TJUE declara o Privacy Shield inválido - O que significa a decisão para os operadores de websites

Mario Steinberg Última atualização em 21.10.2020
6 min.
Privacy Shield TJUE
Última atualização em 21.10.2020

Em 16.07.2020, o Tribunal de Justiça da União Europeia (TJUE) declarou o Privacy Shield inválido. Esta decisão afeta, entre outros, todos os operadores de websites que utilizam os serviços de empresas norte-americanas. Neste artigo explicarei o que a decisão significa para ti enquanto operador de site ou agência, e o que tens de fazer agora.

Ponto de partida legal

Todo o processamento de dados requer uma base jurídica

Qualquer tratamento de dados pessoais requer uma base jurídica (art. 6 secção 1 do RGPD). As bases jurídicas mais importantes relacionadas com os sites são:

  • o consentimento da pessoa em questão (por exemplo, para definir cookies);
  • o cumprimento de uma obrigação contratual (por exemplo, no caso de lojas online);
  • o legítimo interesse da pessoa responsável ou do operador do site (por exemplo, respondendo a perguntas por e-mail).

O consentimento é obtido tradicionalmente para sites da Internet através de uma caixa de seleção. O melhor exemplo disso são os banners de cookies, por meio dos quais o visitante do site consente na configuração de determinados cookies (por exemplo, marketing ou rastreamento de cookies). Se quiseres saber mais sobre isto, encontrarás mais informações no meu artigoBanner de cookie - mas adequado! 7 coisas que deves considerar".

No entanto, as bases jurídicas acima mencionadas apenas dizem respeito ao processamento de dados propriamente dito.

Base jurídica adicional necessária para transferências de dados para fora da Europa 

Se o processamento de dados não tiver lugar na UE, mas num país não europeu - ou seja, num chamado país terceiro - é necessária uma base jurídica adicional.

Essas bases legais para a transferência de dados pessoais para países terceiros podem ser encontradas no Art. 44 e seguintes do RGPD.

As chamadas decisões de adequação da Comissão Europeia (Art. 45 RGPD) são particularmente relevantes para os operadores de sites.

Com essa decisão, a Comissão decide que um país terceiro oferece um nível adequado de proteção de dados e que dados pessoais podem ser transferidos para o país terceiro.

Decisões de adequação foram tomadas no passado com vários países, incluindo Suíça, Austrália e Nova Zelândia. 

Privacy Shield

O Privacy Shield foi uma decisão de adequação da Comissão Europeia para a transferência de dados para os EUA. Foi decidido pelo TJUE em julho de 2016, apenas alguns meses após a Revogação do acordo Safe Harbor (o antecessor do Privacy Shield).  

Sob o Privacy Shield, as empresas americanas poderiam comprometer-se voluntariamente a cumprir um certo nível de proteção de dados ao processar dados pessoais da UE. Após esta certificação, eles eram autorizados a transferir dados pessoais da UE.

A decisão do TJUE sobre o Privacy Shield

A decisão do TJE foi motivada por um pedido de decisão prejudicial do Supremo Tribunal da Irlanda ao TJUE, baseado num processo interposto pelo ativista austríaco de proteção de dados Maximilian Schrems contra o Facebook Ireland Ltd.

No seu acórdão de 16 de julho de 2020, o TJUE declarou o Privacy Shield inválido. Isto significa que, com efeito imediato, todas as transferências de dados pessoais da UE para os EUA, que anteriormente se baseavam no Privacy Shield como base legal, são agora proibidas.

Isto parece dramático - e é, efetivamente.

As consequências da decisão para os operadores de sites

É provável que quase todos os sites sejam afetados pelas consequências da decisão. Isto porque, regra geral, quase todos os sites integram pelo menos um serviço de uma empresa americana, que é fornecido não apenas por subsidiárias europeias (como o Facebook Ireland Ltd. e Google Ireland Ltd.), mas também pela respetiva empresa mãe americana (como o Facebook Inc. e Google LLC).

