COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO sobre o funcionamento do sistema «porto seguro» na perspetiva dos cidadãos da UE e das empresas estabelecidas na UE /* COM/2013/0847 final */
COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO
EUROPEU E AO CONSELHO sobre o funcionamento do sistema «porto
seguro» na perspetiva dos cidadãos da UE e das empresas estabelecidas na UE (1)
Introdução A Diretiva
95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995,
relativa à proteção das pessoas singulares no que diz respeito ao tratamento de
dados pessoais e à livre circulação desses dados (a seguir designada «Diretiva
relativa à proteção de dados») estabelece as regras aplicáveis às transferências
de dados pessoais de Estados-Membros da UE para países terceiros [1] na medida em que essas
transferências sejam abrangidas pelo âmbito desse instrumento[2]. Ao abrigo da
Diretiva, a Comissão pode considerar que um país terceiro em causa assegura um
nível de proteção adequado dos direitos das pessoas singulares por força do seu
direito interno, ou de compromissos internacionais que assumiu, não se
aplicando nesse caso as limitações específicas sobre as transferências de dados
para esse país. Estas decisões são designadas habitualmente por «decisões de
adequação». Em 26 de julho
2000, a Comissão adotou a Decisão 520/2000/CE[3]
(a seguir designada Decisão «porto seguro») que reconhece que os
princípios de «porto seguro» e as respetivas questões mais frequentes (FAQ)
emitidos pelo Department of Commerce dos Estados Unidos da América, conferem um
nível de proteção adequado às transferências de dados pessoais da União
Europeia. A Decisão «porto seguro» foi tomada na sequência do parecer emitido
pelo Grupo de Trabalho do Artigo 29.º e de um parecer do Comité do Artigo 31.º
emitido por maioria qualificada dos Estados-Membros. Em conformidade com a
Decisão 1999/468 do Conselho, a Decisão «porto seguro» foi submetida ao
controlo prévio do Parlamento Europeu. Por conseguinte, a
atual Decisão «porto seguro» permite a transferência livre [4] de informações pessoais
dos Estados-Membros da UE[5]
para empresas estabelecidas nos EUA que tenham subscrito os princípios em
circunstâncias em que, caso contrário, a transferência não respeitaria as
normas da UE em termos da adequação do nível de proteção de dados, tendo em
conta as diferenças consideráveis existentes entre os regimes dos dois lados do
Atlântico. O funcionamento do
atual acordo de «porto seguro» baseia-se em compromissos, bem como na
autocertificação das empresas participantes. Embora a assinatura destes acordos
seja voluntária, as regras são vinculativas. Os seus princípios fundamentais
são os seguintes: (a)
Transparência das políticas de proteção da vida
privada adotadas pelas empresas signatárias; (b)
Integração dos princípios de «porto seguro» nas
políticas de proteção da vida privada das empresas; (c)
Aplicação coerciva, incluindo por parte das
instâncias públicas. Estes fundamentos essenciais do sistema «porto
seguro» devem ser reexaminados para ter em conta o novo contexto atual,
que se caracteriza pelos seguintes aspetos: (a)
Aumento exponencial dos fluxos de dados,
anteriormente acessórios, mas atualmente essenciais para o rápido crescimento
da economia digital, bem como os enormes progressos realizados em matéria de
recolha, tratamento e utilização dos dados; (b)
Importância fundamental dos fluxos de dados,
nomeadamente para a economia transatlântica,[6]
(c)
O rápido crescimento do número de empresas
estabelecidas nos EUA que subscrevem os princípios de «porto seguro» e que
registou um aumento equivalente a oito vezes desde 2004 (tendo passado de 400
em 2004 para 3 246 em 2013); (d)
Informações publicadas recentemente sobre os
programas de vigilância dos EUA, que levantam novas questões quanto ao nível da
proteção que o acordo de «porto seguro» é suposto garantir. Neste contexto, a presente Comunicação faz o
ponto da situação sobre o funcionamento deste sistema. Baseia-se em
elementos recolhidos pela Comissão, nos trabalhos do Grupo de Contacto
UE/EUA sobre a proteção da vida privada realizados em 2009, num estudo levado a
efeito em 2008 por um contratante independente [7],
bem como em informações recebidas pelo Grupo de Trabalho UE/EUA (a seguir
designado «Grupo de Trabalho»), criado na sequência das revelações constantes
dos programas de vigilância americanos (ver um documento paralelo). A
presente Comunicação inscreve-se na sequência dos dois Relatórios de
Avaliação da Comissão realizados no período de arranque inicial do acordo
«porto seguro», respetivamente em 2002[8]
e 2004[9].
