COELHO RIBEIRO E ASSOCIADOS SOCIEDADE CIVIL DE ADVOGADOS O TJUE declarou inválida a Decisão da CE sobre o nível adequado de proteção do Safe Harbour! CRA – Coelho Ribeiro e Associados, SCARL Mónica Oliveira Costa Portugal Outubro 2015 O Acórdão do TJUE O Tribunal de Justiça da União Europeia (TJUE) declarou, no Acórdão do processo C-362/14 de 6 de outubro de 2015, inválida a Decisão da Comissão Europeia 2000/520/CE, de 26 de julho (Decisão), que reconheceu que os princípios Safe Harbour asseguram um nível adequado de protecção e, ao abrigo da qual, se legitimaram, nos últimos 15 anos, transferências de dados pessoais da Europa para os Estados Unidos da América (EUA), para as empresas americanas que voluntariamente subscreveram o regime Safe Harbour. O Caso Subjacente ao Acórdão do TJUE Este Acórdão teve origem numa queixa apresentada por Maximillian Schrems, um cidadão austríaco, utilizador do Facebook, à Autoridade de Proteção de Dados Irlandesa a requerer a proibição da transferência de dados da Facebook na Irlanda para a Facebook nos EUA, por entender que os EUA não oferecem a proteção adequada contra a vigilância por parte das Autoridades Públicas Americanas, tal como ficou demonstrado pelas revelações feitas por Edward Snowden. A Autoridade de Proteção de Dados Irlandesa arquivou a queixa por considerar que, por um lado, não foram apresentadas provas em como os dados pessoais do queixoso foram acedidas por quaisquer Autoridades Públicas Americanas (em particular, pela National Security Agency – NSA – dos EUA) e, por outro, os EUA, de acordo com a Decisão, asseguram um nível adequado de proteção dos dados pessoais que são transferidos para empresas (como é o caso da Facebook, Inc. sedeada nos EUA) que voluntariamente aderiram aos princípios Safe Harbour. O queixoso recorreu desta decisão para o High Court of Ireland, o qual interpelou o TJUE a sentenciar sobre se a Decisão impede a Autoridade de Proteção de Dados Nacional de averiguar se o nível de proteção de um país terceiro (fora da UE e, no caso concreto, os EUA) é ou não adequado para permitir a transferência de AV. ENGº DUARTE PACHECO, EMPREENDIMENTO DAS AMOREIRAS TORRE II, 13º A 1099 -042 LISBOA T E L . ( 3 5 1 ) 2 1 3 8 3 9 0 6 0 F A X ( 3 5 1 ) 2 1 3 8 5 3 2 0 2 E - M A I L : c r a @cralaw.com W W W . C R A L A W . C O M Sociedade de Advogados, registada com o número 7/86, Ordem dos Advogados R.L.Responsabilidade Limitada, art.º 99, EOA e art.º 35 do D.L. 29/2004 de 10 de dezembro PORTUGAL dados pessoais para esse país quando um cidadão questiona que o nível de proteção seja adequado. A Legislação em análise no Acórdão do TJUE A Diretiva 95/46/CE, de 24 de outubro (Diretiva), relativa à proteção de dados pessoais, determina que a transferência de dados pessoais para um país terceiro (fora da UE) só poderá, por regra, ocorrer se o país terceiro assegurar um nível de proteção adequado. Sem prejuízo a transferência de dados pessoais para um país terceiro (fora da UE) não é permitida, exceto se o país terceiro assegurar um nível de proteção adequado. Sem prejuízo, a Comissão Europeia (CE) pode reconhecer a existência de proteção adequada fora da EU, relativamente a determinados Estados, em razão da sua legislação interna ou dos seus compromissos internacionais. Foi o que sucedeu com a Decisão, que reconheceu que os princípios Safe Harbour asseguram um nível adequado de proteção, legitimando deste modo a transferência de dados pessoais da Europa para os EUA, desde que as empresas americanas, para as quais os dados pessoais forem transferidos, subscrevessem voluntariamente o regime Safe Harbour. Os Argumentos do TJUE O TJUE, no seu acórdão de 6 de outubro, veio: a) Determinar que qualquer Decisão da CE, a reconhecer que um país terceiro assegura um nível de proteção adequado aos dados pessoais transferidos, não invalida que as Autoridades de Proteção de Dados Pessoais de cada Estado Membro possam, mediante apresentação de queixa de um titular de dados, averiguar com independência se uma transferência internacional de dados respeita o disposto na Diretiva; b) Declarar inválida a Decisão que reconheceu que os princípios Safe Harbour asseguram um nível adequado de proteção com base nos seguintes