A1
ID: 61463467
19-10-2015
Tiragem: 33895
Pág: 50
País: Portugal
Cores: Cor
Period.: Diária
Área: 25,70 x 30,22 cm²
Âmbito: Informação Geral
Corte: 1 de 1
Acordo de transferências de dados
para os EUA é inválido. E agora?
N
Debate Protecção de dados
Ana Fazendeiro
o passado dia 6 de Outubro as
regras relativas à transferência
de dados pessoais da UE para os
EUA mudaram.
A Decisão do Tribunal de
Justiça da União Europeia
(TJUE), de 6 de Outubro
(proferida no Processo
C-362/04), considerou inválida a
decisão da Comissão 2000/520/
CE, de 26 de Julho de 2000, conhecida por
acordo Safe Harbor, que considerava que
as transferências de dados para os EUA,
efectuadas ao abrigo dos princípios deste
acordo, asseguravam um nível de protecção
adequado aos dados pessoais.
Para quem não está familiarizado com
as matérias de privacidade ou de dados
pessoais, esta notícia pode ser uma nãonotícia. Afinal, transferência de dados
pessoais, Safe Harbor, nível de protecção
adequado, podem não ser termos
conhecidos da maioria dos cidadãos, ou que
mereçam o seu interesse. Mas a verdade
é que estas matérias são cada vez mais
importantes e estão presentes no nosso
dia-a-dia e esta decisão reveste-se de uma
importância tal que não exageramos se
afirmarmos que pode afectar as relações
entre a UE e os EUA, sobretudo se falarmos
de economia digital.
Comecemos então pelo princípio:
O respeito pela vida privada não é uma
ideia recente. Já em 1948, a Declaração
Universal dos Direitos do Homem das
Nações Unidas, no seu art.º 12 consagrava
o direito à protecção contra intromissões
na vida privada. Mas, desde essa altura,
muita coisa mudou, a galopante evolução
da tecnologia e o desenvolvimento da
sociedade da informação vieram a tornar
a nossa vida privada e sobretudo os nossos
dados pessoais muito vulneráveis. E foi
por isso que foi surgindo a necessidade
de adoptar regras que protegessem as
pessoas, através da protecção dos seus dados
pessoais, o que aconteceu, inicialmente,
isoladamente em certos países (disso é
exemplo a nossa velhinha Lei 10/91 de 29 de
Abril) e depois de uma forma harmonizada,
através da Directiva Comunitária 95/46/CE.
Estes instrumentos consagram os princípios
fundamentais da protecção de dados
como os princípios do tratamento lícito, da
especificação e da limitação da finalidade,
da adequação, entre outros, todos eles com
o mesmo objectivo, garantir a protecção da
utilização dos dados pessoais dos cidadãos,
de forma a garantir a nossa privacidade.
Como corolário dos princípios enunciados
e de acordo com a já citada Directiva
Comunitária 95/46/CE e com a nossa Lei
de Protecção de Dados (Lei 67/98 de 26 de
Outubro, que transpôs a referida directiva
para o ordenamento jurídico português), são
em princípio proibidas as transferências de
dados pessoais para fora da União Europeia,
salvo se o país de destino assegurar um nível
de protecção adequado ou suficiente.
O que era mais comum até agora é que
estes fluxos entre a UE e os EUA tivessem
como fundamento três tipos de situações:
Cláusulas contratuais-tipo, BCR (binding
corporate rules) e, finalmente, o acordo de
Safe Harbor.
Foi exactamente neste último fundamento
que se deu a grande alteração.
A já citada decisão da Comissão de Julho
de 2000 tinha considerado que as empresas
americanas que tivessem subscrito, em
regime de autocertificação, os princípios do
Safe Harbor (conjunto de regras acordadas
pela Comissão Europeia e pelo US
Department of Commerce em conjunto com
a Federal Trade Comission) asseguravam
um nível de protecção adequado, pelo que
eventuais transferências de dados, depois
de autorizadas pelos reguladores nacionais*
(DPA — data protection authorities), com
base em tal fundamento podiam ser
realizadas entre a
UE e os EUA.
E o que o Tribunal
de Justiça da União
Europeia veio dizer
agora é que esta
decisão da Comissão
é inválida.**
O TJUE veio a
pronunciar-se
na sequência de
uma reclamação
apresentada por
Mr. Schrems, um
cidadão austríaco,
utilizador do
Facebook, junto
da Autoridade
de Protecção de
Dados Irlandesa.
Os utilizadores
europeus do
Facebook registamse no Facebook
Ireland, que,
por sua vez,
transfere os dados
dos utilizadores
europeus para os EUA, onde estão
localizados os servidores. A reclamação de
Mr. Schrems surgiu depois das revelações
de Edward Snowden e de serem conhecidas
as práticas da NSA, pondo em causa a forma
como os EUA procediam ao tratamento de
dados pessoais, sem que fosse assegurado
um nível de protecção adequado ou
suficiente.