2. Estrutura e funcionamento do sistema «porto
seguro» 2.1. Estrutura do
sistema «porto seguro» Para subscrever os
princípios de «porto seguro», uma empresa americana deve: a) estipular na sua
política de proteção da vida privada, que deverá tornar pública, que subscreve
os referidos princípios e que efetivamente os cumpre, e b) proceder à sua
autocertificação, ou seja, declarar ao Department of Commerce dos EUA que
cumpre os referidos princípios. A autocertificação deve ser renovada todos os
anos. Os princípios de «porto seguro» relativos à proteção da vida privada, que
figuram no anexo I da Decisão «porto seguro», incluem requisitos no que
respeita à proteção dos dados pessoais (princípios de integridade dos dados, de
segurança, de escolha e de retransferência), bem como os direitos dos titulares
dos dados (princípios de aviso, de acesso e de aplicação efetiva). No que respeita à execução do sistema «porto
seguro» nos EUA, duas instituições americanas desempenham um papel
preponderante: o Department of Commerce e a Comissão Federal do Comércio. O Department of
Commerce analisa todas as autocertificações efetuadas no âmbito do sistema
de «porto seguro», bem como as respetivas renovações anuais que lhe são
apresentadas pelas empresas, a fim de assegurar que contêm efetivamente todos
os elementos necessários para participar no sistema[10]. O Department of
Commerce atualiza a lista das empresas que apresentaram cartas de
autocertificação, publicando-a, bem como as cartas, no seu sítio Web.
Além disso, supervisiona o funcionamento do sistema «porto seguro» e suprime da
lista as empresas que não cumprem os seus princípios. No âmbito das suas
competências em matéria de defesa do consumidor, a Comissão Federal do
Comércio intervém contra práticas desleais e enganosas nos termos da Lei da
Comissão do Comércio Livre, secção 5. As medidas de execução adotadas pela
Comissão Federal do Comércio incluem inquéritos sobre declarações falsas
relativas à adesão aos princípios de «porto seguro» e sobre a não-observância
destes princípios por empresas que participam no sistema. O organismo
competente nos casos específicos da aplicação dos princípios de «porto seguro»
às transportadoras aéreas é o Department of Transportation dos EUA.[11] A Decisão «porto
seguro» faz parte integrante do direito comunitário de aplicação obrigatória
pelas autoridades dos Estados-Membros. Nos termos desta Decisão, as autoridades
nacionais responsáveis pela proteção dos dados dos Estados-Membros da UE
têm o direito, em determinados casos, de suspender as transferências de dados
para empresas certificadas «porto seguro»[12].
A Comissão não tem conhecimento de casos de suspensão por parte de uma
autoridade nacional responsável pela proteção de dados ocorridos desde o estabelecimento
dos princípios de «porto seguro», em 2000. Independentemente dos poderes de que
gozam por força da Decisão «porto seguro», as autoridades nacionais da UE
responsáveis pela proteção dos dados têm competência para intervir,
nomeadamente no caso de transferências internacionais, a fim de garantir a
observância dos princípios gerais que regem a proteção dos dados estabelecidos
na Diretiva de 1995 relativa à proteção de dados. Como o recorda a atual Decisão relativa ao «porto seguro», compete à
Comissão – deliberando em conformidade com o procedimento de exame
estabelecido no Regulamento 182/2011 – adaptar a Decisão, suspendê-la ou
limitar o seu âmbito de aplicação a qualquer momento, à luz da experiência
adquirida com a aplicação. Tal está previsto nomeadamente em caso de
incumprimento sistemático da parte das autoridades americanas, por exemplo, se
uma autoridade encarregada de garantir a observância dos princípios de «porto
seguro» nos Estados Unidos não desempenhar efetivamente o seu papel ou se o
nível de proteção proporcionado pelos princípios de «porto seguro» for
ultrapassado por requisitos da legislação norte-americana. Tal como sucede com
qualquer outra decisão da Comissão, esta decisão também pode ser alterada por
outras razões, ou mesmo revogada. 2.2. Funcionamento
do sistema «porto seguro» Entre as 3 246[13] empresas
certificadas figuram tanto pequenas como grandes empresas[14]. Embora os serviços
financeiros e de telecomunicações não estejam sob a jurisdição da Comissão
Federal do Comércio e estejam, por conseguinte, excluídos do sistema «porto
seguro», entre as empresas certificadas figura um grande número de setores da
indústria e dos serviços, incluindo empresas e indústrias da Internet muito
conhecidas, que abrangem desde serviços informáticos e de informação a empresas
farmacêuticas, serviços de viagens e turismo, serviços de saúde ou serviços de
cartões de crédito.[15].
