29.12.2010   

PT

Jornal Oficial da União Europeia

C 355/10

1.

Em 15 de Junho de 2010, a Comissão adoptou uma proposta de decisão do Conselho relativa à conclusão do Acordo entre a União Europeia e os Estados Unidos da América sobre o tratamento de dados de mensagens de pagamentos financeiros e a sua transferência da União Europeia para os Estados Unidos para efeitos do Programa de Detecção do Financiamento do Terrorismo (TFTP) (a seguir designada por «a proposta»). A proposta (incluindo o texto de um projecto de acordo com os Estados Unidos) foi enviada à AEPD para consulta. A AEPD congratula-se com esta consulta e recomenda que seja incluída uma referência ao presente parecer no preâmbulo da proposta.

2.

A proposta da Comissão é motivada pelas alterações introduzidas na arquitectura da SWIFT (3), que desde 1 de Janeiro de 2010 garante que as mensagens da SWIFT relativas a operações financeiras internas do Espaço Económico Europeu e da Suíça permanecem dentro da área do euro — diversamente da zona transatlântica — e deixam de ser reproduzidas no centro de operações dos EUA.

3.

Com a presente proposta, a Comissão prevê um acordo internacional entre a UE e os EUA, que, com base nos artigos 216.o (acordos internacionais), 82.o (cooperação judiciária) e 87.o (cooperação policial) do Tratado sobre o Funcionamento da União Europeia, exigiria a transferência para o Departamento do Tesouro dos Estados Unidos dos dados relevantes de mensagens de pagamentos financeiros que são necessários para efeitos do Programa de Detecção do Financiamento do Terrorismo do Departamento do Tesouro dos EUA.

4.

Em especial, após a Decisão do Parlamento Europeu, de 11 de Fevereiro de 2010, de recusar a aprovação do acordo provisório assinado em 30 de Novembro de 2009, a nova versão destina-se a abordar, particularmente, as preocupações respeitantes à protecção de dados pessoais, um direito fundamental que, após a entrada em vigor do Tratado de Lisboa, adquiriu ainda maior relevância no quadro jurídico da União Europeia.

5.

A proposta destaca a relevância da protecção de dados referindo explicitamente os respectivos artigos dos tratados e de outros instrumentos internacionais e reconhecendo o seu carácter de direito fundamental. Contudo, não prevê a utilização do artigo 16.o do TFUE como base jurídica, não obstante o artigo 1.o, n.o 1, da proposta de acordo salientar que um dos seus objectivos principais é assegurar um nível elevado de protecção de dados. A este respeito, a AEPD reitera que o acordo se refere não só ao intercâmbio de dados pessoais, mas também à protecção desses dados. O artigo 16.o do TFUE não é, por conseguinte, menos pertinente como base jurídica do que os artigos 82.o e 87.o do TFUE, relativos à cooperação em matéria de aplicação da lei, que foram escolhidos como bases jurídicas.

6.

A proposta está sujeita ao processo previsto no artigo 218.o, n.o 6, do TFUE. De acordo com este processo, o Conselho só pode adoptar uma decisão que autorize a celebração do acordo após aprovação do Parlamento Europeu. Esta proposta constitui, por conseguinte, um teste crucial no que diz respeito à aplicação dos novos procedimentos do Tratado de Lisboa a um acordo internacional sobre a protecção de dados pessoais. Se os princípios e garantias de protecção de dados forem satisfatoriamente assegurados neste acordo, estará aberto o caminho ao êxito de outras negociações.

7.

Neste contexto, a AEPD realça a importância das negociações relativas a um acordo entre a União Europeia e os Estados Unidos da América sobre a protecção dos dados pessoais transferidos e tratados para efeitos de prevenção, investigação, detecção e repressão de crimes, incluindo o terrorismo, no contexto da cooperação policial e judiciária em matéria penal. O projecto de mandato para o início destas negociações foi adoptado pela Comissão em 26 de Maio de 2010. Na apresentação desse projecto de mandato, a Comissão destacou a necessidade de um acordo sólido em matéria de protecção dos dados (4).

