Processo T‑553/23
Philippe Latombe
contra
Comissão Europeia
Acórdão do Tribunal Geral de 3 de setembro de 2025
«Transferência de dados pessoais para os Estados Unidos — Decisão de Execução da Comissão que declara a adequação do nível de proteção dos dados pessoais assegurado pelos Estados Unidos — Direito a uma via de recurso efetiva — Direito à vida privada e familiar — Decisões baseadas exclusivamente no tratamento automatizado de dados pessoais — Segurança no tratamento de dados pessoais»
Recurso de anulação — Admissibilidade — Negação de provimento a um recurso sem decisão sobre a admissibilidade — Poder de apreciação do juiz da União
(Artigo 263.o TFUE)
(cf. n.os 14, 15)
Recurso de anulação — Fiscalização da legalidade — Critérios — Tomada em conta apenas dos elementos de facto e de direito existentes na data de adoção do ato controvertido
(Artigo 263.o TFUE)
(cf. n.o 22)
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Transferências de dados pessoais para países terceiros — Adoção pela Comissão de uma decisão que declara um nível de proteção adequado num país terceiro — Decisão 2023/1795, que declara um nível de proteção adequado assegurado pelos Estados Unidos — Violação do direito à tutela jurisdicional efetiva — Violação do direito de acesso a um tribunal independente e imparcial, previamente estabelecido por lei — Inexistência
(Artigo 2.o TUE; Carta dos Direitos Fundamentais da União Europeia, artigo 47.o, segundo parágrafo; Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 45.o, n.o 2)
(cf. n.os 24, 35‑37, 39, 42, 46, 51, 53‑58, 60, 62, 64, 66‑82)
Direitos fundamentais — Direito à tutela jurisdicional efetiva — Consagração nos artigos 47.°, segundo parágrafo, da Carta dos Direitos Fundamentais e 6.°, n.o 1, da Convenção Europeia dos Direitos Humanos — Sentido e alcance idênticos — Nível de proteção assegurado pela Carta que não viola o garantido pela referida Convenção
(Artigo 6.o, n.o 3, TUE; Carta dos Direitos Fundamentais da União Europeia, artigo 47.o)
(cf. n.os 27‑30)
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Transferência de dados pessoais para países terceiros — Adoção, pela Comissão, de uma decisão que declara um nível de proteção adequado num país terceiro — Decisão 2023/1795, que declara um nível de proteção adequado assegurado pelos Estados Unidos — Recolha em larga escala de dados pessoais em trânsito a partir da União pelos serviços de informações dos Estados Unidos — Violação dos direitos fundamentais ao respeito da vida privada e à proteção dos dados pessoais — Inexistência — Requisitos
(Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, e 8.°; Diretiva 2016/679 do Parlamento Europeu e do Conselho, artigo 45.o)
(cf. n.os 83, 92, 98, 105‑108, 113, 117, 119, 122, 123, 128, 137‑146, 148, 150‑153)
Resumo
No seu acórdão, o Tribunal Geral, decidindo em formação alargada, nega provimento ao recurso de anulação interposto por um cidadão francês da decisão de adequação da Comissão Europeia que estabelece o novo quadro transatlântico de fluxo de dados pessoais entre a União Europeia e os Estados Unidos ( 1 ). Ao fazê‑lo, inscrevendo‑se na continuidade da jurisprudência do Tribunal de Justiça na matéria ( 2 ), o Tribunal Geral fornece esclarecimentos quanto à apreciação da imparcialidade e da independência da Data Protection Review Court ( 3 ) (Tribunal de Fiscalização da Proteção de Dados, Estados Unidos da América, a seguir «DPRC»), bem como ao exame da legalidade da recolha em larga escala, pelos serviços de informações desse país, de dados pessoais em trânsito a partir da União.
