COMISSÃO EUROPEIA
Bruxelas, 19.12.2018
COM(2018) 860 final
RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO
Segunda reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA
{SWD(2018) 497 final}
COMISSÃO EUROPEIA
Bruxelas, 19.12.2018
COM(2018) 860 final
RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO
Segunda reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA
{SWD(2018) 497 final}
1.SEGUNDA REAPRECIAÇÃO ANUAL - FINALIDADE, PREPARAÇÃO E PROCESSO
Em 12 de julho de 2016, a Comissão adotou uma decisão (a «decisão de adequação») em que considerou que o Escudo de Proteção da Privacidade UE-EUA («Escudo de Proteção da Privacidade») assegura um nível adequado de proteção dos dados pessoais transferidos da UE para organizações nos EUA 1 . A decisão de adequação prevê, nomeadamente, uma avaliação anual de todos os aspetos do funcionamento do quadro pela Comissão. A primeira reapreciação anual teve lugar em 18 e 19 de setembro de 2017, em Washington, D.C., e, em 18 de outubro de 2017, a Comissão adotou o seu relatório ao Parlamento Europeu e ao Conselho 2 , acompanhado de um documento de trabalho dos serviços da Comissão (SWD(2017) 344 final) 3 .
Com base nas conclusões da primeira reapreciação, a Comissão concluiu que os EUA continuaram a assegurar um nível adequado de proteção dos dados pessoais transferidos ao abrigo do Escudo de Proteção da Privacidade da União para organizações nos EUA. Ao mesmo tempo, a Comissão considera que é possível melhorar ainda a aplicação prática do quadro do Escudo de Proteção da Privacidade, a fim de assegurar que as garantias e salvaguardas nele previstas continuam a funcionar como pretendido. Para o efeito, a Comissão formula as seguintes dez recomendações:
O presente relatório conclui a segunda reapreciação anual do funcionamento do Escudo de Proteção da Privacidade. O presente relatório, bem como o documento de trabalho dos serviços da Comissão (SWD (2018) 497), seguem a mesma estrutura do relatório sobre a primeira reapreciação anual. Abrangem todos os aspetos do funcionamento do Escudo de Proteção da Privacidade, também à luz da evolução ocorrida durante o último ano. Um elemento central da avaliação da Comissão foi a aplicação das suas recomendações da primeira reapreciação anual.
Em preparação da segunda reapreciação anual, a Comissão recolheu informações junto das partes interessadas (em especial as empresas certificadas com o Escudo de Proteção da Privacidade, através das respetivas associações comerciais e organizações não governamentais (ONG) ativas no domínio dos direitos fundamentais, em particular os direitos digitais e a privacidade), bem como das autoridades dos EUA envolvidas na aplicação do quadro.
A reunião relativa à segunda reapreciação anual realizou-se em Bruxelas, em 18 e 19 de outubro de 2018. A reapreciação foi aberta pela Comissária responsável pela Justiça, Consumidores e Igualdade de Género, Věra Jourová, pelo Secretário de Comércio dos EUA, Wilbur Ross, pelo Presidente da Comissão Federal do Comércio, Joseph Simons, e pela Presidente do Comité Europeu para a Proteção de Dados, Andrea Jelinek. Do lado da UE, a reapreciação anual foi conduzida por representantes da Direção-Geral da Justiça e dos Consumidores da Comissão Europeia. A delegação da UE incluía igualmente sete representantes designados pelo Comité Europeu para a Proteção de Dados (o órgão consultivo que reúne as autoridades nacionais de proteção de dados dos Estados-Membros e a Autoridade Europeia para a Proteção de Dados).
Do lado dos EUA tomaram parte na reapreciação representantes do Department of Commerce, do Departamento de Estado, da Federal Trade Commission, do Department of Transportation, do Office of the Diretor of National Intelligence, do Department of Justice e dos membros da Privacy and Civil Liberties Oversight Board participaram na reapreciação, bem como o Provedor de Justiça em exercício e o Inspetor-Geral do setor das Informações. Além disso, os representantes de uma organização que presta serviços independentes de resolução de litígios ao abrigo do Escudo de Proteção da Privacidade e da Associação Americana de Arbitragem prestaram informações durante as sessões de análise. Por último, organizações certificadas pelo Escudo de Proteção da Privacidade explicaram, por ocasião da reunião, a forma como as empresas cumprem os requisitos do quadro.
