“Meu palpite é que a Meta terá que analisar alguma forma de geo-siloing se quiser continuar operando na UE”, diz Calli Schroeder, consultora global de privacidade do Electronic Privacy Information Center, uma organização sem fins lucrativos de pesquisa de direitos digitais. Schroeder, que trabalhou anteriormente com empresas em transferências internacionais de dados, diz que essa abordagem pode significar que a Meta teria que criar seus próprios servidores e data centers na UE que não estão conectados a seus bancos de dados mais amplos.
Harshvardhan Pandit, pesquisador de ciência da computação do Trinity College Dublin que está pesquisando o GDPR, diz que, como as autoridades de dados ainda estão considerando o caso do Meta e uma decisão final ainda não foi publicada, eles podem incluir várias advertências ou etapas que o Meta deve levar para cair na linha. Por exemplo, uma decisão recente de proteção de dados na Europa deu um período de seis meses para uma empresa fazer alterações em seus negócios.
“Acho que a solução mais pragmática seria criar a infraestrutura europeia, como Google ou Amazon, que tem alguns data centers aqui”, diz Pandit, acrescentando que o Meta também pode introduzir mais criptografia em como armazena dados e maximizar o quanto mantém na UE. Todas essas medidas seriam caras, no entanto. Jack Gilbert, diretor e conselheiro geral associado da Meta, diz que a questão é um “conflito entre as leis da UE e dos EUA que está em processo de resolução”. O Facebook não respondeu especificamente a perguntas sobre seu plano de responder à decisão irlandesa.
As autoridades europeias decidiram duas vezes que os sistemas implementados para compartilhar dados entre a UE e os EUA não funcionam adequadamente proteger os dados das pessoas — as reclamações estão em andamento desde o início de 2010. Os tribunais europeus decidiram que os acordos internacionais de compartilhamento de dados não eram bons primeiro em 2015 e depois novamente em julho de 2020, quando o acordo Privacy Shield foi considerado ilegal.
“Tudo o que a UE está pedindo quando as organizações transferem dados para outros países é proteger esses dados de acordo com o GDPR”, diz Nader Henein, vice-presidente de pesquisa especializado em privacidade e proteção de dados do Gartner. “A questão é que as leis nos EUA que protegem os dados de ‘estrangeiros não residentes’ são lamentavelmente insuficientes e tornam muito difícil para organizações como o Facebook cumprir a lei local e o GDPR.”
Embora a Meta seja o foco da reclamação mais importante, não é a única empresa afetada pela falta de clareza sobre como as empresas na Europa podem enviar dados para os EUA. “A questão da transferência de dados não é específica da Meta”, disse David Wehner, diretor de estratégia da Meta, em uma teleconferência de resultados em julho. “Relaciona-se a como, em geral, os dados são transferidos para todas as empresas dos EUA e da UE de ida e volta para os EUA.”
Os impactos da decisão de julho de 2020 de se livrar do Escudo de Privacidade são agora sendo sentido. Desde janeiro deste ano, vários reguladores de dados europeus decidiram que o uso do Google Analytics, o serviço de monitoramento de tráfego da empresa para sites, viola o GDPR. As autoridades dinamarquesas foram ainda mais longe: as escolas não podem usar os Chromebooks sem que haja restrições. “Há uma tonelada de incerteza legal e há um risco significativo de conformidade”, diz Gabriela Zanfir-Fortuna, vice-presidente de privacidade global do Future of Privacy Forum, um think tank sem fins lucrativos.
