Escudo de privacidade invalidado em 2020: o que você precisa saber e os SCCs podem trazer alívio?
Publicados: 2020-07-17
Em 16 de julho de 2020, o Tribunal de Justiça da União Europeia (o “TJUE”) emitiu seu julgamento histórico no caso Schrems II (processo C-311/18). Em seu julgamento, o TJUE concluiu que as Cláusulas Contratuais Padrão (as “ SCCs ”) emitidas pela Comissão Europeia para a transferência de dados pessoais para processadores de dados estabelecidos fora da UE ainda são válidas enfatizando a necessidade de escrutínio caso a caso . Inesperadamente, o Tribunal invalidou a estrutura do Escudo de Privacidade UE-EUA (contraria o requisito do artigo 45.º, n.º 2, alínea a) do RGPD).
| Encontro | Evento |
| Junho de 2013 | Divulgações de Snowden sobre o programa PRISM |
| Junho de 2013 | Reclamação de Schrems à DPC irlandesa sobre Safe Harbor em vista das divulgações de Snowden |
| Junho de 2014 | Supremo Tribunal Irlandês remete o caso Schrems ao TJUE |
| Outubro de 2015 | TJUE invalida Safe Harbor |
| Outubro a dezembro de 2015 | Reclamação de Schrems ao DPC irlandês sobre as cláusulas contratuais padrão da UE (SCCs) |
| julho de 2016 | Adoção do Escudo de Privacidade UE-EUA |
| Outubro de 2017 | Supremo Tribunal Irlandês remete queixa de Schrems ao TJUE |
| Maio de 2018 | Entrada em vigor do RGPD |
| julho de 2019 | Schrems II audiência no TJUE |
| Dezembro de 2019 | Parecer do TJEU AG em Schrems II |
| 16 de julho de 2020 | Acórdão do TJUE em Schrems II |
Conforme demonstrado pela linha do tempo, Schrems II está em construção há anos e é um caso fascinante. Como resultado do caso, as empresas dos EUA que fazem negócios na Europa ou lidam com dados de clientes europeus terão que negociar novos acordos individuais de manuseio de dados, chamados Cláusulas Contratuais Padrão (SCCs), com a UE, ou parar de portar dados de operações europeias. para os EUA.
A decisão impacta
(a) mais de 5.000 empresas nos Estados Unidos que se autocertificaram sob o mecanismo Privacy Shield, e
(b) um número indefinido de empresas fora dos Estados Unidos que confiaram na autocertificação do Privacy Shield dos destinatários para cumprir as rígidas leis de proteção de dados da UE.
Reação das Autoridades Supervisoras
Na sequência da decisão EJC Schrems II, algumas autoridades de supervisão manifestaram a sua opinião sobre o caminho a seguir, em particular no que diz respeito à continuação da utilização das cláusulas contratuais padrão (SCC). Abaixo, resumimos as principais mensagens e descobertas:
Hamburgo
A autoridade de proteção de dados de Hamburgo conclui :
Se a invalidade do Escudo de Privacidade se deve principalmente ao aumento das atividades de inteligência nos EUA, o mesmo deve ser aplicado às Cláusulas Contratuais Padrão. Acordos contratuais entre exportador e importador de dados são igualmente inadequados para proteger os titulares dos dados do acesso do Estado.
No entanto, eles também percebem que
para além das Regras Corporativas Vinculativas e dos acordos individuais, é sobretudo o CSC que pode ser utilizado como base para transferências para terceiros países. Ao mesmo tempo, porém, a incerteza aumentou desta vez: o TJE está passando a bola para as autoridades supervisoras europeias.
Johannes Casper, Oficial da Comissão da DPA de Hamburgo afirma:
Após a decisão de hoje do TJCE, a bola está mais uma vez no tribunal das autoridades de supervisão, que agora serão confrontadas com a decisão de questionar criticamente a transferência geral de dados por meio de cláusulas contratuais padrão.
Comissário Federal
Ao mesmo tempo, o Comissário Federal para Proteção de Dados e Liberdade de Informação (BfDI) , Professor Ulrich Kelber, associa a decisão de hoje do Tribunal de Justiça Europeu (TJ) sobre transferência internacional de dados com o fortalecimento dos direitos das pessoas afetadas:
O TJE deixa claro que o tráfego internacional de dados ainda é possível. No entanto, os direitos fundamentais dos cidadãos europeus devem ser respeitados. Medidas especiais de proteção agora devem ser tomadas para a troca de dados com os EUA. Empresas e autoridades não podem mais transferir dados com base no Privacy Shield, que o TJE declarou ineficaz. Iremos, naturalmente, dar conselhos intensivos sobre a transição
Renânia-Palatinado
Uma abordagem muito proativa já foi adotada pela DPA da Renânia-Palatinado. Apenas algumas horas após a decisão do TJE, foi publicado um documento de perguntas frequentes sobre a decisão do TJE . Sobre o que os exportadores de dados agora têm que fazer em relação ao SCC, eles concluem:
Os controladores de dados devem verificar as leis aplicáveis ao importador de dados no país terceiro para o qual pretendem transferir os dados e, se aplicável, aos seus outros parceiros contratuais nesta relação comercial e se essas leis afetam as garantias fornecidas pelas cláusulas contratuais padrão . Se necessário, os fluxos de dados específicos devem ser analisados para determinar quais leis do país terceiro são aplicáveis em cada caso. Essas obrigações se aplicam a transferências de dados para todos os países terceiros, não apenas para os EUA.