As conclusões da Comissão apoiaram-se ainda num estudo encomendado pela Comissão e em material disponível ao público, tais como decisões judiciais, normas de execução e procedimentos das autoridades competentes dos EUA, relatórios e estudos de organizações não governamentais, relatórios de transparência emitidos por empresas certificadas com o Escudo de Proteção da Privacidade, relatórios anuais dos mecanismos de recurso independentes, bem como notícias dos meios de comunicação social.
A reapreciação deste ano teve lugar no contexto dos desafios à privacidade dos dados, que são cada vez mais de natureza global, como o demonstram o caso Facebook/Cambridge Analytica. Tanto a UE como os EUA estão conscientes dos desafios idênticos que enfrentam no que diz respeito à proteção dos dados pessoais. Durante a reapreciação, ambas as partes sublinharam a necessidade de abordar esses abusos de dados pessoais, nomeadamente através de medidas de execução enérgicas por parte da Autoridade de Proteção de Dados da UE e da Federal Trade Commission dos EUA.
O relatório da Comissão também reflete o debate em curso sobre a legislação federal relativa à privacidade nos EUA. A convergência entre os nossos dois sistemas a longo prazo reforçaria os alicerces do quadro do Escudo de Proteção da Privacidade.
2.VERIFICAÇÕES E CONCLUSÕES
A segunda reapreciação anual abrangeu os «aspetos comerciais» do quadro do Escudo de Proteção da Privacidade e as questões relacionadas com o acesso das autoridades públicas aos dados pessoais.
No que diz respeito aos «aspetos comerciais», ou seja, questões relativas à administração, supervisão e cumprimento das obrigações aplicáveis às empresas certificadas, a Comissão observou que, em conformidade com as recomendações da primeira reapreciação anual da Comissão, o Department of Commerce reforçou o processo de certificação e introduziu novos procedimentos de supervisão. Em especial, o Department of Commerce adotou um novo processo que exige que os requerentes pela primeira vez suspendam as declarações públicas relativas à sua participação no Escudo de Proteção da Privacidade até estar concluída a análise de certificação pelo Department of Commerce. Além disso, o Department of Commerce introduziu novos mecanismos para detetar potenciais problemas de conformidade, tais como controlos aleatórios no local (até ao momento da reapreciação anual tinham sido realizados controlos por amostragem de cerca de 100 organizações) e o acompanhamento dos relatórios públicos sobre as práticas de privacidade dos participantes no Escudo de Proteção da Privacidade. Na procura de falsas declarações de participação no quadro, o Department of Commerce está atualmente a utilizar ativamente uma série de instrumentos, por exemplo, uma análise trimestral das empresas que tenham sido identificadas como mais suscetíveis de emitir falsas alegações e um sistema de pesquisa de imagens e texto na Internet. Em resultado destas práticas e procedimentos recentemente introduzidos, desde a primeira reapreciação anual o Department of Commerce remeteu mais de 50 processos para a Federal Trade Commission que, por sua vez, tomou medidas coercivas nos casos em que a remessa por si só não era suficiente para assegurar a conformidade da empresa em questão.
No que diz respeito à execução, a Comissão observou que, no âmbito dos seus esforços para monitorizar proativamente o cumprimento dos princípios do Escudo de Proteção da Privacidade, a Federal Trade Commission emitiu recentemente intimações administrativas para solicitar informações a uma série de participantes no Escudo de Proteção da Privacidade. A Federal Trade Commission confirmou igualmente que a sua investigação sobre o caso Facebook/Cambridge Analytica está em curso. Embora a Comissão considere que a nova abordagem mais proativa da Federal Trade Commission em matéria de controlo da conformidade é uma evolução importante, lamenta que nesta fase não tenha sido possível à Federal Trade Commission fornecer mais informações sobre os seus recentes inquéritos e acompanhará de perto outros desenvolvimentos nesta matéria.
A segunda reapreciação anual teve igualmente em conta os desenvolvimentos relevantes no sistema jurídico dos EUA no domínio da privacidade. Estes dizem respeito, em especial, à consulta iniciada pelo Department of Commerce sobre uma abordagem federal à privacidade dos dados, bem como ao processo de reflexão da Federal Trade Commission sobre os seus atuais poderes no domínio da privacidade e à eficácia da utilização da sua atual autoridade corretiva.
Como demonstrado pelo caso Facebook/Cambridge Analytica e outras revelações, é importante que a UE e os EUA continuem a convergir nas suas respostas. Neste espírito, a Comissão observou as iniciativas supramencionadas com grande interesse e contribuiu para o processo de consulta do Department of Commerce com um documento escrito 4 .
No que diz respeito aos aspetos relacionados com o acesso e a utilização de dados pessoais pelas autoridades públicas dos EUA, a segunda reapreciação anual centrou-se na evolução do quadro jurídico dos EUA, incluindo no que diz respeito às políticas e procedimentos relevantes das agências, às tendências recentes nas atividades de supervisão e à evolução da criação e do funcionamento dos mecanismos importantes de supervisão e recurso.
A evolução jurídica mais importante no domínio do acesso governamental foi a renovação da autorização da secção 702 do Foreign Intelligence Surveillance Act (FISA) no início de 2018. Embora a renovação da autorização não tenha conduzido à incorporação da proteção da Presidential Policy Directive n.º 28 na lei, tal como sugerido pela Comissão, também não limitou qualquer das salvaguardas previstas na lei em vigor quando a decisão relativa ao Escudo de Proteção da Privacidade foi adotada. Além disso, as alterações não alargaram os poderes do setor das informações dos EUA para a aquisição de informações sobre o estrangeiro ao visarem cidadãos de países terceiros ao abrigo da secção 702. Em vez disso, a alteração da renovação da autorização de 2017, que alterou o Foreign Intelligence Surveillance Act de 1978, introduziu algumas salvaguardas adicionais limitadas em matéria de privacidade, por exemplo, no domínio da transparência.
Registaram-se igualmente importantes desenvolvimentos no que diz respeito à Privacy and Civil Liberties Oversight Board (Comissão de Controlo da Privacidade e das Liberdades Cívicas), que, no momento da primeira reapreciação anual, dispunha apenas de um membro em funções. Por conseguinte, a Comissão recomendou a rápida nomeação dos elementos da Comissão em falta. Em 11 de outubro de 2018, o Senado dos EUA confirmou as nomeações do presidente da Privacy and Civil Liberties Oversight Board (Comissão de Controlo da Privacidade e das Liberdades Cívicas), bem como de dois outros membros, repondo assim o seu quórum e permitindo-lhe exercer todas as suas funções. Após a primeira reapreciação anual, a Comissão também tinha recomendado a publicação do relatório da Comissão sobre a Presidential Policy Directive n.º 28. O relatório foi publicado em 16 de outubro de 2018 5 e confirma que a Presidential Policy Directive n.º 28 é plenamente aplicada no setor das informações. Em especial, confirma que, na sequência da emissão da Presidential Policy Directive n.º 28, os elementos relevantes do setor das informações adotaram regras pormenorizadas sobre a aplicação da diretiva e alteraram as suas práticas a fim de as alinhar com os respetivos requisitos.
Por último, embora a Comissão tivesse recomendado a rápida nomeação do Provedor para o Escudo de Proteção da Privacidade, a posição de subsecretário no Departamento do Estado junto do qual o Provedor foi nomeado ainda não tinha sido preenchida com uma nomeação definitiva à data do presente relatório. A este respeito, a Comissão tomou nota do facto de, na segunda reapreciação anual, o Governo dos EUA ter reconhecido a necessidade de avançar rapidamente na nomeação de um subsecretário permanente e confirmou que este processo está bem encaminhado.
Quando o presente relatório foi elaborado, o mecanismo do Provedor ainda não tinha recebido quaisquer pedidos. No entanto, foi apresentada uma queixa ao Provedor pela autoridade croata de proteção de dados, estando em curso as respetivas verificações.
As verificações factuais pormenorizadas sobre o funcionamento de todos os aspetos do Escudo de Proteção da Privacidade após o seu segundo ano de funcionamento são apresentadas no documento de trabalho dos serviços da Comissão sobre a segunda reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA (SWD(2018) 497) que acompanha o presente relatório.
As informações recolhidas no contexto da segunda reapreciação anual confirmam as conclusões da Comissão na decisão de adequação, tanto no que diz respeito aos «aspetos comerciais» do quadro como aos relacionados com o acesso aos dados pessoais transferidos ao abrigo do Escudo de Proteção da Privacidade pelas autoridades dos EUA.
