A noyb apresentou na passada sexta-feira, 22 de Janeiro, uma queixa em nome de seis eurodeputados do Parlamento Europeu (PE). As principais questões levantadas são os cookies enganosos em “banners” de um site interno de testes de coronavírus, o vago e obscuro aviso de protecção de dados e a transferência ilegal de dados para os EUA.

O site de testes COVID encaminhou dados para terceiros.
O PE está a oferecer os testes PCR para Covid-19 a todos os funcionários e membros do Parlamento (MEPs). O PE apelou aos serviços do fornecedor EcoCare para criar um centro de testes para o qual os funcionários e membros do PE se possam inscrever na intranet. Ao aceder ao site, os eurodeputados descobriram que o mesmo enviou mais de 150 pedidos a terceiros, incluindo pedidos às empresas norte-americanas Google e Stripe.

Além disso, não apenas um cookie da Stripe foi colocado no seu browser, mas o aviso de protecção de dados do site também declarou que cookies do Google Analytics foram usados ​​no site. No entanto, nenhum dado de saúde foi enviado a terceiros, pois a página se preocupava-se apenas com o registo das consultas para testes.

Transferência ilegal de dados para os EUA, apesar do Schrems II.
Tanto a Google quanto a Stripe têm sede nos Estados Unidos. No acórdão Schrems II, o Tribunal de Justiça da União Europeia (TJUE) deixou claro que a transferência de dados pessoais da UE para os EUA está sujeita a condições muito estritas. Os sites devem evitar a transferência de dados pessoais para os EUA, onde um nível adequado de protecção para os dados pessoais não pode ser garantido. A Stripe e a Google enquadram-se claramente nas leis de vigilância dos EUA que permitem visar cidadãos da UE. Isto é especialmente relevante para pessoas politicamente expostas, como membros e funcionários do PE. Por conseguinte, a queixa pede à Autoridade Europeia para a Protecção de Dados (EDPS) para proibir essas transferências que violam o direito da UE.

“As autoridades públicas, e em particular as instituições da UE, têm de dar o exemplo a cumprir a lei. Isso também é verdade quando se trata de transferências de dados para fora da UE. Ao usar fornecedores dos EUA, o PE permitiu que as autoridades dos EUA acedessem os dados dos seus funcionários e membros”, notou Max Schrems, presidente honorário da noyb.eu.

Cookies enganosos em “banners” e informações pouco claras.
Além disso, os cookies do site eram confusos e enganosos: os “banners” não listavam todos os cookies colocados no browser e incitavam os utilizadores a aceitar todos os cookies. Consequentemente, o processamento de dados no site e a colocação de cookies com base no consentimento do utilizador ficam longe de ter uma base legal válida.

As informações fornecidas no site também são confusas. Os utilizadores foram até confrontados com dois avisos de protecção de dados diferentes com informações diferentes.

A noyb representa seis deputados europeus.
A noyb juntou-se a seis eurodeputados para os apoiar numa queixa apresentada à EDPS. A reclamação inicial foi apresentada no final de Outubro de 2020 por Alexandra Geese em nome de outros deputados. A EDPS é a autoridade especial de protecção de dados (DPA) responsável apenas pelas instituições e agências da UE.

Acesso directo ao Tribunal de Justiça, relevante para questões de cookies maiores.
A EDPS irá agora analisar as observações adicionais apresentadas pela noyb e deverá emitir uma decisão sobre o assunto em devido tempo. A queixa apresentada à EDPS também permite potencialmente o acesso directo ao mais superior tribunal europeu. Uma decisão pode ser contestada directamente no TJUE. Isto significa que questões fundamentais sobre a legislação europeia de protecção de dados também podem ser clarificadas com uma simples queixa sobre um site da UE.

* Texto e foto publicados pela noyb. Reproduzidos sob licença (CC BY-NC 3.0).