ARTIGOS

UE e EUA: O futuro incerto das transferências de dados pessoais

No passado dia 16 de julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) proferiu um acórdão no âmbito do caso Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (processo C-311/18), também conhecido como Schrems II.
A este respeito, o TJUE decidiu pela invalidade do EU-US Privacy Shield, um dos mecanismos utilizados no âmbito da transferência internacional de dados entre a UE e os EUA.

 

Enquadramento legal

O artigo 45.º do RGPD prevê que as transferências de dados pessoais para um país terceiro (i.e., fora do Espaço Económico Europeu) apenas podem ser realizadas quando tal país apresente um nível adequado de proteção dos dados pessoais, equivalente àquele que é assegurado pela legislação europeia.

A transferência internacional de dados pessoais efetuada nos termos acima referidos poderá ter por base:

  • uma decisão de adequação da Comissão Europeia, pela qual esta reconhece que um determinado país ou a organização internacional em causa, assegura um nível de proteção adequado (como era o caso do EU-US Privacy Shield, que veio substituir o Safe Harbour);
  • na inexistência de uma decisão de adequação, a apresentação de garantias adequadas, nomeadamente cláusulas padrão de proteção de dados adotadas pela Comissão Europeia ou por uma autoridade de controlo com a subsequente aprovação da Comissão Europeia ou regras vinculativas aplicáveis às empresas (Binding Corporate Rules).

 

Antecedentes

Em 2013, na sequência das revelações efetuadas por Edward Snowden, Max Schrems apresentou uma queixa junto da autoridade de proteção de dados irlandesa (Data Protection Commissioner, ou DPC), alegando que os seus dados pessoais tinham sido transferidos pela Facebook Ireland Ltd. para a Facebook Inc., com sede nos EUA, onde o nível de proteção de dados pessoais não cumpre o exigido pela legislação europeia. Para o efeito, Max Schrems argumentou que a decisão Safe Harbour, uma decisão de adequação proferida pela Comissão Europeia em 2000 relativamente à transferência de dados pessoais para os EUA, não assegurava um nível adequado de proteção aos titulares de dados da UE, tendo invocado a invalidade da mesma.

A questão de validade da decisão Safe Harbour foi remetida para o TJUE, que decidiu, no âmbito do processo Max Schrems v. Data Protection Commissioner (C-362/14) (também conhecido por Schrems I) que a decisão Safe Harbor não era, de facto, válida em virtude da vigilância em massa efetuada pelas autoridades públicas dos EUA e da inexistência de qualquer direito a reparação para cidadãos não americanos.

Na sequência da referida decisão do TJUE, a UE e os EUA renegociaram as condições de transferência de dados da UE para os EUA e criaram o Privacy Shield, um mecanismo que visava atestar o cumprimento das normas de proteção de dados da UE por parte das empresas constantes da lista disponibilizada em https://www.privacyshield.gov/list com referência às transferências de dados pessoais da UE para os EUA. Por sua vez, a Comissão Europeia avaliou o acesso e a utilização de dados pessoais transferidos ao abrigo do Privacy Shield pelas autoridades públicas dos EUA e, com base nesta análise, emitiu uma decisão de adequação (Decisão (UE) 2016/1250), por meio da qual admitiu o fluxo de dados pessoais da UE para os EUA sem que fosse necessária qualquer outra salvaguarda.

 

Caso Schrems II

Após a declaração de invalidade da decisão de adequação Safe Harbour, Max Schrems apresentou uma nova queixa junto da autoridade de proteção de dados irlandesa (Data Protection Commissioner, ou DPC), contestando o recurso às chamadas “SCC” (Standard Contractual Clauses ou Cláusulas Padrão) pela Facebook Ireland Ltd. como base legal para a transferência de dados pessoais para os EUA.

Neste sentido, Schrems argumentou que, em virtude das atividades de vigilância levadas a cabo pelas agências de informação dos EUA, não foi assegurada uma proteção adequada dos dados pessoais transferidos da UE para os EUA ao abrigo das SCC ou do EU-US Privacy Shield (o mecanismo que viera a ser aprovado em substituição do Safe Harbour). A autoridade de proteção de dados irlandesa remeteu as questões relativas à validade das SCC e do EU-US Privacy Shield a apreciação por parte do TJUE.

