|
15.7.2016 |
PT |
Jornal Oficial da União Europeia |
C 257/8 |
Síntese do parecer da Autoridade Europeia para a Proteção de Dados relativo ao projeto de decisão sobre o nível de proteção adequado do Escudo de Proteção da Privacidade UE-EUA
[O texto integral do presente parecer encontra-se disponível em inglês, francês e alemão no sítio web da AEPD em www.edps.europa.eu]
(2016/C 257/05)
|
Os fluxos de dados são globais. A UE está vinculada pelos Tratados e pela Carta dos Direitos Fundamentais da União Europeia que protegem todas as pessoas na UE. A UE é obrigada a adotar todas as medidas necessárias para assegurar que os direitos à privacidade e à proteção dos dados pessoais são respeitados ao longo de todas as operações de tratamento, incluindo as transferências. Desde as revelações, em 2013, das atividades de vigilância, a UE e o seu parceiro estratégico, os Estados Unidos, têm procurado definir um novo conjunto de normas, assentes num sistema de autocertificação, aplicável à transferência para fins comerciais para os EUA de dados pessoais enviados a partir da UE. Tal como as autoridades nacionais de proteção de dados na UE, a AEPD reconhece o valor, na era dos fluxos de dados imprevisíveis, instantâneos e globais, de um quadro jurídico sustentável para as transferências comerciais de dados entre a UE e os EUA, que representam a maior parceria comercial do mundo. Não obstante, este quadro deve refletir cabalmente os valores partilhados democráticos e baseados nos direitos das pessoas, que por parte da UE vêm expressos no Tratado de Lisboa e na Carta dos Direitos Fundamentais e, por parte dos EUA, na Constituição dos EUA. O projeto de Escudo de Proteção da Privacidade poderá representar um passo na direção certa, mas na sua versão atual não inclui devidamente, no nosso entender, todas as garantias adequadas para proteger os direitos da UE das pessoas à privacidade e à proteção dos dados, bem como no atinente ao recurso judicial. Caso a Comissão Europeia pretenda adotar uma decisão de adequação, afiguram-se necessárias melhorias significativas. Concretamente, a UE deve obter garantias suplementares em termos de necessidade e proporcionalidade, em lugar de legitimar o acesso sistemático a dados transferidos por parte das autoridades norte-americanas assente em critérios que têm uma base jurídica no país destinatário, mas não na UE, conforme afirmado pelos Tratados, as decisões da UE e as tradições constitucionais comuns aos Estados-Membros. Por outro lado, numa era de elevada hiperconectividade e redes distribuídas, a autorregulação feita pelas empresas privadas, bem como as declarações e os e compromissos por parte de funcionários públicos, podem desempenhar um papel a curto prazo, mas a longo prazo não serão suficientes para salvaguardar os direitos e interesses das pessoas e satisfazer plenamente as necessidades de um mundo digital globalizado onde muitos países dispõem agora de normas de proteção de dados. Por conseguinte, seria bem-vinda uma solução a longo prazo no diálogo transatlântico, para também adotar na legislação federal vinculativa, no mínimo, os princípios mais importantes dos direitos a serem clara e concisamente identificados, tal como acontece com outros países terceiros que foram «rigorosamente avaliados» como oferecendo um nível adequado de proteção; aquilo que o TJUE no seu acórdão Schrems manifestou significar «essencialmente equivalente» às normas aplicáveis nos termos do direito da UE e que, segundo o Grupo de Trabalho do artigo 29.o, significa conter «a substância dos princípios fundamentais da proteção de dados». Registamos positivamente a transparência crescente demonstrada pelas autoridades norte-americanas em relação à utilização da exceção aos princípios do Escudo de Proteção da Privacidade para efeitos de aplicação da lei, segurança nacional e interesse público. Todavia, enquanto a Decisão «Porto Seguro», de 2000, tratava formalmente o acesso por motivos de segurança nacional como uma exceção, a atenção prestada no projeto de decisão do Escudo de Proteção da Privacidade ao acesso, filtragem e análise pelos serviços responsáveis pela aplicação da lei e pelos serviços de informações de dados pessoais transferidos para fins comerciais indica que a exceção se pode tornar a regra. Em particular, a AEPD constata com base no projeto de decisão e respetivos anexos que, não obstante as tendências recentes para passar da vigilância indiscriminada de forma geral para abordagens mais orientadas e selecionadas, a dimensão da informação de origem eletromagnética e o volume de dados transferidos a partir da UE, sujeitos à eventual recolha assim que transferidos e, nomeadamente, quando em trânsito, podem ainda assim ser elevados e, portanto, questionáveis. Embora estas práticas possam também estar relacionadas com informações noutros países, e embora saudemos a transparência das autoridades norte-americanas relativamente esta nova realidade, o projeto de decisão atual poderá legitimar esta rotina. Por conseguinte, incentivamos a Comissão Europeia a dar um sinal mais categórico: atendendo às obrigações que competem à UE nos termos do Tratado de Lisboa, o acesso e a utilização por parte das autoridades públicas dos dados transferidos para fins comerciais, incluindo quando em trânsito, apenas devem ocorrer em circunstâncias excecionais e quando seja indispensável para fins de interesse público especificados. Em relação às disposições aplicáveis às transferências para fins comerciais, não se deve esperar dos responsáveis pelo tratamento que alterem constantemente os modelos de conformidade. Não obstante o projeto de decisão ter sido previsto no quadro jurídico da UE em vigor, o qual substituirá o Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados), em maio de 2018, menos de um ano após a plena aplicação do Escudo de Proteção da Privacidade por parte dos responsáveis pelo tratamento. O Regulamento Geral sobre a Proteção de Dados cria e reforça as obrigações aplicáveis aos responsáveis pelo tratamento que transcendem os nove princípios desenvolvidos no Escudo de Proteção da Privacidade. Independentemente das alterações finais ao projeto, recomendamos que a Comissão Europeia avalie exaustivamente as perspetivas futuras desde o seu primeiro relatório, para identificar tempestivamente ações relevantes para que soluções a mais longo prazo substituam o Escudo de Proteção da Privacidade, se existentes, por quadros jurídicos mais robustos e estáveis para fomentar as relações transatlânticas. A AEPD emite, por conseguinte, recomendações específicas sobre o Escudo de Proteção da Privacidade. |
I. Introdução
Em 6 de outubro de 2015, o Tribunal de Justiça da União Europeia (adiante designado «TJUE») invalidou (1) a Decisão relativa à adequação do «Porto Seguro» (2). A Comissão Europeia alcançou um acordo político com os EUA em 2 de fevereiro de 2016 relativamente a um novo quadro para as transferências de dados pessoais denominado «Escudo de Proteção da Privacidade UE-EUA» (adiante designado o «Escudo de Privacidade»). Em 29 de fevereiro, a Comissão Europeia tornou público um projeto de decisão sobre a adequação deste novo quadro (adiante designado o «projeto de decisão») (3) e dos respetivos sete anexos, incluindo os princípios do Escudo de Privacidade e observações e compromissos escritos dos funcionários e autoridades dos EUA. A AEPD recebeu o projeto de decisão em 18 de março do corrente ano.
Por várias vezes, a AEPD manifestou a sua posição em relação às transferências de dados pessoais entre a UE e os EUA (4) e contribuiu para o parecer do Grupo de Trabalho do Artigo 29.o (adiante designado «GT29») sobre o projeto de decisão enquanto membro deste grupo (5). O GT29 manifestou graves preocupações e instou a Comissão Europeia a identificar soluções para as resolver. Os membros do GT29 esperam que sejam prestadas todas as clarificações requeridas no parecer (6). Em 16 de março, 27 organizações sem fins lucrativos formularam as suas críticas ao projeto de decisão numa carta dirigida às autoridades da UE e dos EUA (7). Em 26 de maio, o Parlamento Europeu adotou uma resolução sobre os fluxos de dados transatlânticos (8), que exorta a Comissão a negociar melhorias suplementares ao acordo do Escudo de Privacidade com a Administração dos EUA à luz das deficiências atuais (9).
Enquanto consultora independente dos legisladores da UE ao abrigo do Regulamento (CE) n.o 45/2001, a AEPD formula as suas recomendações para as partes envolvidas no processo, designadamente a Comissão. As referidas recomendações pretendem ser norteado por princípios e pragmático no intuito de ajudar proativamente a UE a alcançar os seus objetivos com medidas adequadas. Vêm complementar e salientar algumas, mas não todas, das recomendações contidas no parecer do GT29.