8.

Neste contexto, a AEPD recomenda que se acrescente à presente proposta uma ligação estreita às negociações com os EUA sobre este quadro transatlântico geral de protecção dos dados. Deve garantir-se que estas normas também serão aplicáveis ao Acordo TFTP II. A AEPD recomenda que este requisito seja incluído no presente acordo, ou pelo menos que se acorde com o Governo dos Estados Unidos que um eventual acordo futuro em matéria de protecção dos dados abranja os intercâmbios previstos no âmbito da presente proposta.

9.

Por último, a AEPD está a contribuir activamente para as posições assumidas pelo Grupo de Trabalho de Protecção de Dados do artigo 29.o e pelo Grupo de Trabalho «Polícia e Justiça». Para além dos elementos introduzidos ou a introduzir nessas posições, o presente parecer analisa a proposta actual desenvolvendo observações anteriormente formuladas pela AEPD em relação quer ao acordo provisório quer às negociações em curso com os Estados Unidos.

10.

A AEPD reconhece que esta proposta prevê algumas melhorias substanciais relativamente ao Acordo Provisório TFTP I, tais como:

11.

Além disso, no seguimento dos pedidos do Parlamento Europeu e das autoridades responsáveis pela protecção de dados europeias, a proposta estabelece uma série de disposições (artigos 14.o a 18.o) referentes aos direitos dos interessados, como o direito de informação, o direito de acesso, o direito de rectificação, apagamento ou bloqueio, bem como o direito de obter vias de recurso. No entanto, a aplicabilidade concreta destas disposições e os procedimentos que os cidadãos que não são nacionais dos Estados Unidos nem residem nesse país devem seguir continuam a não ser claros (ver n.o II.2.3 infra).

12.

A AEPD concorda inteiramente com a necessidade de assegurar, tal como prevê o artigo 1.o, n.o 1, da proposta, o pleno respeito da privacidade e da protecção dos dados pessoais. Nesta perspectiva, a AEPD faz notar que subsistem algumas questões em aberto, que importa abordar, e alguns elementos fundamentais a melhorar para satisfazer as condições do quadro jurídico da UE em matéria de protecção dos dados pessoais.

13.

A AEPD está bem ciente de que a luta contra o terrorismo e o seu financiamento pode exigir a imposição de restrições ao direito à protecção dos dados pessoais, bem com às disposições relativas ao sigilo bancário. Isso já acontece numa série de instrumentos da UE (6) que prevêem um conjunto de medidas destinadas a combater a utilização ilícita do sistema financeiro para efeitos de branqueamento de capitais e de financiamento do terrorismo. Esses instrumentos também contêm disposições específicas que permitem o intercâmbio de informações com as autoridades de países terceiros, bem como garantias relativas à protecção dos dados pessoais, em conformidade com a Directiva 95/46/CE.

14.

Além disso, o acordo entre a União Europeia e os Estados Unidos da América sobre o auxílio judiciário mútuo permite explicitamente o intercâmbio, entre autoridades responsáveis pela aplicação da lei, de informações relativas a contas bancárias e a operações financeiras, e define as condições e as limitações aplicáveis a este intercâmbio. Também a nível internacional, os denominados Princípios de Egmont (7) estabelecem a base para o intercâmbio internacional de informações sobre as operações financeiras entre unidades de informação financeira, estabelecendo simultaneamente limitações e garantias relativamente à utilização dos dados trocados. Além disso, já foram adoptados instrumentos para o intercâmbio de dados entre os Estados Unidos e a Europol e a Eurojust, que garantem ao mesmo tempo o intercâmbio de informações e a protecção dos dados pessoais.

15.

Neste contexto, a proposta da Comissão realça a utilidade do Programa TFTP, tal como é proposto pelo Departamento do Tesouro dos EUA e pelos relatórios da personalidade eminente. Todavia, a condição estabelecida pelo artigo 8.o da Convenção Europeia dos Direitos do Homem para justificar a ingerência na vida privada é a «necessidade» e não a «utilidade».

16.

No entender da AEPD, são necessárias provas suficientes do valor acrescentado efectivo deste acordo, tendo em conta os instrumentos já existentes, ou, por outras palavras, da necessidade efectiva do acordo para obter resultados que não pudessem ser obtidos através do recurso a instrumentos menos invasivos da privacidade, como os já estabelecidos pelo quadro da UE e internacional existente. A AEPD considera que esse valor acrescentado deve ser inequivocamente demonstrado, como condição prévia a qualquer acordo com os EUA sobre o intercâmbio de dados financeiros, atendendo também ao carácter invasivo do acordo (ver também n.os 18 a 22 sobre a proporcionalidade).

17.

A AEPD não está em condições de apreciar a necessidade deste acordo. Contudo, mesmo que essa necessidade seja demonstrada, subsistem outros aspectos que merecem a atenção dos negociadores.

18.

A proporcionalidade também é o critério principal quando se avalia a quantidade de dados pessoais transferidos e o seu período de conservação. O artigo 4.o da proposta restringe o âmbito dos pedidos dos EUA. Porém, a proposta continua a prever que os dados pessoais sejam transferidos em bloco para as autoridades dos EUA e depois conservados, em princípio, por um período de cinco anos, independentemente de elas os terem ou não extraído, ou de existir uma ligação comprovada desses dados a uma investigação ou acção penal específicas.

19.

A proposta, não obstante os pedidos do Parlamento Europeu e das autoridades responsáveis pela protecção de dados europeias, continua a basear-se na ideia de que os dados pessoais serão transmitidos em bloco para o Departamento do Tesouro dos EUA. No tocante a este aspecto, é importante esclarecer que o facto de o actual sistema SWIFT não permitir uma pesquisa direccionada não pode constituir justificação suficiente para legitimar as transferências de dados em bloco nos termos da legislação da UE em matéria de protecção de dados.

20.

Por conseguinte, a AEPD considera que se devem encontrar soluções para garantir que as transferências em bloco são substituídas por mecanismos que permitam que os dados das operações financeiras sejam filtrados na UE e que garantam que só os dados pertinentes e necessários são enviados às autoridades dos EUA. Se não for possível encontrar essas soluções imediatamente, o acordo deve, em qualquer caso, definir rigorosamente um período de transição curto, após o qual as transferências em bloco deixam de ser permitidas.

21.

No que se refere ao período de conservação, a AEPD reconhece que a proposta estabelece correctamente períodos máximos de conservação e mecanismos para garantir que os dados pessoais são apagados quando deixam de ser necessários. Afigura-se, porém, que o disposto no artigo 6.o da proposta em relação aos dados não extraídos aponta em sentido contrário. Em primeiro lugar, o conceito de «dados não extraídos» não é evidente, devendo, por isso, ser esclarecido. Em segundo lugar, as razões justificativas da necessidade de conservar os dados não extraídos durante cinco anos não foram demonstradas.

22.

A AEPD reconhece inteiramente a necessidade de assegurar o acesso aos dados pessoais necessários para uma investigação ou acção penal específica de combate ao terrorismo e a sua conservação pelo tempo que for necessário, em alguns casos durante períodos superiores a cinco anos, visto que os dados pessoais podem ser necessários para investigações ou processos judiciais demorados. Supondo, todavia, que os dados não extraídos foram transferidos em bloco e que não foram acedidos nem utilizados para uma acção penal ou investigação específica, o período de conservação permitido para esses dados deveria ser muito mais limitado. Nesta perspectiva, é conveniente salientar que o Tribunal Constitucional Federal da Alemanha considerou que, no caso da conservação de dados de telecomunicações, um período de conservação de 6 meses já é muito longo e exige, por conseguinte, uma justificação adequada (8). Aparentemente, o Tribunal Constitucional considerou que este período de seis meses era o período máximo aplicável aos dados que não estavam relacionados com qualquer investigação específica.