Muitos desses serviços transferem dados pessoais para os EUA (possivelmente dependendo da configuração padrão feita). Exemplos de tais serviços são:

  • Serviços Google como o Google Analytics, Google Maps ou Google Fonts (desde que não estejam integrados localmente);
  • Serviços de newsletter (por exemplo, Mailchimp);
  • Plugins de redes sociais (Facebook, Instagram, YouTube, Twitter, etc.)
  • Serviços de backup na cloud;
  • Soluções para lojas online.

Se um operador de site tiver criado a sua declaração de proteção de dados corretamente, as seguintes informações deverão ser encontradas para todos os serviços que possam envolver transferências de dados para os EUA:

"A empresa americana XYZ também processa os seus dados pessoais nos EUA e submeteu-se ao Privacy Shield da EU/EUA. Para mais informações sobre o Privacy Shield, consulta: https://www.privacyshield.gov/EU-US-Framework."

Possíveis bases legais alternativas para a transmissão de dados

A partir de agora, ou até nova decisão de adequação da Comissão, as transferências de dados para os EUA com base no Privacy Shield, somente serão permitidas se puderem ser baseadas noutra base legal.

São considerados os seguintes:

Consentimento da pessoa a quem os dados dizem respeito

A base jurídica para os operadores de sites é, acima de tudo, o consentimento expresso da pessoa em questão (art. 49, secção 1 a) do RGPD). No entanto, é um pré-requisito que a pessoa em questão tenha sido informada dos riscos da transmissão de dados antes do consentimento.

Transmissão para o cumprimento do contrato

Também é concebível que a transferência de dados pessoais para os EUA seja necessária para o cumprimento de um contrato entre a pessoa interessada (o visitante dosite) e a pessoa responsável (o operador do site).

No entanto, não é suficiente que o operador do site queira usar o serviço de uma empresa americana para o processamento do contrato (por exemplo, um plugin de loja online dos EUA). Em vez disso, é necessário que o contrato em si tenha uma referência nos EUA, por exemplo, que seja encomendado a uma loja virtual nos EUA.

Cláusulas padrão de proteção de dados da Comissão Europeia

Não é muito provável que a transferência de dados pessoais para os EUA se possa basear nas cláusulas padrão de proteção de dados adoptadas pela Comissão Europeia (artigo 46, secção 2 c) do RGPD).

As cláusulas padrão de proteção de dados são contratos-modelo que podem ser celebrados entre um exportador de dados sediado na UE e um importador de dados sediado num país terceiro. Com isso, o importador de dados não europeu garante ao exportador de dados que os dados pessoais transferidos gozam de um nível de proteção comparável ao do RGPD.

Na sua decisão sobre o Privacy Shield, o TJUE decidiu que o conteúdo das cláusulas padrão de proteção de dados em si não pode ser contestado. No entanto, também deve ser possível aplicá-las eficazmente no país terceiro.

É extremamente duvidoso se isso é realmente possível em relação às transferências de dados para os EUA. O Tribunal de Justiça da UE declarou o Privacy Shield inválido, entre outras coisas, porque os cidadãos da UE não teriam opções de proteção legal adequadas contra os programas de monitorização de dados das autoridades dos EUA. E é provável que esta situação seja praticamente idêntica no caso das cláusulas padrão de proteção de dados.

Por esta razão, o TJCE também decidiu, no seu acórdão, que as autoridades de controlo de proteção de dados são obrigadas a suspender ou proibir a transferência de dados pessoais para um país terceiro com base em cláusulas padrão de proteção de dados, se considerarem que estas cláusulas não são ou não podem ser cumpridas no país terceiro. 

Portanto, é provável que as transferências de dados para os EUA com base nas cláusulas padrão de proteção de dados sejam contestadas e declaradas inválidas pelas autoridades de proteção de dados.

O que tens de fazer agora como operador de um site

Como agora são proibidas todas as transferências de dados pessoais com base no Privacy Shield para os EUA, os operadores de sites devem implementar as seguintes medidas:

#1 Selecionar servidores europeus

Algumas empresas americanas oferecem os seus serviços através de servidores europeus. Se for este o caso, os operadores de sites devem escolher o servidor europeu.