O projeto de decisão apresenta várias melhorias comparativamente à Decisão «Porto Seguro», nomeadamente no que diz respeito aos princípios aplicáveis ao tratamento de dados para fins comerciais. No tocante ao acesso por parte das autoridades públicas aos dados transferidos ao abrigo do Escudo de Privacidade, saudamos igualmente a participação, pela primeira vez, do Department of Justice (Ministério da Justiça), do Department of State (Ministério dos Negócios Estrangeiros) e do Office of the Director of National Intelligence (Gabinete do Diretor dos Serviços Nacionais de Informações) nas negociações. Contudo, o progresso comparativamente à Decisão «Porto Seguro» anterior não é, por si só, suficiente. A referência correta não é uma decisão anterior invalidada, uma vez que a decisão de adequação deve ter por base o quadro jurídico da UE em vigor (em especial, a própria diretiva, o artigo 16.o do Tratado sobre o Funcionamento da União Europeia, bem como os artigos 7.o e 8.o da Carta dos Direitos Fundamentais da União Europeia, conforme interpretados pelo TJUE). O artigo 45.o do Regulamento Geral sobre a Proteção de Dados da UE (adiante designado «RGPD») (10) irá prever novos requisitos aplicáveis às transferências de dados assentes numa decisão de adequação.
No ano passado, o TJUE afirmou que o limiar para a avaliação da adequação é a «equivalência essencial» e pediu uma avaliação rigorosa face a este elevado padrão (11). A adequação não requer a adoção de um quadro que seja idêntico ao existente na UE, mas, considerado no seu todo, o Escudo de Privacidade e o ordenamento jurídico dos EUA devem abranger todos os elementos determinantes do quadro de proteção de dados da UE. Tal exige a avaliação geral do ordenamento jurídico e o exame dos elementos mais importantes do quadro de proteção de dados da UE (12). Admitimos que a avaliação deve ser realizada em termos globais, respeitando, todavia, a essência destes elementos. Além disso, devido ao Tratado e à Carta, os elementos específicos como a supervisão independente e o recurso não serão considerados.
A este respeito, a AEPD está ciente de que muitas organizações em ambas as partes do Atlântico aguardam o resultado desta decisão de adequação. No entanto, as consequências de uma nova invalidação por parte do TJUE em termos de insegurança jurídica para as pessoas em causa e o ónus, sobretudo para as PME, podem ser grandes. Por outro lado, se o projeto de decisão for adotado e subsequentemente invalidado pelo TJUE, qualquer novo acordo de adequação terá de ser negociado nos termos do RGPD. Recomendamos, por conseguinte, uma abordagem orientada para o futuro, tendo em vista a data iminente da plena aplicação do RGPD daqui a dois anos.
O projeto de decisão é crucial para as relações UE-EUA, numa altura em que estão igualmente sujeitas a negociações comerciais e de investimento. Por outro lado, muitos dos elementos considerados no nosso parecer são indiretamente relevantes para o Escudo de Privacidade e outros instrumentos de transferência, tais como as regras vinculativas aplicáveis às empresas (adiante designadas «BCR» na sigla inglesa) e as cláusulas-tipo de proteção de dados (adiante designadas «SCC» na sigla inglesa). Assume também uma relevância global, porquanto muitos países terceiros o vão acompanhar estreitamente em relação ao contexto da adoção do novo quadro de proteção de dados da UE.
Por conseguinte, saudaríamos uma solução geral para as transferências UE-EUA, contanto que seja suficientemente abrangente e sólida. Tal requer melhorias vigorosas, a fim de assegurar o respeito sustentável a longo prazo dos nossos direitos fundamentais e liberdades. Se for adotada, após a primeira avaliação da Comissão Europeia, a decisão tem de ser revista em tempo oportuno para identificar ações pertinentes conducentes a soluções de longo prazo destinadas a substituir o Escudo de Privacidade por um quadro jurídico mais sólido e estável que impulsione as relações transatlânticas.
A AEPD constata igualmente do projeto de decisão e respetivos anexos que, não obstante as tendências recentes para passar da vigilância indiscriminada de forma geral para abordagens mais orientadas e selecionadas, a dimensão da informação de origem eletromagnética e o volume de dados transferidos a partir da UE, sujeitos à eventual recolha assim que transferidos e, nomeadamente, quando em trânsito, são suscetíveis de continuarem a ser elevados e, portanto, questionáveis.
Embora estas práticas possam também estar relacionadas com informações noutros países, e embora saudemos a transparência das autoridades norte-americanas sobre esta nova realidade, o projeto de decisão atual poderá ser interpretado como legitimando esta rotina. A questão exige um escrutínio público democrático sério. Por conseguinte, incentivamos a Comissão Europeia a dar um sinal mais categórico: atendendo às obrigações que competem à UE nos termos do Tratado de Lisboa, o acesso e a utilização por parte das autoridades públicas dos dados transferidos para fins comerciais, incluindo quando em trânsito, apenas devem ocorrer a título de exceção e quando seja indispensável para fins de interesse público especificados.
Além disso, salientamos que as observações relevantes para as vidas privadas das pessoas na UE parecem ser apenas formuladas em dados importantes em cartas internas das autoridades dos EUA (por exemplo, observações relacionadas com atividades de informação de origem eletromagnética através de cabos transatlânticos, se existentes) (13). Embora não questionemos a autoridade dos seus ilustres autores e compreendamos que assim que forem publicadas no Jornal Oficial e no Registo Federal essas observações serão consideradas «garantias escritas» com base nas quais é feita a avaliação da UE, salientamos em termos gerais que a relevância de algumas mereceria um maior valor jurídico.
Além de alterações legislativas e acordos internacionais (14), poderão ser exploradas soluções práticas suplementares. O nosso parecer visa prestar aconselhamento pragmático a este respeito.
IV. Conclusão
A AEPD congratula-se com os esforços demonstrados pelas partes no sentido de encontrarem uma solução para as transferências de dados pessoais da UE para os EUA para fins comerciais ao abrigo de um sistema de autocertificação. Contudo, afiguram-se necessárias melhorias vigorosas no intuito de alcançar um quadro sólido e estável a longo prazo.
Feito em Bruxelas, em 30 de maio de 2016.
Giovanni BUTTARELLI
Autoridade Europeia para a Proteção de Dados
(1) Processo C-362/14, Maximillian Schrems contra Data Protection Commissioner, de 6 de outubro de 2015 (adiante designado «Schrems»).
(2) Decisão 2000/520/CE da Comissão, de 26 de julho de 2000, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa ao nível de proteção assegurado pelos princípios de «porto seguro» e pelas respetivas questões mais frequentes (FAQ) emitidos pelo Department of Commerce dos Estados Unidos da América [notificada com o número C(2000) 2441] (JO L 215 de 25.8.2000, p. 7).
(3) Decisão de Execução da Comissão de XXX nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA, disponível em: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
(4) Ver o parecer da Autoridade Europeia para a Proteção de Dados sobre a Comunicação da Comissão ao Parlamento Europeu e ao Conselho intitulada «Restabelecer a confiança nos fluxos de dados entre a UE e os EUA» e sobre a Comunicação da Comissão ao Parlamento Europeu e ao Conselho sobre o funcionamento do sistema «porto seguro» na perspetiva dos cidadãos da UE e das empresas estabelecidas na UE, de 20 de fevereiro de 2014, bem como o articulado da AEPD na audiência do TJUE no processo Schrems, disponível em: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Court/2015/15-03-24_EDPS_Pleading_Schrems_vs_Data_Commissioner_EN.pdf).
(5) Parecer 1/2016 do Grupo de Trabalho do artigo 29.o sobre a decisão de adequação do Escudo de Proteção da Privacidade UE-EUA, (WP 238), disponível em: http://ec.europa.eu/jus.tice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
(6) Ver igualmente o discurso de fundo do Comissário da Informação do Reino Unido, Christopher Graham, na Conferência IAPP Europe Data Protection Intensive, em Londres. Discurso disponível (vídeo) em: https://iapp.org/news/video/iapp-europe-data-protection-intensive-2016-christopher-graham-keynote/
(7) Carta dirigida ao Grupo de Trabalho do Artigo 29.o e outras instituições, assinada pela Access Now e outras 26 ONG.
(8) Resolução do Parlamento Europeu, de 26 de maio de 2016, sobre a transferência transatlântica de dados 2016/2727(RSP).
(9) Idem, n.o 14.
(10) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).
(11) Schrems, art. 71, 73, 74 e 96.
(12) Esta abordagem havia já sido contemplada num dos primeiros documentos do GT29 sobre o tema das transferências de dados (WP12: «Documento de Trabalho sobre Transferência de dados pessoais para países terceiros: aplicação dos artigos 25.o e 26.o da Diretiva comunitária relativa à proteção dos dados», de 24 de julho de 1998).
(13) Ver, por exemplo, as clarificações no Anexo VI.1. a), que a Presidential Policy Directive 28 (PPD-28) aplicará aos dados recolhidos em cabos transatlânticos pelo conjunto do setor das informações nos Estados Unidos.
(14) Na audiência do TJUE no processo Schrems, a AEPD declarou que «A única solução eficaz é a negociação de um acordo internacional que preveja um nível adequado de proteção contra a vigilância indiscriminada, incluindo obrigações em matéria de supervisão, transparência, direitos de recurso e de proteção de dados», articulado da AEPD na audiência do Tribunal de Justiça, de 24 de março de 2015, no Processo C-362/14 (Schrems contra Data Protection Commissioner).