E-goi Novidades

Os dados dos seus clientes estão seguros? Conheça o Privacy Shield!

29 Novembro, 2016 |

Pode transferir dados pessoais de titulares da União Europeia para os Estados Unidos? E quais são as consequências para si que usa um serviço de Marketing Automation / Email Marketing? Antes de respondermos a essas perguntas, e dado que nem todos podemos ter o mesmo conhecimento sobre este tema, vamos clarificar. # O que são dados […]

Pode transferir dados pessoais de titulares da União Europeia para os Estados Unidos? E quais são as consequências para si que usa um serviço de Marketing Automation / Email Marketing?
Antes de respondermos a essas perguntas, e dado que nem todos podemos ter o mesmo conhecimento sobre este tema, vamos clarificar.

  • O que são dados pessoais de titulares?
  • Que processos podem ser executados sobre esses dados pessoais de titulares?
  • Quando ocorre a transferência de dados pessoais de titulares da União Europeia para os Estados Unidos?

Primeiro, o que são dados pessoais de titulares?

São todos os dados que podem ser conectados a um titular específico (uma pessoa).
Exemplo: nome; morada; cnpj… No caso do E-goi (e de qualquer outro fornecedor de Marketing Automation ou Email Marketing), inclui todos os dados dos contactos que estão nas suas listas; campanhas e relatórios…

Que processos podem ser executados sobre esses dados pessoais de titulares?

Todas as operações (manuais ou automáticas) tais como: recolha; registro; armazenamento; modificação; recuperação, utilização; transmissão; publicação; bloqueio; destruição e transferência. Agora sim, vamos abordar …

Quando ocorre a transferência de dados pessoais de titulares da União Europeia para os Estados Unidos?

Se usa um serviço de Email Marketing norte-americano (Mailchimp, Aweber e Constant Contact…) então os servidores estão fora da União Europeia. O mais natural é que estejam nos Estados Unidos. Logo, todos os dados (e processos sobre esses dados) implica a transferência de dados pessoais de titulares da União Europeia para os Estados Unidos. Por exemplo, sempre que um contacto se inscreve, numa lista sua, os dados desse contacto são gravados num servidor que está nos Estados Unidos.

Então, e no caso do E-goi?

No E-goi NÃO existe essa transferência de dados pessoais de titulares da União Europeia para os Estados Unidos. Isto porque os nossos servidores estão em Portugal. Ou seja, na União Europeia. Logo, qualquer operação, que realiza na sua conta/contactos, é executada nos servidores do E-goi.
Agora que já estamos todos na mesma página, vamos responder a:

  • Pode transferir dados pessoais de titulares da União Europeia para os Estados Unidos?
  • E quais são as consequências para si — que usa um serviço de Marketing Automation / Email Marketing?

Primeiro, vamos responder à pergunta…

“Pode transferir dados pessoais de titulares da União Europeia para os Estados Unidos?”

Até Outubro de 2015 podia — ao abrigo do Safe Harbour. Em Outubro de 2015, o Tribunal de Justiça da União Europeia invalidou o Safe Harbour. Para resolver esta verdadeira dor de cabeça, a Comissão Europeia e os Estados Unidos encetarem negociações para criar um mecanismo alternativo. O mecanismo encontrado foi o “EU-US Privacy Shield” (Privacy Shield), em 12 de Julho de 2016.

É natural que esteja curioso para saber:

  • Porque foi invalidado o Safe Harbour? E porque isso é uma verdadeira dor de cabeça?
  • Que diferenças existem entre Safe Harbour e Privacy Shield?

Antes disso…

O que é o Safe Harbour?

Safe Harbour foi um acordo celebrado, em 2000, entre a União Europeia e os Estados Unidos. O Safe Harbour continha as regras a usar nas transferências de dados pessoais de titulares entre os vários países (aderentes ao Safe Harbour).

De acordo com essas regras, as empresas (que recebiam os dados transferidos) eram obrigadas a informar os titulares dos dados:

  • Que os seus dados estavam a ser recolhidos
  • O que iriam fazer com esses dados (processos)
  • Pedir autorização para transferir esses dados para uma nova entidade subcontratante (third party processor) ou para novo responsável pelo tratamento (third party controller)
  • Autorizar, aos titulares dos dados, o acesso aos dados

O Safe Harbour também garantia:

  • A integridade e a segurança dos dados
  • Que essas empresas cumpriam o estabelecido no acordo

O que falhou no Safe Harbour, para que fosse invalidado em Outubro de 2015?
Já vamos responder a isso. Primeiro vamos ver…

O que é o Privacy Shield?

O Privacy Shield é uma autocertificação para empresas norte-americanas que pretendem tratar dados pessoais – facilita a transferência desses dados e obriga essas empresas a proteger esses dados.

O que é uma autocertificação?

Numa autocertificação, o fornecedor realiza o controle e garante a qualidade do produto/serviço fornecido. Na prática, as empresas norte-americanas garantem a privacidade dos dados pessoais que recebem da União Europeia.

Como garantem essa privacidade?

São obrigadas, por exemplo, a limitar as finalidades do tratamento dos dados. Assim como, são obrigadas a disponibilizar os mecanismos de fiscalização que garantem o cumprimento desses princípios. Bem como, dar aos titulares dos dados os meios contra tratamento de dados ilegítimos. Por outras palavras, garantem que:

  • Os direitos dos titulares estão protegidos
  • Todos os processos são claros (transferência de dados e certificação das empresas americanos)
  • As autoridades dos Estados Unidos só podem aceder aos dados pessoais transferidos apenas em situações muito particulares (ligadas a fins de segurança nacional). Sendo esse acesso supervisionado e protege os interesses dos titulares. Ou seja, nunca podem aceder indiscriminadamente ou em massa a esses dados
  • As empresas americanas incumpridoras serão sancionadas – podem perder a certificação
  • As retransferências de dados pessoais serão limitadas a situações excecionais, e jamais podem quebrar/alterar as proteções garantidas aos titulares. Quer os dados sejam retransmitidos para uma nova entidade subcontratante (third party processor) ou para um novo responsável pelo tratamento (third party controller), e independentemente de serem retransmitidos para dentro ou fora dos Estados Unidos.

Qual é a diferença entre o Safe Harbour e o Privacy Shield?

O Privacy Shield prevê melhorias nos mecanismos de reação/compensação para os titulares dos dados – melhorias essas que estavam ausentes no Safe Harbour.
Tais como:

  • As empresas americanas, que tratem os dados, são obrigadas a responder às queixas dos titulares, num prazo máximo de 45 dias
  • Alternativamente, os titulares podem recorrer a uma entidade independente de resolução de litígios designada (que poderá estar localizada nos Estados Unidos ou na União Europeia), sendo este recurso livre de quaisquer encargos
  • Os titulares também podem recorrer às Autoridades de Proteção de Dados Pessoais nacionais da União Europeia (como, no caso de Portugal, a CNPD), que cooperarão com as autoridades americanas de modo a encontrar soluções para as queixas recebidas, a garantir uma investigação apropriada e uma decisão célere
  • Em último recurso, poderá recorrer-se a arbitragem, dirimida pelo designado “Privacy Shield Panel” (composto por 1 a 3 árbitros, escolhidos de uma lista criada pelo Department of Commerce americano e pela Comissão Europeia), para garantir uma decisão executória

Também foi estabelecido um mecanismo anual de revisão conjunta (entre a Comissão Europeia, o Department of Commerce dos Estados Unidos, e especialistas europeus e americanos em matérias de segurança nacional). Estes avaliarão se os princípios do Privacy Shield estão a ser respeitados, promovendo a discussão de questões relacionadas com o acesso aos dados pessoais pelas Autoridades Públicas. Desta revisão conjunta, e de outras fontes de informação que possam ser consideradas relevantes, resultará um relatório público a ser enviado ao Parlamento Europeu e ao Conselho da União Europeia.

Porque foi invalidado o Safe Harbour?

Como facilmente conseguimos concluir, o Privacy Shield garante proteções (aos titulares dos dados) mais robustas do que o Safe Harbour.

No entanto, e sempre que ocorria transferência de dados pessoais de titulares entre a União Europeia e os Estados Unidos, que proteção tinham os titulares entre Outubro de 2015 (quando o Safe Harbour foi invalidado) e Julho de 2016 (quando o Privacy Shield foi aprovado)? Pois é! Uma verdadeira dor de cabeça. Na prática, se usava um serviço de Marketing Automation / Email Marketing norte-americano (Mailchimp, Aweber e Constant Contact…) então qual era a proteção dos seus dados (e os dados dos seus contactos)? E caso houvesse alguma quebra de confidencialidade, a quem iria apresentar queixa?

Poderá acontecer mesmo ao Privacy Shield?

A partir de a partir de 1 de agosto de 2016, o Department of Commerce dos Estados Unidos começou a aceitar certificações de organizações americanas no âmbito do Privacy Shield.

Então, como se pode proteger?

A melhor forma de se proteger (os seus dados, assim como os dados dos seus contactos) é escolher um serviço de Marketing Automation / Email Marketing com servidores na União Europeia. Como é o caso do E-goi. E já agora… pode consultar a nossas obrigações/direitos, as suas obrigações/direitos, garantias, indemnizações e recursos de arbitragem AQUI.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.