Assine para receber notificações de novos posts:

Rumo a uma estrutura global para fluxos de dados internacionais e proteção da privacidade

2023-01-27

5 min. de leitura
Este post também está disponível em English, 繁體中文, Français, Deutsch e 简体中文.

À medida que as nossas sociedades e economias dependem cada vez mais das tecnologias digitais, aumenta a necessidade de partilhar e transferir dados, incluindo dados pessoais, através da internet. Os fluxos de dados internacionais tornaram-se essenciais para o comércio internacional e o desenvolvimento econômico global. Na verdade, a transformação digital da economia global nunca poderia ter acontecido, como aconteceu, sem a arquitetura aberta e global da internet e a capacidade de os dados transcenderem as fronteiras nacionais. Conforme descrevemos em nosso post no blog ontem, a localização de dados não melhora necessariamente a privacidade dos dados. Na verdade, pode haver benefícios reais para a segurança dos dados e, por extensão, para a privacidade, se formos capazes de transferir dados além das fronteiras. Assim, com o Dia da privacidade de dados chegando, amanhã, queríamos aproveitar esta oportunidade para detalhar o ambiente atual para a transferência de dados pessoais da UE para os EUA, que é regido pelo regulamento de privacidade da UE (GDPR). Pensando no futuro, defenderemos uma estrutura internacional global de transferência de dados mais estável, que será fundamental para uma internet aberta, mais segura e mais privada.

Towards a global framework for cross-border data flows and privacy protection

O desafio da privacidade para os fluxos de dados internacionais

Na última década, observamos uma tendência crescente em todo o mundo de cercar a internet e erguer novas barreiras aos fluxos internacionais de dados, especialmente dados pessoais. Em alguns casos, isso resultou em menos opções e pior desempenho para os usuários de produtos e serviços digitais. Em outros casos, limitou o livre acesso à informação e, paradoxalmente, em alguns casos, isso resultou em ainda menos segurança e privacidade de dados, o que é contrário à própria lógica dos regulamentos de proteção de dados. Os motivos para estes desenvolvimentos preocupantes são múltiplos, desde a falta de confiança no que diz respeito à proteção da privacidade em países terceiros, à afirmação da segurança nacional, à procura da autodeterminação econômica.

Na União Europeia, nos últimos anos, mesmo as empresas mais focadas em privacidade (como a Cloudflare) enfrentaram uma série de especulações e preocupações de algumas autoridades de proteção de dados linha-dura, ativistas de privacidade e outros sobre se os dados processados por provedores de serviços em nuvem dos EUA poderiam realmente ser processados de uma maneira que estejam em conformidade com o GDPR. Muitas vezes, essas preocupações são puramente legalistas e não levam em consideração os riscos reais associados a uma transferência de dados específica e, no caso da Cloudflare, a contribuição essencial de nossos serviços para a segurança e a privacidade de milhões de usuários europeus da internet. De fato, a orientação oficial do European Data Protection Board (EDPB) confirmou que os dados pessoais da UE ainda podem ser processados nos EUA, mas isso se tornou bastante complicado desde a suspensão da estrutura do Privacy Shield pelo Tribunal de Justiça Europeu com seu Julgamento Schrems II de 2020: os controladores de dados devem usar mecanismos legais de transferência, como cláusulas contratuais padrão da UE, bem como uma série de salvaguardas legais, técnicas e organizacionais adicionais.

