Com mais de 15 anos de experiência como advogada, o seu papel como co-fundadora de um conselho consultivo para a proteção de dados e a sua participação ativa em processos no Tribunal de Justiça Europeu – juntamente com Max Schrems e Thomas Lohninger – Katharina Raabe-Stuppnig é uma das vozes mais influentes na legislação europeia sobre proteção de dados. No seu escritório de advogados na Wickenburggasse, em Viena, fala sobre o seu percurso profissional, os desafios do RGPD e a crescente complexidade das novas leis digitais da UE.
Do direito dos media à proteção de dados: especialista na Áustria
Katharina Raabe-Stuppnig iniciou a sua carreira no direito dos media. Aconselhava editoras e empresas de telecomunicações em questões relacionadas com o direito da concorrência, a publicidade e a responsabilidade dos meios de comunicação social. A ponte para a proteção de dados surgiu quase automaticamente: “Muitos clientes abordaram-me e disseram-me: Conheces os nossos processos e o nosso equilíbrio de interesses – podes também apoiar-nos na proteção de dados?”
Quando o RGPD entrou em vigor, a proteção de dados passou a estar mais no centro da realidade empresarial. As coimas na ordem dos milhões aumentaram a pressão. As empresas precisavam de conceitos claros – e contavam com as parcerias existentes. Como resultado, a lei de proteção de dados evoluiu de uma questão periférica para o foco central das suas actividades.
“O meu desejo seria reforçar a economia europeia – através de alternativas europeias. A estratégia digital e a Lei de Dados estão na direção certa. A única questão é: será que vais chegar a tempo?”
Mag. Kathrina Raabe-Stuppnig
A proteção de dados como facilitador
Desde a introdução do RGPD em 2018, a necessidade de apoio jurídico aumentou enormemente – e continua a ser elevada. Isto deve-se sobretudo ao facto de o regulamento não fazer distinção entre grandes e pequenas empresas. Todas têm de cumprir as mesmas normas.
“Um sistema de gestão de proteção de dados funcional é hoje um verdadeiro facilitador”, explica Raabe-Stuppnig. “Fornece às empresas uma visão geral dos sistemas, processos e riscos – e constitui a base para a otimização e o aumento da eficiência.”
Ao mesmo tempo, o ambiente está a tornar-se cada vez mais complexo: nova legislação como a NIS-2, a Lei da Ciber-resiliência, a Lei da IA e a Lei dos Dados estão a colocar exigências adicionais às empresas – em todos os sectores. Aqueles que já criaram uma base estável de proteção de dados têm agora uma clara vantagem.
Estratégias para a transformação digital
Os problemas com que as empresas recorrem atualmente à empresa são muitos e variados:
- Como é que a NIS-2 me afecta se eu for um fornecedor de infra-estruturas críticas?
- De que políticas necessito para a Lei da IA?
- Como é que lido com os novos direitos de acesso aos dados ao abrigo da Lei dos Dados – sem pôr em causa o nível de proteção de dados que construí até agora?
Para além das avaliações jurídicas, as questões estratégicas estão a desempenhar um papel cada vez mais importante: onde devem ser atribuídas as responsabilidades dentro da empresa? Como é que a conformidade, a segurança cibernética e a capacidade de inovação podem ser harmonizadas? Raabe-Stuppnig e a sua equipa apoiam as empresas não só na implementação, mas também no seu posicionamento no novo quadro jurídico.
UE vs. EUA: atitudes básicas diferentes
A utilização de software de países terceiros – por exemplo, por hiperescaladores americanos – é uma questão particularmente sensível. Embora também existam leis de proteção de dados nos EUA, explica Raabe-Stuppnig, a proteção aplica-se principalmente aos cidadãos americanos. Para os cidadãos da UE, a regulamentação é bastante mais fraca.
“O problema está na ponderação: os interesses de segurança da NSA têm frequentemente precedência sobre a proteção de dados de não-americanos. O TJCE já estabeleceu esta desproporcionalidade duas vezes – e, por conseguinte, anulou princípios centrais como o Safe Harbour e o Privacy Shield.”
Alteração da sensibilização na Europa desde 2018
Desde que o RGPD entrou em vigor, a consciencialização na Europa mudou visivelmente. As empresas são agora muito mais sensíveis no que respeita ao tratamento de dados pessoais. A atenção dos meios de comunicação social em torno dos acórdãos sobre proteção de dados e dos casos proeminentes desempenhou um papel fundamental neste contexto.
