As empresas esperam mover dados pessoais entre a União Europeia e os EUA com menos riscos legais em 2023, quando um novo acordo transatlântico sobre privacidade de dados deve entrar em vigor após mais de dois anos de disputas geopolíticas.
Um acordo que permite que as empresas transfiram dados entre as jurisdições deve entrar em vigor nos próximos meses, disseram autoridades europeias. Este mês, a Comissão Europeia, o braço executivo da UE, publicou um rascunho de acordo que permitiria transferências de dados mais simples para os EUA
Os países membros da UE ainda precisam aprovar o acordo, enquanto os reguladores devem avaliar nos próximos meses.
A estrutura substituiria um acordo de privacidade transatlântico anterior, o Privacy Shield, que o Supremo tribunal da UE invalidado em 2020, dizendo que a vigilância do governo americano representava riscos à privacidade dos europeus. Desde então, as empresas transferiram dados para os EUA usando contratos com termos de privacidade específicos que atendem aos altos padrões da UE. Ainda assim, fazer isso tem sido arriscado: tem havido um volume crescente de decisões dos reguladores europeus de proteção de dados restringindo as maneiras pelas quais as empresas podem mover dados para os EUA e impedindo-os de usar fornecedores de tecnologia americanos.
Alguns reguladores declararam ilegal o uso de serviços como
Alfabeto Inc.
Google Analytics, empresa de segurança na nuvem
Cloudflare Inc.
e
Microsoft Corpo
Produtos Office 365. As empresas europeias se perguntam se estão convidando o escrutínio se usarem qualquer número de produtos tecnológicos americanos populares, disse Carlo Piltz, sócio da Piltz Legal, um escritório de advocacia em Berlim.
Em uma instância inicial, o regulador de privacidade austríaco disse em janeiro que uma empresa havia violado o Regulamento Geral de Proteção de Dados, a ampla lei de privacidade da UE, usando o Google Analytics– embora o Google tenha dito que aplicou proteções de segurança. O regulador sustentou que o Google Analytics rastreia os dados pessoais dos usuários do site e os transfere para os EUA. Reguladores italianos e dinamarqueses posteriormente emitiram decisões semelhantes.
“Existe definitivamente o risco de usar serviços baseados nos Estados Unidos”, disse Piltz.
Desde a decisão judicial de 2020, os provedores de tecnologia americanos têm procurado tranquilizar os clientes europeus, dizendo que seus dados podem ser armazenados na UE. Alguns defensores da privacidade, no entanto, contestaram esses acordos, argumentando que, de acordo com o US CLOUD Act de 2018, as empresas sediadas nos EUA ainda podem ser obrigadas a compartilhar dados pessoais com as autoridades americanas.
No ano passado, o Conselho Europeu de Proteção de Dados, o grupo abrangente de reguladores de privacidade da UE, disse que as empresas deveriam usar criptografia e outras ferramentas tecnológicas para proteger dados pessoais se usarem um serviço de nuvem que possa transferir informações para fora da UE.
Os oficiais de privacidade corporativa veem o próximo acordo transatlântico como uma saída para a atual situação legal precária.
Não será “uma varinha de condão e fará com que todos esses problemas desapareçam, mas certamente fornecerá às empresas e reguladores mais certeza”, disse Caitlin Fennessy, vice-presidente e diretora de conhecimento da Associação Internacional de Profissionais de Privacidade.
Em outubro – depois que as autoridades da UE e dos EUA trabalharam no novo acordo por mais de um ano – o presidente Biden assinou uma ordem executiva destinado a abordar as preocupações do tribunal da UE sobre privacidade, principalmente suas objeções à vigilância ampla e à falta de opções de reparação para os europeus. Agora, os residentes da UE podem contestar o governo dos EUA em um tribunal recém-criado se acreditarem que estão sendo espionados.
Max Schrems, o advogado austríaco que apresentou a queixa legal que levou à derrubada do Privacy Shield, disse que a nova ordem executiva dos EUA ainda não oferece proteções suficientes para os europeus.
Uma vez que um acordo final UE-EUA esteja em vigor, os agentes de privacidade terão menos papelada para fazer, já que a linguagem extra do contrato não será mais necessária, disse Marja Lubbers, oficial de proteção de dados para os operadores da Bélgica e Luxemburgo da empresa de serviços de emprego Manpower Group. “A carga administrativa em minha função definitivamente se tornou muito maior” depois que o acordo de privacidade anterior entrou em colapso há dois anos, disse ela.
Após a decisão judicial de 2020, os reguladores europeus começaram a exigir que as empresas forneçam avaliações sobre a extensão da vigilância do governo nos países onde armazenam dados dos europeus. Muitas vezes, as empresas precisam contratar advogados nesses países para ajudar com essas redações, o que pode ser difícil, disse Piltz.
Os funcionários da UE que redigiram o rascunho do acordo de privacidade dizem esperar que ele enfrente desafios legais.
Assim que o acordo for fechado, as empresas precisarão ser certificadas para aproveitar suas proteções e mover dados com mais facilidade.
A Sra. Lubbers disse que ainda não tem certeza se o Manpower Group se inscreverá.
“Todo o tempo que você investe neste tópico, você pode se perguntar se vale a pena”, disse ela.
Escreva para Catherine Stupp em catherine.stupp@wsj.com
Copyright ©2022 Dow Jones & Company, Inc. Todos os direitos reservados. 87990cbe856818d5eddac44c7b1cdeb8