23.

Segundo o mandato das negociações, uma autoridade judiciária pública deverá ter a responsabilidade de receber os pedidos enviados pelo Departamento do Tesouro dos EUA, avaliar a sua conformidade com o acordo e, se for caso disso, solicitar ao fornecedor que transfira os dados com base num sistema «push». O Parlamento Europeu e a AEPD congratularam-se com esta abordagem, que constitui uma garantia crucial — conforme com as constituições nacionais e os sistemas jurídicos dos Estados-Membros — para assegurar transferências de dados legítimas e equilibradas, bem como uma supervisão independente.

24.

Contudo, a proposta atribui esta missão à Europol, que é uma agência da UE para a prevenção e o combate à criminalidade organizada, ao terrorismo e a outras formas graves de criminalidade, que afectem dois ou mais Estados-Membros (9). É evidente que a Europol não é uma autoridade judiciária.

25.

Além disso, a Europol tem interesses específicos no intercâmbio de dados pessoais, com base na proposta de acordo. O artigo 10.o da proposta confere poderes à Europol para requerer uma pesquisa de informações pertinentes através do TFTP, se tiver razões para crer que uma pessoa ou entidade apresenta um nexo com o terrorismo. É difícil conciliar estes poderes da Europol, que podem ser importantes para o cumprimento da sua missão e que exigem a manutenção de boas relações com o Departamento do Tesouro dos EUA, com a missão da Europol de assegurar uma supervisão independente.

26.

Além disso, a AEPD pergunta-se em que medida o actual quadro jurídico confia à Europol — sobretudo sem alterar a sua base jurídica nos termos do procedimento ordinário estabelecido pelo Tratado de Lisboa — as funções e os poderes necessários para tornar um pedido administrativo proveniente de um país terceiro «vinculativo» (artigo 4.o, n.o 5) para uma empresa privada, que ficará, assim, «autorizada e obrigada» a fornecer dados a esse país terceiro. Neste contexto, é conveniente referir que, no estado actual do direito da UE, não é evidente que uma decisão da Europol em relação a uma empresa privada esteja sujeita ao controlo judicial do Tribunal de Justiça Europeu.

27.

Neste contexto, a AEPD reitera a sua posição de que, também com o intuito de respeitar o mandato de negociação e o actual quadro jurídico da UE, a tarefa de avaliar os pedidos do Departamento do Tesouro dos EUA deve ser confiada a uma autoridade judiciária pública.

28.

Como já foi mencionado na parte introdutória do presente parecer, a proposta estabelece uma série de direitos dos interessados, como o direito de informação, o direito de acesso, o direito de rectificação, apagamento ou bloqueio, bem como o direito de obter vias de recurso. Todavia, é importante, por um lado, melhorar alguns elementos destas disposições e, por outro lado, garantir a sua aplicabilidade efectiva.

29.

Quanto ao direito de acesso dos interessados aos seus próprios dados pessoais, o acordo estabelece uma série de limitações. A AEPD reconhece que, sobretudo no contexto da luta contra o terrorismo, se podem impor limitações dos direitos dos interessados na medida do necessário. Contudo, a proposta deve deixar claro que, embora a comunicação ao interessado dos seus dados pessoais possa ser sujeita a limitações nas circunstâncias mencionadas no artigo 15.o, n.o 2, a comunicação dessas informações às autoridades nacionais de protecção de dados europeias deve ser sempre possível, a fim de permitir que essas autoridades exerçam eficazmente a sua função de supervisão. É claro que as autoridades responsáveis pela protecção de dados estarão vinculadas por um dever de confidencialidade no exercício das suas funções e não comunicarão os dados à pessoa em causa, enquanto subsistirem as condições que justificam a existência de uma excepção.