Trata-se essencialmente de empresas americanas que prestam serviços no mercado
interno da UE. Existem também algumas filiais de empresas da UE, como a Nokia
ou a Bayer. Destas empresas, 51 % processam dados de trabalhadores na
Europa transferidos para os EUA para efeitos de gestão de recursos humanos[16]. Algumas das
autoridades da UE responsáveis pela proteção de dados estão cada vez mais
preocupadas pelas transferências de dados efetuadas no âmbito do atual
sistema «porto seguro». Em alguns Estados-Membros, estas autoridades têm
criticado o facto de os princípios serem formulados de forma muito geral, bem
como de o quadro depender fortemente da autocertificação e da autorregulação.
Várias empresas expressam preocupações da mesma ordem, apontando a existência
de distorções de concorrência provocadas por uma aplicação insuficiente do
sistema. O atual acordo de
«porto seguro» baseia-se na adesão voluntária de empresas aos respetivos
princípios, na sua autocertificação e no controlo, por parte das autoridades
públicas, do respeito dos compromissos assumidos aquando da autocertificação.
Neste contexto, a falta de transparência e as eventuais deficiências a nível da
aplicação podem comprometer os fundamentos em que assenta o sistema «porto
seguro». Com efeito, a
falta de transparência ou insuficiências a nível da aplicação por parte dos EUA
acarretam a transferência da responsabilidade para as autoridades europeias
responsáveis pela proteção de dados, bem com para as empresas que utilizam o
sistema. Em 29 de abril de 2010, as autoridades alemãs responsáveis pela
proteção de dados adotaram uma decisão na qual solicitam às empresas que
transferem dados da Europa para os Estados Unidos que verifiquem ativamente se
as empresas americanas que importam dados respeitam efetivamente os princípios
de «porto seguro» e recomendam que, «pelo menos, a empresa exportadora deve
determinar se a certificação de «porto seguro» do importador continua válida»[17]. Em 24 de julho de
2013, na sequência das revelações sobre os programas de vigilância dos EUA, as
autoridades alemãs responsáveis pela proteção de dados deram mais um passo,
expressando a sua preocupação pelo facto de «ser altamente provável que os
princípios consubstanciados nas decisões da Comissão não estejam a ser
respeitados»[18].
Existem casos em que certas autoridades responsáveis pela proteção de dados
(por exemplo, a autoridade de Bremen) solicitaram a uma empresa que transfere
dados pessoais para fornecedores americanos que as informassem do modo como
estes fornecedores impedem (se tal for o caso) a Agência Nacional de Segurança
de aceder a esses dados. A autoridade irlandesa responsável pela proteção de
dados indicou que recebera recentemente duas queixas relativamente ao programa
«porto seguro», na sequência das revelações publicadas sobre os programas das
Agências de Informações dos EUA, embora se tenha recusado a abrir um inquérito
pelo facto de a transferência de dados pessoais para um país terceiro
satisfazer os requisitos da legislação irlandesa em matéria de proteção de
dados. Na sequência de uma queixa semelhante, a autoridade luxemburguesa
responsável pela proteção de dados considerou que, aquando da transferência de
dados para os EUA, as empresas Microsoft e Skype haviam respeitado a lei
luxemburguesa relativa à proteção de dados [19].
