A Big Tech Meta foi multada em um recorde de EUR 1,2 bilhão por descumprir as regras de proteção de dados na UE. A Comissão Irlandesa de Proteção de Dados anunciou nesta segunda-feira (22) que a Meta violou o Regulamento Geral de Proteção de Dados (GDPR) quando transferiu dados pessoais de usuários europeus do Facebook para os Estados Unidos sem oferecer proteção suficiente contra práticas de vigilância de dados em Washington.
Essa pode ser considerada a maior multa imposta pela principal lei de privacidade do Regulamento Geral de Proteção de Dados (GDPR) do bloco e ocorreu na véspera do quinto aniversário da aplicação da lei em 25 de maio.
Precedentes: a Amazon já havia sido multada em EUR 746 milhões por Luxemburgo e a Comissão irlandesa também impôs quatro multas contra as plataformas da Meta Facebook, Instagram e WhatsApp, variando entre EUR 405 milhões e EUR 225 milhões nos últimos dois anos.
A decisão vai de encontro com o que a ANPD brasileira tem discutido recentemente - a regulamentação das operações de transferência internacional de dados - ainda pendente de publicação pela Autoridade. Isso porque, em minha análise, a ANPD já estava acompanhando os desdobramentos da orientação do Conselho Europeu de PD em matéria de cláusulas-padrão, que possam ser validamente utilizadas pelas empresas em suas operações de transferência internacional de dados, i.e, quando dados são movidos, transportados de uma jurisdição para outra, sobretudo para países da sede do controlador de dados.
O regulador irlandês afirmou que o uso pela Meta de cláusulas contratuais padrão (SCCs) para mover dados para os EUA "não considerou os riscos aos direitos e liberdades fundamentais" dos usuários europeus do Facebook, algo que pode ser tomado como decisão histórica do tribunal superior da UE. A Corte de Justiça da UE em 2020 decidiu pela revogação do acordo UE-EUA - acordo de fluxos de dados - conhecido como Privacy Shield por fundados receios de práticas de vigilância dos serviços de inteligência dos EUA.
No mesmo julgamento, também reforçou os requisitos para o uso de SCCs, outra ferramenta legal amplamente utilizada por empresas para transferir dados pessoais para os EUA.
A Meta - assim como outras empresas entre Big Techs - continuou contando com o instrumento legal enquanto as autoridades europeias e americanas caminhavam para estruturar novo acordo de fluxo de dados e a Meta carecia de outros mecanismos legais para transferir seus dados pessoais.
A UE e os EUA ainda estão finalizando um novo acordo de fluxo de dados que pode ocorrer entre julho e outubro deste ano. O Grupo Meta terá até 12 de outubro para parar de depender dos SCCs para suas transferências, o que deve afetar operações brasileiras se entender que, de modo preventivo para a jurisdição brasileira, entender que seria arriscado continuar utilizando essas cláusulas para transferência internacional de dados de usuários brasileiros.
A gigante da tecnologia dos EUA alertou ha algum tempo que, se fosse forçada a parar de usar SCCs sem um acordo de fluxo de dados alternativo adequado, poderia encerrar serviços como Facebook e Instagram na Europa. Seria uma decisão muito drastica, todavia, como a que nao ocorreu por definitivo na Australia contra a nova legislação que prevê obrigações de remuneração de conteúdo de noticias.
A Meta também terá até 12 de novembro para excluir ou mover de volta para a UE os dados pessoais dos usuários europeus do Facebook transferidos e armazenados nos EUA desde 2020 e até um novo acordo UE-EUA seja alcançado.
"Esta decisão é falha, injustificada e estabelece um precedente perigoso para inúmeras outras empresas que transferem dados entre a UE e os EUA", afirmaram diretores do Meta em comunicado na segunda-feira.
A empresa deverá recorrer da decisão e buscará uma suspensão nos tribunais para interromper os prazos de implementação.
Max Schrems, o ativista de privacidade por trás da reclamação original de 2013 que apoia o caso, disse: "Estamos felizes em ver esta decisão após dez anos de litígio ... A menos que as leis de vigilância dos EUA sejam corrigidas, a Meta terá que reestruturar fundamentalmente seus sistemas."
A Comissão Irlandesa de Proteção de Dados disse que discordava da multa e medida que estava impondo à Meta, mas foi forçada pela rede pan-europeia de reguladores nacionais, o Conselho Europeu de Proteção de Dados (EDPB), depois que a decisão inicial de Dublin foi contestada por quatro de seus reguladores pares na Europa.
Para a prática de proteção de dados no Brasil, trata-se de mais um referencial, no entanto, deve ser tomado com cautela, pois o caso europeu já vinha acompanhado das falhas do acordo de privacidade entre EUA e União Europeia e a decisão tomada pela Corte de Justiça da UE.
No Brasil, a ANPD deve urgentemente se movimentar para discussão das bases para transferência internacional de dados, a modelagem das cláusulas que possam equilibrar as demandas de proteção de dados pessoais e o desenvolvimento dos negócios digitais. Seria muito ruim o Brasil deixar de lado essa oportunidade de também oferecer um marco estável e seguro para controladores, operadores e titulares de dados pessoais.
*Fabricio Polido, sócio de Inovação & Tecnologia e Privacidade e Proteção de Dados de LO Baptista. Professor associado da UFMG