Nos Acórdãos Schrems I e Schrems II, o Tribunal de Justiça declarou inválidas as duas decisões de adequação anteriores, com o fundamento de que os sistemas de «porto seguro» e de «Escudo de proteção» que regulavam a transferência de dados pessoais da União para os Estados Unidos não garantiam um nível de proteção dos direitos e das liberdades fundamentais substancialmente equivalente ao garantido pelo direito da União. Posteriormente, a Comissão encetou conversações com o Governo dos Estados Unidos tendo em vista adotar uma eventual nova decisão de adequação cumpridora das exigências do Regulamento Geral sobre a Proteção de Dados ( 4 ), conforme interpretadas pelo Tribunal de Justiça.
Em 7 de outubro de 2022, os Estados Unidos da América adotaram o Executive Order 14086 (Decreto Presidencial n.o 14086, a seguir «E. O. 14086»), que reforça as medidas de proteção da privacidade que regem as atividades de informação de origem eletromagnética realizadas pelos serviços de informações estabelecidos nos Estados Unidos. Este decreto foi complementado pelo Attorney General Order 28 CFR Part 201 (Regulamento do Procurador‑Geral 28 CFR Part 201, a seguir «Regulamento AG»), que alterou as disposições que enquadram a criação e o funcionamento da DPRC.
Em 10 de julho de 2023, após exame dessa evolução regulamentar, a Comissão adotou a decisão impugnada. Chamado a conhecer do presente recurso de anulação, cabe ao Tribunal Geral examinar a legalidade desta decisão, nomeadamente à luz do RGPD e da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»).
Apreciação do Tribunal Geral
Num primeiro momento, o Tribunal Geral pronuncia‑se sobre a questão de saber se a Comissão violou o artigo 47.o, segundo parágrafo, da Carta e o artigo 45.o, n.o 2, do RGPD, uma vez que, na decisão impugnada, considerou que a DPRC oferecia um «nível de proteção adequado» no que dizia respeito ao direito de os cidadãos da União acederem a um tribunal independente e imparcial previamente estabelecido por lei.
Neste contexto, declara improcedente, em primeiro lugar, a alegação de que a DPRC não é um tribunal independente e imparcial, mas constitui um órgão dependente do poder executivo.
Para o efeito, afasta, primeiro, o argumento segundo o qual a DPRC não é um tribunal independente e imparcial, uma vez que a sua missão consiste em reapreciar as decisões do Civil Liberties Protection Officer of the Diretor of National Intelligence (Responsável pela Proteção das Liberdades Cívicas do Diretor dos Serviços de Informação Nacional, a seguir «CLPO»), que está sob a tutela do Gabinete do Diretor dos Serviços de Informação Nacional dos Estados Unidos.
A este respeito, salienta que o exame das garantias relativas à independência do CLPO não é relevante para apreciar se a DPRC constitui um tribunal independente e imparcial. Com efeito, a DPRC foi instituída enquanto órgão de fiscalização independente do CLPO e foram previstas várias garantias no E.O. 14086 para que as decisões do CLPO pudessem ser reapreciadas e, sendo caso disso, reformadas de forma independente e imparcial pela DPRC.
Por conseguinte, o recorrente não tem fundamento para sustentar que a insuficiência das garantias aplicáveis ao CLPO afeta a independência e a imparcialidade da DPRC.
Segundo, o Tribunal Geral rejeita o argumento segundo o qual a DPRC não é um tribunal independente e imparcial, uma vez que é composta por juízes nomeados pelo Procurador‑Geral após consulta do Privacy and Civil Liberties Oversight Board (Conselho de Supervisão da Privacidade e das Liberdades Cívicas, a seguir «PCLOB»), que é um órgão dependente do poder executivo.
Antes de mais, constata que, embora o PCLOB tenha sido instituído no âmbito do poder executivo, é, tendo em conta a sua composição, uma agência independente, cuja missão consiste em supervisionar, de forma imparcial, o trabalho levado a cabo pelo poder executivo com vista a proteger, nomeadamente, a privacidade e as liberdades cívicas.