Com base nestas verificações, a Comissão conclui que os Estados Unidos continuam a assegurar um nível adequado de proteção dos dados pessoais transferidos ao abrigo do Escudo de Proteção da Privacidade a partir da União para organizações nos Estados Unidos.
Em especial, as medidas tomadas para dar cumprimento às recomendações da Comissão na sequência da primeira reapreciação anual melhoraram vários aspetos do funcionamento prático do quadro, a fim de garantir que o nível de proteção das pessoas singulares garantido pela decisão de adequação não seja comprometido.
No entanto, algumas destas medidas foram tomadas apenas recentemente e os respetivos processos ainda estão em curso. Quaisquer outros desenvolvimentos relativos a estes processos devem, por conseguinte, ser acompanhados de perto, em especial porque afetam elementos essenciais para a continuidade da adequação. Trata-se, nomeadamente, de:
1.A eficácia dos mecanismos introduzidos pelo Department of Commerce no segundo ano de funcionamento do quadro para controlar proativamente o cumprimento dos princípios do Escudo de Proteção da Privacidade pelas empresas certificadas, em especial o cumprimento dos requisitos e obrigações materiais.
2.A eficácia dos instrumentos introduzidos pelo Department of Commerce desde a primeira reapreciação anual para detetar falsas alegações de participação no quadro, com especial destaque para a busca de falsas declarações por parte de empresas que nunca solicitaram a certificação.
3.Os progressos e os resultados de inspeções oficiosas realizadas pela Federal Trade Commission no segundo ano de funcionamento do Escudo de Proteção da Privacidade através de intimações administrativas para detetar eventuais violações substantivas.
4.O desenvolvimento de orientações adicionais conjuntamente pelo Department of Commerce, a Federal Trade Commission e as autoridades de proteção de dados da UE sobre elementos que exigem maior clarificação (por exemplo, dados relativos aos recursos humanos).
5.A nomeação rápida do Provedor do Escudo de Proteção da Privacidade.
6.A eficácia do tratamento e resolução das queixas apresentadas pelo Provedor.
Em especial, a Comissão reitera o seu apelo à administração dos EUA para que confirme o seu compromisso político para com o mecanismo do Provedor, atribuindo caráter prioritário à nomeação de um Provedor permanente do Escudo de Proteção da Privacidade. O mecanismo do Provedor é um elemento importante do quadro do Escudo de Proteção da Privacidade e, embora o Provedor em exercício continue a desempenhar as funções relevantes, a ausência de uma pessoa nomeada permanentemente é altamente insatisfatória e deve ser corrigida o mais rapidamente possível. A Comissão espera que o Governo dos EUA identifique a pessoa a nomear de forma permanente para a posição de Provedor até 28 de fevereiro de 2019, e informe a Comissão sobre a pessoa nomeada. Se tal não acontecer até essa data, a Comissão terá em seguida de ponderar a adoção de medidas adequadas, em conformidade com o Regulamento Geral sobre a Proteção de Dados 6 . A Comissão espera igualmente receber informações precisas e pormenorizadas sobre todos os aspetos acima referidos, a fim de poder avaliar se as medidas tomadas são eficazes na prática.
Por último, a Comissão continuará a acompanhar de perto o debate em curso sobre a legislação federal relativa à privacidade nos EUA, tendo em conta a importância dos fluxos de dados transatlânticos, a Comissão espera que os EUA adotem um sistema abrangente de proteção da privacidade e dos dados e se torne Parte na Convenção n.º 108 do Conselho da Europa. É através de uma abordagem abrangente que a convergência entre os nossos dois sistemas pode ser alcançada a mais longo prazo, o que também reforçaria os fundamentos em que o quadro do Escudo de Proteção da Privacidade se baseou.
Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016, relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, JO L 2017 de 1.8.2016, p. 1.
Relatório da Comissão ao Parlamento Europeu e ao Conselho sobre a primeira reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA (COM(2017) 611 final, ver http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
Documento de trabalho dos serviços da Comissão que acompanha o relatório da Comissão ao Parlamento Europeu e ao Conselho sobre a primeira reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA (SWD(2017) 344 final), ver http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
Disponível em https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf
Relatório ao Presidente sobre a «Aplicação da Presidential Policy Directive n.º 28: atividades de informação de origem eletromagnética», disponível em https://www.pclob.gov/reports/report-PPD28/
Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).