#2 Obter o consentimento da pessoa em questão

Se a escolha de um servidor europeu não for possível, deve ser obtido o consentimento explícito do titular dos dados para a transferência dos seus dados pessoais para os EUA. Assim como na configuração de cookies, este consentimento pode ser dado por meio de uma caixa de seleção.

Uma vez que todo o site que define cookies deve ter um banner de cookies com notas e caixas de seleção apropriadas para a configuração de cookies individuais, isto pode ser complementado por outras informações (de risco) e caixas de seleção relacionadas com as transferências de dados pretendidas para os EUA. Como em qualquer caixa de seleção, é claro que deve ser o próprio visitante do site a clicar na caixa de seleção (Opt-In), pois o Tribunal Federal de Justiça decidiu que as caixas de seleção pré-ativadas (Opt-Out) não são permitidas.

A única "desvantagem" desta solução de consentimento é reconhecidamente que o serviço correspondente no site pode não estar ativo se o consentimento não for dado.

O que isto significa é brevemente explicado aqui usando o Google Fonts como exemplo:

Por vezes, o Google Fonts não é integrado localmente no site, mas é carregado apenas a partir dos servidores do Google quando a página é acedida pelo navegador da rede. Se isso for feito com um servidor americano do Google, os dados do navegador, ou seja, os dados pessoais do visitante do site, serão transmitidos para este servidor do Google nos EUA.

Já é questionável se a recarga das fontes Google pode ser baseada em um interesse legítimo do operador do site (pessoalmente tenho grandes dúvidas), uma vez que as fontes Google também podem ser integradas localmente. Mas mesmo que esse interesse legítimo fosse assumido, seria necessária uma base legal adicional para a transferência de dados pessoais do navegador da web para os servidores americanos do Google. Esta base legal adicional era anteriormente o Privacy Shield. Uma vez que isto é agora ineficaz, o recarregamento das fontes Google a partir dos servidores Google americanos exigiria agora o consentimento do visitante do website. Se este consentimento não fosse concedido, as fontes do Google não teriam permissão para ser recarregadas.

Isto significa que o Google Fonts deve ser integrado localmente no site a partir de agora, o mais tardar.

#3 Ajustar a política de privacidade

É importante adaptar a política de privacidade à nova situação jurídica.

Uma vez que a política de privacidade deve refletir de forma completa e precisa o processamento de dados pessoais que ocorre num website, não basta simplesmente apagar as referências anteriores ao Privacy Shield - pelo menos se os serviços correspondentes continuarem a ser utilizados.

Na verdade, se a transferência de dados é agora baseada no consentimento do visitante do site, isto deve ser mencionado em conformidade. Além disso, em caso de consentimento, os riscos associados à transferência de dados para os EUA também teriam de ser explicados, nomeadamente que os dados pessoais transferidos para os EUA são avaliados pelas autoridades americanas no âmbito dos programas de monitorização de dados americanos, e que os cidadãos da UE não têm, por isso, acesso a opções de proteção jurídica adequadas.

Panorama

Depois que o TJUE declarou inválido o Acordo Safe Harbor, demorou apenas alguns meses até que a Comissão Europeia negociasse o Privacy Shield com os EUA.

Dada a importância do intercâmbio transatlântico de dados, que não deve ser subestimado, não demorará certamente muito tempo para que um novo regulamento seja feito e a Comissão Europeia tome uma nova decisão de adequação para a transferência de dados pessoais para os EUA.

E, se ele atender às preocupações do TJE e criar mais proteção de dados para os cidadãos da UE nos EUA, isso também é uma coisa boa para os operadores de websites.

Mario Steinberg é advogado e especialista em direito administrativo no escritório de advocacia comercial LIEB.Rechtsanwälte. O foco principal de seu trabalho inclui a lei de proteção de dados, a lei de segurança da TI e o direito da TI.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com * .