Assim, o facto de o PCLOB ter sido instituído no âmbito do poder executivo não permite, por si só, concluir que, devido à sua consulta antes da nomeação dos juízes da DPRC, esta última não é um tribunal independente e imparcial.
Em seguida, o Tribunal Geral esclarece, por um lado, que, para se assegurar de que os juízes da DPRC são independentes do poder executivo, o E.O. 14086 prevê que, no momento da sua nomeação, o Procurador‑Geral deve respeitar um certo número de critérios e condições.
Por outro lado, os juízes da DPRC só podem ser destituídos pelo Procurador‑Geral e apenas por justa causa, depois de ter devidamente em conta as normas aplicáveis aos juízes federais estabelecidas nas regras relativas à deontologia judicial e ao processo de incapacidade judicial.
O Tribunal Geral conclui que as regras relativas à nomeação e à destituição dos juízes da DPRC não põem em causa a sua independência e a sua imparcialidade.
Por último, o Tribunal Geral salienta que a Comissão é obrigada a seguir de forma permanente a aplicação do quadro jurídico em que se baseia a decisão impugnada, com o objetivo de determinar se os Estados Unidos da América continuam a assegurar um nível de proteção adequado. Assim, se o quadro jurídico em vigor nos Estados Unidos no momento da adoção da decisão impugnada mudar, a Comissão pode decidir, se necessário, suspender, alterar ou revogar a decisão impugnada ou restringir o seu âmbito de aplicação.
Terceiro, o Tribunal Geral rejeita o argumento segundo o qual a DPRC não é um tribunal independente e imparcial, uma vez que o Regulamento AG não exclui a possibilidade de os seus juízes serem sujeitos a formas de supervisão que não quotidianas por parte do poder executivo.
A este respeito, o Tribunal Geral observa que, embora resulte dos autos que os juízes da DPRC não devem estar sujeitos à supervisão quotidiana do procurador‑geral, a decisão impugnada indica igualmente que, nos termos do E.O. 14086, os serviços de informações e o Procurador‑Geral não devem impedir ou influenciar indevidamente o trabalho da DPRC. Além disso, resulta dos autos que este decreto presidencial e o Regulamento AG limitam a possibilidade de o poder executivo influenciar o trabalho da DPRC ao estabelecer que os seus juízes só podem ser destituídos pelo Procurador‑Geral e unicamente por justa causa.
Em segundo lugar, o Tribunal Geral julga improcedente a alegação de que a DPRC não foi previamente estabelecida por lei, na medida em que não foi criada por uma lei adotada pelo Congresso dos Estados Unidos, mas por um ato do executivo, a saber, uma decisão do Procurador‑Geral.
O Tribunal Geral recorda, antes de mais, que, para apreciar se as exigências que decorrem do artigo 47.o, segundo parágrafo, da Carta estão cumpridas, não se deve limitar a apreciar a natureza formal do texto jurídico que estabelece um tribunal e define as suas regras de funcionamento, mas importa verificar se esse texto jurídico prevê garantias suficientes destinadas a assegurar a sua independência e a sua imparcialidade face aos outros poderes, nomeadamente ao poder executivo.
Em seguida, o Tribunal Geral salienta que, como foi declarado pelo Tribunal de Justiça nos Acórdãos Schrems I e Schrems II, no âmbito de uma decisão de adequação, a Comissão não é obrigada a assegurar‑se de que as disposições pertinentes do país terceiro são idênticas às que estão em vigor na União, mas que são substancialmente equivalentes às garantidas pelo direito da União por força do RGPD, lido à luz da Carta. Daqui resulta que, no caso em apreço, o Tribunal Geral é obrigado a verificar o mérito da declaração de adequação efetuada pela Comissão na decisão impugnada, segundo a qual as disposições do direito dos Estados Unidos relativas ao estabelecimento e ao funcionamento da DPRC oferecem garantias substancialmente equivalentes às previstas pelo direito da União no artigo 47.o, segundo parágrafo, da Carta. Tais garantias são dadas, em especial, quando o texto jurídico que estabelece esse tribunal e define as suas regras de funcionamento visa assegurar a sua independência e a sua imparcialidade face aos outros poderes, nomeadamente ao poder executivo, isto apesar de o referido texto não constituir, de um ponto de vista formal, uma lei.
