A Polêmica em torno do Compartilhamento de Dados Pessoais entre Europa e EUA

02.06.2023 – A Comissão de Proteção de Dados da Irlanda (DPC) publicou um press release em 22 de maio de 2023, anunciando a conclusão do inquérito sobre a Meta Ireland (empresa que gere o Facebook, não apenas na Irlanda, mas em toda a Europa, cuja sede fica localizada na Irlanda).

Imediatamente, a grande media global, como o The Guardian e o The New York Times refletiram em suas manchetes o resultado do inquérito gerido pela DPC, culminando na multa de € 1.2 bilhões de euros ou £ 1.0 bilhão de libras aplicada à Meta em 12 de maio de 2023, em virtude da mesma estar compartilhando internacionalmente dados pessoais de titulares de dados europeus, em violação ao Artigo 46, nº 1 da Lei de Proteção de Dados Europeia (GDPR). O Artigo 46 é entitulado como “Transferências sujeitas a salvaguardas adequadas” e o nº 1 estabelece o seguinte texto:

Na ausência de uma decisão nos termos do artigo 45.º , n.º 3, o responsável pelo tratamento ou o subcontratante só pode transferir dados pessoais para um país terceiro ou uma organização internacional se o responsável pelo tratamento ou o subcontratante tiver fornecido as garantias adequadas e na condição de os direitos do titular dos dados e recursos legais eficazes para titulares de dados estão disponíveis.

A Meta Ireland transferiu (compartilhou) dados pessoais com base nas Cláusulas Contratuais Padrão (SCCs) atualizadas que foram adotadas pela Comissão Europeia em 2021, com supostas medidas suplementares adicionais (mas não informadas pela DPC), a DPC entendeu que tais contratos não endereçam eficazmente os riscos aos direitos e liberdades fundamentais dos titulares de dados, consoante a decisão no caso Shrems II pelo Tribunal de Justiça Europeu (European Court of Justice – ECJ), em 16 de julho de 2020, motivada por um ativista de privacidade da Áustria, Max Schrems, suscitando a preocupação decorrente das revelações feitas por Edward Snowden a respeito de informações confidenciais do governo dos EUA, ficando claro que os dados pessoais de cidadãos europeus não seriam suficientemente protegidos do alcance das agências de inteligência dos EUA, quando estivessem dentro dos EUA.

A propósito, essa decisão foi emblemática, pois revogou o Privacy Shield, que determinava obrigações mais rígidas às empresas dos Estados Unidos para proteger os dados pessoais dos cidadãos europeus, já que exigia que os EUA monitorassem e aplicassem de forma mais robusta e cooperassem mais com as autoridades europeias de proteção de dados.

É importante salientar que a decisão da DPC foi submetida ao Conselho Europeu de Proteção de Dados (EDPB), para validação de acordo com o mecanismo de resolução de disputas do Artigo 65 Lei de Proteção de Dados Europeia (GDPR), tendo o EDPB emitido sua decisão em 13 de abril de 2023.

A partir de então, a decisão da DPC de 12 de maio de 2023, focou não apenas na multa, mas em 3 (três) pontos principais que passam a ser listados abaixo:

1. Uma obrigação, proferida nos termos do Artigo 58 (2) (j) do RGPD, exigindo que a Meta Ireland suspenda qualquer transferência futura de dados pessoais para os EUA, no prazo de cinco meses a partir da data de notificação da decisão da DPC à Meta Ireland;

2. uma multa administrativa no valor de 1,2 mil milhões de euros (refletindo a determinação do EDPB de que deveria ser aplicada uma multa administrativa, para sancionar a violação verificada. A DPC fixou o valor da multa a ser aplicada, levando em consideração as avaliações e deliberações que foram incluídas na decisão da EDPB); e

3. uma obrigação, feita de acordo com o Artigo 58(2)(d) GDPR, exigindo que a Meta Ireland coloque suas operações de processamento em conformidade com o Capítulo V da GDPR, cessando o tratamento ilegal, incluindo armazenamento, nos EUA de dados pessoais da UE /EEA transferidos em violação à GDPR, no prazo de 6 meses, a contar da data de notificação da decisão da DPC à Meta Ireland.

Essa decisão, entretanto, acaba não se limitando à Meta Ireland, pura e simplesmente, pois abre um precedente para inúmeras empresas de tecnologia da informação, especialmente as grandes redes sociais, que tratam e compartilham dados pessoais de milhões de titulares em âmbito global, especialmente os europeus, sendo tais dados geralmente compostos de nome, e-mail, endereço, telefone e, por vezes, dados bancários.

Outro ponto que chama a atenção, é o item 3 da decisão acima, na medida em que empresas, como a Meta Ireland, terão que adotar medidas efetivas que garantam o mesmo grau de proteção aos dados pessoais conferido pela GDPR em território europeu, para tais dados transferidos para os EUA. Como fazer isso diante de leis como a lei norte-americana de segurança nacional que permite às autoridades fazer o que for preciso, sob a premissa de garantir a segurança do país? Existe uma resposta relativamente simples para essa pergunta… não transferir tais dados para os EUA, passando a armazená-los em território europeu, seguindo as diretrizes estabelecidas pela GDPR e pelas demais normas pertinentes.

Diante dessa decisão, transferência de dados pessoais de cidadãos europeus para países onde haja leis de segurança nacional ou outras leis que se sobreponham à proteção de dados pessoais não poderão mais ser amparadas apenas por Cláusulas Contratuais Padrão (SCCs), ainda que atualizadas pela Comissão Europeia em 2021.