No entanto, o Supremo Tribunal irlandês deferiu entretanto um pedido de recurso
judicial, no âmbito do qual analisará a inação do Comissário irlandês para a
proteção de dados relativamente aos programas de vigilância dos EUA. Uma destas
duas queixas foi apresentada por um grupo de estudantes intitulado «Europe
versus Facebook» (EVF), que submeteu igualmente uma queixa análoga contra a
Yahoo na Alemanha, atualmente a ser examinada pelas autoridades competentes em
matéria de proteção de dados. Estas reações
divergentes das autoridades responsáveis pela proteção de dados face a
revelações sobre os programas de vigilância demonstram o risco real de
fragmentação do sistema «porto seguro» e levantam questões quanto à sua
implementação efetiva. 3. Transparência das políticas de proteção da vida
privada adotadas pelas empresas que participam no sistema De acordo com a
FAQ 6 que figura em anexo à Decisão «porto seguro» (anexo II), as empresas
que pretendam certificar a sua adesão aos princípios de «porto seguro» devem
comunicar a sua política em matéria de proteção da vida privada ao Department
of Commerce e torná-la pública. Esta política deve incluir o compromisso de
respeitar os princípios de proteção da vida privada. A obrigatoriedade de as
empresas autocertificadas tornarem públicas as suas políticas de proteção da
vida privada e de declararem a sua adesão aos princípios de proteção da
vida privada constitui um elemento determinante para o funcionamento do
sistema. O facto de o
acesso a estas políticas ser insuficiente prejudica as pessoas cujos dados
pessoais são recolhidos e tratados, podendo constituir uma violação do
princípio de aviso. Nesses casos, as pessoas cujos dados são transferidos a
partir da UE podem não ter conhecimento dos seus direitos nem das obrigações a
que está sujeita uma empresa objeto de autocertificação. Além disso, o
compromisso assumido pelas empresas de se conformarem aos princípios de
proteção da vida privada fundamenta o exercício das competências da Comissão
Federal do Comércio para fazer aplicar estes princípios em casos de
incumprimento, adotando medidas contra empresas implicadas em práticas desleais
ou enganosas. A falta de transparência das empresas nos Estados Unidos
dificulta a vigilância exercida pela Comissão Federal do Comércio e compromete
a eficácia da sua ação a nível da aplicação efetiva da lei. Durante vários
anos, um número considerável de empresas autocertificadas não publicou as suas
políticas em matéria de proteção da vida privada, nem efetuou uma declaração
pública de adesão aos princípios de proteção da vida privada. O relatório de
2004 relativo ao sistema «porto seguro» salientou a necessidade de o Department
of Commerce adotar uma posição mais ativa no que respeita ao controlo da
observância deste requisito. Desde 2004, o
Department of Commerce desenvolveu novos mecanismos de informação
destinados a ajudar as empresas a cumprir as suas obrigações em matéria de
transparência. As informações pertinentes sobre este sistema podem ser
consultadas no sítio Web do Department of Commerce dedicado aos
princípios de «porto seguro»[20],
que permite igualmente às empresas carregar as suas políticas em matéria de
proteção da vida privada. O Department of Commerce indicou que as empresas
haviam recorrido a esta possibilidade e publicado as suas políticas em matéria
de proteção da vida privada no seu sítio Web aquando do seu pedido de
adesão ao sistema «porto seguro»[21].
Além disso, entre 2009 e 2013 o Department of Commerce publicou uma série de
orientações para as empresas que tenham a intenção de aderir ao sistema «porto
seguro», tais como o «Guide to Self-Certification» (guia da autocertificação) e
«Helpful Hints on Self-Certifying Compliance» (conselhos úteis para uma
autocertificação conforme).[22]. O grau de respeito
das obrigações em matéria de transparência varia segundo as empresas. Se
algumas delas se limitam a comunicar ao Department of Commerce uma descrição
das suas políticas em matéria de proteção da vida privada no quadro do
procedimento de autocertificação, a maioria publica essas políticas nos seus
sítios Web, para além de efetuar o respetivo carregamento no sítio Web
do Department of Commerce. No entanto, estas políticas nem sempre são
apresentadas de forma convivial e fácil de ler. As ligações para as
políticas em matéria de proteção da vida privada nem sempre funcionam de forma
adequada nem reenviam sistematicamente para os sítios Web corretos. Em conformidade
com a Decisão e respetivos anexos, a obrigatoriedade de as empresas publicarem
as suas políticas em matéria de proteção da vida privada vai além da mera
notificação da auto-certificação ao Department of Commerce. Os requisitos a
preencher para obter a certificação, enunciados nas FAQ, incluem a comunicação
de uma descrição da política de proteção da vida privada e de informações
transparentes sobre o sítio Web no qual o público pode consultar o texto
dessas disposições[23].
As declarações relativas à política de proteção da vida privada devem ser
claras e facilmente acessíveis ao público. Devem incluir uma ligação para o
sítio Web do Department of Commerce consagrado ao «porto seguro», que
contém uma lista dos membros atuais do sistema, bem como uma ligação para a
entidade encarregada da resolução alternativa de conflitos. No entanto, uma
série de empresas que aderiram ao sistema entre 2000 e 2013 não cumpriram estes
requisitos. Aquando dos contactos realizados com a Comissão em fevereiro de
2013, o Department of Commerce reconheceu ser possível que até 10 % das
empresas certificadas não publicaram nos seus sítios Web a sua política
em matéria de proteção da vida privada, acompanhada de uma declaração de adesão
aos princípios de «porto seguro». Estatísticas
realizadas recentemente demonstram igualmente que continua a colocar-se o
problema da apresentação de declarações falsas de adesão ao sistema «porto
seguro. Cerca de 10 % das empresas que afirmam ter aderido ao sistema
«porto seguro» não estão referenciadas pelo Department of Commerce como sendo
membros atuais do sistema[24].
