Milhares de empresas europeias e americanas contam com a transferência segura e legal de dados entre jurisdições. As transferências de dados internacionais permeiam a economia global e dão suporte a muitos dos serviços que são fundamentais para nossas vidas diárias.
Em julho, o Tribunal de Justiça da União Europeia (CJEU, em Inglês) invalidou o Privacy Shield, uma estrutura legal que regula as transferências de dados pessoais da União Europeia (UE) para os Estados Unidos. Ao mesmo tempo, o CJEU afirmou que as Cláusulas Contratuais Padrão, um mecanismo jurídico alternativo para a transferência de dados da UE para um país terceiro, continuam a ser válidas. Mas a justificativa para invalidar o Privacy Shield criou uma incerteza significativa – não apenas para as empresas de tecnologia dos EUA, ou mesmo para todas as empresas europeias que dependem de serviços online para alcançar novos clientes, mas para todas as empresas europeias com fluxos de dados transatlânticos.
Com o estabelecimento de uma força-tarefa do Comitê Europeu de Proteção de Dados para ponderar como aplicar a decisão do CJEU, bem como uma declaração conjunta da Comissão Europeia e do Departamento de Comércio dos EUA de que iniciaram discussões para um Privacy Shield “aprimorado” entre a UE e os EUA, estamos definindo nossa posição sobre como garantir a estabilidade de longo prazo das transferências internacionais de dados. Apoiamos regras globais que podem garantir o tratamento de dados consistente em todo o mundo.
Um mecanismo de transferência seguro, garantido pelos tribunais
Em sua recente decisão, o CJEU invalidou o mecanismo do Privacy Shield para transferência de dados entre a UE e os EUA, devido a preocupações com as leis de segurança nacional dos EUA. Antes da decisão, mais de 5 mil empresas dependiam do Privacy Shield.
Embora o tribunal também tenha decidido que as Cláusulas Contratuais Padrão permanecem válidas (fornecendo ao exportador de dados as salvaguardas adequadas para garantir um alto nível de proteção para os titulares dos dados), sua justificativa para invalidar o Privacy Shield gerou uma discussão sobre a dependência das empresas nas Cláusulas Contratuais Padrão.
Como muitas outras empresas, o Facebook depende das Cláusulas Contratuais Padrão para transferir dados para países fora da UE, incluindo aos EUA. Desde a decisão do CJEU em julho, o Facebook tem trabalhado arduamente para seguir as etapas estabelecidas pelo tribunal para garantir que possamos continuar a transferir dados de forma segura e protegida. Isso inclui garantir que tenhamos salvaguardas robustas em vigor, como criptografia e medidas de segurança com padrão da indústria, e políticas abrangentes que regem como respondemos às solicitações legais de dados.
A Comissão Irlandesa de Proteção de Dados (IDPC, em Inglês) iniciou uma investigação sobre as transferências de dados entre UE e EUA controladas pelo Facebook e sugeriu que as Cláusulas Contratuais Padrão não podem, na prática, ser usados para transferências de dados entre UE e EUA. Embora essa abordagem esteja sujeita a uma análise adicional, se seguida, ela pode ter um efeito de longo alcance em negócios que dependem das Cláusulas Contratuais Padrão e em serviços online dos quais muitas pessoas e empresas dependem.
A inexistência de um ambiente para transferências de dados internacionais seguras, protegidas e legais traria danos à economia e prejudicaria o crescimento de empresas que trabalham com dados na UE, no momento em que buscamos uma recuperação econômica diante da crise de COVID-19. O impacto seria sentido por empresas grandes e pequenas, em vários setores. No pior dos cenários, isso poderia significar que uma pequena startup na Alemanha não seria mais capaz de usar um provedor de serviços de nuvem baseado nos EUA. Uma empresa espanhola de desenvolvimento de produtos não conseguiria mais executar uma operação em vários fuso-horários. Um varejista francês poderia descobrir que não pode mais manter um call center no Marrocos.
Os efeitos iriam além do mundo dos negócios e poderiam impactar serviços públicos essenciais, como saúde e educação. O Covid Tracking App da Irlanda declara, em seus termos de uso, que depende das Cláusulas Contratuais Padrão como um dos vários mecanismos para transferir dados para um de seus processadores nos EUA. Provedores de nuvem internacionais e plataformas de e-mail fornecem serviços para escolas, universidades e hospitais em toda a Europa. Milhões de pessoas usam software de videoconferência todos os dias para manter contato com amigos e familiares que moram em diferentes países.
Regras globais claras para proteger os consumidores
As empresas precisam de regras claras e globais, sustentadas por um forte estado de direito, para proteger os fluxos de dados transatlânticos a longo prazo.
A UE liderou o estabelecimento de uma estrutura que protege dados e dá poder os usuários. As regras de privacidade continuarão a evoluir e regras globais podem garantir o tratamento consistente de dados, onde quer que eles estejam armazenados. Portanto, o Facebook reconhece os esforços já em andamento entre legisladores da UE e dos EUA para avaliar o potencial de uma estrutura “aprimorada” entre a UE e os EUA – um Privacy Shield Plus. Esses esforços deverão reconhecer que os Estados-membros da UE e os EUA são democracias que compartilham valores comuns e o Estado de direito, estão profundamente interconectados culturalmente, socialmente e comercialmente e têm poderes e práticas de fiscalização de dados muito semelhantes.
Reconhecemos que construir uma estrutura sustentável que apoie o fluxo de dados sem atrito para outros países e sistemas jurídicos, garantindo ao mesmo tempo que os direitos fundamentais dos usuários da UE são respeitados, não é uma tarefa fácil e levará tempo. Enquanto os formuladores de políticas públicas estão trabalhando para uma solução sustentável de longo prazo, pedimos aos reguladores que adotem uma abordagem proporcional e pragmática para minimizar problemas às milhares de empresas que, como o Facebook, contam de boa fé com esses mecanismos para transferir dados de uma forma segura e protegida.
Nossa prioridade é garantir que nossos usuários, anunciantes, clientes e parceiros possam continuar a usufruir dos serviços do Facebook enquanto mantêm seus dados seguros e protegidos. Continuaremos a transferir dados em conformidade com a recente decisão do Tribunal de Justiça da União Europeia e até recebermos mais orientações.