30.

No tocante ao direito de rectificação, o artigo 17.o, n.o 2, dispõe que: «Cada Parte notifica a outra, sempre que possível, caso tenha conhecimento de que as informações materiais que transmitiu ou recebeu da outra Parte ao abrigo do presente Acordo são incorrectas ou não são fiáveis». A AEPD considera que a obrigação de rectificar os dados incorrectos ou que não são fiáveis é uma garantia fundamental não só para o interessado, mas também para a eficácia da acção das autoridades responsáveis pela aplicação da lei. Nesta perspectiva, as autoridades que trocam dados devem adoptar mecanismos que assegurem que essa rectificação é sempre exequível, pelo que devem ser apagadas da proposta as palavras «sempre que possível».

31.

No entanto, a principal preocupação da AEPD prende-se com a aplicabilidade concreta destes direitos. Por um lado, por motivos de segurança e transparência jurídica, a proposta deve especificar mais pormenorizadamente quais são os procedimentos concretos que os interessados podem utilizar para fazer aplicar os direitos reconhecidos pelo acordo, tanto na União Europeia como nos EUA.

32.

Por outro lado, o artigo 20.o, n.o 1, afirma de forma explícita e clara que o acordo «não cria nem confere qualquer direito ou vantagem a qualquer pessoa ou entidade pública ou privada». A AEPD constata que esta disposição parece anular ou, pelo menos, questionar o efeito vinculativo das disposições do acordo que prevêem direitos dos interessados que ainda não são reconhecidos nem aplicáveis ao abrigo da legislação dos EUA, sobretudo quando os interessados não são cidadãos dos Estados Unidos ou não têm residência permanente nesse país. Por exemplo, a Lei da Privacidade dos EUA prevê um direito qualificado de acesso às informações pessoais que se sobrepõe ao direito geral de acesso concedido ao público em geral pela Lei da Liberdade de Informação dos EUA. Contudo, a Lei da Privacidade afirma claramente que um pedido de acesso de um interessado aos seus próprios registos só é possível se ele for «um cidadão dos Estados Unidos ou um estrangeiro a quem tenha sido legalmente concedida residência permanente» (10).

33.

A AEPD recomenda, por conseguinte, que a actual formulação do artigo 20.o, n.o 1, seja revista, a fim de garantir que os direitos conferidos pela proposta também são claramente afirmados e efectivamente aplicáveis no território dos EUA.

34.

O artigo 12.o da proposta estabelece diversos níveis de acompanhamento das condições e garantias estabelecidas pelo acordo. «Supervisores independentes» acompanharão em tempo real e retrospectivamente as pesquisas colocadas pelo Departamento do Tesouro dos EUA. Além disso, «uma personalidade independente nomeada pela Comissão Europeia» levará a cabo um acompanhamento regular do primeiro nível de supervisão, incluindo a sua independência. Importa esclarecer quais serão as funções dessa personalidade independente, como se irá garantir que ela as pode desempenhar efectivamente e a quem presta contas.

35.

O artigo 13.o também estabelece um mecanismo de reexame conjunto, a realizar após um período de seis (6) meses e, depois, periodicamente. Este reexame conjunto será efectuado por uma delegação conjunta UE-EUA, incluindo, no caso da delegação da UE, representantes de duas autoridades responsáveis pela protecção de dados, e dará lugar a um relatório que a Comissão apresentará ao Parlamento Europeu e ao Conselho.

36.

A AEPD salienta que a supervisão é um elemento fundamental do direito à protecção dos dados pessoais, tal como é confirmado pelo artigo 16.o do TFUE e pelo artigo 8.o da Carta dos Direitos Fundamentais da União Europeia. Recentemente, o Tribunal de Justiça definiu critérios rigorosos para a independência no seu Acórdão de 9 de Março de 2010, Comissão contra República Federal da Alemanha (11). Evidentemente que não se podem impor os mesmos critérios rigorosos a países terceiros, mas também é claro que só pode haver uma protecção adequada dos dados pessoais (12) se existirem suficientes garantias de supervisão independente. Esta também é uma condição necessária para a celebração de acordos internacionais com países cujo sistema jurídico não estabelece a necessidade de controlo por uma autoridade independente.

