Schrems II explicou: como a decisão legal afeta a IoT


Onde seus dados residem? É uma pergunta simples com uma resposta incrivelmente complexa. Na verdade, é uma resposta que está testando cada vez mais as novas leis de privacidade em ambos os lados do Atlântico e forçando os fabricantes de dispositivos e criadores de software a questionar quais dados, se houver, eles podem usar em seus produtos.

No ano passado, o Tribunal de Justiça da União Europeia (CJEU) emitiu um veredicto para um processo judicial conhecido como ‘Schrems II’ que eliminou os principais mecanismos de transferência de dados pessoais da União Europeia para os Estados Unidos. As transferências internacionais de dados são necessárias para promover a inovação, fortalecer as relações comerciais e ampliar o acesso do consumidor a produtos e serviços digitais.

Essa decisão afetou diretamente as empresas que se dedicam a esse tipo de transferência de dados, incluindo grandes gigantes da tecnologia como o Facebook e outras PMEs. Mas a decisão também teve consequências indiretas para o comércio e o desenvolvimento de indústrias de tecnologia, como computação em nuvem, IA e IoT. Vamos considerar como as empresas e os criadores de tecnologia podem abordar essa nova era de direitos de dados.

O que é Schrems II?

Batizado em homenagem ao ativista, advogado e autor Maximilian Schrems, Schrems II é um caso legal. Depois de descobrir que o Facebook estava transferindo dados pessoais da Europa para sua sede nos Estados Unidos, Schrems percebeu que os dados poderiam ser usados ​​por agências de inteligência dos EUA e, portanto, violam o GDPR, que proíbe a transferência de dados da UE para os EUA

Em 2013, Schrems pediu ao Comissário de Proteção de Dados da Irlanda que invalidasse a Comissão Europeia Cláusulas contratuais padrão (SCCs) para transferências de dados entre países da UE e não pertencentes à UE. Apesar de ter sido rejeitado pelo Comissário de Proteção de Dados irlandês na época, o caso Schrems II posteriormente rotulado finalmente escalou para o ramo judicial da União Europeia, conhecido como CJEU, sete anos depois.

Em julho de 2020, o CJEU emitiu seu veredicto final, determinando que o Escudo de Privacidade da UE-EUA é um mecanismo inválido para cumprir os requisitos de proteção de dados da UE. Apesar de defender a validade das SCCs, o tribunal decidiu que as SCCs devem ser verificadas caso a caso para avaliar se a lei do país destinatário oferece proteção de dados adequada.

Isso levou a UE a emitir SCCs modernizados para garantir trocas mais seguras de dados pessoais.

O que isso significa para transferências de dados transfronteiriças?

A decisão do Schrems II não afetou apenas o Facebook. Também causou problemas para outras empresas de tecnologia cujos serviços envolvem o envio de dados internacionalmente.

Seguindo a decisão, as empresas que transferem dados da UE para os EUA devem considerar:

Dados em geral: Pode parecer simples, mas a ação mais importante que as empresas podem tomar após o veredicto é ter o máximo de informações possível sobre suas transferências de dados. Saiba que tipo de dados estão sendo processados ​​e para onde estão indo. Para as empresas da UE, os alarmes devem começar a soar assim que os dados forem transferidos para fora do território da UE.

Razões para transferência de dados Uma tarefa aparentemente simples, mas as empresas que movem dados internacionalmente também devem estar cientes dos motivos pelos quais os dados estão sendo transferidos em primeiro lugar.

Proteção de dados: Outro elemento a estar ciente é exatamente quais medidas sua empresa de IoT implementa para proteger adequadamente os dados pessoais. Como sugerido pela UE, as medidas técnicas para proteger os dados incluem ações apropriadas para lidar com a segurança online, risco de perda de dados e alteração de dados ou acesso não autorizado. As medidas organizacionais, por outro lado, incluem a restrição do acesso aos dados pessoais apenas a pessoas autorizadas.

Países Terceiros: Por fim, é importante ter um bom conhecimento das leis e regulamentos dos terceiros países pelos quais os dados passam e do nível de proteção que eles oferecem. Isso também envolve a implementação de controles adicionais quando necessário.

Regras Regionais e Continentais

Enquanto isso, vale a pena mencionar que direitos de dados regionais e continentais diferentes apresentam mais obstáculos jurídicos. Enquanto a UE recebe proteção geral de seu GDPR, os EUA são uma colcha de retalhos de leis estaduais. O mais proeminente Conta de segurança IoT até o momento, é a Lei de Privacidade do Consumidor da Califórnia, que esclarece que as pessoas podem cancelar a venda e o compartilhamento de suas informações pessoais a terceiros.

Portanto, as empresas de nuvem dos EUA precisam considerar os direitos de dados dos clientes europeus e dos californianos. Curiosamente, a mesma consideração ainda não se aplica a texanos ou floridianos. Como acontece com muitas decisões nos Estados Unidos, as legislaturas estaduais decidem os direitos dos dados. Decisões remendadas significam que as empresas devem se manter atualizadas à medida que outros estados aprovam mandatos de privacidade de dados. Por exemplo, Nova York, Maryland e Havaí têm regras variadas no horizonte.

Esta discrepância contínua entre os regulamentos continentais gerais e as decisões regionais requer maior vigilância.

O que isso significa para as empresas de IoT?

A boa notícia é que as empresas podem cumprir as leis. Por exemplo, a criptografia oferece uma solução simultânea para realizar transferências nos EUA de acordo com as regras da UE. A criptografia forte pode fornecer uma medida eficaz para transferências de dados, desde que as chaves sejam gerenciadas de forma confiável. Se os protocolos mais modernos forem seguidos, a criptografia pode fornecer proteção adequada contra qualquer interceptação e manipulação de dados por terceiros. Da mesma forma, os protocolos de computação multipartidária que dividem os dados em partes para processar de forma independente podem impedir a reconstituição de dados pessoais.

Outra maneira de cumprir as regras de dados é ficar longe da nuvem sempre que possível. Na IoT, por exemplo, os fornecedores de dispositivos podem personalizar o tipo de conexão para garantir a comunicação direta entre o usuário final e o dispositivo. Esse tipo de conexão ignora a nuvem para permitir a comunicação privada e, assim, ignora o risco de armazenamento de dados pessoais.

Obviamente, a prática recomendada é seguir as regras. Os novos SCCs fornecem esclarecimentos sobre o que é ou não aceitável. Mas, ao mesmo tempo, as cláusulas revisadas continuam a colocar o ônus sobre as empresas individuais para atender Padrões IoT GDPR.

No momento, a responsabilidade está nas empresas

As empresas que buscam alavancar as SCCs devem identificar as transferências internacionais sob sua responsabilidade. Isso inclui realizar uma análise diferenciada do nível de conformidade da proteção de dados do país destinatário com o GDPR. Além disso, se algum dos países fizer parte da Five Eyes Alliance, será necessária uma análise aprofundada. Os países da aliança incluem Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos.

Independentemente do método, as empresas dos dois lados do Atlântico devem refletir profundamente sobre a maneira como lidam com os dados. As várias jurisdições e legislações resultam em uma situação complicada para as empresas de tecnologia hoje. No futuro, meu conselho é criptografar todos os dados e seguir a letra da lei da melhor maneira possível. Não é tarefa fácil, mas é preciso evitar o interior de um tribunal.

Reflexões finais

Além do veredicto, o impacto da pandemia tornou a segurança de dados e a segurança cibernética as principais preocupações. Para garantir que suas soluções de IoT permaneçam em conformidade, é simplesmente uma questão de priorizar a segurança e a privacidade.

No entanto, como a Fundação de Tecnologia da Informação e Inovação aponta, esse desafio não cabe ao setor privado assumir sozinho. Os governos internacionais também devem reconciliar seus sistemas de vigilância de dados por meio da cooperação e trabalhar para implementar novos mecanismos de transferência de dados.


Source: ReadWrite by readwrite.com.

*The article has been translated based on the content of ReadWrite by readwrite.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!