Max Schrems - Max Schrems

Max Schrems
Max Schrems em 2016
Max Schrems em 2016
Nascer
Maximillian Schrems

Outubro de 1987 (33 anos)
Salzburg , Áustria
Educação Direito, Universidade de Viena
Ocupação Advogado, autor, ativista de privacidade
Organização NOYB - Centro Europeu de Direitos Digitais
Conhecido por Ativismo de privacidade

Maximilian Schrems é um ativista austríaco, advogado e autor que se tornou conhecido por campanhas contra o Facebook por suas violações de privacidade, incluindo violações das leis de privacidade europeias e a suposta transferência de dados pessoais para a Agência de Segurança Nacional dos Estados Unidos (NSA) como parte do NSA Programa PRISM . Schrems é o fundador do NOYB - Centro Europeu de Direitos Digitais .

Casos jurídicos proeminentes

Reclamações com o Comissário Irlandês de Proteção de Dados de 2011

Enquanto estudava direito durante um semestre no exterior na Universidade de Santa Clara no Vale do Silício , Schrems decidiu escrever seu trabalho final sobre a falta de conhecimento do Facebook sobre as leis de privacidade europeias, depois de ser surpreendido pelo que o advogado de privacidade da empresa, Ed Palmieri, disse em sua classe sobre o sujeito. Posteriormente, fez um pedido ao abrigo do direito europeu de acesso a dados pessoais para fornecer os registos da empresa sobre si e recebeu um CD com mais de 1.200 páginas de dados, que publicou em europe-v-facebook.org com as informações pessoais retiradas . Ele entrou com uma primeira rodada de queixas contra a empresa com o Irish Data Protection Commissioner (DPC) em 2011. Em fevereiro de 2012, Richard Allan e outro executivo da empresa voaram para Viena para debater com ele essas queixas que duraram seis horas. O Facebook foi auditado de acordo com a legislação europeia e teve que excluir alguns arquivos e desativar seu software de reconhecimento facial . Em 2014, Schrems retirou as queixas, alegando que nunca recebeu um procedimento justo perante o Comissário de Proteção de Dados irlandês. Ele nunca recebeu uma decisão formal da DPC e teve o acesso negado a todas as alegações pelo Facebook e aos arquivos do caso. Em europe-v-facebook.org , ele comentou sobre como retirar suas reclamações:

Esta decisão baseou-se no facto de a irlandesa DPC recusar uma decisão formal durante anos e nem sequer ter concedido os direitos processuais mais básicos (acesso aos processos, provas ou contra-argumentos). O DPC efetivamente parou todas as formas de comunicação e ignorou todos os envios feitos. Muitos observadores presumiram que isso pode ser baseado em considerações políticas e econômicas na Irlanda. "

Schrems I

Max Schrems, 19 de fevereiro de 2012

Em 2013, a Schrems entrou com uma queixa contra o Facebook Ireland Ltd junto ao Irish Data Protection Commissioner, sendo a Irlanda o país onde o Facebook tem sua sede europeia. A reclamação visava proibir o Facebook de continuar transferindo dados da Irlanda para os Estados Unidos, devido ao suposto envolvimento do Facebook EUA no programa de vigilância em massa PRISM . Schrems baseou sua reclamação na lei de proteção de dados da UE, que não permite a transferência de dados para países fora da UE, a menos que uma empresa possa garantir "proteção adequada". A DPC rejeitou a reclamação, afirmando que era "frívola e vexatória" e que não havia caso para responder. A Schrems entrou com um pedido de revisão judicial no High Court irlandês sobre a inação da DPC irlandesa, que foi deferido. Em 18 de junho de 2014, o Sr. Juiz Hogan suspendeu o processo enquanto se aguardava uma referência ao Tribunal de Justiça da União Europeia (TJUE). Ele disse que a lei irlandesa relativa à privacidade foi efetivamente substituída pela lei europeia e que a questão central era se as diretivas relevantes deveriam ser reavaliadas à luz da subsequente entrada em vigor do Artigo 8 (proteção de dados pessoais) da Carta dos Direitos Fundamentais da União Europeia .

A Comissão Europeia concluiu na decisão executiva 2000/520 / EC que os chamados Princípios Safe Harbor UE-EUA forneceriam "proteção adequada" nos termos do Artigo 25 da Diretiva 95/46 / EC ( Diretiva de Proteção de Dados ), no que se refere a a transferência de informações pessoais da UE para os EUA. Esta decisão executiva da Comissão Europeia foi posta em causa pelas revelações de Edward Snowden de 2013 . Em essência, Schrems argumentou, portanto, que o sistema Safe Harbor violaria seu direito fundamental à privacidade , à proteção de dados e ao direito a um julgamento justo ao abrigo da Carta dos Direitos Fundamentais da União Europeia .

