COELHO RIBEIRO E ASSOCIADOS
SOCIEDADE CIVIL DE ADVOGADOS
O TJUE declarou inválida a Decisão da CE
sobre o nível adequado de proteção do Safe Harbour!
CRA – Coelho Ribeiro e Associados, SCARL
Mónica Oliveira Costa
Portugal
Outubro 2015
O Acórdão do TJUE
O Tribunal de Justiça da União Europeia (TJUE) declarou, no Acórdão do processo C-362/14
de 6 de outubro de 2015, inválida a Decisão da Comissão Europeia 2000/520/CE, de 26 de
julho (Decisão), que reconheceu que os princípios Safe Harbour asseguram um nível adequado
de protecção e, ao abrigo da qual, se legitimaram, nos últimos 15 anos, transferências de
dados pessoais da Europa para os Estados Unidos da América (EUA), para as empresas
americanas que voluntariamente subscreveram o regime Safe Harbour.
O Caso Subjacente ao Acórdão do TJUE
Este Acórdão teve origem numa queixa apresentada por Maximillian Schrems, um cidadão
austríaco, utilizador do Facebook, à Autoridade de Proteção de Dados Irlandesa a requerer a
proibição da transferência de dados da Facebook na Irlanda para a Facebook nos EUA,
por entender que os EUA não oferecem a proteção adequada contra a vigilância por parte
das Autoridades Públicas Americanas, tal como ficou demonstrado pelas revelações feitas por
Edward Snowden. A Autoridade de Proteção de Dados Irlandesa arquivou a queixa por
considerar que, por um lado, não foram apresentadas provas em como os dados pessoais do
queixoso foram acedidas por quaisquer Autoridades Públicas Americanas (em particular,
pela National Security Agency – NSA – dos EUA) e, por outro, os EUA, de acordo com a Decisão,
asseguram um nível adequado de proteção dos dados pessoais que são transferidos para
empresas (como é o caso da Facebook, Inc. sedeada nos EUA) que voluntariamente aderiram
aos princípios Safe Harbour. O queixoso recorreu desta decisão para o High Court of
Ireland, o qual interpelou o TJUE a sentenciar sobre se a Decisão impede a Autoridade de
Proteção de Dados Nacional de averiguar se o nível de proteção de um país terceiro (fora
da UE e, no caso concreto, os EUA) é ou não adequado para permitir a transferência de
AV. ENGº DUARTE PACHECO, EMPREENDIMENTO DAS AMOREIRAS TORRE II, 13º A 1099 -042 LISBOA
T E L . ( 3 5 1 ) 2 1 3 8 3 9 0 6 0 F A X ( 3 5 1 ) 2 1 3 8 5 3 2 0 2 E - M A I L : c r a @cralaw.com W W W . C R A L A W . C O M
Sociedade de Advogados, registada com o número 7/86, Ordem dos Advogados
R.L.Responsabilidade Limitada, art.º 99, EOA e art.º 35 do D.L. 29/2004 de 10 de dezembro
PORTUGAL
dados pessoais para esse país quando um cidadão questiona que o nível de proteção seja
adequado.
A Legislação em análise no Acórdão do TJUE
A Diretiva 95/46/CE, de 24 de outubro (Diretiva), relativa à proteção de dados pessoais,
determina que a transferência de dados pessoais para um país terceiro (fora da UE) só
poderá, por regra, ocorrer se o país terceiro assegurar um nível de proteção adequado. Sem
prejuízo a transferência de dados pessoais para um país terceiro (fora da UE) não é
permitida, exceto se o país terceiro assegurar um nível de proteção adequado. Sem
prejuízo, a Comissão Europeia (CE) pode reconhecer a existência de proteção adequada
fora da EU, relativamente a determinados Estados, em razão da sua legislação interna ou
dos seus compromissos internacionais. Foi o que sucedeu com a Decisão, que reconheceu
que os princípios Safe Harbour asseguram um nível adequado de proteção, legitimando
deste modo a transferência de dados pessoais da Europa para os EUA, desde que as
empresas americanas, para as quais os dados pessoais forem transferidos, subscrevessem
voluntariamente o regime Safe Harbour.