No entanto, cabe, em última análise, às autoridades competentes de proteção de dados decidir se tais medidas são suficientes em uma interpretação caso a caso. Como esses casos costumam ser bastante complexos, como cada caso é diferente e como existem 45 autoridades de proteção de dados apenas na Europa, essa abordagem simplesmente não é escalável. Além disso, os DPAs, às vezes até dentro do mesmo país da UE (Alemanha), discordaram em sua interpretação da lei quando se trata de transferências de países terceiros. E quando se trata de uma decisão judicial real, é nossa experiência que os tribunais tendem a ser mais pragmáticos e equilibrados sobre a proteção de dados do que os DPAs. Mas demanda muito tempo e muitos recursos antes que um caso de proteção de dados acabe em um tribunal. Isso é particularmente problemático para pequenas empresas que não podem arcar com longas batalhas legais. Como resultado, a ameaça teórica de uma multa pesada de um DPA pode criar um impedimento suficiente para que eles parem de usar serviços que envolvam transferências de dados de países terceiros, mesmo que esses serviços ofereçam maior segurança e privacidade para os dados pessoais que eles processam, e os tornem mais produtivos. Isso claramente não é do interesse da economia europeia e provavelmente não era a intenção dos formuladores de políticas ao adotar o GDPR em 2016.

A boa notícia: ainda há esperança

Embora os desenvolvimentos recentes não resolvam todos os desafios mencionados acima, em dezembro passado, após anos de negociações complexas, os formuladores de políticas internacionais deram dois passos importantes para restaurar a segurança e a confiança jurídica relacionadas aos fluxos internacionais de dados pessoais.

Em 13 de dezembro de 2022, a Comissão Europeia publicou sua tão esperada avaliação preliminar de que a UE considerou que os dados pessoais transferidos da UE para os EUA, sob o futuro Data Privacy Framework (DPF) UE-EUA, gozam de um nível adequado de proteção nos Estados Unidos. A avaliação segue a recente assinatura da Ordem Executiva 14086 do presidente dos EUA, Joe Biden, que abordou de forma abrangente as preocupações expressas pelo Tribunal Europeu de Justiça (ECJ) em sua decisão Schrems II de 2020. Notavelmente, o governo dos EUA imporá limites adicionais ao uso de métodos de vigilância em massa pelas autoridades dos EUA contra cidadãos não americanos e criará um mecanismo de reparação independente nos EUA que permite que os titulares de dados da UE exerçam seus direitos de proteção de dados. Embora a avaliação inicial da Comissão seja apenas o início de um processo de ratificação da UE que deve levar cerca de 4 a 6 meses, os especialistas estão muito otimistas de que ela será adotada no final.

Apenas um dia depois, os EUA, juntamente com os outros 37 países da OCDE e da União Europeia, adotaram um acordo inédito para aumentar a confiança nos fluxos de dados internacionais entre sistemas democráticos do estado de direito, articulando princípios conjuntos de salvaguardas para proteger a privacidade e outros direitos humanos e liberdades quando os governos acessam dados pessoais mantidos por entidades privadas por motivos de segurança nacional e aplicação da lei. Onde as estruturas legais exigem que os fluxos de dados internacionais estejam sujeitos a salvaguardas, como no caso do GDPR na UE, os participantes concordaram em “levar em consideração a implementação efetiva dos princípios por um país de destino como uma contribuição positiva para facilitar os fluxos de dados internacionais na aplicação dessas regras”. (Também é bom observar que, de acordo com a missão da Cloudflare de ajudar a construir uma internet melhor, a declaração da OCDE lembra o compromisso compartilhado dos membros com uma “Internet global, aberta, acessível, interconectada, interoperável, confiável e segura”).

O futuro: uma estrutura de privacidade verdadeiramente global

O DPF UE-EUA e a Declaração da OCDE são complementares entre si e marcam passos importantes para restaurar a confiança nos fluxos de dados internacionais entre países que compartilham valores comuns como a democracia e o estado de direito, protegendo a privacidade e outros direitos e liberdades humanos. No entanto, ambas as abordagens vêm com suas próprias limitações: o DPF é limitado a transferências de dados pessoais da UE para os EUA. Além disso, não se pode excluir que seja novamente invalidado pelo ECJ dentro de alguns anos, pois os ativistas da privacidade já anunciaram que o contestarão legalmente de novo. A Declaração da OCDE, por outro lado, tem alcance global, mas se limita a princípios gerais para governos, que podem ser interpretados de forma bem diferente na prática.