A audiência no TJUE realizou-se em 24 de março de 2015. O advogado-geral do tribunal para o processo é Yves Bot . Durante a audiência, Bot perguntou ao advogado da Comissão Europeia, Bernhard Schima, que conselho ele poderia dar se estivesse preocupado com o fato de seus dados estarem à disposição das autoridades americanas. Schima respondeu que poderia considerar encerrar sua conta no Facebook, se tivesse uma. Ele disse que a Comissão Europeia não foi capaz de garantir que salvaguardas "adequadas" para a proteção de dados sejam cumpridas, uma observação que Schrems disse ter sido a coisa mais impressionante que ouviu na audiência.

Bot emitiu sua opinião em 23 de setembro de 2015. Ele declarou o acordo Safe Harbor inválido e disse que as autoridades de proteção de dados individuais poderiam suspender as transferências de dados para países terceiros se violassem os direitos da UE.

Em 6 de outubro de 2015, o Tribunal de Justiça da União Europeia decidiu que, (1) as autoridades de supervisão nacionais ainda têm o poder de examinar as transferências de dados UE-EUA, apesar de uma decisão existente da Comissão (como a sua Decisão Porto Seguro em 2000, que determinou que as empresas dos EUA que cumprem os princípios foram autorizadas a transferir dados da UE para os EUA), e (2) a estrutura do Safe Harbor é inválida. O Tribunal constatou que a estrutura é inválida por vários motivos: o esquema permite a interferência do governo nas proteções, não oferece recursos legais para indivíduos que buscam acessar dados relacionados a eles ou os apagam ou alteram e impede a supervisão nacional autoridades de exercer os seus poderes. De acordo com a legislação da UE, o compartilhamento de dados com países considerados como tendo padrões de privacidade mais baixos, incluindo os EUA, é proibido. Essas atividades só serão possíveis por meio de métodos mais caros e demorados.

Em 2 de dezembro de 2015, Schrems reenviou sua reclamação original contra o Facebook para o Comissário de Proteção de Dados da Irlanda. Ele também enviou queixas semelhantes às autoridades de proteção de dados de Hamburgo e da Bélgica, que alegam jurisdição sobre o Facebook. As reclamações são elaboradas para fazer cumprir o julgamento do CJEU no Facebook, que atualmente não depende do Safe Harbor para suas transferências de dados. Em vez disso, o Facebook depende de acordos contratuais pré-aprovados, chamados de "cláusulas modelo". Schrems argumenta que esses acordos também incorporam exceções para casos de vigilância ilegal em massa e, portanto, que a decisão do TJUE também se aplica a esses acordos. O Comissário Irlandês para a Proteção de Dados considerou que a Schrems levantou objeções "bem fundamentadas", mas que precisa de mais orientações do TJUE para determinar a reclamação.

Após o processo em fevereiro / março de 2017, a Sra. Justice Costello do High Court irlandês entregou o sumário executivo em 3 de outubro de 2017, remetendo o caso ao TJUE.

"Nem a introdução do mecanismo de ombudsperson do Privacy Shield nem as disposições do Artigo 4 das decisões do SCC eliminam as preocupações fundamentadas levantadas pela DPC em relação à adequação da proteção concedida aos titulares de dados da UE cujos dados pessoais sofreram interferências indevidas pelos serviços de inteligência dos Estados Unidos assim que seus dados pessoais forem transferidos para processamento nos Estados Unidos. "

-  Sra. Justice Costello

2014 austríaca ação coletiva

Em 1 de agosto de 2014, a Schrems entrou com uma ação judicial contra o Facebook nos tribunais locais de Viena. Ele permitiu que outros usuários do Facebook participassem de seu caso, gerando um processo no estilo "ação coletiva", apelidado pela imprensa como um processo de Davi e Golias , estimado como provavelmente o maior processo de privacidade de ação coletiva já instaurado na Europa. Qualquer usuário do Facebook pode atribuir sua reivindicação à Schrems por meio da página fbclaim.com . Em seis dias, a participação no processo foi limitada a 25.000 usuários do Facebook, devido ao excesso de registros, embora outros usuários ainda pudessem registrar um interesse. Schrems processou a subsidiária irlandesa do Facebook nos tribunais de Viena por uma "quantia simbólica" de € 500 em danos por participante. O caso foi financiado pelo financiador de litígios alemão ROLAND ProzessFinanz  [ de ] . De acordo com os termos do fbclaim.com, todo o dinheiro concedido será encaminhado aos participantes individuais. A Schrems não recebe nenhum benefício financeiro da ação coletiva, mas atua de forma pro bono .

