A Nossa Resposta Ao Schrems II
Atualizado: 8 de agosto de 2023
A CBRE está empenhada em defender os direitos de proteção de dados e privacidade dos nossos clientes, colaboradores e partes interessadas em todo o mundo, onde quer que façamos negócios. A CBRE tem respondido de forma proactiva às recentes alterações relativas às transferências transfronteiriças de dados, incluindo as da Europa e da China.
Europa
Desde a decisão "Schrems II" do Tribunal de Justiça da União Europeia em 2020, temos tomado, e continuamos a tomar, medidas concertadas para abordar os requisitos de transferência de dados ao abrigo das mudanças na legislação em matéria de privacidade, incluindo:
- Realização de uma série de Avaliações de Impacto de Transferência para transferência de dados para locais da CBRE, incluindo para a CBRE, Inc. e as suas entidades vinculadas nos EUA. A Avaliação de Impacto das Transferências para a CBRE US concluiu que (i) tais transferências podem continuar legalmente, uma vez que não estão sujeitas a divulgação às autoridades de inteligência dos EUA nos termos da Seção 702 (50 U.S.C. §1881a) da Lei de Vigilancia Estrangeira dos EUA("FISA 702") ou da Ordem Executiva 12333.
- A Ordem Executiva, assim que tem considerada a Comissão da Europeia na sua decisão de adequação do Data Privacy Framework (DPF) entre a UE e os EUA, tem aumentado de forma signicativa proteção de dados e as garantias de privacidade para indivíduos não americanos, estabelecendo regras claras e precisas, bem como princípios de necessidade e proporcionalidade para as atividades de inteligência dos EUA, e um novo mecanismo de recurso em dois níveis, que mesmo que a CBRE US não esteja (ainda) certificada ao abrigo do novo Quadro de Privacidade de Dados UE-EUA.
- Implementação de um quadro para a realização de avaliações de impacto das transferências de dados fora da UE/EEE.
- Continuar a confiar nas cláusulas contratuais-tipo da UE (tal como atualizadas) para transferir dados pessoais da UE/EEE para países não pertencentes à UE ou ao EEE e, quando indicado pela avaliação de impacto das transferências pertinente, aplicar medidas suplementares, tal como recomendado pelo Comité Europeu para a Proteção de Dados (CEPD) e outras autoridades de controlo da UE.
- Implementar garantias adequadas em relação a outros países europeus que impõem requisitos de transferência, tais como a adoção da Adenda do Reino Unido e refletindo as alterações exigidas pela legislação suíça.
- Complementando a Política Global de Privacidade de Dados da CBRE para incluir um "Padrão de Divulgação de Ordem de Jurisdição Inadequada" segundo o qual a CBRE irá, entre outras medidas, tomar todas as medidas legais razoáveis para contestar e suspender ordens de divulgação de países terceiros inadequados e para produzir apenas os dados mínimos necessários para o cumprimento legal.
- Aumentar a localização de dados na UE/EEE.
China
Para garantir a conformidade com as leis de Cibersegurança e Proteção de Informações Pessoais, incluindo a transferência legal de dados chineses para fora da China, a CBRE obteve todas as certificações relevantes do Sistema de Proteção Multinível e implementou as Medidas para o Contrato Tipo de Transferência de Informações Pessoais adotando o Contrato Tipo da Administração do Ciberespaço da China (CAC) e conduzindo a avaliação de impacto na privacidades para as transferências transfronteiriças de dados.
Criptografia
A CBRE emprega uma forte tecnologia criptográfica que está alinhada com os mais recentes padrões de segurança de boas práticas de acordo com os organismos de normalização reconhecidos internacionalmente, evitando algoritmos de encriptação que são conhecidos por terem fraquezas ou exploits. Temos uma Política Global de Segurança da Informação suportada por um Padrão de Classificação de Dados e Padrões de Criptografia que abrangem classificações de dados, algoritmos criptográficos e uso de criptografia.
- Em trânsito: A CBRE implementa medidas de proteção contra ataques ativos e passivos aos sistemas de envio e receção que fornecem encriptação de transporte, tais como firewalls adequados, encriptação TLS mútua, autenticação API e encriptação para proteger os gateways e pipelines através dos quais os dados viajam, bem como testes de vulnerabilidades de software e possíveis backdoors. Utilizamos algoritmos de encriptação eficazes e parametrização em redes não fidedignas com protocolo Transport Layer Security (TLS) 1.2 ou superior, SSH 2 (Secure Shell), IPsec (IP Security).
- Em repouso: a CBRE também encripta os dados em repouso adequados à classificação dos dados, empregando algoritmos de encriptação e parametrização eficazes, incluindo Algoritmos de Chave Simétrica - Advanced Encryption Standard (AES) e Triple Data Encryption Standard ou Algoritmos de Chave Assimétrica - Rivest, Shamir & Adelman (RSA) e Elliptic Curve Digital Signature Algorithm (ECDSA). A CBRE não permite a escrita de dados em suportes amovíveis em geral. Quando tal dispositivo é necessário, uma exceção temporária é levantada e gerenciada durante toda a sua duração. Os usuários que têm uma necessidade legítima de usar armazenamento USB são fornecidos com uma unidade USB criptografada para esta finalidade.
Funções de hash: As funções de hash empregadas incluem SHA‐2 e SHA‐3, mas não funções obsoletas, como MD5 e SHA-1.
Para mais informações sobre a abordagem da CBRE à transferência transfronteiriça de dados, contacte o Gabinete Global de Privacidade de Dados da CBRE.
Elizabeth Atlee
Diretora de Ética e Compliance
Shannon Clark
Diretora Global e Secretaria do Conselho Associada – Proteção de Dados e Privacidade