25.5.2016

Jornal Oficial da União Europeia

C 186/4

Síntese do Parecer Preliminar da Autoridade Europeia para a Proteção de Dados sobre o acordo entre os Estados Unidos da América e a União Europeia relativo à proteção de informações pessoais relacionadas com a prevenção, a investigação, a deteção e a repressão de infrações penais

[O texto integral do presente Parecer encontra-se disponível em inglês, francês e alemão no sítio web da AEPD em www.edps.europa.eu]

(2016/C 186/04)

O presente Parecer tem por base a obrigação geral de que os acordos internacionais celebrados pela UE devem observar o disposto no Tratado sobre o Funcionamento da União Europeia (TFUE) e o respeito pelos direitos fundamentais que estão no cerne da legislação da UE. A avaliação é, em especial, realizada de molde a analisar a conformidade do conteúdo do Acordo-Quadro com os artigos 7.o, 8.o e 47.o da Carta dos Direitos Fundamentais da União Europeia e com o artigo 16.o do TFUE, que asseguram a proteção dos dados pessoais.

SÍNTESE DO PARECER

A investigação e a repressão da criminalidade constituem um objetivo político legítimo, sendo que a cooperação internacional, designadamente o intercâmbio de informações, tornou-se mais importante do que nunca. Até à data, a UE carecia de um quadro comum sólido neste domínio e, por conseguinte, não existem garantias consistentes em matéria de direitos fundamentais e liberdades das pessoas. Tal como há muito defendido pela AEPD, a UE necessita de acordos sustentáveis de partilha de dados pessoais com países terceiros para efeitos de aplicação da lei, que sejam plenamente compatíveis com os Tratados da UE e a Carta dos Direitos Fundamentais.

Por conseguinte, saudamos e apoiamos ativamente os esforços envidados pela Comissão Europeia no sentido de alcançar um primeiro «Acordo-Quadro» com os EUA. Este acordo internacional para fins de aplicação da lei visa estabelecer, pela primeira vez, a proteção dos dados como a base para o intercâmbio de informações. Embora reconheçamos não ser possível reproduzir integralmente a terminologia e as definições da legislação da UE num acordo com um país terceiro, as garantias das pessoas devem ser inequívocas e eficazes, a fim de cumprirem cabalmente o direito primário da UE.

Nos últimos anos, o Tribunal de Justiça da União Europeia afirmou os princípios da proteção dos dados, designadamente a equidade, a exatidão e a relevância das informações, a supervisão independente e os direitos individuais das pessoas. Esses princípios são tão relevantes para os organismos públicos quanto para as empresas privadas, independentemente de qualquer decisão de adequação formal da UE relativa às garantias em matéria de proteção de dados de países terceiros; na verdade, são ainda mais importantes atendendo à sensibilidade dos dados que a investigação criminal exige.

O presente Parecer visa prestar aconselhamento construtivo e objetivo às instituições da UE enquanto a Comissão conclui esta tarefa delicada, com amplas repercussões, não apenas para a cooperação entre a UE e os EUA em matéria de aplicação da lei, mas também para futuros acordos internacionais. O «Acordo-Quadro» é distinto do, mas deve ser considerado conjuntamente com o Escudo de Privacidade UE-EUA sobre a transferência de informações pessoais no contexto comercial. Poderão ser necessárias outras considerações para analisar a interação entre estes dois instrumentos e a reforma do quadro de proteção de dados da UE.

Antes de o Acordo ser apresentado para aprovação do Parlamento, incentivamos as Partes a examinarem atentamente desenvolvimentos significativos desde setembro passado, quando manifestaram a intenção de celebrar o Acordo assim que fosse aprovada a Lei relativa ao recurso judicial. Muitas das garantias já previstas são de saudar, mas devem ser reforçadas, também à luz do acórdão Schrems, em outubro, que anula a Decisão «Porto Seguro» e do acordo político da UE relativo à reforma da proteção de dados, em dezembro, que abrange as transferências e a cooperação judiciária e policial.

