7.9.2020 |
PT |
Jornal Oficial da União Europeia |
C 297/4 |
Acórdão do Tribunal de Justiça (Grande Secção) de 16 de julho de 2020 (pedido de decisão prejudicial apresentado pela High Court — Irlanda) — Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems
(Processo C-311/18) (1)
(«Reenvio prejudicial - Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais - Carta dos Direitos Fundamentais da União Europeia - Artigos 7.o, 8.o e 47.o - Regulamento (UE) 2016/679 - Artigo 2.o, n.o 2 - Âmbito de aplicação - Transferências de dados pessoais para países terceiros para fins comerciais - Artigo 45.o - Decisão de adequação da Comissão - Artigo 46.o - Transferências mediante garantias adequadas - Artigo 58.o - Poderes das autoridades de controlo - Tratamento dos dados transferidos pelas autoridades públicas de um país terceiro para efeitos de segurança nacional - Apreciação do caráter adequado do nível de proteção assegurado no país terceiro - Decisão 2010/87/UE - Cláusulas-tipo de proteção para a transferência de dados pessoais para países terceiros - Garantias adequadas oferecidas pelo responsável pelo tratamento - Validade - Decisão de Execução (UE) 2016/1250 - Adequação da proteção assegurada pelo Escudo de Proteção da Privacidade União Europeia-Estados Unidos - Validade - Queixa de uma pessoa singular cujos dados foram transferidos da União Europeia para os Estados Unidos»)
(2020/C 297/05)
Língua do processo: inglês
Órgão jurisdicional de reenvio
High Court (Irlanda)
Partes no processo principal
Recorrente: Data Protection Commissioner
Recorridos: Facebook Ireland Limited, Maximillian Schrems
sendo intervenientes: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope
Dispositivo
1) |
O artigo 2.o, n.os 1 e 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser interpretado no sentido de que está abrangida pelo âmbito de aplicação deste regulamento uma transferência de dados pessoais efetuada para fins comerciais por um operador económico estabelecido num Estado-Membro para outro operador económico estabelecido num país terceiro, não obstante o facto de, no decurso ou na sequência dessa transferência, esses dados serem suscetíveis de ser tratados pelas autoridades do país terceiro em causa para efeitos de segurança pública, de defesa e de segurança do Estado. |
2) |
O artigo 46.o, n.o 1, e o artigo 46.o, n.o 2, alínea c), do Regulamento 2016/679 devem ser interpretados no sentido de que as garantias adequadas, os direitos oponíveis e as medidas jurídicas corretivas eficazes exigidos por estas disposições devem assegurar que os direitos das pessoas cujos dados pessoais são transferidos para um país terceiro com base em cláusulas tipo de proteção de dados beneficiam de um nível de proteção substancialmente equivalente ao garantido na União por este regulamento, lido à luz da Carta. Para este efeito, a avaliação do nível de proteção assegurado no contexto dessa transferência deve, nomeadamente, ter em consideração tanto as estipulações contratuais acordadas entre o responsável pelo tratamento ou o seu subcontratante estabelecidos na União e o destinatário da transferência estabelecido no país terceiro em causa como, no que respeita a um eventual acesso das autoridades públicas desse país terceiro aos dados pessoais assim transferidos, os elementos pertinentes do sistema jurídico deste país terceiro, nomeadamente os enunciados no artigo 45.o, n.o 2, do referido regulamento. |
3) |
O artigo 58.o, n.o 2, alíneas f) e j), do Regulamento 2016/679 deve ser interpretado no sentido de que, a menos que exista uma decisão de adequação validamente adotada pela Comissão Europeia, a autoridade de controlo competente está obrigada a suspender ou a proibir uma transferência de dados para um país terceiro, fundada em cláusulas-tipo de proteção de dados adotadas pela Comissão, se essa autoridade de controlo considerar, à luz de todas as circunstâncias especificas dessa transferência, que essas cláusulas não são ou não podem ser respeitadas nesse país terceiro e que a proteção dos dados transferidos exigida pelo direito da União, em particular pelos artigos 45.o e 46.o deste regulamento e pela Carta dos Direitos Fundamentais, não pode ser assegurada por outros meios, no caso de o responsável pelo tratamento ou o seu subcontratante estabelecidos na União não ter ele próprio suspendido ou posto termo à transferência. |
4) |
O exame da Decisão 2010/87/UE da Comissão, de 5 de fevereiro de 2010, relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, conforme alterada pela Decisão de Execução (UE) 2016/2297 da Comissão, de 16 de dezembro de 2016, à luz dos artigos 7.o, 8.o e 47.o da Carta dos Direitos Fundamentais não revelou nenhum elemento suscetível de afetar a validade desta decisão. |
5) |
A Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016, relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, é inválida. |