As leis criptográficas são contrárias ao RGPD

Criptografia GDPR

O Conselho Jurídico da Austrália concluiu que é improvável que as leis criptográficas australianas sejam compatíveis com a lei da CLOUD dos EUA, bem como com o Regulamento Geral de Proteção de Dados da União Europeia.

Em uma declaração ao Comitê Parlamentar Conjunto sobre a Revisão da Lei de Criptografia de Serviços de Informação e Segurança, o Conselho Legislativo disse que as autoridades australianas devem continuar a coletar dados quando Camera e Washington chegarem a um acordo.

O Conselho Legislativo, examinando a legislação de 2018, disse acreditar que a lei poderia excluir a Austrália de concluir um acordo executivo com os Estados Unidos sob a lei CLOUD.

“Nesse contexto, os requisitos da lei de ajuda e acesso e da lei da NUVEM são claramente diferentes, pois a lei dos EUA não permite a descriptografia de dados, como agora é permitido pela lei australiana”, afirmou.

A lei CLOUD foi aprovada em março de 2018 nos Estados Unidos. A legislação era uma tentativa de garantir que a aplicação da lei nos Estados Unidos pudesse acessar dados mantidos no exterior por empresas norte-americanas.

Possui dois elementos principais. Primeiro, esclarece que as empresas sob jurisdição dos EUA devem divulgar dados em resposta a processos legais válidos, independentemente de onde esses dados estejam armazenados.

Segundo, estabelece uma alternativa simplificada aos Tratados de Assistência Jurídica Mútua (MLATs), permitindo acordos entre o governo dos EUA e outros países para permitir a divulgação de evidências eletrônicas diretamente ao CSP ou outro país. que é parte no contrato.

Os MLATs prevêem que o serviço de aplicação da lei de uma nação use provisões legais nacionais para buscar evidências de um CSP, em nome de um título estrangeiro, usando a estrutura legal local. Usar o MLAT para reunir evidências pode levar meses, de acordo com o Departamento de Justiça dos EUA.

“A Lei CLOUD autoriza acordos executivos que removem restrições sob a lei dos EUA em relação a empresas que divulgam dados eletrônicos diretamente a autoridades estrangeiras em investigações de crimes graves. Isso permitiria CSPs globais baseados nos Estados Unidos. para responder imediatamente a processos legais estrangeiros em muitos casos “.

No entanto, a lei da CLOUD estipula que, antes do acordo, o Procurador Geral é obrigado a certificar que a outra nação “forneça proteção forte e substancial da privacidade e das liberdades políticas, à luz de suas atividades e coleta de dados. governo estrangeiro sujeito ao acordo “.

O Conselho Legislativo acredita que a lei atual da Austrália sobre armazenamento e acesso a dados de telecomunicações não será insuficiente para permitir que a Austrália se beneficie da conclusão de um “acordo executivo” com os Estados Unidos. Isso significa que a aplicação da lei na Austrália se limitará a buscar acesso a dados mantidos por um provedor de serviços nos Estados Unidos através do processo MLAT existente e demorado. ”

“A razão para isso é que, independentemente das leis que a Austrália pode aprovar, não basta forçar um provedor de serviços dos EUA a fazer qualquer coisa que não seja permitida pela lei dos EUA”, acrescentou o documento.

O GDPR da UE se aplica a qualquer organização australiana que opere ou ofereça bens ou serviços na UE ou monitore o comportamento dos cidadãos da UE.

Embora a lei australiana desencoraje as ações que um provedor de serviços possa exigir, fazer qualquer coisa que “enfraqueça” ou “vulnerabilize” o sistema quando um provedor tenta cumprir um alerta de controle de dados pode comprometer a segurança das informações pessoais “, afirmou o Conselho Jurídico.

Isso é contrário às disposições do RGPD, que exigem que os provedores de serviços e outros controladores de dados implementem medidas técnicas e organizacionais apropriadas e forneçam proteção e segurança para dados pessoais na UE.