A coima da GDPR à Meta em 4 pontos-chave
A Autoridade Irlandesa para a Protecção de Dados multou a Meta Platforms Ireland Limited em 1,2 mil milhões de euros, na sequência de um inquérito sobre as suas transferências de dados para os EUA. A multa, a maior de sempre ao abrigo do RGPD, foi imposta pela utilização pela Meta de cláusulas contratuais-tipo para transferir dados pessoais desde 16 de julho de 2020.
O que aconteceu?
Em abril de 2023, o Comité Europeu para a Proteção de Dados (CEPD) adotou uma decisão vinculativa que instruía a Comissão de Proteção de Dados (DPC) a impor uma coima administrativa à Meta Platforms Ireland Limited (Meta IE) pela violação do Regulamento Geral sobre a Proteção de Dados (GDPR) na transferência de dados pessoais de utilizadores europeus.
O CEPD baseou a sua decisão em objecções levantadas por várias autoridades de supervisão e instruiu que a coima deveria variar entre 20% e 100% do máximo permitido.
Com base na Decisão Vinculativa, em 22 de Maio de 2023, a DPC ordenou à Meta IE que cumprisse o GDPR e pagasse uma coima de 1,2 mil milhões de euros.
O que é o Meta?
Em Outubro de 2021, o gigante das redes sociais mudou o seu nome para Meta, juntamente com um novo design. De acordo com seu CEO Mark Zuckerberg, a razão por trás de manter a ênfase longe do nome Facebook foi reorientar a empresa para a próxima fronteira digital, que é a fusão de diferentes mundos digitais no "metaverso".
No entanto, o momento da mudança de nome coincidiu com a necessidade de a empresa se afastar dos problemas que o Facebook, enquanto rede social, estava a ter com a disseminação de informações falsas e discursos de ódio e com o escândalo Cambridge Analytica.
O que é o RGPD?
O Regulamento Geral sobre a Protecção de Dados (GDPR) é a lei mais rigorosa do mundo em matéria de privacidade e segurança. Embora tenha sido redigido e aprovado pela União Europeia (UE), exige que os grupos de qualquer lugar sigam regras específicas se visarem pessoas na UE ou recolherem dados sobre elas. Aqueles que violarem as regras de privacidade e segurança do GDPR terão de pagar coimas avultadas.
Com o RGPD, a Europa está a deixar claro que leva a privacidade e a segurança dos dados muito a sério, numa altura em que cada vez mais pessoas colocam as suas informações pessoais na nuvem e em que as violações de segurança acontecem todos os dias.
O Meta IE infringiu o artigo 46.º, n.º 1, do GDPR, que estabelece que um responsável pelo tratamento ou um subcontratante só pode transferir dados pessoais para um país terceiro ou uma organização internacional se "tiver fornecido garantias adequadas e na condição de estarem disponíveis direitos aplicáveis aos titulares dos dados e recursos jurídicos eficazes para os titulares dos dados".
Qual é a história?
A Decisão "Porto Seguro", adoptada em Julho de 2000, estabeleceu disposições para as transferências de dados entre a UE e os EUA. Embora não considerasse que os EUA oferecessem uma protecção de dados adequada, permitia transferências se a entidade receptora autocertificasse a conformidade com os princípios e orientações de privacidade do "porto seguro" publicados pelo Ministério do Comércio dos EUA. Consequentemente, os acordos de "porto seguro" passaram a ser amplamente utilizados pelos responsáveis pelo tratamento de dados na UE para legitimar as transferências de dados para os EUA.
Em Junho de 2013, Edward Snowden, um empreiteiro contratado por um terceiro para trabalhar para a Agência de Segurança Nacional dos EUA ("NSA"), divulgou documentos que mostravam que a NSA geria pelo menos um programa que espiava a Internet e os sistemas telefónicos de algumas das maiores empresas tecnológicas do mundo, como a Microsoft, a Apple, a Meta US e outras.
No final desse mês, Maximillian Schrems apresentou uma queixa ao Comissário para a Protecção de Dados (DPC), argumentando que a transferência de dados pessoais da Meta Ireland para a sua empresa-mãe nos EUA, a Meta US, era ilegal à luz da divulgação dos documentos de Snowden. Inicialmente, o Comissário recusou-se a investigar a queixa, invocando o carácter vinculativo da decisão "porto seguro". A Schrems contestou esta decisão através de um pedido de revisão judicial, com o objectivo de anular a recusa do Comissário e solicitar uma investigação da queixa.
