Privacy Shield – Rejeitado. GDPR – Aceito: O que isso significa para a sua organização e o que deve considerar fazer agora

O Grupo de Trabalho do Artigo 29 da União Europeia (Artigo 29) emitiu um parecer sobre o acordo-quadro proposto entre a UE e os EUA sobre o Escudo de Proteção da Privacidade (Privacy Shield) no início desta semana, afirmando que, embora o Escudo de Proteção da Privacidade fosse um «grande passo em frente», o grupo do Artigo 29 identificou várias áreas nas quais considerou o Privacy Shield inaceitável, incluindo o facto de permitir que os EUA realizem vigilância em massa «massiva e indiscriminada» dos cidadãos da União Europeia. Por outro lado, apenas um dia depois, em 14 de abril de 2016, o Parlamento Europeu aprovou definitivamente o novo Regulamento Geral sobre a Proteção de Dados (RGPD) da UE, após quatro anos de trabalho entre os Estados-Membros.

Embora muitas organizações americanas fiquem desapontadas ao saber da rejeição do Privacy Shield pelo grupo do Artigo 29, uma vez que este não oferece «proteção adequada» aos residentes da UE, isso não deve ser uma surpresa. O Grupo do Artigo 29.º continuou a manifestar preocupações quanto à possibilidade de recolha em massa «massiva e indiscriminada» de dados pessoais da UE pelas autoridades americanas. No entanto, o Grupo do Artigo 29.º levantou também outras preocupações, referindo que, a menos que estas questões sejam resolvidas, poderá ser apresentada uma contestação semelhante à do Escudo de Proteção da Privacidade contra o Safe Harbor no Tribunal de Justiça Europeu, invalidando assim o Escudo de Proteção da Privacidade.

O que deve começar a fazer hoje para se preparar para o RGPD e o Escudo de Proteção da Privacidade

O RGPD será aplicável a quase todas as organizações que monitorizam ou processam os dados pessoais de cidadãos europeus, independentemente da localização física do processador ou controlador. Embora as penalidades por não conformidade com o RGPD só sejam aplicadas a partir de meados de 2018, as organizações que recolhem ou processam os dados pessoais de cidadãos da UE podem ter muito trabalho a fazer para se prepararem. Da mesma forma, embora o Privacy Shield tenha encontrado alguns obstáculos à sua adoção, parece provável que seja adotado de alguma forma e as empresas que estão a considerar o Privacy Shield têm alguns preparativos a fazer antes de poderem adotá-lo. Recomendamos que as empresas considerem o seguinte para se prepararem para o RGPD e o Privacy Shield:

• Realize um inventário de dados para compreender quais dados pessoais a sua organização recolhe, como são processados, onde são armazenados, como são protegidos e quem pode ter acesso a eles. Implemente processos para realizar Avaliações de Impacto sobre a Privacidade se a sua organização estiver envolvida em processamento de alto risco (é provável que seja necessário realizar essa avaliação se a sua organização lidar com qualquer uma das categorias especiais específicas de dados pessoais). 
• Comece a redigir ou rever as suas políticas de segurança da informação escritas para garantir as medidas técnicas, administrativas e físicas adequadas para proteger os dados pessoais e empregar formação adequada para todos os seus funcionários. Certifique-se de que existem procedimentos para monitorizar continuamente a conformidade com essas políticas antes, durante e após o processamento de dados pessoais. Comece a realizar uma avaliação de lacunas e considere a participação em programas de certificação. 
• Manter registos detalhados do tratamento realizado aos dados pessoais. 
• Revise o seu processo de desenvolvimento de produtos para garantir que os riscos à privacidade sejam considerados no início do processo e que os seus produtos e serviços apenas recolham e mantenham a quantidade mínima de dados pessoais necessária para o desempenho adequado dos produtos e serviços. 
• Revise e atualize as políticas de privacidade para garantir que elas sejam facilmente acessíveis, redigidas em linguagem clara e simples e incluam a divulgação completa da sua recolha e processamento de dados. O Privacy Shield também exige que você implemente, e que a sua política de privacidade descreva, métodos para que os indivíduos tenham as suas reclamações atendidas. 
• Analise e revise os seus métodos de obtenção do consentimento dos titulares dos dados para garantir que um consentimento específico, informado e inequívoco seja fornecido antes do processamento dos dados. 
• Analise a sua capacidade de cumprir o direito do titular dos dados de ser esquecido e os novos direitos de portabilidade dos dados. Deve ser capaz de apagar dados pessoais e transferi-los para outro fornecedor, quando tecnicamente viável. 
• Revise os seus planos de resposta a incidentes cibernéticos e atualize-os, se necessário, para poder implementar a notificação às autoridades supervisoras dentro de 72 horas após uma violação. 
• Se estiver a utilizar BCRs ou SCCs para fluxos de dados transatlânticos, deve revê-los para verificar a conformidade com os novos requisitos do RGPD. Elabore adendas aos SCCs e outros contratos, conforme necessário, para abordar as restrições de transferência posterior do Privacy Shield. Isso inclui garantir que as entidades a jusante cumpram as limitações de finalidade e atendam a todos os requisitos do Privacy Shield, incluindo a correção de qualquer processamento não autorizado pela entidade a jusante. 
• Comece a procurar responsáveis pela proteção de dados (DPO) qualificados. De acordo com o RGPD, as organizações que recolhem dados pessoais de forma regular ou sistemática como parte das suas atividades principais, ou que processam grandes quantidades de dados pessoais sensíveis, terão de nomear um DPO com autoridade e independência para informar a organização sobre as suas obrigações ao abrigo do RGPD, monitorizar a conformidade, formar o pessoal interno da organização e realizar auditorias internas. O DPO também atuará como ponto de contacto da organização para consultas dos titulares dos dados, retiradas de consentimento, pedidos de direito ao esquecimento e outros direitos relacionados. 
• Analise as apólices de seguro quanto ao âmbito e limites da cobertura. Considere se a sua apólice inclui cobertura global ou empresarial, que tipos de problemas de dados estão cobertos e o potencial aumento de custos e responsabilidades ao abrigo do RGPD e do Escudo de Proteção da Privacidade.