37.

Neste contexto, é crucial que pelo menos as modalidades da supervisão e do reexame conjunto, bem como os poderes e as garantias de independência das personalidades envolvidas na supervisão, sejam claramente definidas no acordo, em vez de serem «coordenadas em conjunto» ou determinadas posteriormente pelas Partes. Em especial, é importante assegurar que são dadas condições, tanto à personalidade nomeada pela Comissão Europeia como aos representantes das autoridades responsáveis pela protecção de dados europeias, para agirem com independência e eficácia no exercício das suas funções de controlo.

38.

Além disso, a proposta não só deverá fixar a data do primeiro reexame conjunto, que terá lugar após um período de seis meses, mas também o calendário do reexame seguinte, que depois disso poderá, por exemplo, realizar-se anualmente. A AEPD também recomenda que se estabeleça uma ligação entre o resultado destes reexames conjuntos e a duração do acordo.

39.

Neste contexto, a AEPD salienta que é desejável uma cláusula de caducidade, também à luz da possível disponibilidade de soluções mais direccionadas a longo prazo. Uma cláusula de caducidade também poderia ser um bom incentivo para garantir que são envidados os esforços necessários para desenvolver essas soluções, que implicariam a eliminação de qualquer motivo para se enviarem dados em bloco para o Departamento do Tesouro dos EUA.

40.

A fim de reforçar a eficácia quer da supervisão quer do reexame conjunto, devem estar disponíveis informações e dados pertinentes sobre o número de pedidos de acesso e de recurso, o eventual seguimento dado a esses pedidos (supressão, rectificação, etc.), bem como o número de decisões que limitam os direitos dos interessados. Na mesma linha, relativamente ao reexame, devem estar disponíveis e ser comunicadas informações sobre a quantidade não só das mensagens que foram «objecto de acesso» pelo Departamento do Tesouro dos EUA, mas também das mensagens a este «fornecidas». Este aspecto deve ser especificado no acordo.

41.

Além disso, os poderes e competências das autoridades nacionais responsáveis pela protecção de dados não devem ser de modo algum limitados por esta proposta. Nesta perspectiva, a AEPD constata que a proposta dá um passo atrás relativamente ao Acordo Provisório TFTP. Na verdade, enquanto o acordo anterior afirmava no seu preâmbulo que: «o presente acordo não derroga à actual competência das autoridades responsáveis pala protecção de dados dos Estados-Membros para proteger as pessoas no que se refere ao tratamento dos seus dados pessoais», a proposta refere agora o «controlo das autoridades de protecção de dados competentes de forma coerente com as disposições específicas do presente acordo». A AEPD recomenda que a proposta afirme claramente que o acordo não derroga nem limita os poderes das autoridades responsáveis pela protecção de dados europeias.

42.

A AEPD reconhece que esta proposta prevê algumas melhorias substanciais relativamente ao Acordo Provisório TFTP I, como é o caso da exclusão dos dados SEPA, uma definição mais limitada de terrorismo e disposições mais pormenorizadas sobre os direitos dos interessados.

43.

A AEPD observa, todavia, que deve ser preenchido um requisito prévio essencial para a avaliação da legitimidade de um novo Acordo TFTP. A necessidade deste último deve ser demonstrada em relação aos instrumentos da UE e internacionais já existentes.

44.

Se for esse o caso, a AEPD faz notar que subsistem algumas questões em aberto que têm de ser resolvidas e elementos fundamentais que devem ser melhorados para satisfazer as condições do quadro jurídico da UE em matéria de protecção dos dados pessoais, tais como: