12 jul, 2021 - 16:24 • Inês Rocha
Quando ouviu falar da decisão da Comissão Nacional de Proteção de Dados (CNPD) de impedir uma eventual transferência de dados de portugueses para os Estados Unidos, através da norte-americana Cloudflare, Max Schrems diz ter ficado “contente”.
“Foi interessante porque foi uma das primeiras decisões na Europa sobre isso. Muitas das autoridades deram orientações e disseram 'não está autorizado a fazer isso, não deve fazê-lo, etc'. Mas ainda não aplicaram realmente nada”, diz o ativista austríaco, em entrevista à Renascença.
Schrems apelida a posição da CNPD como “uma das poucas decisões corajosas na Europa” desde a última decisão do Tribunal de Justiça da União Europeia, de julho de 2020, e lamenta que os reguladores não atuem mais para fazer cumprir as leis europeias.
“Normalmente, ficamos contentes se os reguladores avançarem. Mas honestamente, eles provavelmente deveriam agir mais”, considera.
CNPD ordenou a suspensão do contrato do INE com a (...)
O ativista austríaco é o responsável pelo fim dos acordos sobre transferência de dados entre Estados Unidos e União Europeia, em dois processos a que emprestou o seu nome - “Schrems I” e “Schrems II”. Mas vê as decisões do tribunal europeu muito pouco respeitadas.
"O Tribunal de Justiça foi muito explícito a dizer que a transferência de dados é ilegal, mas porque toda a gente o faz, as autoridades normalmente não começam a aplicar. É um pouco como o ovo e a galinha, se não há aplicação da lei, as empresas não vão mudar a sua política, e se ninguém muda a política, é sempre necessário aplicar a lei caso a caso. Portanto temos uma espiral negativa de não cumprimento massivo”, diz Schrems.
Em abril, a CNPD ordenou ao Instituto Nacional de Estatística (INE) que travasse o envio de dados dos Censos 2021 para os Estados Unidos, através da norte-americana Cloudflare.
O INE negou sempre que os dados tenham sido alguma vez transferidos
para os Estados Unidos, mas acabou por cancelar o contrato com a empresa.
O facto de ser visto como uma “super-estrela” da privacidade na Europa não é motivo de particular alegria para Max Schrems. Para o advogado austríaco, conhecido pelas lutas em tribunal com gigantes tecnológicos como Facebook e Google, isso é apenas sinal de que há algo errado com a aplicação da lei na União Europeia.
“Se os reguladores fizessem o seu trabalho, se não houvesse violações tão maciças, então não haveria necessidade de um simples estudante se tornar a vanguarda da privacidade. Seria ridículo. Mas como a aplicação da lei é tão má, se há apenas um tipo que alguma vez foi a tribunal, ele é, de repente, o herói da privacidade”.
Max é fundador do Noyb ("None of your business"), uma ONG que luta pela defesa da privacidade na União Europeia. Antes tinha fundado a organização "Europa versus Facebook”, com a qual moveu vários processos contra o Facebook. Dois desses processos foram particularmente importantes para definir as regras das transferências de dados entre União Europeia e Estados Unidos - e foi neles que a CNPD se baseou para a decisão sobre a utilização do serviço da Cloudflare nos Censos.
Qual o problema desta transferência? A União Europeia só permite a exportação de dados pessoais se o país de destino garantir o mesmo nível de proteção dos dados que o regime da UE - algo que não acontece nos Estados Unidos, tendo em conta as leis e as conhecidas práticas do Governo de vigilância sobre a população, incluindo sobre estrangeiros.
No processo “Schrems I”, em outubro de 2015, o Tribunal de Justiça da União Europeia decidiu invalidar a Decisão “Porto Seguro” (Safe Harbour Decision), que até então regulava as transferências de dados pessoais da UE para organizações norte-americanas, por considerar que não oferecia um nível de proteção suficiente.
Após um longo período de negociações, em julho de 2016, os EUA e a UE acordaram um novo enquadramento legal para as transferências transatlânticas de dados pessoais - o “Escudo de Protecção da Privacidade UE-EUA” (EU-U.S. Privacy Shield). Mas em julho de 2020, o tribunal invalidou também este acordo, na decisão “Schrems II”.
Muitos apelidaram a decisão da CNPD sobre o INE de “radical”, argumentando que o serviço da Cloudflare não armazenava dados dos Censos - apenas fazia uma interceção dos mesmos para prestar o seu serviço, de desempenho e segurança dos servidores no site. Assim, para o Governo norte-americano aceder aos dados, teria de mandatar a empresa para que os intercetasse em tempo real, com o objetivo de fazer espionagem.
Questionado pela Renascença sobre este argumento, Max Schrems afirma que é “exatamente assim que funciona o Upstream”.