“Criámos uma norma de ouro para a proteção de dados na Europa”, resume Raabe-Stuppnig. “E é agradável ver quantas empresas estão a esforçar-se ativamente não só para cumprir esta norma, mas também para a utilizar como uma vantagem competitiva.”
O que torna a transferência de dados para os EUA tão sensível – e qual é a situação jurídica atual na UE?
O debate sobre a proteção de dados entre a UE e os EUA é complexo – e, acima de tudo, muito dinâmico do ponto de vista jurídico. Ao contrário de países como a Suíça, para os quais a Comissão Europeia emitiu a chamada decisão de adequação, a situação nos EUA era e é muito mais complicada. Esta decisão estabelece que os dados pessoais podem ser transferidos para um país terceiro porque o nível de proteção de dados nesse país é comparável ao da UE. Em países como a China ou a Rússia – e durante muito tempo também nos EUA – não existia tal decisão.
Tratamento de dados nos EUA – um equilíbrio jurídico
Assim que as empresas trabalham com prestadores de serviços para o tratamento de dados nos EUA, por exemplo, têm de tomar medidas de proteção adicionais para manter o nível de proteção de dados exigido pelo RGPD. Isto significa mais esforço, mais controlos obrigatórios – e mais risco.
Um exemplo prático: mesmo que escolha uma localização de servidor na UE para os fornecedores de serviços de computação em nuvem dos EUA, o problema continua a existir – por exemplo, se a filial europeia estiver sob o controlo de uma empresa-mãe americana. Em caso de emergência, as autoridades americanas, como a NSA, podem exigir o acesso aos dados, mesmo através de uma cadeia de comando interna. A localização de um servidor na UE reduz o risco, mas não o elimina completamente.
Do porto seguro ao quadro de proteção da privacidade dos dados: uma retrospetiva
A história dos acordos de proteção de dados entre a UE e os EUA assemelha-se a uma série de retrocessos jurídicos:
- O Acordo de Porto Seguro foi o primeiro acordo a impor voluntariamente determinadas normas de proteção de dados às empresas americanas. Foi revogado em 2015 pelo acórdão Schrems I.
- O Privacy Shield foi o sucessor – uma versão revista do Safe Harbour. No entanto, este acordo também foi declarado inválido pelo Tribunal de Justiça Europeu no acórdão Schrems II em 2020.
- Em resposta, entrou em vigor o Quadro de Privacidade de Dados, com base no qual a Comissão Europeia adoptou novamente uma decisão de adequação para os EUA.
No entanto, a nova decisão assenta, uma vez mais, em bases pouco sólidas
Isto deve-se ao facto de o Quadro de Privacidade de Dados se basear numa ordem executiva do Presidente dos EUA – por outras palavras, uma ordem que pode, teoricamente, ser revogada em qualquer altura. Por conseguinte, os críticos duvidam da estabilidade a longo prazo deste quadro. Já foi intentada uma ação judicial contra a decisão de adequação junto do Tribunal de Justiça Europeu – o resultado é incerto.
Além disso, a autoridade de controlo responsável dos EUA, o PCLOB, não pode atualmente atuar porque três dos seus cinco diretores foram demitidos pelo anterior Presidente Trump. O resultado: uma grande incerteza quanto à estabilidade do mecanismo de proteção de dados nos EUA.
Qual a importância do Quadro de Privacidade de Dados para as empresas da UE?
Se estás a planear a longo prazo e queres concentrar-te na segurança dos dados, não deves confiar cegamente no Quadro de Privacidade de Dados. Tal como no passado, a situação jurídica pode mudar rapidamente. O custo das Avaliações do Impacto da Transferência de Dados (AIT) é elevado e as violações podem resultar em sanções graves que podem atingir 4% do volume de negócios global anual.
Os serviços de nuvem dos EUA (ainda) são utilizáveis – mas não sem riscos
Os serviços em nuvem de fornecedores dos EUA podem atualmente ser utilizados em conformidade com a **regulamentação relativa à proteção de dados, desde que sejam aplicadas **medidas de proteção adequadas, tais como cláusulas contratuais-tipo e medidas de segurança técnica. Mas continua a existir um risco residual. É particularmente problemático o facto de ainda não existir uma encriptação de ponta a ponta adequada à utilização quotidiana para todos os tipos de utilização – por exemplo, para o tratamento contínuo de dados (“dados em utilização”).
