Dados e privacidade: conversas e tendências do terceiro trimestre de 2015

O terceiro trimestre é tipicamente um dos mais tranquilos, abrangendo os dois últimos meses do verão e depois o invariável regresso ao trabalho e à escola.

Mas para privacidade, o terceiro trimestre de 2015 foi realmente um dos trimestres mais ativos do ano, com desenvolvimentos que impactaram tanto o ecossistema de publicidade em geral quanto a privacidade em particular.

Aqui está um destaque em três dos principais desenvolvimentos que temos acompanhado de perto.

Acontecimentos FTC

A FTC teve uma vitória significativa quando o Terceiro Circuito afirmou seu direito de regular a “segurança de dados” no caso de longa data da agência contra a Wyndham Hotels. Agora, o caso foi reenviado para ver se Wyndham adotou ou não práticas de segurança de dados “razoáveis” depois de ser violado repetidamente por hackers russos. Confira meu post recente no blog para mais detalhes.

A FTC também continuou seu escrutínio de empresas que afirmam fazer parte das estruturas US-UE ou US-Swiss Safe Harbor para transferir dados pessoais da UE para os EUA. A agência apresentou decretos de consentimento contra treze empresas que deixaram suas certificações Safe Harbor expirarem ou deturparam completamente seu status Safe Harbor.

Após as ações em janeiro e abril deste ano, o número total de casos Safe Harbor arquivados pela FTC agora é de 27 (para um total de 39 ações de execução no total). Quantos casos Safe Harbor foram arquivados pelos reguladores da UE? Zero. E, no entanto, os reguladores da UE têm desafiado a validade do Safe Harbor. De fato, na semana passada, um advogado-geral do Tribunal de Justiça da UE declarou o Safe Harbor inválido para transferências de dados pessoais da UE para os EUA. Mais, em nossa recapitulação do Safe Harbor mais adiante nesta atualização.

FCC surge como outro Enforcer to Watch

Sob a liderança do presidente Tom Wheeler, a FCC emergiu como um regulador dinâmico (e às vezes temido) – que está claramente competindo com a FTC em várias questões de proteção ao consumidor e aplicação de privacidade de dados. Caso em questão: o chefe de fiscalização da FCC, Travis LeBlanc (ex-chefe da divisão de proteção ao consumidor da Procuradoria Geral da Califórnia), trouxe quase US$ 500 milhões em multas somente este ano, incluindo uma multa de US$ 100 milhões contra a AT&T por deturpar o “ilimitado ” natureza de seus planos de dados.

Nos últimos meses, também vimos discussões sobre as tentativas da FCC de reclassificar provedores “de ponta” como operadoras comuns sujeitas às regras da FCC, incluindo as regras de privacidade da agência. Os provedores de borda incluem empresas que oferecem serviços e conteúdo online, rastreiam a atividade do usuário e coletam informações pessoais. Mais notavelmente, esse grupo pode incluir empresas como Apple, Google e Facebook; também poderia incluir provedores B2B baseados em SAAS, como o TUNE. Isso deve resultar em alguns meses interessantes, já que a FCC tenta impulsionar sua agenda regulatória neste outono. Alguns dos supostos provedores de borda já estão registrados com suas objeções - dê uma olhada no arquivamento da FCC do Google em fevereiro de 2015 , argumentando, entre outras coisas, que os provedores de borda não devem ser classificados como operadoras comuns ou ISPs porque eles, assim como os usuários finais, confiam em ISPs para “interconexão”.

Porto Seguro

E de volta ao Safe Harbor – que continua sendo a principal maneira pela qual muitas empresas dos EUA (incluindo a TUNE), transferem dados pessoais em conformidade entre a UE e os EUA.

Na semana passada, o advogado-geral do Tribunal de Justiça Europeu (“TJ”) emitiu um parecer afirmando que o Safe Harbor era “inválido” quando se tratava de transferências de dados dos EUA para a UE – principalmente por causa do “governo dos EUA” vigilância e interceção em massa e indiscriminada” de dados pessoais pertencentes a cidadãos da UE. A opinião não fez menção à vigilância da UE e de outros governos estrangeiros – o que Snowden também revelou.

Em resposta, Tony Gardner (embaixador dos EUA na UE) emitiu esta declaração contestando a opinião do advogado-geral e enfatizando:

“Os Estados Unidos não se engajaram na vigilância indiscriminada de ninguém, incluindo cidadãos europeus comuns.”

Gardner também lembrou ao advogado-geral e outros detratores do Safe Harbor que o PRISM foi realmente direcionado contra alvos de inteligência estrangeiros e está sujeito a alguma forma de processo. Ele também citou desenvolvimentos positivos recentes, como a Lei de Reparação Judicial de 2015, atualmente no Congresso, que forneceria um direito privado de ação aos cidadãos da UE que buscam indenização contra empresas americanas nos tribunais dos EUA, por violações de privacidade.

Não está claro até que ponto a opinião do advogado-geral influenciará o TJCE, que está atualmente analisando o caso Schrems v. Facebook. O cidadão austríaco Max Schrems está processando o Facebook por suas práticas de privacidade – incluindo a dependência do Facebook do Safe Harbor para transferências de dados da UE para os EUA. Essa decisão está prevista para 6 de outubro. Você pode saber mais sobre os detalhes da opinião do advogado-geral e seu impacto potencial no caso Schrems v. Facebook, neste artigo .

Por enquanto, a opinião do advogado-geral claramente atrapalhou as negociações atuais entre a UE e os EUA sobre o Safe Harbor (no início deste mês, ambas as partes previam que uma resolução era iminente). O mais preocupante é o raciocínio do parecer de que as autoridades individuais de proteção de dados da UE têm “o poder de ordenar a suspensão da transferência de dados quando houver violação comprovada ou risco de violação de direitos fundamentais”. Isso significa que os reguladores individuais de proteção de dados da UE podem, em certos casos, bloquear transferências de dados da UE para os EUA. Não está claro como isso vai acontecer; antes do parecer, não havia base para um país da UE individual retirar unilateralmente o que é essencialmente um tratado internacional entre a UE e os EUA.

Com esses desenvolvimentos em jogo, o quarto trimestre está se tornando particularmente crucial para privacidade e proteção de dados em ambos os lados do Atlântico. A decisão do Tribunal de Justiça sobre Schrems v. Facebook está prevista para 6 de outubro (e com ela, o destino do Safe Harbor). Haverá audiências sobre as tentativas da FCC de reclassificar provedores de borda como “portadoras comuns”. Espera-se uma votação sobre a Lei de Compartilhamento de Informações de Segurança Cibernética (CISA) em algum momento de outubro. E, no dia 16 de novembro, a FTC realizará um importante workshop em Washington DC, sobre rastreamento entre dispositivos .

Estaremos monitorando esses desenvolvimentos de perto e esperamos recapitular e refazer em nossa atualização do quarto trimestre e boletins subsequentes.

Gostou deste artigo? Inscreva-se para receber nossos e-mails de resumo do blog.