argumentos: (i) A CE deu por garantido que os princípios Safe Harbour oferecem um nível de proteção adequada, sem se certificar, como deveria, se tais princípios efetivamente garantem, em razão da legislação dos EUA ou dos seus compromissos internacionais, um nível de adequação de proteção dos dados equivalente ao oferecido na UE; (ii) Os princípios Safe Harbour apenas se aplicam às entidades que voluntariamente aderiram ao programa e não vinculam as Autoridades Públicas dos EUA, cedendo inclusivamente perante exigências relativas à segurança nacional, ao interesse público e ao respeito pelas leis dos EUA. Por conseguinte, a Decisão permite o 2 acesso e conservação, por parte das Autoridades Públicas dos EUA, de forma generalizada aos dados pessoais que sejam transferidos da UE para os EUA, sem efetuar nenhuma diferenciação, limitação ou exceção a tais ingerências assim como não prevê qualquer proteção jurídica eficaz contra as mesmas (nomeadamente, a possibilidade de os cidadãos poderem, administrativa ou judicialmente, aceder aos seus dados, retifica-los ou suprimi-los), atentando contra direitos fundamentais, como sejam, o respeito pela vida privada e o direito a uma tutela jurisdicional efetiva; (iii) A CE não tinha competência para restringir os poderes das Autoridades de Proteção de Dados dos Estados Membros quanto à possibilidade de, mediante queixa de um titular de dados, averiguar sobre se o nível de proteção dos dados pessoais oferecido pelos EUA é ou não adequado e conforme com o exigido pela Diretiva. Impacto do Acórdão do TJUE nas Transferências de Dados Pessoais entre UE e os EUA Desde 2000 até 6 de outubro de 2015, muitas têm sido as transferências de dados pessoais de cidadãos europeus para os EUA feitas ao abrigo do Safe Harbour por, alegadamente, este assegurar um nível de proteção adequado, ou seja, no entender do TJUE, equivalente ao oferecido na UE. Este Acórdão vem decretar o fim do Safe Harbour, pelo menos, tal como foi concebido em 2000. O programa Safe Harbour está presentemente a ser discutido pela EU e os EUA a fim de ser revisto e reforçado. Pelo que, não restam quaisquer dúvidas que este Acórdão vem exercer uma enorme pressão sobre as referidas negociações e constitui a derradeira prova de fogo do Safe Harbour, pois ou bem que a sua revisão contempla de forma satisfatória todas as questões suscitadas pelo Acórdão ou bem que será o fim do Safe Harbour. Até lá, relembramos que o Acórdão do TJUE vincula os órgãos jurisdicionais de cada Estado Membro aos quais seja submetida questão semelhante, e por conseguinte é fundamental saber os efeitos que o mesmo tem sobre as transferências internacionais de dados pessoais efetuadas antes e após o Acórdão. É de salientar ainda que este Acórdão veio ainda determinar que as Autoridades de Proteção de Dados dos Estados Membros podem e, quando se lhes seja apresentada alguma queixa, devem averiguar, com independência, se uma transferência internacional de dados respeita o disposto na Diretiva e legislação nacional, independentemente de a referida transferência internacional se fundamentar em qualquer Decisão da CE, como será o caso, das Decisões da CE que reconheceram nível de proteção adequado a determinados 3 países (Uruguai, Andorra, Israel, Suíça, Ilhas Faroé, Ilhas de Man, Jersey, Argentina, Canadá e Guernsey) ou aprovaram as Cláusulas Contratuais Standard para as transferências internacionais de dados (entre responsáveis de tratamento e entre responsável e subcontratante). a) Transferências efetuadas até 6 de outubro de 2015 ao abrigo dos princípios Safe Harbour Pese embora o TJUE tenha decretado a invalidade da Decisão e, por conseguinte, do Safe Harbour tal como foi concebido em 2000, os procedimentos a implementar quanto às transferências internacionais de dados são complexos, não sendo exequível alterá-los de um dia para o outro. Acresce que o Article 29 Working Party (que é composto por representantes de todas as Autoridades de Proteção de Dados dos Estados Membros) já declarou que irá analisar em detalhe o Acórdão do TJUE, sendo expectável, tal como já foi anunciado por algumas das Autoridades de Proteção de Dados Pessoais, que sejam emitidas orientações práticas sobre quais as