As empresas devem estar cientes de que o GDPR muda a questão da privacidade e proteção de dados pessoais ainda mais de uma questão de tecnologia da informação para uma questão do Conselho de Administração e da alta administração. O GDPR terá um impacto tremendo nas operações diárias, custos e responsabilidades potenciais da empresa, o que exige atenção do conselho. Além disso, de acordo com a lei Sarbanes-Oxley nos Estados Unidos, as empresas públicas podem precisar divulgar aos seus investidores o aumento dos custos operacionais e o potencial de altas responsabilidades decorrentes do GDPR.

Impacto no seu negócio

A rejeição pelo Grupo do Artigo 29 coloca o Departamento de Comércio dos EUA e a Comissão Europeia, que propuseram conjuntamente o Escudo de Proteção da Privacidade após quase dois anos de negociações, numa situação difícil. A decisão deixa as organizações americanas com uma incerteza significativa sobre como continuar a prestar serviços aos residentes da UE e coloca essas organizações em risco de novas medidas coercivas por parte das autoridades europeias de proteção de dados. No entanto, o Escudo de Proteção da Privacidade não era necessariamente uma solução fácil para muitas organizações, incluindo aquelas que pensavam em se registar no Escudo de Proteção da Privacidade, se e quando fosse adotado. Além disso, o Escudo de Proteção da Privacidade pode ser invalidado pelo Tribunal de Justiça Europeu por razões semelhantes às que invalidaram o Safe Harbor. Embora o Privacy Shield, se e quando adotado, seja um dos métodos permitidos para transferir dados pessoais entre os EUA e a UE, a decisão de aderir é algo que todas as organizações americanas não devem tomar de ânimo leve, pois é apenas um dos vários mecanismos para permitir transferências transatlânticas de dados, como as Cláusulas Contratuais Padrão da UE (SCCs) e as Regras Corporativas Vinculativas (BCRs). Embora ambos sejam mais complexos em comparação com o Privacy Shield, a sua relativa certeza pode ser a melhor opção para o fluxo transatlântico de dados neste momento. No entanto, espera-se que a adequação de cada um destes métodos seja também revista pelo grupo do Artigo 29.º após a aprovação do Privacy Shield pela Comissão Europeia. Além disso, as empresas quase certamente precisarão repetir alguns esforços para implementar esses métodos a fim de cumprir o próximo RGPD.

Embora o RGPD tenha como objetivo harmonizar a proteção de dados em todos os 28 Estados-Membros da UE, certas disposições do novo regulamento são deixadas para as leis locais (por exemplo, na área de processamento de informações de saúde e idade de consentimento), o que levará a uma complexidade contínua para o cumprimento por todas as organizações. Embora não seja necessário estar em total conformidade com o GDPR durante dois anos, as organizações precisam de se familiarizar com as disposições do GDPR e começar a planear a sua implementação agora, porque, uma vez que o GDPR entre em vigor, as violações por não conformidade podem resultar em penalidades de até 4% da receita mundial das organizações ou 20 milhões de euros, o que for maior.

Detalhes da decisão do Grupo de Trabalho do Artigo 29.º

Na tão esperada conferência de imprensa de 13 de abril de 2016, a presidente Falque-Pierrotin indicou que, embora o Privacy Shield fosse uma «grande melhoria» em comparação com o quadro Safe Harbor, agora invalidado, o grupo do Artigo 29 acredita que ainda há trabalho a ser feito e instou a Comissão Europeia a resolver as preocupações. O anúncio descreveu uma série de questões relacionadas com a proposta do Privacy Shield:

• Os documentos e anexos fornecidos pelo governo dos EUA eram «bastante complexos» e nem sempre consistentes, dificultando ao grupo do Artigo 29.º a compreensão da proposta como um todo. A presidente Falque-Pierrotin indicou que teria sido melhor se fosse mais simples e menos complexo de compreender. 
• A limitação da finalidade não era clara e pode ter permitido a reutilização de informações pessoais para uma grande variedade de finalidades e transferências. 
• Não há uma discussão expressa sobre qual é o âmbito permitido para a retenção de dados e, portanto, permanece incerto quais são as obrigações de uma organização em relação à retenção e destruição de dados. 
• Existem demasiadas vias de recurso individual que são demasiado difíceis de navegar para os utilizadores finais. 
• Como o Escudo de Proteção da Privacidade se baseia na antiga Diretiva de Proteção de Dados, é necessário haver alguma capacidade de ajustar a estrutura para o novo RGPD. 
• As seis exceções para vigilância em massa (incluindo um objetivo indefinido de «combate ao terrorismo») oferecem demasiadas possibilidades para uma vigilância massiva e indiscriminada. 
• A independência e a autoridade para a aplicação da lei do novo Provedor de Justiça são questionáveis.