No caso em apreço, resulta da decisão impugnada que a DPRC não foi constituída por uma lei adotada pelo poder legislativo, a saber, o Congresso dos Estados Unidos, mas por um ato emanado do poder executivo.
Neste contexto, o Tribunal Geral verifica se, de forma substancialmente equivalente ao direito da União, o E.O. 14086 e o Regulamento AG preveem garantias destinadas a assegurar a independência e a imparcialidade da DPRC.
Após ter examinado, nomeadamente, as modalidades de instituição da DPRC enquanto órgão independente dotado de poder de decisão, as modalidades de nomeação e de destituição dos seus juízes, bem como as garantias processuais que envolvem o cumprimento da sua missão, o Tribunal Geral verifica que as deficiências identificadas pelo Tribunal de Justiça no Acórdão Schrems II foram sanadas.
Atendendo a todas as considerações precedentes, o Tribunal Geral julga improcedente o fundamento relativo à violação do artigo 47.o, segundo parágrafo, da Carta e do artigo 45.o, n.o 2, do RGPD na sua totalidade.
Num segundo momento, o Tribunal Geral pronuncia‑se sobre a questão de saber se a Comissão violou os artigos 7.° e 8.° da Carta, relativos, respetivamente, ao respeito pela vida privada e à proteção dos dados pessoais, na medida em que considerou que os Estados Unidos da América asseguravam um nível de proteção adequado no que respeitava à recolha em larga escala, pelos serviços de informações desse país, de dados pessoais, apesar de o E.O. 14086 não estabelecer a obrigação de esses serviços de informações obterem, a montante da recolha em larga escala de dados pessoais, a autorização prévia de uma autoridade judicial ou administrativa.
Neste contexto, o Tribunal Geral rejeita, em primeiro lugar, o argumento de que a recolha em larga escala de dados pessoais, efetuada pelos serviços de informações dos Estados Unidos, não é objeto de supervisão judicial e não está enquadrada por regras suficientemente claras e precisas.
Antes de mais, o Tribunal Geral sublinha que nenhum elemento no Acórdão Schrems II sugere que a recolha em larga escala de dados pessoais deva obrigatoriamente ser objeto de uma autorização prévia emitida por uma autoridade independente. Pelo contrário, resulta desse acórdão que a decisão que autoriza essa recolha deve, no mínimo, ser objeto de fiscalização jurisdicional a posteriori.
No caso em apreço, o E.O. 14086 e o Regulamento AG sujeitam as atividades de informação de origem eletromagnética realizadas pelos serviços de informações dos Estados Unidos à supervisão judicial a posteriori da DPRC. Por conseguinte, não se pode considerar que a recolha em larga escala de dados pessoais efetuada pelos serviços de informações com base na decisão impugnada não cumpre as exigências decorrentes do Acórdão Schrems II a este respeito.
Em seguida, o Tribunal Geral observa que o E.O. 14086 estabelece que a recolha em larga escala só é autorizada para promover uma prioridade em matéria de informações validada que não possa ser razoavelmente obtida através de uma recolha seletiva, fixa exigências fundamentais aplicáveis a todas as atividades de informação de origem eletromagnética e estabelece garantias específicas aplicáveis à recolha em larga escala de dados pessoais.
Nestas condições, o Tribunal Geral considera que não se pode validamente sustentar que a realização da recolha em larga escala não está enquadrada de forma suficientemente clara e precisa.
Em segundo lugar, o Tribunal Geral afasta o argumento segundo o qual a recolha em larga escala, pelos serviços de informações dos Estados Unidos, de dados pessoais em trânsito a partir da União deve ser objeto de autorização prévia, nos termos do Acórdão La Quadrature du Net e o ( 5 ).
O Tribunal Geral constata, a este respeito, que a hipótese em causa no processo que deu origem ao Acórdão La Quadrature du Net e o. difere da que está em causa no caso em apreço e conclui que a referência ao referido acórdão não é relevante.
Em terceiro lugar, o Tribunal Geral afasta o argumento segundo o qual a recolha em larga escala, pelos serviços de informações dos Estados Unidos, de dados pessoais em trânsito a partir da União deve ser objeto de autorização prévia, nos termos do Acórdão do TEDH Big Brother Watch ( 6 ).
O Tribunal Geral, após ter constatado que uma operação de recolha em larga escala de dados pessoais, como a que é objeto da decisão impugnada, entra no perímetro da primeira das fases da interceção identificadas pelo Tribunal Europeu dos Direitos Humanos no Acórdão Big Brother Watch, na medida em que consiste em recolher, para efeitos de proteção da segurança nacional, os dados pessoais em trânsito a partir da União de um grande número de pessoas, retira as consequências desse acórdão no âmbito da apreciação da legalidade da decisão impugnada.
Assim, o Tribunal Geral salienta que o Tribunal Europeu dos Direitos Humanos referiu, no Acórdão Big Brother Watch, que a interceção massiva dos dados pessoais devia ser enquadrada por várias garantias, como a obtenção da autorização de uma autoridade independente desde a definição do objeto e do alcance da operação de supervisão em causa, a implementação de um sistema de supervisão e de fiscalização jurisdicional independente a posteriori, bem como a previsão de regras jurídicas que permitissem assegurar, em cada uma das fases da interceção, a necessidade e a proporcionalidade das medidas tomadas.
Por outro lado, o Tribunal Europeu dos Direitos Humanos afirmou que a necessidade de prever garantias aumentava à medida que o processo avançava nas várias fases e, por conseguinte, a intensidade da violação do direito ao respeito pela vida privada se tornava maior.
Neste contexto, o Tribunal Geral recorda que a Comissão não é obrigada, no âmbito de uma decisão de adequação, a assegurar‑se de que as disposições pertinentes do país terceiro são idênticas às que estão em vigor na União, mas que são substancialmente equivalentes.
Assim, o Tribunal Geral considera, no caso em apreço, que a necessidade de prever, nesta fase específica da recolha em larga escala, garantias que limitem o poder discricionário dos serviços de informações é mais limitada, tendo em conta o contexto em que a interceção é efetuada. Com efeito, o que está em causa no caso em apreço é apenas a interceção inicial em larga escala de dados pessoais por serviços de informações, com exclusão das atividades posteriores.
Além disso, o Tribunal Geral recorda que prever uma autorização prévia não é a única garantia que deve rodear a interceção massiva de dados pessoais, mas constitui um dos elementos que, considerados em conjunto, constituem a pedra angular de qualquer regime de interceção massiva. A este respeito, o direito dos Estados Unidos em vigor prevê regras jurídicas que enquadram de forma suficientemente clara e precisa a realização, pelos serviços de informações dos Estados Unidos, da recolha em larga escala de dados pessoais e confere às pessoas afetadas pela transferência dos seus dados o direito a uma via de recurso jurisdicional efetiva na DPRC. Além disso, os considerandos 162 a 169 da decisão impugnada referem, sem que o recorrente o conteste, que as atividades de informação realizadas pelos serviços de informações são controladas pelo PCLOB, que foi concebido pelo seu estatuto fundador como uma agência independente. Do mesmo modo, as referidas atividades são objeto de supervisão, em primeiro lugar, dos responsáveis jurídicos e dos delegados que, em cada serviço de informações, estão encarregues da supervisão e do cumprimento do referido direito; em segundo lugar, do inspetor‑geral independente encarregue, em cada serviço de informações, de controlar as atividades de informação externa realizadas pela agência em causa; e, em terceiro lugar, do Intelligence Oversight Board (Conselho de Supervisão dos Serviços de Informação, Estados Unidos), criado no âmbito do President’s Intelligence Advisory Board (Conselho Consultivo em matéria de Informações sob a tutela do Presidente, Estados Unidos) e encarregue de supervisionar o cumprimento da lei pelas autoridades dos Estados Unidos; bem como, em quarto lugar, de comissões especiais instituídas no Congresso dos Estados Unidos que exercem funções de supervisão de todas as atividades de informação externa desse país.