Os Argumentos do TJUE
O TJUE, no seu acórdão de 6 de outubro, veio:
a) Determinar que qualquer Decisão da CE, a reconhecer que um país terceiro assegura um
nível de proteção adequado aos dados pessoais transferidos, não invalida que as
Autoridades de Proteção de Dados Pessoais de cada Estado Membro possam,
mediante apresentação de queixa de um titular de dados, averiguar com independência se
uma transferência internacional de dados respeita o disposto na Diretiva;
b) Declarar inválida a Decisão que reconheceu que os princípios Safe Harbour
asseguram um nível adequado de proteção com base nos seguintes argumentos:
(i)
A CE deu por garantido que os princípios Safe Harbour oferecem um nível de
proteção adequada, sem se certificar, como deveria, se tais princípios efetivamente
garantem, em razão da legislação dos EUA ou dos seus compromissos internacionais,
um nível de adequação de proteção dos dados equivalente ao oferecido na UE;
(ii) Os princípios Safe Harbour apenas se aplicam às entidades que voluntariamente
aderiram ao programa e não vinculam as Autoridades Públicas dos EUA, cedendo
inclusivamente perante exigências relativas à segurança nacional, ao interesse
público e ao respeito pelas leis dos EUA. Por conseguinte, a Decisão permite o
2
acesso e conservação, por parte das Autoridades Públicas dos EUA, de forma
generalizada aos dados pessoais que sejam transferidos da UE para os EUA, sem
efetuar nenhuma diferenciação, limitação ou exceção a tais ingerências assim
como não prevê qualquer proteção jurídica eficaz contra as mesmas
(nomeadamente, a possibilidade de os cidadãos poderem, administrativa ou
judicialmente, aceder aos seus dados, retifica-los ou suprimi-los), atentando contra
direitos fundamentais, como sejam, o respeito pela vida privada e o direito a uma tutela
jurisdicional efetiva;
(iii) A CE não tinha competência para restringir os poderes das Autoridades de
Proteção de Dados dos Estados Membros quanto à possibilidade de, mediante queixa
de um titular de dados, averiguar sobre se o nível de proteção dos dados pessoais
oferecido pelos EUA é ou não adequado e conforme com o exigido pela Diretiva.
Impacto do Acórdão do TJUE nas Transferências de Dados Pessoais entre UE e os EUA
Desde 2000 até 6 de outubro de 2015, muitas têm sido as transferências de dados pessoais de
cidadãos europeus para os EUA feitas ao abrigo do Safe Harbour por, alegadamente, este assegurar
um nível de proteção adequado, ou seja, no entender do TJUE, equivalente ao oferecido na UE.
Este Acórdão vem decretar o fim do Safe Harbour, pelo menos, tal como foi concebido em
2000. O programa Safe Harbour está presentemente a ser discutido pela EU e os EUA a
fim de ser revisto e reforçado. Pelo que, não restam quaisquer dúvidas que este Acórdão vem
exercer uma enorme pressão sobre as referidas negociações e constitui a derradeira prova
de fogo do Safe Harbour, pois ou bem que a sua revisão contempla de forma satisfatória todas
as questões suscitadas pelo Acórdão ou bem que será o fim do Safe Harbour.
Até lá, relembramos que o Acórdão do TJUE vincula os órgãos jurisdicionais de cada Estado
Membro aos quais seja submetida questão semelhante, e por conseguinte é fundamental saber os
efeitos que o mesmo tem sobre as transferências internacionais de dados pessoais efetuadas antes
e após o Acórdão.
É de salientar ainda que este Acórdão veio ainda determinar que as Autoridades de Proteção
de Dados dos Estados Membros podem e, quando se lhes seja apresentada alguma
queixa, devem averiguar, com independência, se uma transferência internacional de
dados respeita o disposto na Diretiva e legislação nacional, independentemente de a
referida transferência internacional se fundamentar em qualquer Decisão da CE, como
será o caso, das Decisões da CE que reconheceram nível de proteção adequado a determinados
3
países (Uruguai, Andorra, Israel, Suíça, Ilhas Faroé, Ilhas de Man, Jersey, Argentina, Canadá e
Guernsey) ou aprovaram as Cláusulas Contratuais Standard para as transferências internacionais
de dados (entre responsáveis de tratamento e entre responsável e subcontratante).
a) Transferências efetuadas até 6 de outubro de 2015 ao abrigo dos princípios Safe
Harbour
Pese embora o TJUE tenha decretado a invalidade da Decisão e, por conseguinte, do Safe
Harbour tal como foi concebido em 2000, os procedimentos a implementar quanto às
transferências internacionais de dados são complexos, não sendo exequível alterá-los de um
dia para o outro.