A presidente Falque-Pierrotin indicou que a vigilância e o provedor de justiça eram as preocupações mais significativas para o grupo do Artigo 29. No que diz respeito à vigilância, ela descreveu que a recolha «massiva e indiscriminada» de dados em massa pelo governo dos EUA não tinha sido abordada e que ainda havia uma possibilidade inaceitável de tal recolha que o Escudo de Proteção da Privacidade não abordava totalmente.

Ao descrever a nova função do Provedor de Justiça, a presidente Falque-Pierrotin expressou a preocupação de que, embora a criação desta nova função seja um grande passo em frente, ainda existem preocupações de que o Provedor de Justiça possa não ser uma autoridade verdadeiramente independente com poderes efetivos para fazer cumprir o Escudo de Proteção da Privacidade. O Provedor de Justiça, tal como atualmente proposto, seria nomeado pelo Secretário de Estado dos EUA e reportaria a este.

Próximos passos para o Privacy Shield

Embora essa decisão coloque em dúvida o futuro do Privacy Shield, isso não significa necessariamente o seu fim. A decisão do Grupo do Artigo 29 é de natureza consultiva, e a Comissão Europeia ainda aguardará a opinião do Comitê do Artigo 31 antes de tomar sua decisão final. O Comitê do Artigo 31 é composto por representantes de cada um dos Estados-Membros da UE e espera-se que decida a favor do Privacy Shield. É provável que tal decisão seja tomada após as reuniões agendadas para 29 de abril e 19 de maio, nas quais o Comité discutirá os detalhes do acordo do Escudo de Proteção da Privacidade.

Seguindo a recomendação do Comité do Artigo 31, a Comissão Europeia e o Departamento de Comércio dos EUA podem retomar as negociações para continuar a trabalhar no Escudo de Proteção da Privacidade e abordar as preocupações do Grupo do Artigo 29. Por outro lado, as recomendações do grupo do Artigo 29 e do Comité do Artigo 31 são meramente consultivas, e a Comissão Europeia ainda pode aprovar o Escudo de Proteção da Privacidade tal como está ou com modificações, se houver. Não está claro se a Comissão implementaria o Escudo de Proteção da Privacidade apesar da rejeição pelo grupo do Artigo 29. No entanto, há muita especulação de que isso pode acontecer, dada a pressão significativa do governo dos EUA e de organizações de ambos os lados do Atlântico. Durante um debate sobre a finalização do RGPD, a Comissária da Justiça da UE, Vera Jourova, que esteve profundamente envolvida na negociação do Escudo de Proteção da Privacidade, indicou que a comissão irá «estudar o parecer e abordar as preocupações na decisão final». No entanto, a decisão de adotar o Escudo de Proteção da Privacidade sem abordar as preocupações mais importantes do Grupo do Artigo 29 é quase certa de enfrentar desafios legais perante o Tribunal de Justiça da União Europeia (TJUE), o mesmo tribunal que invalidou o Safe Harbor devido a receios semelhantes sobre a vigilância em massa nos EUA pela NSA. A presidente Falque-Pierrotin confirmou que tal recurso ao TJUE «é sempre uma opção». Esta possibilidade, que levaria a uma incerteza ainda maior para as organizações europeias e americanas, pode exercer uma pressão significativa sobre a Comissão Europeia e o Departamento de Comércio dos EUA para que abordem as questões por escrito antes da decisão final da Comissão Europeia.

Próximos passos para o RGPD

O RGPD será publicado pela primeira vez no Jornal Oficial da UE (previsivelmente em junho) e entrará oficialmente em vigor 20 dias após a publicação. Haverá um período de implementação de dois anos após a data de entrada em vigor, o que exigirá que as organizações estejam em total conformidade em meados de 2018.

O Legal News Alert faz parte do nosso compromisso contínuo em fornecer informações atualizadas sobre questões urgentes ou assuntos do setor que afetam os nossos clientes e colegas. Se tiver alguma dúvida sobre esta atualização ou quiser discutir este tópico mais detalhadamente, entre em contacto com o seu advogado da Foley ou com os seguintes profissionais:

————————————————–

Aaron Tantleff
Chicago, Illinois
312.832.4367
[email protected]

Chanley Howell
Jacksonville, FL
904.359.8745
[email protected]

Steve Millendorf
San Diego, CA
858.847.6737
[email protected]

Michael Chung
Los Angeles, CA
213.972.4601
[email protected]