Nas últimas duas semanas, as autoridades americanas têm questionado o TikTok e outros gigantes de tecnologia da China por possíveis preocupações em torno da segurança dos dados dos americanos que usam esses aplicativos, sem mencionar as implicações de segurança nacional da suposta lealdade desses aplicativos ao governo chinês. Agora, parece que as empresas americanas passarão pelo mesmo tipo de escrutínio.
Nesta quinta (16), o Tribunal de Justiça da União Europeia — a autoridade responsável por garantir que as leis da UE sejam igualmente aplicadas em seus 27 países membros — derrubou as regras que há muito vigoravam e permitiam que empresas de tecnologia americanas como Facebook e Google processassem e armazenassem livremente quaisquer dados da UE usando seus servidores nos EUA.
O raciocínio por trás da nova decisão, ironicamente, está próximo de ser uma cópia palavra por palavra do mesmo tipo de ansiedade de vigilância governamental em torno da repressão a aplicativos estrangeiros atualmente em curso nos EUA.
A origem da decisão
Lendo a decisão, o Tribunal explica que eles perceberam essas questões pela primeira vez graças a uma ação movida em 2015.
Naquele ano, um austríaco chamado Maximillian Schrem apresentou uma queixa às autoridades locais, alegando que os dados de sua conta do Facebook estavam em grande parte sendo processado e armazenado pelos servidores do Facebook nos EUA, sem nenhuma maneira de realmente optar por não passar esse tipo de armazenamento de dados.
E ele estava certo: desde o início, o Facebook construiu uma grande quantidade de data centers nos EUA, ocupando dezenas de edifícios e milhares de metros quadrados. Em comparação, a empresa só construiu seu primeiro data center na UE na Suécia em 2013 e só começou a construir seu segundo um ano após o processo de Schrem. Seu terceiro centro na UE só ficará pronto em 2021.
De acordo com o relatório, a maior alegação de Scherm contra o Facebook, neste caso, não era apenas o fato de ele não poder optar por não ter seus dados armazenados e processados na América, mas o fato de os EUA não “oferecerem proteção suficiente contra o acesso das autoridades públicas ao dados transferidos para esse país”.
Mais uma vez, ele foi na mosca. Embora as autoridades americanas sejam obrigadas a percorrer alguns obstáculos legais para obter qualquer tipo de dados digitais de um determinado usuário, provamos repetidas vezes que elas encontraram maneiras de desviar completamente desses obstáculos.
O que os EUA fazem
Embora os tribunais da UE inicialmente discordassem de Schrem com o argumento de que “os Estados Unidos asseguravam um nível adequado de proteção”, evidentemente, eles concordaram que os EUA não oferecem, de fato, muita proteção. Nós os vimos filtrar dados do Twitter e do Facebook para vigiar pessoas em protestos ao longo dos anos, sem mencionar o que vimos dados sendo repassado a órgãos como a Homeland Security. Além disso, é praticamente impossível optar por proteger seus dados.
Os tribunais da UE decidiram que fazer esse tipo de ação pode ser considerado uma violação das promessas que as empresas americanas têm feito para “proteger” os dados sob o GDPR. Como resultado, eles decidiram reverter os acordos de “Escudo de Privacidade” que mantinham com os EUA para transferir seus dados para o exterior desde que foram assinados em 2016.
#ECJ: the Decision on the adequacy of the protection provided by the EU-US Data Protection Shield is invalidated, but @EU_Commission Decision on standard contractual clauses for the transfer of personal data to processors established in third countries is valid #Facebook #Schrems pic.twitter.com/BgxGAvuq3T
— EU Court of Justice (@EUCourtPress) July 16, 2020
Segundo as regras do Escudo de Privacidade, havia uma proposta de que as empresas que coletavam dados em solo americano assinassem um contrato com suas contrapartes europeias toda vez que planejassem fazer essa transferência transatlântica, mesmo que essa transferência só esteja acontecendo para “fins de processamento” e mesmo se os dois lados do acordo já participassem do acordo.
De acordo com essas regras, os executivos do QG irlandês do Facebook seriam obrigados a acompanhar de perto seus colegas que trabalham nos EUA com um contrato por escrito explicando o que pode e o que não pode ser feito com seus dados assim que eles estiverem em território americano. Se a equipe americana se recusar a assinar o contrato, nenhuma transferência de dados poderá ocorrer.
Parece uma boa ideia até você perceber que, bem, muitos dos problemas dos EUA com possíveis bisbilhoteiros domésticos estão acontecendo apesar de instrumentos de proteção à privacidade como a CCPA, lei do estado da Califórnia para proteção de dados.
Se as próprias autoridades dos EUA já provaram ser especialistas em encontrar brechas nesses tipos de acordos, então, sem dúvida, a resposta não está em mais acordos em escala transatlântica — está em pedir aos EUA que efetivamente parecem suas próprias práticas abusivas contra a privacidade.
O que pode acontecer daqui para frente
Embora esse caso tenha começado com a ira de Schrem contra o Facebook, a verdade é que essa reversão poderia se aplicar a qualquer empresa de tecnologia dos EUA que processe os dados de europeus em solo americano. Como o Wall Street Journal apontou, isso também significa que as empresas com uma enorme presença no exterior, como a Apple, por exemplo, terão que decidir se vale a pena a dor de cabeça (e os custos) da instalação de uma tonelada de servidores do outro lado do Atlântico.
Um porta-voz da Computer & Communications Industry Association — um grupo de lobby que representa empresas como Amazon, Facebook e Google — disse ao Journal que a quebra do Escudo de Privacidade “cria incerteza jurídica para milhares de grandes e pequenas empresas de ambos os lados do Atlântico” que se baseiam nessa estrutura para suas operações diárias.
E até que os tribunais da UE terminem de lutar para instituir algum tipo de lei que proteja a privacidade de seus membros melhor do que o Escudo, todas as empresas de tecnologia — mesmo aquelas baseadas na própria União Europeia — ficam em um certo grau de limbo, sem saber o que pode e não pode ser tolerado pelas autoridades locais.
Embora as empresas locais estejam definitivamente apreensivas com a decisão da UE, vale a pena notar que nenhuma delas será expulsa de seus escritórios europeus ainda. Como Wilbur Ross, secretário de comércio dos EUA, colocou em sua declaração sobre a decisão da UE, o Escudo de Privacidade não vai a lugar algum apenas porque se provou ser efetivamente inútil quando se trata de empresas americanas.
“A decisão de hoje não isenta as organizações participantes de suas obrigações no Escudo de Privacidade”, escreveu ele.
“Embora o Departamento de Comércio esteja profundamente decepcionado com o fato de o tribunal ter invalidado a decisão de adequação da Comissão Europeia subjacente aos Escudo de Privacidade EUA-UE, ainda estamos estudando a decisão para entender completamente suas repercussões na prática.”
Enquanto isso, essas relações transatlânticas envolvem quantias que podem chegar a US$ 5 trilhões. Para que elas não sejam interrompidas, os EUA serão forçados a considerar as consequências de dar a suas autoridades acesso irrestrito a todos os dados digitais.