Estas declarações falsas proveem tanto de empresas que nunca participaram no
sistema «porto seguro», como de empresas que, embora tenham participado no
passado, posteriormente não voltaram a apresentar a sua autocertificação anual
ao Department of Commerce. Nesse caso, essas empresas continuam a figurar no
sítio Web consagrado ao sistema «porto seguro», mas o seu estatuto de
certificação é «não atual», o que significa que por já terem sido membros do
sistema têm a obrigação de continuar a assegurar a proteção de dados já
tratados. A Comissão Federal do Comércio tem competência para intervir em casos
de práticas fraudulentas e de incumprimento dos princípios de «porto seguro»
(ver ponto 5.1). A falta de clareza quanto às «declarações falsas» compromete a
credibilidade do sistema. No decurso dos
contactos que manteve regularmente com o Department of Commerce em 2012 e 2013,
a Comissão Europeia alertou este último para o facto de que, para cumprirem as
suas obrigações em matéria transparência, não basta que as empresas comuniquem
ao Department of Commerce uma descrição da sua política em matéria de proteção
da vida privada. Devem ainda colocar à disposição do público declarações sobre
esta política. O Department of Commerce foi igualmente convidado a intensificar
os seus controlos periódicos dos sítios Web das empresas, na
sequência do procedimento de verificação aplicado no âmbito do primeiro
procedimento de autocertificação ou da sua renovação anual, bem como a tomar
medidas contra as empresas que não cumpram os requisitos em matéria de
transparência. Como primeira
resposta às preocupações da UE, o Department of Commerce tornou obrigatória,
a partir de março de 2013, a publicação no respetivo sítio Web, por
parte das empresas que participam no sistema «porto seguro» e que possuem um sítio Web, da sua política de
proteção da vida privada aplicável aos dados respeitantes aos
clientes/utilizadores. Simultaneamente, o Department of Commerce começou a notificar todas as
empresas cuja política em matéria de proteção da vida privada não comportava
uma ligação para o sítio Web do Department of Commerce consagrado ao
sistema «porto seguro» de que a deveriam introduzir, para que os consumidores
que consultam os sítios Web dessas empresas tenham acesso direto à lista
e ao sítio Web oficiais relativos ao sistema «porto seguro». Tal permitirá aos titulares de dados europeus verificar de
forma imediata, sem buscas adicionais na Internet, os compromissos que uma
determinada empresa comunicou ao Department of Commerce. Além disso, o
Department of Commerce começou a informar as empresas de que nas suas políticas
de proteção da vida privada publicadas na Internet deveria figurar o contacto
da entidade independente encarregada da resolução de conflitos[25]. É necessário
acelerar este processo para garantir que todas as
empresas certificadas cumpram plenamente os requisitos do sistema «porto
seguro» até março de 2014 (ou seja, até ao prazo previsto para a renovação da
certificação anual das empresas, a contar da introdução de novos requisitos, em
março de 2013). Todavia, subsiste alguma preocupação quanto a saber se todas as
empresas autocertificadas cumprem plenamente os requisitos em matéria de
transparência. O Department of Commerce deverá proceder a controlos e
inquéritos mais rigorosos para verificar o respeito das obrigações assumidas
aquando da autocertificação inicial e da sua renovação anual. 4. Integração dos
princípios de «porto seguro» relativos à proteção da vida privada nas políticas
adotadas pelas empresas nesta matéria As empresas autocertificadas devem respeitar
os princípios de proteção da vida privada definidos no anexo I da Decisão,
de modo a obter e conservar as vantagens do sistema «porto seguro». No relatório de
2004, a Comissão constatou que um grande número de empresas não tinham
incorporado corretamente os princípios de «porto seguro» relativos à proteção
da vida privada nas suas políticas de tratamento de dados. Por exemplo,
as pessoas singulares nem sempre recebiam informações claras e transparentes
sobre a finalidade do tratamento dos seus dados ou não lhes era dada a
possibilidade de recusar que os seus dados fossem comunicados a terceiros ou
utilizados para fins incompatíveis com os fins para os quais haviam sido
inicialmente coligidos. No seu relatório de 2004, a Comissão considerava que o
Department of Commerce dos EUA deveria ser mais ativo no que respeita ao
acesso ao sistema «porto seguro», bem como à sensibilização para os seus
princípios[26].