Em resposta às preocupações com a divulgação dos documentos de Snowden, os EUA e a Comissão Europeia criaram um grupo de trabalho ad hoc UE/EUA em Julho de 2013. O objectivo era investigar o âmbito dos programas de vigilância, o volume de dados recolhidos, os mecanismos de supervisão e os níveis de protecção nos EUA e na UE/EEE. Em Novembro de 2013, a Comissão Europeia publicou um relatório baseado nas conclusões do Grupo de Trabalho, afirmando que os dados foram recolhidos através de directivas dirigidas aos principais fornecedores de serviços de Internet e empresas tecnológicas dos EUA, incluindo a Microsoft, Yahoo, Google e Facebook.
O relatório identificou várias preocupações relativamente à legislação dos EUA, incluindo
- A existência de bases jurídicas que permitem a recolha e o tratamento em grande escala de dados pessoais transferidos para fins de espionagem estrangeira;
- Diferenças nas salvaguardas entre os titulares de dados da UE e dos EUA, com os cidadãos dos EUA a beneficiarem de protecções constitucionais que não se aplicam aos cidadãos da UE;
- Diferentes níveis de protecção de dados para diferentes tipos de dados e fases de tratamento;
- Falta de clareza relativamente a outras bases jurídicas e condições aplicáveis; e
- Falta de clareza relativamente a outras bases jurídicas e condições aplicáveis; e Tanto os titulares de dados da UE como dos EUA não dispunham de vias para serem informados sobre a recolha e o tratamento dos seus dados pessoais.
A Schrems e a DPC chegaram a um acordo relativamente à investigação da queixa. Acordaram que a investigação da queixa seria conduzida separadamente e exclusivamente por referência às disposições aplicáveis do RGPD e que o âmbito temporal teria como ponto de partida o dia 25 de maio de 2018.
Em Agosto de 2020, a DPC emitiu um projecto de decisão preliminar. Este serviu de aviso à Meta IE para iniciar um inquérito por vontade própria, definindo o seu âmbito e base jurídica. A Schrems foi convidada a apresentar as suas observações. Em Fevereiro de 2022, a DCP emitiu um anteprojecto revisto e partilhou-o com outras autoridades de supervisão interessadas, várias das quais levantaram objecções. O litígio foi então remetido em Setembro para o CEPD.
Em abril de 2023, o CEPD adotou uma decisão vinculativa relativa ao litígio apresentado pela autoridade de controlo irlandesa sobre as transferências de dados pela Meta IE para o seu serviço Facebook.
Com a sua decisão, o CEPD dá instruções ao DPC para impor uma coima administrativa à Meta IE com base na avaliação de factores como:
- "Um número muito elevado de titulares de dados é afectado, e este número, já de si elevado, pode continuar a aumentar até que a infracção seja efectivamente terminada", e "que esta duração da infracção é significativa".
- "O Meta IE cometeu a infracção, pelo menos, com o mais elevado grau de negligência".
- "Existem elementos suficientes na análise deste factor que confirmam o elevado grau de responsabilidade do Meta IE".
- "Um grande número de categorias de dados pessoais foi afectado pela infracção, incluindo categorias especiais de dados pessoais nos termos do artigo 9".
- "É o modelo de negócio que deve adaptar-se e cumprir os requisitos que o GDPR estabelece em geral e para cada uma das bases jurídicas e não o contrário."
Com base na decisão vinculativa, a DPC tomou a sua própria decisão com base nas suas conclusões. Em resumo, são elas:
- As transferências de dados efectuadas pela Meta IE são realizadas em circunstâncias que não garantem aos titulares dos dados um nível de protecção essencialmente equivalente ao previsto na legislação da UE, violando o artigo 46.º, n.º 1, do GDPR;
- Ordenar à Meta IE que ponha as suas operações de tratamento em conformidade com o Capítulo V do GDPR, cessando o tratamento ilegal, incluindo o armazenamento, nos EUA, de dados pessoais de utilizadores do EEE transferidos em violação do GDPR;
- Aplicar uma coima administrativa de 1,2 mil milhões de euros à Meta IE por ter constatado uma infracção ao artigo 46.
O que é que podemos aprender?
A decisão da DPC tem implicações significativas para a privacidade dos dados a nível mundial, salientando o crescente controlo e os desafios enfrentados pelas organizações envolvidas em transferências internacionais de dados. Sublinha a necessidade de quadros de protecção de dados sólidos que garantam os direitos de privacidade das pessoas, especialmente nas transferências de dados para países com normas de privacidade diferentes. O caso serve para relembrar que a privacidade dos dados é um direito fundamental e que as transferências transfronteiriças de dados devem respeitar salvaguardas rigorosas para proteger as informações pessoais dos indivíduos.
Este desenvolvimento deve levar as organizações a reavaliarem os seus mecanismos de transferência de dados, a adoptarem salvaguardas alternativas e a cumprirem regulamentos mais rigorosos.