A Comissão de Proteção de Dados da Irlanda (DPC) publicou um press release nesse 22 de maio, anunciando a conclusão de sua investigação acerca da Meta Ireland, empresa que gere o Facebook não apenas na Irlanda, mas em toda a Europa, tendo sede em Dublin.
Imediatamente, a grande mídia global, como o The Guardian e o The New York Times, refletiu em suas manchetes o resultado do inquérito gerido pela DPC, culminando na multa de 1.2 bilhões de euros ou 1.0 bilhão de libras aplicada à Meta em 12 de maio de 2023, em virtude de ela estar compartilhando internacionalmente dados pessoais de titulares de dados europeus, em violação ao art. 46, inciso 1, da Lei de Proteção de Dados Europeia (GDPR). O art. 46 é intitulado como “Transferências sujeitas a salvaguardas adequadas” e o inciso 1 estabelece o seguinte texto:
A Meta Ireland transferiu e compartilhou dados pessoais com base nas Cláusulas Contratuais Padrão (SCCs) atualizadas que foram adotadas pela Comissão Europeia em 2021, com supostas medidas suplementares adicionais (mas não informadas pela DPC). Desse modo, a DPC entendeu que tais contratos não observam eficazmente os riscos aos direitos e liberdades fundamentais dos titulares de dados. Isso foi consoante à decisão no caso Shrems II pelo Tribunal de Justiça Europeu (European Court of Justice – ECJ), em 16 de julho de 2020, motivado por um ativista de privacidade da Áustria, Max Schrems. Ele levantou preocupações decorrentes das revelações feitas por Edward Snowden a respeito de informações confidenciais do governo dos EUA, ficando claro que os dados pessoais de cidadãos europeus não seriam suficientemente protegidos do alcance das agências de inteligência Americanas, quando estivessem dentro do país.
A propósito, essa decisão foi emblemática, pois revogou o Privacy Shield, que determinava obrigações mais rígidas às empresas dos Estados Unidos para proteger os dados pessoais dos cidadãos europeus. A exigência era que os EUA monitorassem e aplicassem de forma mais robusta e cooperassem mais com as autoridades europeias de proteção de dados.
É importante salientar que a decisão da DPC foi submetida ao Conselho Europeu de Proteção de Dados (EDPB), para validação de acordo com o mecanismo de resolução de disputas do art. 65 da GDPR, tendo o EDPB emitido sua decisão em 13 de abril de 2023.
A partir de então, a decisão da DPC de 12 de maio de 2023 focou não apenas na multa, mas em três pontos principais listados abaixo:
1. Uma obrigação, proferida nos termos do art. 58, inciso 2, alínea j, da GDPR, exigindo que a Meta Ireland suspenda qualquer transferência futura de dados pessoais para os EUA, no prazo de cinco meses a partir da data de notificação da decisão da DPC à Meta Ireland;
2. Uma multa administrativa no valor de 1,2 mil milhões de euros (refletindo a determinação do EDPB de que deveria ser aplicada uma multa administrativa, para sancionar a violação verificada. A DPC fixou o valor da multa a ser aplicada, levando em consideração as avaliações e deliberações que foram incluídas na decisão do EDPB); e
3. Uma obrigação, feita de acordo com o art. 58 inciso 2, alínea d, GDPR, exigindo que a Meta Ireland coloque suas operações de processamento em conformidade com o Capítulo V da GDPR, cessando o tratamento ilegal, incluindo armazenamento nos EUA de dados pessoais da UE/EEA transferidos em violação à GDPR, no prazo de 6 meses, a contar da data de notificação da decisão da DPC à Meta Ireland.
Essa decisão, entretanto, acaba não se limitando apenas à Meta Ireland. Ela abre um precedente para inúmeras empresas de tecnologia da informação, especialmente as grandes redes sociais, que tratam e compartilham dados pessoais de milhões de titulares em âmbito global, especialmente os europeus. Tais dados são geralmente compostos de nome, e-mail, endereço, telefone e, por vezes, dados bancários.
Outro ponto que chama a atenção, é o item 3 da decisão acima, na medida em que empresas, como a Meta Ireland, terão que adotar medidas efetivas que garantam o mesmo grau de proteção aos dados pessoais conferido pela GDPR em território europeu para os mesmos dados transferidos aos EUA. Como fazer isso diante de leis como a lei norte-americana de segurança nacional, que permite às autoridades fazer o que for preciso, sob a premissa de garantir a segurança do país? Existe uma resposta relativamente simples para essa pergunta: não transferir tais dados para os EUA, passando a armazená-los em território europeu, seguindo as diretrizes estabelecidas pela GDPR e pelas demais normas pertinentes.
Diante dessa decisão, a transferência de dados pessoais de cidadãos europeus para países onde haja leis de segurança nacional ou outras leis que se sobreponham à proteção de dados pessoais não poderão mais ser amparadas apenas por SCCs, ainda que atualizadas pela Comissão Europeia em 2021.