Atendendo a estas considerações, o Tribunal Geral considera que o facto de não prever uma autorização prévia aplicável à recolha inicial em larga escala, pelos serviços de informações dos Estados Unidos, de dados pessoais em trânsito a partir da União não basta para considerar que o direito dos Estados Unidos não dá garantias substancialmente equivalentes às previstas no direito da União.
Em quarto e último lugar, o Tribunal Geral não acolhe o argumento segundo o qual a recolha em larga escala, pelos serviços de informação dos Estados Unidos, de dados pessoais em trânsito a partir da União deve ser objeto de uma autorização prévia ao abrigo do Parecer 5/2023, emitido pelo Comité Europeu para a Proteção de Dados (CEPD) ( 7 ).
O Tribunal Geral observa, a este respeito, que o Parecer 5/2023 foi emitido com base no artigo 70.o, n.o 1, alínea s), do RGPD. Ora, quando atua com base neste fundamento, o CEPD limita‑se a exercer uma função consultiva. Assim, este parecer não vincula a Comissão.
Em todo o caso, o Tribunal Geral constata que, nesse parecer, o CEPD não indicou que a falta de um controlo prévio relativo à recolha em larga escala de dados pessoais prejudicava necessariamente a avaliação positiva, por parte da Comissão, do caráter adequado do nível de proteção dos dados pessoais oferecido pelo Quadro de Privacidade de Dados UE‑EUA.
Por conseguinte, o Tribunal Geral julga improcedente o fundamento relativo à violação dos artigos 7.° e 8.° da Carta, bem como o presente recurso na íntegra.
( 1 ) Decisão de Execução (UE) 2023/1795 da Comissão, de 10 de julho de 2023, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho sobre a adequação do nível de proteção dos dados pessoais no âmbito do Quadro de Privacidade de Dados UE‑EUA (JO 2023, L 231, p. 118; a seguir «decisão impugnada»).
( 2 ) Acórdãos de 6 de outubro de 2015, Schrems (C‑362/14, a seguir «Acórdão Schrems I, EU:C:2015:650), e de 16 de julho de 2020, Facebook Ireland e Schrems (C‑311/18, a seguir «Acórdão Schrems II, EU:C:2020:559).
( 3 ) Trata‑se do órgão responsável, nos Estados Unidos, pela fiscalização da legalidade da transferência de dados pessoais a partir da União Europeia.
( 4 ) Artigo 45.o, n.o 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; retificação no JO 2018, L 127, p. 2; a seguir «RGPD»).
( 5 ) Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, a seguir «Acórdão La Quadrature du Net e o., EU:C:2020:791).
( 6 ) Acórdão do TEDH de 25 de maio de 2021, Big Brother Watch e o. c. Reino Unido (CE:ECHR:2021:0525JUD005817013, a seguir «Acórdão Big Brother Watch»).
( 7 ) Parecer 5/2023, de 28 de fevereiro de 2023, sobre o projeto de decisão de execução da Comissão Europeia sobre a adequação do nível de proteção dos dados pessoais assegurado pelo Quadro UE‑EUA de Privacidade dos Dados (a seguir «Parecer 5/2023»).