Em nossa coluna anterior, abordamos o caso do compartilhamento indiscriminado dos dados dos usuários da empresa TikTok para fins comerciais e políticos com o governo chinês – fato que causou discussão mundial a respeito do tratamento e da privacidade de dados, e motivou a proibição do uso do aplicativo por agentes públicos e seu banimento no Estado de Montana, nos Estados Unidos.
Retornamos ao tema do compartilhamento de dados pelas empresas de tecnologia, em função de notícia, divulgada recentemente, de que o Conselho Europeu de Proteção de Dados multou a empresa META em 1,2 bilhão de euros por violação de normas da União Europeia sobre privacidade. A punição se fundamentou na transferência não autorizada dos dados pessoais dos usuários da empresa na União Europeia para seus servidores nos Estados Unidos.
A multa recorde constituiu a maior sanção já imposta por violação de privacidade no bloco europeu, em razão da não observância das regras do Regulamento Geral de Proteção de Dados – G.D.P.R.1
Além da multa, a META ainda foi obrigada a interromper o fluxo de informações de processamento de dados pessoais de usuários europeus nos Estados Unidos em até 5 meses. Essa decisão se aplica apenas à META (Facebook) e não ao Instagram e ao WhatsApp, empresas coligadas.
Foi a Comissão Irlandesa de Proteção de Dados (Data Protection Comission – DPC) - órgão regulador que supervisiona as questões de privacidade da União Europeia (EU), atuando em nome do Conselho Europeu de Proteção de Dados (EDPB) -, quem ordenou a aplicação da multa administrativa.2
O fato gerador da referida multa foi a infração da lei do território sobre privacidade de usuários na internet, uma vez que a META utilizou dados de usuários para lhes encaminhar anúncios baseados em seus comportamentos. A decisão pode afetar dados relacionados a fotos, conexões de amigos e mensagens diretas armazenadas pela META.
O caso revela, acima de tudo, a disparidade do tratamento legislativo dado à proteção de dados na União Europeia e nos EUA, onde é permitido às agências de inteligência a interceptação de comunicações do exterior, incluindo correspondência digital.3
Os fundamentos utilizados pelo Conselho Europeu para a aplicação da medida foram os seguintes: “(i) A lei dos EUA não fornece um nível de proteção que seja essencialmente equivalente ao previsto pela legislação da EU; (ii) A Meta Ireland não possui medidas suplementares que compensem a proteção inadequada fornecida pela lei dos EUA; e, (iii) A Meta Ireland não pode invocar as derrogações previstas no artigo 49(1) GDPR, ou qualquer um deles, ao fazer as transferências de dados.”4
Segundo a META, o problema ocorreu em razão de um conflito legislativo entre as normas dos EUA sobre acesso aos dados e os direitos de privacidade dos europeus. Sustenta a empresa que “a capacidade de transferência de dados entre fronteiras é fundamental para o funcionamento da internet aberta global. Milhares de empresas e outras organizações contam com a capacidade de transferir dados entre a EU e os EUA para operar e fornecer serviços que as pessoas usam todos os dias”.5
A presidente do EDPB, Andrea Jelinek, afirmou que “a violação do Meta IE é muito grave, pois diz respeito a transferências sistemáticas, repetitivas e contínuas. O Facebook tem milhões de usuários na Europa, então o volume de dados pessoais transferidos é enorme. A multa sem precedentes é um forte sinal para as organizações de que infrações graves têm consequências de longo alcance”.6
Essa não é a primeira multa imposta contra a META na UE por causa de violações cometidas por Facebook, WhatsApp e Instagram. Em janeiro de 2023, a empresa foi multada em 390 milhões de euros por forçar os usuários a aceitar anúncios personalizados como condição para usar o Facebook. Em novembro, foi multada em 265 milhões de euros por vazamento de dados.7
Em 2021, a multa por violação de privacidade foi aplicada contra a Amazon em 746 milhões de euros, em razão do processamento de dados pessoais não estar em conformidade com o Regulamento Geral de Proteção de Dados. Não foi a primeira vez que a Amazon foi multada. No final de 2020, já tinha sido multada em 35 milhões de euros, por não respeitar a legislação sobre ‘cookies’.
A origem do caso
Em 2011, o austríaco Max Schrems, ativista na área de privacidade de dados, propôs uma ação coletiva contra o Facebook alegando a possibilidade de riscos de espionagem por parte dos EUA em razão de a companhia compartilhar dados de usuários europeus à Agencia de Segurança Nacional dos Estados Unidos.
O Tribunal de Justiça da União Europeia, em Luxemburgo, julgou em 2015 que o tratado transatlântico de proteção de dados (conhecido como Safe Harbour, no qual empresas como a rede social Facebook se baseiam) é "inválido", uma vez que não protege adequadamente as informações privadas dos cidadãos. Em consequência desse julgamento, o Tribunal invalidou o acordo entre a UE e os Estados Unidos para a transferência de dados pessoais.8
A partir do caso Schrems, o Tribunal de Justiça da União Europeia anunciou que a decisão implicaria na necessidade de as autoridades irlandesas investigarem se a transferência de dados de cidadãos europeus aos EUA deveria ser suspensa, "com base no fato de que o país não fornecia um nível adequado de proteção aos dados pessoais".9
A queixa de Schrems, na época, se baseou no fato de que o Safe Harbour, assinado em 2000 por Bruxelas e Washington, permitia o compartilhamento de dados de milhares de empresas, e que uma lei de quinze anos atrás não oferecia mecanismos seguros para garantir a privacidade dos cidadãos europeus, em meio ao escândalo de espionagem iniciado pelas revelações do ex-consultor na NSA, Edward Snowden.
No mesmo ano, Schrems fundou a organização “Europa versus Facebook”, que atua investigando possíveis falhas e abusos nas políticas de privacidade das redes sociais - Facebook, Apple, Microsoft e o Skype na Alemanha, Irlanda e Luxemburgo, locais sedes dessas empresas.
Depois da revogação do Safe Harbor, foi avençado um outro acordo de compartilhamento de dados (conhecido como Privacy Shield) que, em 2020, acabou sendo invalidado pelo Tribunal de Justiça Europeu, pois não oferecia proteção suficiente aos dados dos cidadãos da UE contra as leis de vigilância dos EUA.10
De acordo com a Comissão de Proteção de Dados (DPC) da Irlanda, a META continuou a transferir dados, ignorando a decisão judicial anterior que impedia a transferência de dados de usuários na UE para os Estados Unidos.
Acordo de proteção de dados entre os EUA e a União Europeia
Um novo acordo de proteção de dados entre o governo dos EUA e a União Europeia vem sendo articulado. De acordo com as autoridades envolvidas, a proposta pode estar pronta até meados do presente semestre. O Trans-Atlantic Data Privacy Framework reflete mais de um ano de negociações entre os EUA e a EU.11
A nova proposta pretende promover os fluxos transatlânticos de dados e atenderá às preocupações levantadas pelo Tribunal de Justiça da União Europeia no caso Schrems II, em decisão de julho de 2020.
Conforme se pronunciou a Casa Branca, “este quadro irá restabelecer um importante mecanismo legal para transferências de dados pessoais da UE para os Estados Unidos. Os Estados Unidos se comprometeram a implementar novas salvaguardas para garantir que as atividades de inteligência de sinais sejam necessárias e proporcionais na busca de objetivos de segurança nacional definidos, o que garantirá a privacidade dos dados pessoais da UE e criará um novo mecanismo para indivíduos da UE buscarem reparação se eles acreditam que são alvos ilegais de atividades de inteligência de sinais. Este acordo, em princípio, reflete a força do duradouro relacionamento EUA-UE, à medida que continuamos a aprofundar nossa parceria com base em nossos valores democráticos compartilhados.”12
A nova estrutura pretende facilitar a cooperação entre os EUA e a UE, inclusive por meio do Conselho de Comércio e Tecnologia e de fóruns multilaterais, como a Organização para Cooperação e Desenvolvimento Econômico, sobre políticas digitais.
Segundo a proposta, há uma tentativa de se desenvolver uma base durável para os fluxos de dados entre a Europa e os EUA, essenciais para proteger os direitos dos cidadãos e permitir o comércio transatlântico em todos os setores da economia, inclusive para pequenas e médias empresas. Ainda, de acordo com o documento, pretende-se promover os fluxos de dados transfronteiriços promovendo uma economia digital inclusiva na qual todas as pessoas podem participar, inclusive empresas de todos os portes.13
A expectativa - sobretudo, por parte das big techs - é que essa nova proposta regulatória seja aprovada e implementada antes do prazo de 5 meses (imposto juntamente com a multa aplicada), evitando a interrupção do fluxo de informações de usuários europeus nos Estados Unidos.
Ainda e sempre... os desafios regulatórios da proteção de dados
Como visto, a decisão prejudica diretamente os negócios do Facebook na Europa, principalmente a capacidade da empresa em direcionar anúncios. De acordo com os representantes da Meta, “sem a capacidade de transferir dados através das fronteiras, a internet corre o risco de ser dividida em silos nacionais e regionais”.14
De acordo com Susan Li, diretora financeira da Meta, cerca de 10% de sua receita publicitária mundial advém de anúncios entregues a usuários do Facebook na UE. Somente no ano de 2022, a Meta teve uma receita de quase US$ 117 bilhões.15
A aplicação da multa recorde à Meta ocorre quase no aniversário de cinco anos de vigência do Regulamento Geral de Proteção de Dados. Considerado inicialmente um modelo de regulação, a lei vem sendo alvo de muitas críticas por parte da sociedade civil e de militantes na área da privacidade, em razão da falta de efetividade de seu cumprimento.
De todo modo, a decisão proferida pela Corte Europeia representa um significativo marco na proteção de dados, não sendo mais possível se admitir um modelo de livre circulação voltado essencialmente a atender os interesses de empresas privadas. A fiscalização e a implementação de políticas governamentais adequadas são imprescindíveis para a efetividade da proteção de dados ao redor do mundo.
__________
1 EUR – LEX. Access to European Union Law. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:02016R0679-20160504. Acesso em 22 de maio de 2023.
2 European Data Protection Boarding. Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation. Disponível em: https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf. Acesso em 22 de maio de 2023.
3 REUTERS. Meta é atingida com multa recorde de US$ 1,3 bilhão por transferência de dados. Disponível aqui. Acesso em 23 de maio de 2023.
4 European Data Protection Boarding. Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation. Disponível em: https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf. Acesso em 22 de maio de 2023.
5 REUTERS. Meta é atingida com multa recorde de US$ 1,3 bilhão por transferência de dados. Disponível aqui. Acesso em 23 de maio de 2023.
6 European Data Protection Boarding. 1.2 billion euro fine for facebook as a resulto f EDPB binding decision. Disponível aqui. Acesso em 22 e maio de 2023.
7 The New York Times. Meta Fined $1.3 Billion for Violating E.U. Data Privacy Rules. Disponível em: https://www.nytimes.com/2023/05/22/business/meta-facebook-eu-privacy-fine.html. Acesso em 22 de maio de 2022.
8 Acórdão do Tribunal de Justiça da União Europeia (“o TJUE”), entregue em 16 de julho de 2020, no caso C-311/18 Data Protection Commissioner v Facebook Ireland Ltd e Maximillian Schrems EU:C:2020:559.
9 European Data Protection Boarding. Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation. Disponível aqui. Acesso em 22 de maio de 2023.
10 EU court invalidates Privacy Shield data transfer agrément. Disponível aqui. Acesso em 23 de maio de 2023.
11 The White House. FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework. Disponível aqui. Acesso em 23 de maio de 2023.
12 Idem.
13 Idem.
14 The New York Times. Meta Fined $1.3 Billion for Violating E.U. Data Privacy Rules. Disponível aqui. Acesso em 22 de maio de 2022.
15 Meta Reports Fourth Quarter and Full Year 2022 Results. Disponível aqui. Acesso em 23 de maio de 2023.