medidas que, a curto e longo prazo, os responsáveis pelos tratamentos de dados que efetuam transferências para os EUA ao abrigo do Safe Harbour, que foi agora declarado inválido pelo TJUE, deverão adotar e, sobretudo, em que prazo. Sem prejuízo e até lá, consideramos que é fundamental que os responsáveis pelos tratamentos de dados que efetuam transferências para os EUA ao abrigo do Safe Harbour, que foi agora declarado inválido pelo TJUE, equacionem desde já outras opções que, nos termos da Diretiva e respetiva legislação nacional, legitimam tais transferências, como será o caso das Cláusulas Contratuais Standard aprovadas pela CE (Model Clauses), das Binding Corporate Rules1 (BCRs) e do consentimento expresso e inequívoco do titular dos dados. Apesar de as BCRs não serem, pelo menos em Portugal, reconhecidas pela Comissão Nacional de Proteção de Dados (CNPD) como fundamento legitimador do fluxo internacional de dados e do consentimento não servir, pelo menos no âmbito de uma relação laboral, como condição de legitimidade para o tratamento de dados e, por conseguinte, para a transferência de dados para um país terceiro (neste caso, os EUA). b) Transferências efetuadas a partir de 6 de outubro de 2015 A adesão ao Safe Harbour (tal como foi concebido e reconhecido em 2000 pela CE) por parte das empresas americanas a quem os dados pessoais sejam transferidos (quer Definidas pela CE como sendo regras internas (como um código de conduta), adotadas por um grupo multinacional de empresas que definem a sua política global no que diz respeito às transferências internacionais de dados pessoais no seio desse mesmo grupo de entidades localizadas em países que não oferecem um adequado nível de proteção. 1 4 sejam as empresas mãe no âmbito de uma relação de Grupo quer sejam empresas que prestam serviços à empresa exportadora sedeada na UE, como sejam, serviços de cloud, storage, IT, etc.) deixa de poder constituir um fundamento legítimo para o efeito. Ao invés, até que o programa Safe Harbour de 2000 seja substituído por outro que ofereça as garantias exigidas pelo Acórdão do TJUE (se é que tal será possível), os responsáveis pelo tratamento de dados que careçam de efetuar transferências para os EUA (para as quais as derrogações legalmente previstas não se apliquem e que serão a grande maioria), deverão optar pelas seguintes alternativas: (i) Consentimento expresso e inequívoco do titular dos dados (solução que, em muitos casos, se pode revelar inexequível e noutros nem sequer constituir uma opção, como será o caso de se tratar de uma relação laboral); (ii) Cláusulas Contratuais tipo aprovadas pela CE (nas versões disponíveis, ou seja, transferências internacionais de responsável para responsável e de responsável para subcontratante), as quais são mais exigentes que os princípios Safe Harbour e exigem que as Partes não se limitem a assinar as referidas cláusulas mas que cumpram, efetivamente, todas as obrigações delas decorrentes; (iii) Aprovação pela Autoridade de Proteção de Dados nacional (solução que se revelará impraticável, face ao tempo que acarretará com a impossibilidade de até que seja aprovada não ser possível efetuar a transferência de dados para os EUA); (iv) BCRs (solução que, pelo menos em Portugal, não é uma alternativa por não ser aceite para o efeito pela CNPD). Atentas as implicações que o Acórdão tem no dia-a-dia de muitas empresas, nas relações entre a Europa e os EUA e até nas transferências internacionais para fora da UE (para além dos EUA), sobretudo para os países conetados de exercerem ingerências excessivas (ex.: países asiáticos e, em particular, a China), não restam quaisquer dúvidas de que este assunto irá ser fortemente debatido nos próximos tempos, pois os seus efeitos estão longe de ser totalmente conhecidos. Iremos continuar a acompanhar este assunto e, em particular, as recomendações/orientações que o Article 29 Working Party irá proferir brevemente sobre este assunto, já que as mesmas irão nortear a conduta que as Autoridades de Proteção de Dados dos Estados Membros irão acolher a este respeito e os procedimentos que irão adotar relativamente às transferências internacionais de dados para fora da UE e, em particular, para os EUA. 5