Nessa sequência, o TJUE declarou a invalidade do EU-US Privacy Shield, entendendo que a legislação norte-americana não garante requisitos de proteção equivalentes aos exigidos pela legislação europeia.
Além disso, o TJUE reconhece ainda a falta de tutela efetiva dos direitos dos titulares, especialmente não americanos.

A respeito das Clausulas Contratuais Padrão, o TJUE refere que, embora as mesmas permaneçam válidas, tal validade não é absoluta, estando dependente da sua efetividade prática ao abrigo da legislação e das práticas do país de destino, cuja análise recai sobre o responsável pelo tratamento. Neste sentido, as transferências de dados realizadas com base nas Cláusulas Contratuais Tipo deverão ser analisadas casuisticamente, de modo a determinar se os dados pessoais serão protegidos de forma adequada. Deste modo, o TJUE institui um maior grau de exigência aos responsáveis pelo tratamento, em linha com o princípio da responsabilidade previsto no RGPD.

Relativamente às obrigações das autoridades de controlo a propósito deste tipo de transferências, o TJUE considerou que estas deverão suspender ou proibir a transferência de dados pessoais para um país terceiro, sempre que considerem que as regras aplicáveis à proteção de dados não são, ou não podem ser, cumpridas nesse país, exceto quando exista uma decisão de adequação aprovada pela Comissão.

 

Impacto

A invalidade do Privacy Shield tem implicações relevantes no mercado global, empurrando as mais de 5 mil empresas que utilizavam o Privacy Shield para legitimar a transferência de dados entre a UE e os EUA para uma zona de incerteza.
Neste sentido, e em virtude da produção imediata de efeitos da decisão, todas as entidades que recorriam ao Privacy Shield foram obrigadas a implementar um mecanismo alternativo em relação às transferências de dados para os EUA, sob pena de incumprimento do RGPD.

Acresce que a presente decisão levanta algumas incertezas quanto à utilização de Cláusulas Contratuais Padrão, na medida em que estas poderão não ser suficientes para legitimar a transferência internacional de dados pessoais, reforçando o papel dos responsáveis pelo tratamento e das autoridades de controlo nacionais, exigindo-lhes uma abordagem proativa na análise e, quando aplicável, na suspensão ou proibição de transferências internacionais de dados pessoais.

Evidentemente, a presente decisão terá ainda influência na futura regulação das transferências internacionais de dados pessoais, sendo que a Comissão Europeia anunciou já que se encontra a rever e a atualizar as Cláusulas Contratuais Padrão.
Até lá, as empresas que se enquadram no âmbito de aplicação do regime imposto pelo RGPD devem:

  • avaliar os fluxos de transferência de dados que estão sujeitos ao RGPD e identificar os países para os quais transferem esses dados pessoais.
    atualizar os mecanismos de compliance que permitam o
  • acompanhamento de aspetos relevantes do regime jurídico e das práticas de países terceiros para os quais são transferidos dados pessoais;
  • acompanhar as orientações da Comissão Europeia, do Conselho Europeu de Proteção de Dados e das autoridades de controlo nacionais.

O acórdão Schrems II coloca em evidência as fragilidades do sistema americano no que diz respeito à proteção de dados pessoais transferidos a partir da UE, reconhecendo que o mesmo não cumpre com os parâmetros exigidos pela legislação europeia. Resta saber como serão afetadas, no futuro, as transferências de dados pessoais da UE para outros países, como a China ou a Rússia.

 

O conteúdo desta informação não constitui aconselhamento jurídico e não deve ser invocado nesse sentido. Aconselhamento específico deve ser procurado sobre as circunstâncias concretas do caso. Se tiver alguma dúvida sobre uma questão de direito Português, não hesite em contactar-nos.

autores
ÁREA DE PRÁTICA
PARTILHAR
Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email
ÁREA DE PRÁTICA
PARTILHAR
Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email
AUTORES

Contacto