Acresce que o Article 29 Working Party (que é composto por representantes de todas as
Autoridades de Proteção de Dados dos Estados Membros) já declarou que irá analisar em
detalhe o Acórdão do TJUE, sendo expectável, tal como já foi anunciado por algumas das
Autoridades de Proteção de Dados Pessoais, que sejam emitidas orientações práticas sobre
quais as medidas que, a curto e longo prazo, os responsáveis pelos tratamentos de
dados que efetuam transferências para os EUA ao abrigo do Safe Harbour, que foi
agora declarado inválido pelo TJUE, deverão adotar e, sobretudo, em que prazo.
Sem prejuízo e até lá, consideramos que é fundamental que os responsáveis pelos
tratamentos de dados que efetuam transferências para os EUA ao abrigo do Safe
Harbour, que foi agora declarado inválido pelo TJUE, equacionem desde já outras
opções que, nos termos da Diretiva e respetiva legislação nacional, legitimam tais
transferências, como será o caso das Cláusulas Contratuais Standard aprovadas pela CE
(Model Clauses), das Binding Corporate Rules1 (BCRs) e do consentimento expresso e inequívoco
do titular dos dados. Apesar de as BCRs não serem, pelo menos em Portugal, reconhecidas
pela Comissão Nacional de Proteção de Dados (CNPD) como fundamento legitimador do
fluxo internacional de dados e do consentimento não servir, pelo menos no âmbito de uma
relação laboral, como condição de legitimidade para o tratamento de dados e, por
conseguinte, para a transferência de dados para um país terceiro (neste caso, os EUA).
b) Transferências efetuadas a partir de 6 de outubro de 2015
A adesão ao Safe Harbour (tal como foi concebido e reconhecido em 2000 pela CE) por
parte das empresas americanas a quem os dados pessoais sejam transferidos (quer
Definidas pela CE como sendo regras internas (como um código de conduta), adotadas por um grupo multinacional
de empresas que definem a sua política global no que diz respeito às transferências internacionais de dados pessoais no
seio desse mesmo grupo de entidades localizadas em países que não oferecem um adequado nível de proteção.
1
4
sejam as empresas mãe no âmbito de uma relação de Grupo quer sejam empresas que
prestam serviços à empresa exportadora sedeada na UE, como sejam, serviços de cloud,
storage, IT, etc.) deixa de poder constituir um fundamento legítimo para o efeito.
Ao invés, até que o programa Safe Harbour de 2000 seja substituído por outro que ofereça as
garantias exigidas pelo Acórdão do TJUE (se é que tal será possível), os responsáveis pelo
tratamento de dados que careçam de efetuar transferências para os EUA (para as quais
as derrogações legalmente previstas não se apliquem e que serão a grande maioria), deverão
optar pelas seguintes alternativas:
(i) Consentimento expresso e inequívoco do titular dos dados (solução que, em muitos
casos, se pode revelar inexequível e noutros nem sequer constituir uma opção, como será
o caso de se tratar de uma relação laboral);
(ii) Cláusulas Contratuais tipo aprovadas pela CE (nas versões disponíveis, ou seja,
transferências internacionais de responsável para responsável e de responsável para
subcontratante), as quais são mais exigentes que os princípios Safe Harbour e exigem que
as Partes não se limitem a assinar as referidas cláusulas mas que cumpram, efetivamente,
todas as obrigações delas decorrentes;
(iii) Aprovação pela Autoridade de Proteção de Dados nacional (solução que se revelará
impraticável, face ao tempo que acarretará com a impossibilidade de até que seja
aprovada não ser possível efetuar a transferência de dados para os EUA);
(iv) BCRs (solução que, pelo menos em Portugal, não é uma alternativa por não ser aceite
para o efeito pela CNPD).
Atentas as implicações que o Acórdão tem no dia-a-dia de muitas empresas, nas relações entre
a Europa e os EUA e até nas transferências internacionais para fora da UE (para além dos
EUA), sobretudo para os países conetados de exercerem ingerências excessivas (ex.: países
asiáticos e, em particular, a China), não restam quaisquer dúvidas de que este assunto irá ser
fortemente debatido nos próximos tempos, pois os seus efeitos estão longe de ser totalmente
conhecidos.
Iremos continuar a acompanhar este assunto e, em particular, as recomendações/orientações
que o Article 29 Working Party irá proferir brevemente sobre este assunto, já que as mesmas
irão nortear a conduta que as Autoridades de Proteção de Dados dos Estados Membros
irão acolher a este respeito e os procedimentos que irão adotar relativamente às
transferências internacionais de dados para fora da UE e, em particular, para os EUA.
5