Tribunal de Justiça da União Europeia invalida contrato de transferência de dados do Privacy Shield

Texto traduzido e adaptado de “EU court invalidates Privacy Shield data transfer agreement“, escrito por Dan Swinhoe

O Tribunal de Justiça da União Europeia (TJUE) invalidou o acordo de Privacy Shield EUA-UE. O acordo, que garantiu às empresas americanas concordar em aderir aos padrões da UE em proteção de dados e privacidade em troca de poder receber dados pessoais da UE, foi derrubado com o argumento de que o sistema jurídico dos EUA não fornece proteção adequada para dados pessoais, especialmente quando se trata de vigilância estadual.

As empresas americanas que recebem dados pessoais da UE agora precisarão encontrar um mecanismo legal alternativo para o recebimento de dados, caso contrário violarão a lei e enfrentarão sanções em potencial em relação ao Regulamento Geral de Proteção de Dados (GDPR) da UE.

O Privacy Shield foi criado depois que seu antecessor, Safe Harbor, foi derrubado após uma contestação legal do ativista da privacidade Max Schrems. O Privacy Shield foi desenvolvido porque, como o Safe Harbor, não oferecia proteções suficientes aos dados dos cidadãos da UE das leis de vigilância dos EUA.

Cerca de 5.000 empresas nos EUA assinaram o contrato Privacy Shield. De acordo com uma pesquisa da IAPP , aproximadamente 60% das empresas que transferem dados da UE usam o Privacy Shield, e existem cerca de 250 empresas baseadas na Europa participando do programa Privacy Shield.

“A decisão de hoje é irresponsável”, diz Eline Chivot, analista sênior de políticas do Center for Data Innovation do ITIF. “Isso irá reverter imediatamente e, em muitos casos, até interromper as transferências de dados entre a UE e os Estados Unidos, deixando muitas empresas sem uma alternativa adequada”.

O tribunal decidiu, no entanto, que as cláusulas contratuais padrão (SCCs) permanecem válidas. Esses modelos padronizados de requisitos de proteção de dados serão a opção de substituição mais provável para as empresas afetadas. Mais de 80% das empresas que transferem dados da UE dependem de SCCs, de acordo com o IAPP.

As empresas que dependiam do Privacy Shield provavelmente terão que procurar os SCCs para garantir que tenham uma maneira legal de enviar dados pessoais da UE para os EUA. Onde o Privacy Shield era um conjunto único de requisitos de conformidade para todos os dados pessoais, os SCCs são específicos para cada fluxo de dados, o que significa que uma única organização pode ter dezenas ou mesmo centenas de SCCs em vigor. Existem vários modelos de SCC, que permitem espaço de manobra neles.

Os CISOs devem trabalhar com seus diretores de proteção de dados (DPOs) e com o departamento jurídico para entender os fluxos de dados em toda a empresa, qualquer demanda de proteção de dados dos SCCs que se desviem dos anteriormente existentes no Privacy Shield e garantir que a conformidade de cada um seja documentada.

Haverá um Privacy Shield / Safe Harbor 3?

A Cordery Compliance diz que provavelmente existe um plano para uma estrutura de substituição em andamento. No entanto, embora possa ser uma solução mais rápida do que estabelecer SSCs, pode ser um acordo instável. Cordery observa que, seja qual for a forma que uma terceira instância do Privacy Shield / Safe Harbor adote, é improvável que sobreviva por muito tempo antes de ser contestada em tribunal.

Para acessar mais conteúdos como este e ficar por dentro das notícias em segurança da informação, acesse nosso portal e, acompanhe nossas postagens nas redes sociais (instagramfacebooktwitteryoutube).