Dinamarca bane Google Workspace por não conformidade com GDPR

Dinamarca bane Google Workspace por não conformidade com GDPR. Orgão de vigilância diz que empresa viola a lei do GDPR.

O órgão de vigilância de dados da Dinamarca é o mais recente a decidir que o tratamento do Google de transferências internacionais de dados viola o GDPR.

O órgão de vigilância de dados da Dinamarca baniu o pacote de produtividade Workspace do Google em meio a temores crescentes de que os produtos da gigante de tecnologia não sejam compatíveis com o GDPR. É o mais recente regulador europeu a decidir que as transferências internacionais de dados do Google violam as leis de proteção de dados do bloco nos últimos meses.

A decisão da Agência Dinamarquesa de Proteção de Dados, Datalisynet, segue uma avaliação de risco do processamento de dados pessoais por escolas primárias no município de Helsingør, no nordeste da Dinamarca.

A partir de 3 de agosto, as organizações do setor público da região serão proibidas de usar o Google Workspace, que inclui o GMail e o conjunto de aplicativos Google Docs, bem como seus laptops Chromebook. Aqueles que não cumprirem a proibição podem enfrentar pena de prisão como resultado.

Embora a decisão se aplique inicialmente apenas em Helsingør, é provável que seja estendida a todo o país para todos os municípios dinamarqueses que usam os sistemas do Google à medida que mais investigações são realizadas.

Por que a Dinamarca está banindo o Google de seu setor público?

A investigação da Datalisynet concluiu que dados pessoais de cidadãos dinamarqueses usando Workspace e Chromebooks estavam sendo transferidos para servidores baseados nos EUA sem o nível apropriado de anonimização e, portanto, são incompatíveis com o GDPR.

As transferências de dados entre a Europa e os EUA são tecnicamente ilegais desde a decisão no chamado caso Schrems II em 2020, que considerou que um acordo existente entre os EUA e a Europa, o Privacy Shield, não era compatível com o GDPR. Isso ocorre porque a lei dos EUA permite que seu governo requeira dados de clientes de empresas por motivos de segurança nacional, algo que é proibido pelo GDPR.

Desde então, as empresas contam com um instrumento legal diferente, as cláusulas contratuais padrão (SCCs), para transferências transatlânticas de dados, que oferecem maior proteção. Mas a legitimidade destes permanece em grande parte não testada no tribunal, e um novo acordo, o Trans-Atlantic Data Privacy Framework , foi negociado no início deste ano. Atualmente, ela existe apenas em um nível político, e não legal, e provavelmente será contestada por defensores da privacidade se e quando entrar em vigor.

EU-US Privacy Shiels

Conforme detalhado no ponto 7.6.1, a Comissão Europeia pode tomar uma ‘decisão de adequação’, reconhecendo um país ou parte de um país como tendo uma proteção de dados adequada (GDPR, Capítulo V). Entretanto, como a lei de proteção de dados dos EUA difere consideravelmente daquilo que o GDPR (e a diretiva anterior) exige, não há uma decisão de adequação em relação aos EUA ou às partes geográficas dos mesmos.

Em vez disso, em julho de 2016, a Comissão aplicou a decisão (UE) 2016/1250 sobre a adequação da proteção fornecida pelo “EU-US Privacy Shield”, conforme emitido pelo Departamento de Comércio dos EUA. Recentemente, a decisão de adequação em relação aos dados transferidos sob o Privacy Shield foi revogada. Por isso, em caso de empresas que queiram transferir dados pessoais entre estas regiões, é obrigatório que, no momento do processamento, seja verificado que uma decisão de adequação esteja em vigor.

Em um comunicado de imprensa (IP-16-2461 de 12 de julho de 2016), a Comissão Europeia descreveu os princípios em que o EU-US Privacy Shield se baseia:

Obrigações das empresas que lidam com dados:

(…) O Departamento de Comércio dos EUA realizará atualizações e análises regulares das empresas participantes, para garantir que as empresas sigam as regras a que se submeteram. Se as empresas não cumprirem na prática, elas enfrentam sanções e são removidas da lista. O reforço das condições para as transferências subsequentes de dados para terceiros garantirá o mesmo nível de proteção quando da transferência de uma empresa da Privacy Shield.

Salvaguardas claras e obrigações de transparência no acesso do governo dos EUA:

Os EUA deram à UE garantias de que o acesso das autoridades públicas à aplicação da lei e à segurança nacional está sujeito a limitações, mecanismos de salvaguardas e mecanismos de supervisão claros. Todos na UE beneficiarão também, pela primeira vez, de mecanismos de reparação neste domínio. Os EUA descartaram a vigilância indiscriminada em massa de dados pessoais transferidos para os EUA sob o acordo Privacy Shield UE-EUA. O Gabinete do Diretor da Inteligência Nacional esclareceu ainda que a recolha de dados a granel só podia ser utilizada em pré-condições específicas e deveria ser a mais direcionada e focada possível. Ele detalha as salvaguardas em vigor para o uso de dados em tais circunstâncias excepcionais. O Secretário de Estado dos EUA estabeleceu uma possibilidade de reparação na área de inteligência nacional para os europeus através de um mecanismo de Provedor de Justiça (Ombudsperson) dentro do Departamento de Estado.

Proteção efetiva dos direitos individuais:

Qualquer cidadão que considere que os seus dados foram utilizados indevidamente sob o esquema Privacy Shield irá beneficiar de vários mecanismos acessíveis e acessíveis de resolução de litígios. Idealmente, a reclamação será resolvida pela própria empresa; ou soluções gratuitas de resolução alternativa de litígios (ADR – Alternative Dispute Resolution) serão oferecidas. Os indivíduos também podem dirigir-se às suas autoridades nacionais de proteção de dados (DPA-Autoridade de Proteção de Dados), que trabalharão com a Comissão Federal do Comércio (Federal Trade Commission) para garantir que as queixas de cidadãos da UE sejam investigadas e resolvidas. Se um caso não for resolvido por qualquer outro meio, como último recurso, haverá um mecanismo de arbitragem. A possibilidade de reparação no domínio da segurança nacional para os cidadãos da UE será tratada por um Provedor de Justiça independente dos serviços de inteligência dos EUA.

Mecanismo Anual de Revisão Conjunta:

O mecanismo monitorará o funcionamento do Privacy Shield, incluindo os compromissos e a garantia no que diz respeito ao acesso aos dados para fins de aplicação da lei e segurança nacional. A Comissão Europeia e o Departamento de Comércio dos EUA conduzirão a revisão e associarão especialistas nacionais em inteligência das autoridades de proteção de dados dos EUA e da Europa. A Comissão recorrerá a todas as outras fontes de informação disponíveis e publicará um relatório público ao Parlamento Europeu e ao Conselho.

Fonte: Tech Monitor 

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Dinamarca bane Google Workspace por não conformidade com GDPR – Neotel Segurança Digital

Deixe sua opinião!