A validade da Decisão SCC é Reconhecida
Uma vez que o Tribunal confirmou a validade da Decisão SCC de 2010, os fluxos de dados da UE para o resto do mundo com base em SCC podem continuar ininterruptos. No entanto, mesmo para empresas que dependem de SCCs para exportar dados para fora do EEE, seria prudente monitorar esse espaço de perto. O comissário de Justiça da UE, Didier Reynders, emitiu um anúncio antecipado no mesmo dia da decisão, observando seus planos de atualizar os SCCs à luz de sua importância agora aumentada.
Invalidação do Privacy Shield sem um período de transição
Como o Tribunal também decidiu avaliar o Escudo de Privacidade e o considerou inválido, todos os fluxos de dados que dependem dessa estrutura se tornarão ilegais.
O Privacy Shield agora enfrenta o mesmo destino infeliz do programa Safe Harbor em 2015. Semelhante à disputa que ocorreu após a invalidação do programa Safe Harbor, podemos ver os governos dos EUA e da UE se reunirem para reparar os defeitos destacados pela decisão do TJUE. Mas, até que esses defeitos sejam corrigidos, qualquer empresa que dependa do Privacy Shield para transferir dados adequadamente deve mudar para outras medidas que tenham sido explicitamente consideradas como salvaguardas apropriadas, como SCCs, consentimento do usuário e regras corporativas vinculantes (BCRs).
Como as autoridades reconhecem que os SCCs ainda funcionam como base, esperamos que as autoridades concedam às organizações um período de carência para se adequarem em relação às transferências após o julgamento. Um período de carência de 6 meses foi permitido após a queda do Safe Harbor em 2015. Dado o impacto mais amplo, seria razoável repetir isso agora e potencialmente estender esse período.
Próximos passos para organizações
As empresas devem se preparar para a era pós-Escudo de Privacidade agora e obter regras corporativas vinculativas (BCR) e cláusulas contratuais padrão (SCC) para sua própria proteção de dados.
- Enquanto os SCCs permanecerem válidos, as organizações que atualmente dependem deles precisarão considerar se, considerando a natureza dos dados pessoais, as finalidades e o contexto do processamento e o país de destino, existe um “nível adequado de proteção” para os dados pessoais conforme exigido pela legislação da UE. Quando esse não for o caso, as organizações devem considerar quais salvaguardas adicionais podem ser implementadas para garantir que haja de fato um “nível adequado de proteção”.
- As organizações que atualmente dependem da estrutura do Escudo de Privacidade UE-EUA precisarão identificar urgentemente um mecanismo alternativo de transferência de dados para continuar as transferências de dados pessoais para os EUA. a transferência é necessária para a execução de um contrato), devendo também ser considerados os SCCs ou as Regras Corporativas Vinculativas como mecanismos alternativos.
Em suma, as empresas sujeitas ao GDPR devem considerar
(i) seus fluxos de dados para os EUA,
(ii) o respectivo mecanismo legal para tais transferências para os EUA, e
(iii) se o Escudo de Privacidade UE-EUA for o mecanismo de transferência atual, estabelecer um mecanismo de transferência legítimo para tais atividades.
O que o Convert fará
- Fique atento às orientações das autoridades supervisoras, do Conselho Europeu de Proteção de Dados e da Comissão Europeia.
- Avalie quais dados estão sendo transferidos para fora da UE e em que base, realizando um exercício de Mapeamento de Dados. Neste exercício, procuramos:
- Transferências de dados para organizações que participam do Privacy Shield,
- Transferências de dados que dependem de Cláusulas Contratuais Padrão - observe quaisquer transferências de dados para importadores dos EUA que dependem de SCCs em particular,
- Transferências de dados que dependem de regras corporativas vinculantes e que envolvem transferências de dados para os EUA.
- Informe os usuários ativos e de teste usando mensagens no aplicativo sobre as próximas ações. Em suma, para nossos clientes cujas transferências de dados da UE já estavam cobertas por SCCs, nada precisa ser feito. Para aqueles que foram anteriormente cobertos pelo Privacy Shield, a adoção das cláusulas contratuais padrão da UE (SCCs) é um caminho necessário. Se você é um cliente Convert que deseja incorporar SCCs, seu Convert Customer Success Hero entrará em contato com você para iniciar o processo de incorporação das Cláusulas Contratuais Padrão em nosso(s) contrato(s) atual(is) com você.
- Assine Contratos de Processamento de Dados (DPAs) e/ou Cláusulas Contratuais Padrão (SCCs) atualizados com todos os subprocessadores.
- Entre em contato com o Privacy Shield para receber atualizações sobre a decisão do Schrems II.
- Atualize nosso Aviso de Privacidade para incluir um link para SCCs pré-assinados.
- Atualize a página do DPA para refletir o status atual.
- Fique de olho em outros mecanismos de transferência de dados.
