À medida que as nossas sociedades e economias dependem cada vez mais das tecnologias digitais, aumenta a necessidade de partilhar e transferir dados, incluindo dados pessoais, através da internet. Os fluxos de dados internacionais tornaram-se essenciais para o comércio internacional e o desenvolvimento econômico global. Na verdade, a transformação digital da economia global nunca poderia ter acontecido, como aconteceu, sem a arquitetura aberta e global da internet e a capacidade de os dados transcenderem as fronteiras nacionais. Conforme descrevemos em nosso post no blog ontem, a localização de dados não melhora necessariamente a privacidade dos dados. Na verdade, pode haver benefícios reais para a segurança dos dados e, por extensão, para a privacidade, se formos capazes de transferir dados além das fronteiras. Assim, com o Dia da privacidade de dados chegando, amanhã, queríamos aproveitar esta oportunidade para detalhar o ambiente atual para a transferência de dados pessoais da UE para os EUA, que é regido pelo regulamento de privacidade da UE (GDPR). Pensando no futuro, defenderemos uma estrutura internacional global de transferência de dados mais estável, que será fundamental para uma internet aberta, mais segura e mais privada.
O desafio da privacidade para os fluxos de dados internacionais
Na última década, observamos uma tendência crescente em todo o mundo de cercar a internet e erguer novas barreiras aos fluxos internacionais de dados, especialmente dados pessoais. Em alguns casos, isso resultou em menos opções e pior desempenho para os usuários de produtos e serviços digitais. Em outros casos, limitou o livre acesso à informação e, paradoxalmente, em alguns casos, isso resultou em ainda menos segurança e privacidade de dados, o que é contrário à própria lógica dos regulamentos de proteção de dados. Os motivos para estes desenvolvimentos preocupantes são múltiplos, desde a falta de confiança no que diz respeito à proteção da privacidade em países terceiros, à afirmação da segurança nacional, à procura da autodeterminação econômica.
Na União Europeia, nos últimos anos, mesmo as empresas mais focadas em privacidade (como a Cloudflare) enfrentaram uma série de especulações e preocupações de algumas autoridades de proteção de dados linha-dura, ativistas de privacidade e outros sobre se os dados processados por provedores de serviços em nuvem dos EUA poderiam realmente ser processados de uma maneira que estejam em conformidade com o GDPR. Muitas vezes, essas preocupações são puramente legalistas e não levam em consideração os riscos reais associados a uma transferência de dados específica e, no caso da Cloudflare, a contribuição essencial de nossos serviços para a segurança e a privacidade de milhões de usuários europeus da internet. De fato, a orientação oficial do European Data Protection Board (EDPB) confirmou que os dados pessoais da UE ainda podem ser processados nos EUA, mas isso se tornou bastante complicado desde a suspensão da estrutura do Privacy Shield pelo Tribunal de Justiça Europeu com seu Julgamento Schrems II de 2020: os controladores de dados devem usar mecanismos legais de transferência, como cláusulas contratuais padrão da UE, bem como uma série de salvaguardas legais, técnicas e organizacionais adicionais.
No entanto, cabe, em última análise, às autoridades competentes de proteção de dados decidir se tais medidas são suficientes em uma interpretação caso a caso. Como esses casos costumam ser bastante complexos, como cada caso é diferente e como existem 45 autoridades de proteção de dados apenas na Europa, essa abordagem simplesmente não é escalável. Além disso, os DPAs, às vezes até dentro do mesmo país da UE (Alemanha), discordaram em sua interpretação da lei quando se trata de transferências de países terceiros. E quando se trata de uma decisão judicial real, é nossa experiência que os tribunais tendem a ser mais pragmáticos e equilibrados sobre a proteção de dados do que os DPAs. Mas demanda muito tempo e muitos recursos antes que um caso de proteção de dados acabe em um tribunal. Isso é particularmente problemático para pequenas empresas que não podem arcar com longas batalhas legais. Como resultado, a ameaça teórica de uma multa pesada de um DPA pode criar um impedimento suficiente para que eles parem de usar serviços que envolvam transferências de dados de países terceiros, mesmo que esses serviços ofereçam maior segurança e privacidade para os dados pessoais que eles processam, e os tornem mais produtivos. Isso claramente não é do interesse da economia europeia e provavelmente não era a intenção dos formuladores de políticas ao adotar o GDPR em 2016.
A boa notícia: ainda há esperança
Embora os desenvolvimentos recentes não resolvam todos os desafios mencionados acima, em dezembro passado, após anos de negociações complexas, os formuladores de políticas internacionais deram dois passos importantes para restaurar a segurança e a confiança jurídica relacionadas aos fluxos internacionais de dados pessoais.