“Upstream” é um sistema de vigilância da NSA “que tem de aceder aos dados em tempo real”. Para isso, utiliza as redes de transporte e de fornecimento de conteúdos, “que são hoje uma grande parte da espinhal dorsal da Internet”, explica Max Schrems. O ativista lembra ainda que “a FISA, a principal lei de vigilância, mas também a ordem executiva EO 12333 não têm uma limitação geográfica".
“Assim, desde que uma empresa americana tenha acesso aos dados, não importa onde se encontrem no mundo, e desde que possam ter acesso remoto, se tiverem algum tipo de forma de os integrar num software que encaminhe os seus dados para os EUA, têm de o fazer”, explica Schrems.
O ativista explica que esta não é uma prática exclusiva dos Estados Unidos - “fazemos a mesma coisa também na Europa. Se uma empresa austríaca tiver alguma informação secreta, mesmo que a guardem num servidor indiano, têm na mesma de a fornecer ao governo se houver uma ordem judicial”.
Mas há algo que é exclusivo dos Estados Unidos: “eles têm uma diferenciação entre cidadãos e não-cidadãos. Quando não se é cidadão, basicamente não se tem direitos. E isso é algo que penso ser a questão central que temos de resolver - os EUA precisam de alterar as suas leis para que também os estrangeiros tenham algum tipo de direitos básicos”, considera o ativista austríaco.
Para Max, casos como o Wikileaks vieram provar que a espionagem é uma realidade dos Estados Unidos. “É muitas vezes para espionar governos estrangeiros, indústrias estrangeiras, académicos, jornalistas”.
Para minimizar o problema, seria necessário um “um acordo internacional contra a espionagem”, com algumas regras. Por exemplo, “que diga que só se pode espiar as pessoas se houver um juiz que o tenha aprovado”. Ou que obrigue a que as pessoas sejam informadas de que foram espiadas, uma vez terminada a operação, caso se conclua que a investigação não se justificou, sugere o ativista.
No entanto, Max Schrems considera que isso não irá acontecer enquanto não houver pressão por parte das próprias empresas norte-americanas.
“A indústria tem-me dito que pode pressionar Washington a mudar a lei, mas não vê necessidade. De qualquer modo, a Europa não está a fazer nada a esse respeito”, diz o advogado.
A indústria diz: “porque havíamos de desperdiçar o nosso capital
político para a reforma da vigilância sobre estrangeiros, quando
preferimos fazer lobby por menos impostos?”
Max Schrems concorda com os críticos que dizem a decisão da CNPD, de ordenar o fim do envio de dados, sem qualquer prova de que eles tivessem efetivamente a ser enviados, é dogmática.
No entanto, o advogado lembra que é “assim que a lei funciona”. “Todo o RGPD é bastante dogmático. E a razão é porque normalmente nunca se tem provas”, explica à Renascença.
Francisco Lima volta a sublinhar, em entrevista à (...)
Mas por outro lado, “é também muito dogmático dizer que não se tem direitos, a menos que se possa prová-lo, numa situação em que simplesmente não se pode prová-lo”, considera o ativista.
“É por isso que o RGPD segue geralmente uma abordagem mais de meta-regulação. Por exemplo, não é permitido guardar dados que já não sejam necessários. Isso também é dogmático, mas porque nunca ninguém sabe se isso vai ser mal utilizado mais tarde. É muito difícil de provar. Portanto, coloca-se uma linha vermelha no nível em que se pode provar e onde se pode realmente ter um debate sobre o assunto”, explica o especialista.
Um ano depois da decisão do Tribunal de Justiça da União Europeia, muito pouco mudou nas práticas das empresas no que toca a transferência de dados para os Estados Unidos.
A informação continua a ser enviada sem qualquer controlo, sem grande ação por parte das autoridades de proteção de dados.
O Noyb, a organização criada por Max Schrems, já agiu. “Temos neste momento um litígio a envolver o Facebook, a Google, acho que também a Microsoft. Na última declaração da Google, o argumento foi: ‘mas nós temos vedações à volta dos nossos data centers, temos medidas de segurança’”.
“Mas por lei, a NSA só tem de entrar pela porta da frente, não lhes interessam as vedações. É absurdo o que argumentam”, afirma Schrems.
Apesar de estar a tentar que a lei seja aplicada, o ativista não vê uma solução à vista para esta questão. “O problema de que estamos a falar é tão sistémico que todos apontam para outra pessoa. Os reguladores atiram a responsabilidade para a Comissão Europeia, para fazer um novo acordo, a Comissão Europeia atira para os EUA, os EUA atiram para a indústria, a indústria atira novamente para os reguladores. Portanto, é um ciclo interminável”.
Enquanto não há solução, Schrems considera que, a curto prazo, devia haver uma preferência pelos atores europeus.
“Penso que, por vezes, não olhamos muito para alternativas. Estamos tão habituados a estes monopólios que eles são usados de qualquer forma. Mas há empresas na Europa”, lembra o ativista.
“Definitivamente, os serviços europeus são mais do que suficientes, especialmente se estivermos a falar de uma página como a do Instituto Nacional de Estatística de Portugal”, remata.