É por isso que, além desses esforços, precisamos de uma estrutura multilateral estável com requisitos específicos de proteção à privacidade, que não podem ser invalidados unilateralmente. Uma única certificação global deve ser suficiente para as empresas participantes transferirem dados pessoais com segurança entre os países participantes em todo o mundo. A certificação Global Cross Border Privacy Rules (CBPR), que surgiu recentemente, já é apoiada por vários governos da América do Norte e da Ásia e parece muito promissora a esse respeito.

Os formuladores de políticas europeus precisarão, em última análise, decidir se desejam continuar no caminho atual, que corre o risco de deixar a Europa para trás como uma ilha de dados isolada. Como alternativa, a UE poderia revisar seu regulamento de privacidade com o objetivo de evitar que as muitas autoridades de proteção de dados nacionais e regionais da Europa o interpretem de uma forma que esteja fora de contato com a realidade. Também poderia torná-lo interoperável com uma estrutura global para fluxos de dados internacionais com base em valores compartilhados e confiança mútua.

A Cloudflare continuará a se envolver ativamente com os formuladores de políticas em todo o mundo para criar consciência sobre os desafios práticos que nosso setor enfrenta e trabalhar em soluções políticas sustentáveis para uma internet aberta e interconectada, mais privada e segura.

O Dia da privacidade de dados, amanhã, oferece uma ocasião única para todos nós comemorarmos o progresso significativo alcançado até agora para proteger a privacidade dos usuários on-line. Ao mesmo tempo, devemos usar este dia para refletir sobre como os regulamentos podem ser adaptados ou aplicados de forma a proteger a privacidade de forma mais significativa, principalmente priorizando o uso de tecnologias de segurança e de aprimoramento da privacidade em vez de abordagens proibitivas que prejudicam a economia sem benefícios de privacidade tangíveis.

Protegemos redes corporativas inteiras, ajudamos os clientes a criarem aplicativos em escala de internet com eficiência, aceleramos qualquer site ou aplicativo de internet, evitamos os ataques de DDoS, mantemos os invasores afastados e podemos ajudar você em sua jornada rumo ao Zero Trust.

Acesse 1.1.1.1 a partir de qualquer dispositivo para começar a usar nosso aplicativo gratuito que torna sua internet mais rápida e mais segura.

Para saber mais sobre nossa missão de construir uma internet melhor, comece aqui. Se estiver procurando uma nova carreira para trilhar, confira nossas vagas disponíveis.
Data Privacy DayPrivacy

Seguir no X

Sebastian Hufnagel|@horatio2000
Cloudflare|@cloudflare

Posts relacionados

25 de setembro de 2024 às 13:00

New standards for a faster and more private Internet

Cloudflare's customers can now take advantage of Zstandard (zstd) compression, offering 42% faster compression than Brotli and 11.3% more efficiency than GZIP. We're further optimizing performance for our customers with HTTP/3 prioritization and BBR congestion control, and enhancing privacy through Encrypted Client Hello (ECH)....

24 de setembro de 2024 às 13:00

Cloudflare helps verify the security of end-to-end encrypted messages by auditing key transparency for WhatsApp

Cloudflare is now verifying WhatsApp’s Key Transparency audit proofs to ensure the security of end-to-end encrypted messaging conversations without having to manually check QR codes. We are publishing the results of the proof verification to https://dash.key-transparency.cloudflare.com for independent researchers and security experts to compare against WhatsApp’s. Cloudflare does not have access to underlying public key material or message metadata as part of this infrastructure....

24 de setembro de 2024 às 13:00

Cloudflare partners with Internet Service Providers and network equipment providers to deliver a safer browsing experience to millions of homes

Cloudflare is extending the use of our public DNS resolver through partnering with ISPs and network providers to deliver a safer browsing experience directly to families. Join us in protecting every Internet user from unsafe content with the click of a button, powered by 1.1.1.1 for Families....