Com mais de 15 anos de experiência como advogada, o seu papel como co-fundadora de um conselho consultivo para a proteção de dados e a sua participação ativa em processos no Tribunal de Justiça Europeu – juntamente com Max Schrems e Thomas Lohninger – Katharina Raabe-Stuppnig é uma das vozes mais influentes na legislação europeia sobre proteção de dados. No seu escritório de advogados na Wickenburggasse, em Viena, fala sobre o seu percurso profissional, os desafios do RGPD e a crescente complexidade causada pelas novas leis digitais da UE.
Do direito dos media à proteção de dados: Perito na Áustria
Katharina Raabe-Stuppnig iniciou a sua carreira no direito dos media. Aconselha editoras e empresas de telecomunicações em matéria de direito da concorrência, publicidade e responsabilidade pelos meios de comunicação social. A passagem para a proteção de dados foi quase automática: “Muitos clientes abordaram-me e disseram-me: Conheces os nossos processos e o nosso equilíbrio de interesses – podes também apoiar-nos na proteção de dados?”
Quando o RGPD entrou em vigor, a proteção de dados passou a estar mais no centro da realidade empresarial. As multas de milhões aumentaram a pressão. As empresas precisam de conceitos claros – e contam com as parcerias existentes. Como resultado, a lei de proteção de dados deixou de ser um tópico marginal e passou a ser o foco central do seu trabalho.
“O meu desejo seria reforçar a economia europeia – através de alternativas europeias. A estratégia digital e a Lei de Dados são um passo na direção certa. A única questão é: será que vais chegar a tempo?”
Mag. Kathrina Raabe-Stuppnig
A proteção de dados como facilitador
Desde a introdução do RGPD em 2018, a necessidade de apoio jurídico aumentou enormemente – e continua a ser elevada. Isto deve-se sobretudo ao facto de o regulamento não fazer distinção entre grandes e pequenas empresas. Todas têm de cumprir as mesmas normas.
“Um sistema de gestão da proteção de dados funcional é hoje um verdadeiro facilitador”, explica Raabe-Stuppnig. “Dá às empresas uma visão geral dos sistemas, processos e riscos – e constitui a base para a otimização e o aumento da eficiência.”
Ao mesmo tempo, o ambiente está a tornar-se cada vez mais complexo: a nova legislação, como a NIS-2, a Lei da Ciber-resiliência, a Lei da IA ou a Lei dos Dados, coloca exigências adicionais às empresas – em todos os sectores. Aqueles que já criaram uma base estável de proteção de dados têm uma clara vantagem.
Estratégias de transformação digital
As questões com que as empresas recorrem atualmente ao escritório de advogados são múltiplas:
- Como é que a NIS-2 me afecta se eu for um fornecedor de infra-estruturas críticas?
- De que políticas necessito para a Lei da IA?
- Como lidar com os novos direitos de acesso aos dados de acordo com a Lei de Dados – sem pôr em causa o nível de proteção de dados que construí até agora?
Para além das avaliações jurídicas, as questões estratégicas desempenham um papel cada vez mais importante: Onde é que as responsabilidades devem estar localizadas na empresa? Como é que equilibras a conformidade, a cibersegurança e a inovação? Raabe-Stuppnig e a sua equipa apoiam as empresas não só na implementação, mas também no posicionamento no novo quadro jurídico.
UE vs. EUA: atitudes básicas diferentes
Uma questão particularmente sensível é a utilização de software de países terceiros – por exemplo, por hiperescaladores americanos. Embora também existam leis de proteção de dados nos EUA, disse Raabe-Stuppnig, a proteção aplica-se principalmente aos cidadãos americanos. Para os cidadãos da UE, esta regulamentação é muito mais fraca.
“O problema está na ponderação: Os interesses de segurança da NSA têm frequentemente precedência sobre a proteção de dados de não-americanos. O TJCE já considerou esta desproporcionalidade duas vezes – e, por conseguinte, anulou princípios centrais como o Safe Harbor e o Privacy Shield.”
Alteração da sensibilização na Europa desde 2018
Desde que o RGPD entrou em vigor, a consciencialização na Europa mudou visivelmente. Atualmente, as empresas são muito mais sensíveis no que diz respeito ao tratamento de dados pessoais. A atenção dos meios de comunicação social em torno das decisões relativas à proteção de dados e dos casos de grande visibilidade tem desempenhado um papel fundamental neste contexto.
“Criámos uma norma de ouro para a proteção de dados na Europa”, resume Raabe-Stuppnig. “E é gratificante ver quantas empresas se esforçam ativamente não só por cumprir esta norma, mas também por a utilizar como uma vantagem competitiva.”
O que torna a transferência de dados para os EUA tão sensível – e qual é a situação jurídica atual na UE?
O debate sobre a proteção de dados entre a UE e os EUA é complexo e, sobretudo, muito dinâmico do ponto de vista jurídico. Ao contrário de países como a Suíça, para os quais foi emitida a chamada decisão de adequação da Comissão Europeia, a situação com os EUA era e é muito mais complicada. Esta decisão estabelece que os dados pessoais podem ser transferidos para um país terceiro porque existe um nível de proteção de dados comparável ao da UE. Em países como a China ou a Rússia – e durante muito tempo também nos EUA – essa decisão não existia.
Tratamento de dados nos EUA – um equilíbrio jurídico
Por exemplo, assim que as empresas trabalham com prestadores de serviços de processamento de dados nos EUA, têm de tomar medidas de proteção adicionais para manter o nível de proteção de dados exigido pelo RGPD. Isto significa mais esforço, mais obrigação de controlo – e mais risco.
Um exemplo prático: Mesmo que escolhas uma localização de servidor na UE para os fornecedores de serviços em nuvem dos EUA, o problema persiste – por exemplo, se a filial europeia estiver subordinada a uma empresa-mãe americana. Em caso de emergência, as autoridades americanas, como a NSA, podem exigir o acesso aos dados, inclusive através de uma cadeia de comando interna. A localização de um servidor na UE reduz o risco, mas não o elimina completamente.
De Safe Harbor ao Quadro de Privacidade de Dados: Uma análise
A história dos acordos de proteção de dados entre a UE e os EUA assemelha-se a uma sucessão de retrocessos jurídicos:
- Safe Harbor foi o primeiro acordo a impor voluntariamente certas normas de proteção de dados às empresas americanas. Foi anulado em 2015 pelo acórdão Schrems I.
- O Privacy Shield foi o sucessor – uma versão revista do Safe Harbor. Mas este acordo também foi declarado inválido pelo Tribunal de Justiça Europeu em 2020, no acórdão Schrems II.
- Em resposta, entrou em vigor o Quadro de Privacidade de Dados, com base no qual a Comissão Europeia adoptou novamente uma decisão de adequação para os EUA.
No entanto, a nova decisão assenta, mais uma vez, em bases pouco sólidas
Isto deve-se ao facto de o Quadro de Privacidade de Dados se basear numa ordem executiva do Presidente dos EUA – ou seja, uma ordem que, teoricamente, pode ser revogada em qualquer altura. Por conseguinte, os críticos duvidam da estabilidade a longo prazo deste quadro. Já foi intentada uma ação judicial contra a decisão de adequação junto do Tribunal de Justiça Europeu – o resultado está em aberto.
Além disso, a autoridade de supervisão norte-americana responsável, PCLOB, não pode atualmente atuar porque três dos seus cinco gestores foram demitidos pelo ex-Presidente Trump. O resultado: grande incerteza quanto à estabilidade do mecanismo de proteção de dados nos EUA.
Qual a importância do Quadro de Privacidade de Dados para as empresas da UE?
Se planeias a longo prazo e queres concentrar-te na segurança dos dados, não deves confiar cegamente no Quadro de Privacidade de Dados. A situação jurídica pode mudar rapidamente – tal como no passado. As Avaliações do Impacto da Transferência de Dados (AIT) exigem muito esforço e as violações podem resultar em penalizações graves: até 4% das receitas anuais globais.
Os serviços de nuvem dos EUA (ainda) são utilizáveis – mas não sem riscos
Atualmente, os serviços de computação em nuvem de fornecedores dos EUA podem ser utilizados em conformidade com a regulamentação em matéria de proteção de dados, desde que sejam aplicadas medidas de proteção adequadas, como cláusulas contratuais-tipo e medidas de segurança técnica. Mas continua a existir um risco residual. É particularmente problemático o facto de ainda não existir uma encriptação de ponta a ponta adequada à utilização quotidiana para todos os tipos de utilização – por exemplo, no tratamento contínuo de dados (“dados em utilização”).
A utilização dos serviços dos EUA deve, por conseguinte, ser sempre avaliada individualmente: qual o grau de sensibilidade dos dados tratados? Que medidas de segurança estão a ser tomadas? E até que ponto a empresa é capaz de amortecer efetivamente os riscos?
Entre o preto no branco e o realismo: como as empresas devem lidar com a proteção de dados e os fornecedores de serviços em nuvem
A questão de saber se as empresas só devem utilizar software e serviços em nuvem de origem europeia – um “tudo ou nada” – parece, à partida, uma posição clara. Mas é exatamente contra isso que a especialista em proteção de dados Katharina Raabe-Stuppnig adverte. Este princípio não é apenas impraticável, mas também difícil de justificar perante as autoridades. Em vez disso, qualquer decisão de utilizar software ou serviços em nuvem deve ser tomada caso a caso – dependendo do grau de sensibilidade dos dados processados e das medidas de proteção que podem ser tomadas em termos concretos.
Não te deixes levar por uma falsa sensação de segurança – mesmo com o Quadro de Privacidade
Outro tema que está atualmente a ocupar muitas empresas: O que acontece se o Tribunal de Justiça Europeu (TJE) anular o novo quadro de privacidade de dados entre a UE e os EUA – tal como aconteceu com o “Safe Harbor” e o “Privacy Shield”? A resposta é clara: voltará a existir uma
Mas o advogado também deixa claro: se o Quadro de Privacidade de Dados viesse a cair e, portanto, a proporcionalidade da transferência de dados para os EUA fosse fundamentalmente questionada, os TIAs também atingiriam seus limites. A esperança reside então em medidas técnicas e organizacionais suplementares – sobretudo a encriptação.
Encriptação: A aspiração e a realidade divergem
As autoridades de proteção de dados e o TJE exigem uma solução clara aos fornecedores de serviços de computação em nuvem dos EUA: os dados só devem ser armazenados de forma encriptada e a chave deve ser gerida fora do fornecedor – idealmente na Europa e sob o controlo da empresa responsável pelos dados ou de um administrador europeu. O objetivo desta solução, denominada “gestão externa de chaves”, é garantir que, mesmo em caso de acesso por parte das autoridades norte-americanas, como a NSA, apenas os dados encriptados, ou seja, inutilizáveis, possam ser transmitidos.
Na prática, porém, segundo Katharina Raabe-Stuppnig, este tipo de encriptação só pode ser realmente implementado para dados de segurança. A partir do momento em que os dados são
O papel da Europa: Oportunidades através da Lei dos Dados
Apesar destes desafios, o advogado está otimista quanto ao futuro: A Lei de Dados da UE estabelece um rumo importante. Os fornecedores de serviços em nuvem devem ser obrigados a permitir estratégias multi-nuvem, ou seja, a apoiar a mudança sem problemas entre fornecedores – sem custos de mudança elevados. Trata-se de um esforço ativo para reforçar a soberania europeia no espaço digital e para criar, a longo prazo, mais alternativas aos hiperescaladores americanos.
Resta saber se a Europa ainda será capaz de o fazer a tempo de poder atuar de forma mais independente e segura no espaço digital. No entanto, a Sra. Raabe-Stuppnig está confiante: A vontade política existe e, com financiamento e regulamentação específicos, poderão surgir em breve alternativas europeias viáveis.
Uma renúncia geral a soluções de países terceiros não é praticável nem legalmente exigida. As empresas devem ponderar cuidadosamente o grau de sensibilidade dos seus dados, quais os parceiros adequados e quais as medidas de proteção que podem implementar em termos concretos. Quem já recorre a SCC, TIA e encriptação não só está seguro do ponto de vista jurídico, como também reforça a sua posição europeia na concorrência digital.