A AEPD identificou três melhorias essenciais que recomenda para o texto, a fim de assegurar a conformidade com a Carta e o artigo 16.o do Tratado:

—	clarificação de que todas as garantias aplicam-se a todas as pessoas, não apenas aos cidadãos nacionais da UE,

—	assegurar a eficácia das disposições em matéria de recurso judicial na aceção da Carta,

—	clarificação de que não estão permitidas as transferências de dados sensíveis em massa.

O Parecer formula recomendações adicionais no intuito de esclarecer as garantias previstas mediante um documento explicativo que o acompanha. Mantemo-nos ao dispor das instituições para a prossecução do aconselhamento e diálogo sobre esta questão.

I. Contexto do Acordo rubricado

Em 3 de dezembro de 2010, o Conselho adotou uma decisão que autoriza a Comissão a encetar negociações sobre um Acordo entre a União Europeia (UE) e os Estados Unidos da América (EUA) relativo à proteção dos dados pessoais quando transferidos e tratados para efeitos de prevenção, investigação, deteção e repressão de infrações penais, nomeadamente o terrorismo, no quadro da cooperação policial e da cooperação judicial em matéria penal (adiante designado o «Acordo») (1).

As negociações entre a Comissão e os Estados Unidos tiveram oficialmente início em 29 de março de 2011 (2). Em 25 de junho de 2014, o Procurador-Geral dos Estados Unidos anunciou que será adotada ação legislativa, a fim de prever recurso judicial no atinente aos direitos de privacidade nos EUA para os cidadãos da UE (3). Após várias rondas de negociações, que se arrastaram por mais de quatro anos, o Acordo foi rubricado em 8 de setembro de 2015. Segundo a Comissão, o objetivo é o de assinar e celebrar formalmente o Acordo apenas após a adoção da Lei relativa ao recurso judicial dos EUA (4).

O Parlamento Europeu deve aprovar o texto rubricado do Acordo e o Conselho, por sua vez, deve assiná-lo. Enquanto tal não se concretizar e o Acordo não for formalmente assinado, salientamos a possibilidade de as negociações serem retomadas relativamente a pontos específicos. É neste contexto que a AEPD emite o presente Parecer, com base no texto do Acordo rubricado publicado no sítio web da Comissão (5). Trata-se de um Parecer preliminar com base numa primeira análise de um texto jurídico complexo e sem prejuízo de eventuais recomendações suplementares que possam ser apresentadas com base noutras informações disponíveis, nomeadamente evoluções legislativas nos EUA, tais como a adoção da Lei relativa ao recurso judicial. A AEPD identificou três pontos cruciais que requerem melhoria, salientando igualmente outros aspetos relativamente aos quais se sugerem clarificações importantes. Com a introdução dessas melhorias poderá considerar-se que o Acordo está em conformidade com o direito primário da UE.

V. Conclusões

53.

A AEPD congratula-se com a intenção de apresentar um instrumento juridicamente vinculativo que visa assegurar um elevado nível de proteção de dados aos dados pessoais transferidos entre a UE e os EUA para efeitos de prevenção, investigação, deteção e repressão de infrações penais, nomeadamente o terrorismo.

54.

A maior parte das disposições substantivas do Acordo pretende corresponder total ou parcialmente às garantias essenciais do direito à proteção de dados pessoais na UE (tais como os direitos da pessoa em causa, supervisão independente e o direito à revisão judicial).

55.

Embora o Acordo não constitua tecnicamente uma decisão sobre a averiguação da adequação, cria um pressuposto geral de conformidade para as transferências assente numa base jurídica específica, no quadro do Acordo. Por conseguinte, é essencial assegurar o reforço deste «pressuposto» através de todas as garantias necessárias incluídas no texto do Acordo, a fim de evitar qualquer violação da Carta, designadamente dos artigos 7.o, 8.o e 47.o.

56.

A AEPD recomenda três melhorias essenciais para o texto no intuito de assegurar a conformidade com a Carta e o artigo 16.o do Tratado:

1)	clarificação de que todas as garantias aplicam-se a todas as pessoas, não apenas aos cidadãos nacionais da UE;

2)	assegurar a eficácia das disposições em matéria de recurso judicial na aceção da Carta;

3)	clarificação de que não estão permitidas as transferências de dados sensíveis em massa.

57.

Além disso, para efeitos de segurança jurídica, a AEPD recomenda que as melhorias ou as clarificações que se seguem sejam introduzidas no texto do Acordo ou nas declarações explicativas a serem apensas ao mesmo, ou na fase de execução do Acordo, conforme especificado no presente Parecer:

1)	que o artigo 5.o, n.o 3, deve ser interpretado como respeitando a função das autoridades de supervisão de molde a estar em conformidade com o artigo 8.o, n.o 3, da Carta;

2)	que as bases jurídicas específicas para as transferências (artigo 5.o, n.o 1) devem cumprir cabalmente as garantias previstas no Acordo e que, no caso de disposições divergentes entre uma base jurídica específica e o Acordo, prevalecerá este último;

3)	que no caso de proteção ineficaz dos dados transferidos para autoridades a nível do Estado, as medidas relevantes previstas no artigo 14.o, n.o 2, incluirão, quando necessário, medidas relativas aos dados já partilhados;

que as definições de operações de tratamento e informações pessoais (artigo 2.o) são alinhadas para estarem em conformidade com a sua interpretação bem estabelecida na legislação da UE; caso as Partes não alinhem totalmente estas definições, deve esclarecer-se nos documentos explicativos que acompanham o Acordo que a aplicação das duas noções não diferirá em substância da interpretação que lhes é atribuída na legislação da UE;

5)	que uma lista indicativa das «condições específicas» nas quais os dados são transferidos em massa (artigo 7.o, n.o 3) poderá ser incluída na declaração explicativa;

6)	que as Partes pretendem aplicar as disposições relativas às notificações de violação da informação (artigo 10.o) com vista a limitar tanto quanto possível a omissão de notificações, por um lado, e evitar atrasos excessivos das notificações;

7)	que a disposição relativa à conservação de dados contida no artigo 12.o, n.o 1, é complementada pela especificação «para as finalidades específicas para as quais foram transferidos», à luz do princípio de limitação da finalidade invocado pelas Partes no Acordo;

8)	que as Partes do Acordo ponderam intensificarem os seus esforços com vista a assegurar que as restrições ao exercício do direito de acesso são limitadas ao indispensável para preservar os interesses públicos elencados e para reforçar a obrigação de transparência;

que uma declaração explicativa circunstanciada anexada ao Acordo elenca especificamente (artigo 21.o):

—	as autoridades de supervisão que terão competência nesta matéria e o mecanismo para as Partes se informarem mutuamente sobre futuras alterações,

—	os poderes efetivos que podem exercer,

—	a identidade e as coordenadas do ponto de contacto que prestará apoio na identificação do organismo de supervisão competente (artigo 22.o, n.o 2).

58.

Por último, a AEPD recordaria a necessidade de adotar qualquer medida de interpretação, aplicação e execução do Acordo, na eventualidade de falta de transparência e aparente conflito das disposições, de uma forma que seja consentânea com os princípios constitucionais da UE, nomeadamente em relação ao artigo 16.o do TFUE e aos artigos 7.o e 8.o da Carta, independentemente das melhorias favoráveis a serem apresentadas na sequência das recomendações do presente Parecer.

Feito em Bruxelas, em 12 de fevereiro de 2016.

Giovanni BUTTARELLI

Autoridade Europeia para a Proteção de Dados

(1) Ver MEMO 10/1661 da Comissão Europeia, publicado em 3 de dezembro de 2010, disponível em: http://europa.eu/rapid/press-release_IP-10-1661_en.htm

(2) Ver MEMO 11/203 da Comissão Europeia, publicado em 29 de março de 2011, disponível aqui: http://europa.eu/rapid/press-release_MEMO-11-203_en.htm

(3) Ver comunicado de imprensa 14-668 da Procuradoria-Geral, publicado em 25 de junho de 2014, disponível aqui: http://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizens-judicial-redress

(4) Ver MEMO 15/5612 da Comissão Europeia, publicado em 8 de setembro de 2015, disponível aqui: http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm

(5) Texto disponível aqui: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf