O Tribunal Geral Europeu aplicou uma multa à Comissão Europeia por infringir as rígidas leis de privacidade de dados da União Europeia. Essa decisão, anunciada na última quarta-feira, marca a primeira vez que o principal órgão executivo do bloco é responsabilizado por descumprir suas próprias normas de proteção de dados.
A violação ocorreu em março de 2022, quando dados pessoais de um cidadão alemão, incluindo o endereço IP e metadados do navegador, foram transferidos para servidores da Meta nos Estados Unidos. A transferência aconteceu durante o uso do site futureu.europa[.]eu, atualmente desativado. O indivíduo havia se registrado em um evento no site utilizando a opção de login do Facebook, disponibilizada pela própria Comissão Europeia.
De acordo com o Tribunal, a inclusão do botão “Entrar com o Facebook” no sistema de login da UE possibilitou a transmissão do endereço IP do cidadão à Meta Platforms, uma empresa americana.
Segurança cibernética em questão
O reclamante argumentou que a transferência de seus dados para os EUA representava um risco de acesso por parte dos serviços de inteligência e segurança americanos. Contudo, a alegação de que os dados também foram enviados para servidores da Amazon CloudFront nos EUA foi descartada, já que se constatou que o conteúdo estava armazenado em um servidor localizado em Munique, Alemanha.
Além disso, o site usava a rede de entrega de conteúdo (CDN) da Amazon para suporte técnico, mas sem transferir informações para os EUA.
Notícias Relacionadas
Segurança cibernética
Vulnerabilidades corrigidas em SonicWall, Palo Alto e Aviatrix
Atualizações corrigem falhas críticas no SonicWall, Palo Alto Expedition e Aviatrix Controller, protegendo sistemas contra vulnerabilidades graves de segurança.
Atenção urgente
SonicWall alerta sobre falha crítica no SonicOS
SonicWall emite alerta sobre uma vulnerabilidade crítica no SonicOS, que pode ser explorada em firewalls com SSL VPN ou SSH habilitado. Atualização de firmware é essencial.
O tribunal destacou que, na época da transferência, em 30 de março de 2022, não havia garantias de que os Estados Unidos oferecessem um nível adequado de proteção aos dados de cidadãos da União Europeia. A Comissão Europeia também não demonstrou ter implementado salvaguardas adicionais, como cláusulas contratuais específicas para a proteção de dados.
Multa e impacto
Com base no artigo 46º do Regulamento 2018/1725, a transferência de dados sem as devidas salvaguardas constitui uma violação grave. Como consequência, o Tribunal ordenou que a Comissão Europeia pagasse € 400 ao cidadão alemão como compensação pelos danos imateriais sofridos.
Essa decisão reforça a necessidade de observância rigorosa das regulamentações de privacidade em transferências de dados internacionais.
Mudanças na legislação
Em resposta a questões como esta, a União Europeia adotou, em julho de 2023, a Estrutura de Privacidade de Dados UE-EUA. Esse novo mecanismo visa permitir a transferência transatlântica de dados pessoais, substituindo o antigo Escudo de Privacidade, que havia sido invalidado anteriormente.
Com o novo acordo, espera-se que a conformidade entre as duas regiões melhore significativamente, reduzindo os riscos de violações como a que ocorreu neste caso.