Por conseguinte, a utilização dos serviços dos EUA deve ser sempre avaliada individualmente: Quão sensíveis são os dados processados? Que medidas de segurança são tomadas? E em que medida é que a empresa consegue efetivamente atenuar os riscos?
Entre o preto no branco e o realismo: como as empresas devem lidar com a proteção de dados e os fornecedores de serviços em nuvem
A questão de saber se as empresas devem utilizar apenas software e serviços em nuvem de origem europeia – um “completamente ou não” – parece uma posição clara à primeira vista. Mas é precisamente contra isso que alerta a especialista em proteção de dados Katharina Raabe-Stuppnig. Este princípio não é apenas impraticável, mas também difícil de justificar perante as autoridades. Em vez disso, cada decisão sobre a utilização de software ou serviços em nuvem deve ser tomada caso a caso – dependendo do grau de sensibilidade dos dados processados e das medidas de proteção específicas que podem ser tomadas.
Não te deixes levar por uma falsa sensação de segurança – mesmo com o Quadro de Privacidade
Outro tema que preocupa atualmente muitas empresas: O que acontece se o Tribunal de Justiça Europeu (TJE) anular o novo quadro de privacidade de dados entre a UE e os EUA – tal como aconteceu anteriormente com o “Safe Harbour” e o “Privacy Shield”? A resposta é clara: voltará a existir uma enorme insegurança jurídica. É precisamente por isso que Kargl já está a aconselhar as empresas a não confiarem apenas no quadro, mas a acordarem cláusulas contratuais-tipo adicionais (SCC). Estas devem incluir sempre uma avaliação do impacto da transferência (TIA) – ou seja, uma análise de risco da transferência de dados para países terceiros.
No entanto, o advogado também deixa claro que, se o Quadro de Privacidade de Dados cair efetivamente e a proporcionalidade da transferência de dados para os EUA for fundamentalmente posta em causa, os AIT também atingirão os seus limites. A esperança reside então em medidas técnicas e organizacionais suplementares – sobretudo a encriptação.
Encriptação: a pretensão e a realidade divergem
As autoridades de proteção de dados e o TJCE exigem uma solução clara aos fornecedores de serviços de computação em nuvem dos EUA: os dados só devem ser armazenados de forma encriptada e a chave deve ser gerida fora do fornecedor – idealmente na Europa e sob o controlo da empresa responsável pelos dados ou de um administrador europeu. O objetivo desta solução, denominada “gestão externa de chaves”, é garantir que, mesmo em caso de acesso por parte das autoridades norte-americanas, como a NSA, apenas os dados encriptados, ou seja, inutilizáveis, possam ser transmitidos.
Na prática, porém, segundo Katharina Raabe-Stuppnig, este tipo de encriptação só pode ser realmente implementado para dados de segurança. A partir do momento em que os dados são processados ativamente na vida quotidiana, é necessário aceder a material não encriptado. É precisamente aqui que reside o problema: a tecnologia que permite o processamento completo de dados num estado encriptado só existe atualmente de forma muito limitada – para cálculos simples ou estimativas em cenários específicos, por exemplo. O estado da arte ainda não é suficiente para uma utilização generalizada, como é necessário na economia.
O papel da Europa: oportunidades através do Data Act
Apesar destes desafios, o advogado está otimista em relação ao futuro: a Lei de Dados da UE vai definir um rumo importante. Os fornecedores de serviços de computação em nuvem serão obrigados a permitir estratégias de multicloud, ou seja, a apoiar uma mudança fácil entre fornecedores – sem custos de mudança elevados. Isto contribuirá ativamente para o reforço da soberania europeia no espaço digital e para a criação de mais alternativas aos hiperescaladores americanos a longo prazo.
Resta saber se, a prazo, a Europa será capaz de atuar de forma mais independente e segura no espaço digital. No entanto, Raabe-Stuppnig está confiante: “A vontade política existe – e com apoio e regulamentação específicos, poderão surgir em breve alternativas europeias viáveis.
Uma renúncia geral a soluções de países terceiros não é praticável nem legalmente exigida. As empresas devem ponderar cuidadosamente a sensibilidade dos seus dados, os parceiros adequados e as medidas de proteção específicas que podem aplicar. Quem já recorre a SCC, TIA e cifragem não só está seguro do ponto de vista jurídico, como também reforça a posição da Europa na concorrência digital.
