Acordo de transferências de dados para os EUA é inválido. E agora?
Apesar de não haver dúvidas que o Tribunal de Justiça da União Europeia considerou o acordo Safe Harbor inválido, a época é de incerteza.
No passado dia 6 de Outubro as regras relativas à transferência de dados pessoais da UE para os EUA mudaram.
A Decisão do Tribunal de Justiça da União Europeia (TJUE), de 6 de Outubro (proferida no processo C-362/04), considerou inválida a decisão da Comissão 2000/520/CE, de 26 de Julho de 2000, conhecida por acordo Safe Harbor, que considerava que as transferências de dados para os EUA, efectuadas ao abrigo dos princípios deste acordo asseguravam um nível de protecção adequado aos dados pessoais.
Para quem não está familiarizado com as matérias de Privacidade ou de Dados Pessoais, esta notícia pode ser uma não notícia. Afinal, transferência de dados pessoais, Safe Harbor, nível de protecção adequado, podem não ser termos conhecidos da maioria dos cidadãos, ou que mereçam o seu interesse.
Mas a verdade é que estas matérias são cada vez mais importantes e estão presentes no nosso dia-a-dia e esta decisão reveste-se de uma importância tal, que não exageramos se afirmarmos que pode afectar as relações entre a UE e os EUA, sobretudo se falarmos de economia digital.
Comecemos então pelo princípio:
O respeito pela vida privada, não é uma ideia recente. Já em 1948, a Declaração Universal dos Direitos do Homem das Nações Unidas, no seu art.º12 consagrava o direito à protecção contra intromissões na vida privada. Mas desde essa altura, muita coisa mudou, a galopante evolução da tecnologia e o desenvolvimento da Sociedade da Informação, vieram a tornar, a nossa vida privada, e sobretudo os nossos dados pessoais muito vulneráveis. E foi por isso, que foi surgindo a necessidade de adoptar regras que protegessem as pessoas, através da protecção dos seus dados pessoais, o que aconteceu inicialmente, isoladamente em certos países (disso é exemplo a nossa velhinha Lei 10/91 de 29 de Abril) e depois de uma forma harmonizada, através da Directiva Comunitária 95/46/CE. Estes instrumentos consagram os princípios fundamentais da protecção de dados como os princípios do Tratamento Lícito, da Especificação e da Limitação da finalidade, da Adequação, entre outros, todos eles com o mesmo objectivo, garantir a protecção da utilização dos dados pessoais dos cidadãos, de forma a garantir a nossa privacidade.
Como corolário dos princípios enunciados e de acordo com a já citada Directiva Comunitária 95/46/CE e com a nossa Lei de Protecção de Dados (Lei 67/98 de 26 de Outubro, que transpôs a referida Directiva para o Ordenamento Jurídico português), são em princípio proibidas as transferências de dados pessoais para fora da União Europeia, salvo se o país de destino assegurar um nível de protecção adequado ou suficiente.
O que era mais comum até agora é que estes fluxos entre a UE e os EUA tivessem como fundamento três tipos de situações:
Cláusulas contratuais tipo, BDR (Binding Corporate Rules) e finalmente o acordo de Safe Harbor.
Foi exactamente neste último fundamento que se deu a grande alteração.
A, já citada, decisão da Comissão de Julho de 2000 tinha considerado que as empresas americanas que tivessem subscrito, em regime de auto certificação, os Princípios do Safe Harbor (conjunto de regras acordadas pela Comissão Europeia e pelo US Department of Commerce em conjunto com a Federal Trade Comission), asseguravam um nível de protecção adequado, pelo que eventuais transferências de dados, depois de autorizadas pelos Reguladores Nacionais* (DPA-Data Protection Authorities), com base em tal fundamento podiam ser realizadas entre a UE e os EUA.
E o que o Tribunal de Justiça da União Europeia veio dizer agora é que esta decisão da Comissão é inválida.**
O TJUE veio a pronunciar-se na sequência de uma reclamação apresentada por Mr. Schrems, um cidadão austríaco, utilizador do Facebook, junto da Autoridade de Protecção de Dados Irlandesa Os utilizadores europeus do Facebook, registam-se no Facebook Ireland, que por sua vez transfere os dados dos utilizadores europeus para os EUA, onde estão localizados os servidores. A reclamação de Mr. Schrems surgiu depois das revelações de Edward Snowden e de serem conhecidas as práticas da NSA, pondo em causas a forma como os EUA procediam ao tratamento de dados pessoais, sem que fosse assegurado um nível de protecção adequado ou suficiente.
Esta reclamação passou depois para os Tribunais Irlandeses, que submeteram a questão ao TJUE, que por sua vez não hesitou em considerar inválida a decisão 2000/520/CE da Comissão Europeia, de 26 de Julho de 2000, que determinava que a transferência de dados para os Estados Unidos ao abrigo dos princípios do acordo Safe Harbor garantia um nível de protecção adequado dos dados pessoais.*
E quais são as consequências desta decisão do Tribunal de Justiça da União Europeia? Esta decisão tem o efeito prático de impedir que os responsáveis pelos tratamentos de dados pessoais procedam a transferências de dados entre a UE e os EUA ao abrigo do acordo de Safe Harbor.
E agora o que vai acontecer?
Para quem transferia dados ao abrigo das cláusulas tipo, ou das BCR e tinha obtido autorização das DPA, com base nesses fundamentos, nada muda e as transferências podem continuar para os EUA sem qualquer alteração.
O problema coloca-se é para quem realizava transferências ao abrigo do acordo de Safe Harbor.
Apesar de não haver dúvidas que o TJUE considerou o acordo Safe Harbor inválido, a época é de incerteza.
Incerteza para os responsáveis pelo tratamento de dados pessoais que solicitaram autorização para a transferência de dados ao abrigo deste princípios e que agora não sabem se terão de lançar mão das restantes hipóteses para legitimar estas transferências de dados, aqui se incluindo nova abertura, ou pelo menos alteração de processos junto das DPA.
Incerteza para as DPA que terão de tomar em breve uma posição sobre esta questão e que pode, eventualmente, não ser coincidente em todos os países da Europa.
Incerteza para as relações entre a UE e os EUA uma vez que é praticamente impossível estabelecerem-se relações entre ambos sem qualquer forma de transferência de dados pessoais.
A posição do Grupo de Trabalho do artigo 29 não se fez esperar e na passada sexta-feira emitiu já uma Declaração sobre a decisão do TJUE.
Sumariamente, o Grupo de Trabalho do Artigo 29 manifesta o seu apoio à decisão judicial e apela aos Estados membros da UE e às Instituições da UE para iniciarem discussões abertas com os EUA, de forma a serem encontradas soluções técnicas e legais que garantam o respeito pelos dados pessoais. Considera, ainda, que a negociação de um novo acordo de Safe Harbor com regras mais exigentes, poderá ser uma solução.
Refere, também, que as transferências ao abrigo das cláusulas contratuais tipo e das binding corporate rules poderão continuar a ocorrer.
Prevê que, caso até ao final de Janeiro de 2016, não tiver sido encontrada uma solução com as autoridades dos EUA e dependendo da avaliação das formas de transferência pelo próprio Grupo de Trabalho do Artigo 29, que as DPA tomem medidas apropriadas e necessárias para impor o cumprimento da lei (“enforcement actions”).
Recomenda que as DPA deverão lançar uma campanha informativa, ao nível nacional, que poderá implicar avisos directos às empresas que efectuavam transferências de dados ao abrigo do acordo Safe Harbor.
Conclui, declarando que as empresas devem ponderar os riscos que correm quando transferem dados e que devem adoptar soluções legais e técnicas que possibilitem mitigar esses riscos, com respeito dos dados pessoais.
Apesar de importante, esta Declaração não apresenta propriamente uma solução prática para o problema, que continua a subsistir e a afectar as empresas que procedem as transferências de dados para os EUA ao abrigo do acordo Safe Harbor.
Por isso, e para já, uma coisa é certa, esta decisão representará muito trabalho às DPA que autorizaram transferência de dados ao abrigo do acordo Safe Harbor, que verão certamente aumentar o trabalho administrativo, pois os responsáveis pelo tratamento de dados não tardarão a ter dúvidas e iniciarão a alteração dos processos de autorização.
E sem dúvida que, como se espera, o Novo Regulamento de Dados Pessoais reforce os poderes fiscalizadores das DPA, haverá muita matéria para aplicação de coimas, caso os responsáveis pelos tratamento de dados, não lancem mão dos outros instrumentos para legitimar as transferências de dados pessoais, agora tornadas inválidas em virtude desta decisão.
Seja qual for o cenário dos próximos dias, uma corrida às DPA para alterar os pedidos de autorização, ou uma espera por uma posição expressa das DPA nacionais, uma coisa é certa, para o bem das relações entre a UE e os EUA, e em nome do equilíbrio que deve ocorrer entre a protecção dos dados pessoais e a liberdade da iniciativa económica (ambos direitos fundamentais), não devem parar totalmente as transferências de dados entre a UE e os EUA, só porque estas se baseiam no acordo de Safe Harbor.
Desta opinião parece partilhar o US Department of Commerce, que com enorme simplicidade, ao mesmo tempo que no seu site anuncia a decisão do TJUE, anuncia que continuará a administrar o Programa Safe Harbor e a aceitar candidaturas para as auto-certificações. O típico sentido prático americano, afinal: “Life must go on.”
* O Regulador Nacional é a Comissão Nacional de Protecção de Dados (CNPD)
** Da decisão resulta também uma clarificação e reforço dos poderes das DPA, que não podem ficar limitadas por decisões da Comissão, no seu poder de apreciação do nível de adequação de protecção dos países destino.
Consultora Abreu Advogados, ana.fazendeiro@abreuadvogados.com