.
A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma multa recorde de GDPR contra a Meta, empresa-mãe do Facebook, por transferência ‘sistemática, repetitiva e contínua’ para os EUA de dados pertencentes a residentes da UE.
O registro A multa de € 1,2 bilhão (US$ 1,3 bilhão) vem junto com uma decisão que a Meta terá de suspender as transferências de dados dos países da UE para os EUA dentro de cinco meses e que terá seis meses para garantir que o processamento e armazenamento dos dados dos cidadãos da UE estejam em conformidade com o GDPR.
As autoridades irlandesas, que lideraram a investigação e tomaram a decisão final, não estavam realmente interessadas em multar o Facebook e, em vez disso, queriam suspender as transferências de dados para os EUA. Após consulta com outras autoridades supervisoras (CSA), no entanto, a DPC disse que encontrou algumas que se opuseram ao projeto de decisão isento de multa.
“Após um processo de consulta informal, ficou claro que o consenso não poderia ser alcançado”, disse o DPC. De acordo com a autoridade irlandesa, é obrigado pelo GDPR a consultar o European Data Protection Board (EDPB) quando um consenso entre os CSAs não pode ser alcançado, e o EDPB decidiu no mês passado, após revisar o caso de que uma multa estava em ordem.
“O EDPB considerou que a violação do Meta IE é muito grave, pois diz respeito a transferências sistemáticas, repetitivas e contínuas. O Facebook tem milhões de usuários na Europa, portanto o volume de dados pessoais transferidos é enorme. A multa sem precedentes é um forte sinal para as organizações que as infrações graves têm consequências de longo alcance”, disse o presidente da EDPR, Andrea Jelinek.
Para os curiosos, Meta merecido $ 5,709 bilhões nos primeiros três meses de 2023.
Meta diz que não somos os únicos
Em resposta à decisão final da DPC, a Meta disse estava seguindo as mesmas regras que todas as outras empresas americanas que fazem negócios na UE e estava “desapontada por ter sido apontada ao usar o mesmo mecanismo legal como milhares de outras empresas que procuram prestar serviços na Europa.”
Apesar do que o DPC disse serem suas obrigações legais de conferir com o EDPB, Meta chamou a ação do Conselho de “desrespeito [for] o claro progresso que os formuladores de políticas estão fazendo para resolver esse problema subjacente”, referindo-se às discussões em andamento sobre o Quadro de Proteção de Dados UE-EUA (DPF), outro tentar em uma definição transatlântica compartilhada de proteção de dados adequação entre os dois governos.
Embora a Comissão Europeia tenha iniciado o processo de adoção de uma decisão de adequação em relação ao DPF, os legisladores europeus têm se manifestado sobre sua oposição à decisão de adequação. Mais recentemente, o Comitê de Liberdades Cívicas, Justiça e Assuntos Internos da UE emitiu um resolução descrevendo o DPF como uma melhoria em relação ao Escudo de Privacidade UE-EUA anterior, mas ainda insuficiente para proteger os dados dos cidadãos da UE de serem espionados pelo Tio Sam. O CEPD expressou uma semelhante posição em fevereiro.
Em conformidade com o direito internacional? Nós?
Embora possa não estar feliz com a multa, a Meta não parece muito preocupada com a ordem de suspensão do DPC. Em sua resposta à decisão, a Meta disse estar feliz “por não haver suspensão das transferências ou outra ação exigida da Meta, como a exigência de excluir os dados dos titulares de dados da UE assim que o conflito de leis subjacente for resolvido, ” novamente referindo-se ao DPF.
Questionado sobre como isso concorda com o fato de a DPC ter imposto uma ordem de suspensão, um porta-voz da Meta apenas nos remeteu à declaração da empresa e acrescentou que a suspensão não terá efeito se a DPF for promulgada antes do prazo de cinco meses.
O DPC, por sua vez, apenas disse em sua decisão que deve tomar decisões com base na legislação atual da UE; como o DPF não é atualmente uma lei ativa da UE, “não se aplica às questões abordadas nesta Decisão”, disse o DPC.
A Meta não respondeu se ainda está fazendo planos para se adequar à suspensão caso uma decisão do DPF não chegue a tempo. Fizemos perguntas semelhantes sobre a implementação da suspensão da transferência e a resposta da Meta à decisão ao DPC, mas ainda não recebemos resposta.
Em comunicado enviado a Strong The One, Eddie Powell, sócio de proteção de dados do escritório de advocacia londrino Fladgate, disse que a ordem de suspensão foi o “primeiro grande uso” da capacidade das autoridades da UE de ordenar tais pausas na transferência de dados e provavelmente será uma dor de cabeça para a Meta, que “esperará que a versão 3 do acordo EUA/UE – o ‘Data Privacy Framework’ seja aprovado e implementado rapidamente”, disse Powell.
A Meta disse que “apelará tanto da substância da decisão quanto de suas ordens, incluindo a multa, e buscará uma suspensão nos tribunais para interromper os prazos de implementação”.
Max Schrems, líder do grupo de defesa da privacidade da UE noyb e discutivelmente o homem responsável por acabar com estruturas anteriores de transferência de dados UE-EUA, disse que os apelos da Meta e a fixação de suas esperanças no DPF a colocam em terreno instável. Afinal, é provável Schrems e companhia vão entrar com uma reclamação assim que o enquadramento for homologado.
Schrems, que é sem fã do DPC irlandês, disse em um comunicado respondendo à sua decisão contra a Meta que suas ações passadas não podem ser negligenciadas quando uma nova lei entrar em vigor. Além disso, disse Schrems, ele não acha que o DPF vai aguentar seu quase inevitável escrutínio judicial.
“A meu ver, o [DPF] tem talvez dez por cento de chance de não ser morto pelo TJEU. A menos que as leis de vigilância dos EUA sejam corrigidas, a Meta provavelmente terá que manter os dados da UE na UE”, disse Schrems. ®
.