Esta reclamação passou depois para os
tribunais irlandeses, que submeteram a
questão ao TJUE, que, por sua vez, não
hesitou em considerar inválida a decisão
2000/520/CE da Comissão Europeia, de
Apesar de não
haver dúvidas
de que o Tribunal
de Justiça da
União Europeia
considerou o
acordo Safe
Harbor inválido,
a época é de
incerteza
26 de Julho de 2000, que determinava que
a transferência de dados para os Estados
Unidos ao abrigo dos princípios do acordo
Safe Harbor garantia um nível de protecção
adequado dos dados pessoais.*
E quais são as consequências desta
decisão do Tribunal de Justiça da União
Europeia? Esta decisão tem o efeito prático
de impedir que os responsáveis pelos
tratamentos de dados pessoais procedam a
transferências de dados entre a UE e os EUA
ao abrigo do acordo de Safe Harbor.
E agora o que vai acontecer?
Para quem transferia dados ao abrigo das
cláusulas-tipo, ou das BCR e tinha obtido
autorização das DPA, com base nesses
fundamentos, nada muda e as transferências
podem continuar para os EUA sem qualquer
alteração.
O problema coloca-se é para quem
realizava transferências ao abrigo do acordo
de Safe Harbor.
Apesar de não haver dúvidas de que o
TJUE considerou o acordo Safe Harbor
inválido, a época é de incerteza.
Incerteza para os responsáveis
pelo tratamento de dados pessoais
que solicitaram autorização para a
transferência de dados ao abrigo deste
princípios e que agora não sabem se terão
de lançar mão das restantes hipóteses para
legitimar estas transferências de dados,
aqui se incluindo nova abertura, ou pelo
menos alteração de processos junto das
DPA. Incerteza para as DPA, que terão de
tomar em breve uma posição sobre esta
questão e que pode, eventualmente, não
ser coincidente em todos os países da
Europa. Incerteza para as relações entre a
UE e os EUA, uma vez que é praticamente
impossível estabelecerem-se relações
entre ambos sem qualquer forma de
transferência de dados pessoais.
A posição do Grupo de Trabalho do
Artigo 29 não se fez esperar e na passada
sexta-feira emitiu já uma declaração sobre a
decisão do TJUE.
Sumariamente, o Grupo de Trabalho do
Artigo 29 manifesta o seu apoio à decisão
judicial e apela aos Estados-membros da
UE e às instituições da UE para iniciarem
discussões abertas com os EUA, de forma
a serem encontradas soluções técnicas
e legais que garantam o respeito pelos
dados pessoais. Considera, ainda, que a
negociação de um novo acordo de Safe
Harbor com regras mais exigentes poderá
ser uma solução.
Refere, também, que as transferências ao
abrigo das cláusulas contratuais-tipo e das
binding corporate rules poderão continuar
a ocorrer. Prevê que, caso até ao final de
Janeiro de 2016, não tiver sido encontrada
uma solução com as autoridades dos EUA
e dependendo da avaliação das formas
de transferência pelo próprio Grupo de
Trabalho do Artigo 29, que as DPA tomem
medidas apropriadas e necessárias para
impor o cumprimento da lei (“enforcement
actions”).
Recomenda que as DPA deverão lançar
uma campanha informativa, ao nível
nacional, que poderá implicar avisos directos
às empresas que efectuavam transferências
de dados ao abrigo do acordo Safe Harbor.
Conclui, declarando que as empresas devem
ponderar os riscos que correm quando
transferem dados e que devem adoptar
soluções legais e técnicas que possibilitem
mitigar esses riscos, com respeito dos dados
pessoais.
Apesar de importante, esta declaração não
apresenta propriamente uma solução prática
para o problema, que continua a subsistir
e a afectar as empresas que procedem a
transferências de dados para os EUA ao
abrigo do acordo Safe Harbor.
Por isso, e para já, uma coisa é certa:
esta decisão representará muito trabalho
às DPA que autorizaram transferência de
dados ao abrigo do acordo Safe Harbor,
que verão certamente aumentar o trabalho
administrativo, pois os responsáveis pelo
tratamento de dados não tardarão a ter
dúvidas e iniciarão a alteração dos processos
de autorização.
E sem dúvida de que, como se espera,
o Novo Regulamento de Dados Pessoais
reforce os poderes fiscalizadores das
DPA, haverá muita matéria para aplicação
de coimas, caso os responsáveis pelos
tratamento de dados, não lancem mão
dos outros instrumentos para legitimar as
transferências de dados pessoais, agora
tornadas inválidas em virtude desta decisão.
Seja qual for o cenário dos próximos
dias, uma corrida às DPA para alterar os
pedidos de autorização, ou uma espera
por uma posição expressa das DPA
nacionais, uma coisa é certa: para o bem
das relações entre a UE e os EUA, e em
nome do equilíbrio que deve ocorrer entre a
protecção dos dados pessoais e a liberdade
da iniciativa económica (ambos direitos
fundamentais), não devem parar totalmente
as transferências de dados entre a UE e os
EUA, só porque estas se baseiam no acordo
de Safe Harbor.
Desta opinião parece partilhar o US
Department of Commerce, que, com enorme
simplicidade, ao mesmo tempo que no seu
site anuncia a decisão do TJUE, anuncia
que continuará a administrar o Programa
Safe Harbor e a aceitar candidaturas para as
autocertificações. O típico sentido prático
americano, afinal: “Life must go on.”
* O regulador nacional é a Comissão Nacional de
Protecção de Dados (CNPD)
** Da decisão resulta também uma clarificação
e reforço dos poderes das DPA, que não podem
ficar limitadas, por decisões da Comissão, no seu
poder de apreciação do nível de adequação de
protecção dos países destino.
Consultora Abreu Advogados
[email protected]
Página 1