pelo Regulamento Geral de Proteção de Dados da UE. Dados pessoais são quaisquer informações relacionadas a uma pessoa identificável, que pode ser identificada por referência a dados de localização ou identificador online. Portanto,

• as empresas transatlânticas nos EUA devem revisar e atualizar as Políticas de Privacidade para adicionar as Cláusulas Contratuais Padrão relevantes como mecanismo de transferência de dados pessoais de europeus. O processamento dos dados pessoais só é legal se a pessoa tiver dado consentimento prévio, o que é uma ação afirmativa clara.
• Os webmasters nos Estados Unidos devem revisar e atualizar os Banners de Consentimento nos sites da Web de acordo com as Diretrizes 05/2020 sobre Consentimento sob o Regulamento 2016/679 versão 1.0 . O consentimento correto e válido dá ao controlador de dados o direito legal de coletar e processar dados pessoais da UE.
• os webmasters nos Estados Unidos devem desativar o rastreamento nos sites da Web sem consentimento prévio . Os webmasters precisam disso para tornar o processamento de dados pessoais legal.
• as empresas na UE devem avaliar e reduzir os riscos do tratamento de dados pessoais no estrangeiro. Os serviços e instalações domésticas têm prioridade.
• Os webmasters na UE devem analisar e minimizar a utilização de recursos e serviços externos envolvidos no tratamento dos dados pessoais. Por enquanto, o monitoramento contínuo demonstra que 71% do tráfego de rastreamento nas zonas de domínio nacional da UE termina nos EUA.

As autoridades supervisoras europeias têm o dever de fazer cumprir diligentemente a legislação aplicável em matéria de proteção de dados e, se for caso disso, de suspender ou proibir as transferências de dados para um país terceiro. O processo de segmentação na Internet passa.

Fonte: https://habr.com/en/post/518660/