Skip to main content

Schrems II

TL;DR

Schrems II é o nome dado a um caso pelo TJE (Tribunal de Justiça Europeu) que se baseou no facto de as empresas americanas não poderem garantir padrões adequados de protecção de dados pessoais. Como resultado, a transferência de dados pessoais entre a UE e os EUA tornou-se ilegal e o acordo de Proteção de Privacidade entre eles tornou-se obsoleto.

O que significa Schrems II?

Schrems II é o nome genérico dado a um processo no Tribunal de Justiça Europeu, que decidiu a favor de Max Schrems e levou à invalidação do Escudo de Privacidade (Privacy Shield) UE-EUA em 16 de Julho de 2020. Isto levou ao fato de que se tornou ilegal para qualquer tipo de processador de dados usar serviços dos EUA, o que daria a esses serviços acesso aos dados pessoais dos cidadãos da UE, sem explicar completamente os riscos. As consequências foram muito graves, na medida em que algumas grandes empresas americanas (por exemplo, o Facebook) consideraram a possibilidade de parar completamente as suas actividades na UE.

Um caso anterior, conhecido como Schrems I, iniciado pela mesma pessoa, tinha estado na origem de um resultado semelhante em 2015. A decisão do TJE no caso Schrems II baseou-se no argumento de que, especialmente devido à legislação dos EUA, como a Lei CLOUD, não há como garantir a privacidade dos dados pessoais se estes forem tratados por empresas americanas. Os órgãos federais que utilizam uma ordem judicial podem sempre forçar os processadores de dados como o Google ou o Facebook a revelar informações pessoais sobre os usuários, sem qualquer consentimento dos mesmos. Não importa onde os servidores que contêm os dados estão fisicamente localizados. Portanto, qualquer cidadão da UE que acesse um site hospedado nos Estados Unidos, ou qualquer site que utilize aplicativos de terceiros executados por empresas americanas (por exemplo, Google Analytics), deve ser devidamente informado sobre todas as implicações legais da transferência de dados, bem como sobre todos os riscos.

Para mais detalhes sobre as consequências do Schrems II, você pode ler esta visão geral. Em suma, eles são

  • Os proprietários de websites com visitantes da UE não podem armazenar dados fora da UE, a menos que as leis desse país possam fornecer um nível adequado de protecção de dados
  • Qualquer serviço de terceiros utilizado por um website também deve oferecer proteção e, portanto, não pode ser baseado nos EUA. Esses serviços podem incluir: ferramentas de análise de websites, ferramentas de gestão de relacionamento com clientes, serviços de publicidade, ferramentas de chat, ferramentas de conscientização do usuário, etc.
  • a lista de empresas americanas que estavam isentas das regras, com base no Privacy Shield, não estavam mais operando legalmente
  • Os banners de consentimento devem incluir informações específicas sobre cookies, assim como regras de transferência de dados