A primeira audiência ocorreu em 9 de abril de 2015. Em 1 de julho de 2015, o Tribunal Distrital de Viena indeferiu a ação coletiva, alegando que ela não tinha jurisdição. A decisão do Tribunal dependeu da questão de saber se a Schrems era apenas um consumidor do Facebook, uma vez que foi nessa base que a Schrems pôde intentar uma ação num tribunal civil austríaco no seu local de residência. O Facebook acusou Schrems de ter interesse comercial em suas inúmeras ações legais contra o Facebook. A juíza Margot Slunsky-Jost disse que Schrems poderia se beneficiar do enorme interesse da mídia em sua futura carreira. O Tribunal decidiu por motivos processuais que a Schrems, consequentemente, não se qualificaria como consumidor e não poderia apresentar o processo no seu tribunal de origem em Viena.

Em outubro de 2015, o Tribunal Regional Superior de Viena reverteu a decisão do tribunal regional, concluindo que Schrems é um consumidor e que ele não atua em qualquer interesse comercial. O Tribunal Regional Superior decidiu que Schrems pode apresentar suas próprias reivindicações contra o Facebook Ireland em Viena, que constituiu 20 das 22 reivindicações no processo, mas não pode entrar com uma ação coletiva por razões processuais. Isso limitou Schrems a trazer apenas um "caso modelo". O Oberlandesgericht permitiu um recurso para a Suprema Corte austríaca na questão fundamental de formar uma ação coletiva nos termos da legislação da UE e austríaca. Schrems interpôs recurso em 2 de novembro de 2015. Schrems venceu a batalha, no sentido de que o Tribunal Regional Superior de Viena confirmou o julgamento do Tribunal Regional para Questões de Direito Civil e Schrems recebeu a sentença simbólica de 500 euros do Facebook, mas a guerra continua, já que, nas palavras de Schrems, os tribunais regionais "realmente não lidaram com muitos dos problemas que este caso levanta." Especificamente, embora achassem que o Facebook violou o DPD neste caso, eles não foram contra a afirmação do Facebook de que poderia usar um contrato de adesão para definir os limites de suas obrigações de tratamento de dados segundo o DPD. Em dezembro de 2020, Schrems encaminhou a questão para o Supremo Tribunal austríaco e espera levá-la ao Tribunal de Justiça Europeu para uma decisão decisiva.

Reclamações registradas sob o GDPR em 2018-19

Logo após sua entrada em vigor em 25 de maio de 2018, a Schrems entrou com uma ação sob o recém-promulgado Regulamento Geral de Proteção de Dados (GDPR) na Irlanda contra o Google e o Facebook por coagir seus usuários a aceitar suas políticas de coleta de dados. Três reclamações totalizando mais de € 3,9 bilhões foram registradas.

Em 18 de janeiro de 2019, Schrems entrou com outras reclamações GDPR contra Amazon, Apple Music, DAZN, Filmmit, Netflix, SoundCloud, Spotify e YouTube. Sua organização sem fins lucrativos, noyb.eu , alegou que eles não responderam, não incluiu informações de histórico suficientes ou forneceu dados brutos insuficientes ou ininteligíveis. Noyb previu uma multa total máxima de € 18,8 bilhões para as 8 empresas.

Schrems II

Na conclusão do Schrems I , o Supremo Tribunal irlandês remeteu oficialmente o caso (agora denominado Data Protection Commissioner v Facebook Ireland e Maximillian Schrems ) ao CJEU, juntamente com onze questões a abordar relacionadas com a validade do SCC (cláusulas contratuais padrão) . O julgamento foi apresentado em 16 de julho de 2020.

"O CJEU determinou que o Privacy Shield não oferece proteção adequada e invalidou o acordo. O tribunal também determinou que as autoridades europeias de proteção de dados devem interromper as transferências de dados pessoais feitas de acordo com as cláusulas contratuais padrão por empresas, como o Facebook, sujeitas a vigilância ampla . Esta decisão tem implicações significativas para as empresas dos Estados Unidos e para o Congresso dos Estados Unidos, pois põe em questão a adequação da proteção à privacidade nos Estados Unidos. "

-  comunicado à imprensa epic.org

“Esta é outra decisão histórica para os direitos de privacidade do Tribunal de Justiça e um sinal claro de que os Estados Unidos precisam reformar suas leis de vigilância ou corre o risco de perder sua posição como líder global em tecnologia. O Congresso deve agir rapidamente para alinhar a legislação dos EUA com os padrões internacionais de direitos humanos. ”

-  Alan Butler, Diretor Executivo Interino da EPIC e Conselheiro Geral, em resposta ao julgamento

Em setembro de 2020, a Comissão de Proteção de Dados da Irlanda enviou ao Facebook uma ordem preliminar para interromper a transferência de dados de cidadãos da UE para os EUA. Será aplicada multa de 4% do faturamento anual caso as condições não sejam atendidas. O blog do Facebook publicou uma carta de resposta de Nick Clegg, VP de Assuntos Globais e Comunicações, em 9 de setembro de 2020. Clegg reconheceu que as leis sobre transferência de dados estão mudando, mas ainda mais clareza jurídica é necessária para todos os envolvidos e defendeu uma revisão para o Privacy Shield. Além disso, a resposta observou a aparente contradição entre o Privacy Shield, que se aplica a transferências de dados UE-EUA e o tribunal invalidado, e o SCC, que se aplica a países terceiros da UE e o tribunal ainda considerado válido.

"A falta de transferências de dados internacionais seguras, protegidas e legais prejudicaria a economia e prejudicaria o crescimento das empresas baseadas em dados na UE, da mesma forma que buscamos uma recuperação do COVID-19. O impacto seria sentido por empresas grandes e pequenas , em vários setores. Na pior das hipóteses, isso poderia significar que uma pequena empresa de tecnologia na Alemanha não seria mais capaz de usar um provedor de nuvem com base nos EUA. Uma empresa espanhola de desenvolvimento de produtos não poderia mais executar uma operação em vários fusos horários. Um varejista francês pode descobrir que não pode mais manter uma central de atendimento no Marrocos. "

[...]

"A UE liderou o estabelecimento de uma estrutura de proteção de dados que protege e capacita os usuários. As regras de privacidade continuarão a evoluir e as regras globais podem garantir o tratamento consistente dos dados onde quer que estejam armazenados. O Facebook, portanto, acolhe os esforços já em andamento entre Os legisladores da UE e dos EUA devem avaliar o potencial para uma estrutura "aprimorada" UE-EUA - um Privacy Shield Plus. Esses esforços precisarão reconhecer que os Estados-Membros da UE e os EUA são democracias que compartilham valores comuns e o Estado de direito, são profundamente interconectados culturalmente, socialmente e comercialmente, e têm poderes e práticas de vigilância de dados muito semelhantes "

-  Nick Clegg

Em março de 2021, as possíveis repercussões nos serviços de inteligência e vigilância transatlânticos surgiram novamente. Citando a segurança nacional e os direitos dos Estados membros, uma nova iniciativa foi formada na tentativa de manter os serviços de inteligência europeus fora da jurisdição dos tribunais. Os governos dos estados membros da UE, liderados pela França, estão buscando inserir uma isenção de segurança nacional no regulamento pendente de privacidade eletrônica que excluiria estados terceiros, como os EUA

Em maio de 2021, o Supremo Tribunal irlandês rejeitou os procedimentos de revisão judicial (movidos pela Facebook Ireland Limited) visando impedir um projeto de decisão preliminar (PDD) do DPC. O Facebook alegou uma série de reclamações, incluindo falhas processuais, segmentação injusta do Facebook contra outros processadores de dados e a falha do tribunal em responder às perguntas do Facebook sobre os procedimentos. O Sr. Juiz David Barniville rejeitou cada uma das submissões do Facebook e considerou que os procedimentos do DPC eram legais; no entanto, ele reconheceu que as perguntas do Facebook sobre o processo deveriam ter sido respondidas.

NOYB - "Nenhum Do Seu Negócio"

Em 2017, Schrems foi cofundador da NOYB . A NOYB tem como objetivo lançar processos judiciais estratégicos e iniciativas de mídia em apoio ao Regulamento Geral de Proteção de Dados (GDPR), ao Regulamento de privacidade eletrônica proposto e à privacidade de informações em geral. Depois de 2017, muitos dos últimos processos judiciais nos quais ele esteve envolvido foram apresentados pela NOYB em vez de por Schrems pessoalmente.

Livros

Max Schrems é autor dos seguintes livros em alemão:

  • Kämpf um deine Daten ( Lute por seus dados ), 2014
  • Private Videoüberwachung ( Lei de Vigilância por Vídeo Privada ), 2011

Premios e honras

  • 2011: Defensor Libertatis do Prêmio Austríaco do Big Brother .
  • 2013: Prêmio EPIC Privacy Champion da US Privacy NGO EPIC
  • 2013: Internet and Society Award ( Oxford Internet Institute )
  • 2015: Medalha Theodor-Heuss
  • 2016: Prêmio Pioneiro EFF
  • 2017: Forbes 30 under 30 Europe - Law & Policy 2017

Notas

Notas
Referências

links externos