Em 13 de dezembro de 2022, a Comissão Europeia publicou sua tão esperada avaliação preliminar de que a UE considerou que os dados pessoais transferidos da UE para os EUA, sob o futuro Data Privacy Framework (DPF) UE-EUA, gozam de um nível adequado de proteção nos Estados Unidos. A avaliação segue a recente assinatura da Ordem Executiva 14086 do presidente dos EUA, Joe Biden, que abordou de forma abrangente as preocupações expressas pelo Tribunal Europeu de Justiça (ECJ) em sua decisão Schrems II de 2020. Notavelmente, o governo dos EUA imporá limites adicionais ao uso de métodos de vigilância em massa pelas autoridades dos EUA contra cidadãos não americanos e criará um mecanismo de reparação independente nos EUA que permite que os titulares de dados da UE exerçam seus direitos de proteção de dados. Embora a avaliação inicial da Comissão seja apenas o início de um processo de ratificação da UE que deve levar cerca de 4 a 6 meses, os especialistas estão muito otimistas de que ela será adotada no final.
Apenas um dia depois, os EUA, juntamente com os outros 37 países da OCDE e da União Europeia, adotaram um acordo inédito para aumentar a confiança nos fluxos de dados internacionais entre sistemas democráticos do estado de direito, articulando princípios conjuntos de salvaguardas para proteger a privacidade e outros direitos humanos e liberdades quando os governos acessam dados pessoais mantidos por entidades privadas por motivos de segurança nacional e aplicação da lei. Onde as estruturas legais exigem que os fluxos de dados internacionais estejam sujeitos a salvaguardas, como no caso do GDPR na UE, os participantes concordaram em “levar em consideração a implementação efetiva dos princípios por um país de destino como uma contribuição positiva para facilitar os fluxos de dados internacionais na aplicação dessas regras”. (Também é bom observar que, de acordo com a missão da Cloudflare de ajudar a construir uma internet melhor, a declaração da OCDE lembra o compromisso compartilhado dos membros com uma “Internet global, aberta, acessível, interconectada, interoperável, confiável e segura”).
O futuro: uma estrutura de privacidade verdadeiramente global
O DPF UE-EUA e a Declaração da OCDE são complementares entre si e marcam passos importantes para restaurar a confiança nos fluxos de dados internacionais entre países que compartilham valores comuns como a democracia e o estado de direito, protegendo a privacidade e outros direitos e liberdades humanos. No entanto, ambas as abordagens vêm com suas próprias limitações: o DPF é limitado a transferências de dados pessoais da UE para os EUA. Além disso, não se pode excluir que seja novamente invalidado pelo ECJ dentro de alguns anos, pois os ativistas da privacidade já anunciaram que o contestarão legalmente de novo. A Declaração da OCDE, por outro lado, tem alcance global, mas se limita a princípios gerais para governos, que podem ser interpretados de forma bem diferente na prática.
É por isso que, além desses esforços, precisamos de uma estrutura multilateral estável com requisitos específicos de proteção à privacidade, que não podem ser invalidados unilateralmente. Uma única certificação global deve ser suficiente para as empresas participantes transferirem dados pessoais com segurança entre os países participantes em todo o mundo. A certificação Global Cross Border Privacy Rules (CBPR), que surgiu recentemente, já é apoiada por vários governos da América do Norte e da Ásia e parece muito promissora a esse respeito.
Os formuladores de políticas europeus precisarão, em última análise, decidir se desejam continuar no caminho atual, que corre o risco de deixar a Europa para trás como uma ilha de dados isolada. Como alternativa, a UE poderia revisar seu regulamento de privacidade com o objetivo de evitar que as muitas autoridades de proteção de dados nacionais e regionais da Europa o interpretem de uma forma que esteja fora de contato com a realidade. Também poderia torná-lo interoperável com uma estrutura global para fluxos de dados internacionais com base em valores compartilhados e confiança mútua.
A Cloudflare continuará a se envolver ativamente com os formuladores de políticas em todo o mundo para criar consciência sobre os desafios práticos que nosso setor enfrenta e trabalhar em soluções políticas sustentáveis para uma internet aberta e interconectada, mais privada e segura.
O Dia da privacidade de dados, amanhã, oferece uma ocasião única para todos nós comemorarmos o progresso significativo alcançado até agora para proteger a privacidade dos usuários on-line. Ao mesmo tempo, devemos usar este dia para refletir sobre como os regulamentos podem ser adaptados ou aplicados de forma a proteger a privacidade de forma mais significativa, principalmente priorizando o uso de tecnologias de segurança e de aprimoramento da privacidade em vez de abordagens proibitivas que prejudicam a economia sem benefícios de privacidade tangíveis.