Os progressos
registados a este respeito são limitados. Desde 1 de janeiro de 2009, a
política de proteção da vida privada de uma empresa que pretenda renovar o seu
estatuto de certificação «porto seguro» — que deve ser renovado todos os anos —
será avaliada previamente pelo Department of Commerce antes da renovação. No
entanto, esta avaliação tem um âmbito limitado. Não é realizada uma
avaliação completa das práticas efetivas nas empresas autocertificadas, o
que reforçaria de forma significativa a credibilidade do procedimento de
autocertificação. Na sequência dos
apelos da Comissão para uma supervisão mais rigorosa e sistemática das empresas
autocertificadas por parte do Department of Commerce, este último presta
atualmente uma maior atenção às novas certificações. Entre 2010 e 2013,
aumentou substancialmente o número de novas certificações que não foram aceites
e que foram devolvidas às empresas para que introduzissem melhorias nas suas
políticas de proteção da vida privada[27].
O Department of Commerce assegurou à Comissão que só poderão ser efetuadas
certificações ou renovações de certificações se a política de proteção da vida
privada das empresas preencher todos os requisitos, devendo incluir nomeadamente
um compromisso afirmativo de adesão ao conjunto de princípios de «porto seguro»
pertinentes relativos à proteção da vida privada, e se essa política estiver
acessível ao público. As empresas devem obrigatoriamente identificar, no seu
registo da lista de participantes do sistema «porto seguro», o sítio Web
no qual está publicada a sua política nesta matéria. Devem também indicar
claramente no seu sítio Web o nome de uma entidade encarregada da
resolução alternativa de conflitos e incluir uma ligação para a
autocertificação em matéria dos princípios de «porto seguro» no sítio Web
do Department of Commerce. No entanto, estima-se que 30 % dos
participantes no sistema «porto seguro» não incluem, nos seus sítios Web
[28], informações relativas
à resolução de conflitos no contexto das suas políticas de proteção da vida
privada. A maioria das
empresas que o Department of Commerce retirou da lista do sistema «porto
seguro» foram suprimidas a pedido explícito das próprias (por exemplo, empresas
que haviam sido objeto de fusões ou de aquisições, que tinham mudado de ramo de
atividade ou que tinham cessado a atividade). Foi suprimido da lista um número
mais pequeno de empresas que encerraram a sua atividade quando se verificou que
os seus sítios Web mencionados na lista aparentemente já não estavam
operacionais e que a sua certificação era «não atual» desde há vários anos [29]. Importa observar que
nenhuma destas supressões se ficou a dever ao facto de o Department of Commerce
ter detetado problemas de conformidade. O registo na lista dos participantes do
sistema «porto seguro» funciona como um anúncio público e como um registo dos
compromissos assumidos pelas empresas que nela figuram. O compromisso de
aderir aos princípios de «porto seguro» não é limitado no tempo no que
respeita aos dados recebidos durante o período em que a empresa beneficia das
vantagens do sistema «porto seguro», devendo esta continuar a aplicar estes
princípios durante todo o período em que armazena, utiliza ou comunica esses
dados, mesmo se deixar de participar no sistema por qualquer motivo. As empresas que
pediram para aderir ao sistema «porto seguro» mas cujo pedido foi rejeitado
no controlo administrativo realizado pelo Department of Commerce e que, por
esse motivo, nunca foram inscritas na lista de participantes repartem-se do
seguinte modo: em 2010, só 6% (33) das 513 empresas que receberam
a sua primeira certificação nunca tinham sido inscritas nesta lista por
não cumprirem as normas que regem a autocertificação estabelecidas pelo Department
of Commerce. Em 2013, 12 % (75) das 605 empresas que receberam a
sua primeira certificação nunca tinham sido inscritas nesta lista por não
cumprirem as normas que regem a autocertificação estabelecidas pelo Department
of Commerce. Para aumentar a
transparência dos seus controlos, o Department of Commerce deverá, pelo menos,
indicar no seu sítio Web todas as empresas que tenham sido excluídas do
sistema «porto seguro», mencionando os motivos que o levaram a não renovar a
sua certificação. É conveniente que se deixe de considerar como mera informação
o estatuto de «não atual» que figura na lista dos participantes no sistema
«porto seguro» do Department of Commerce: esta menção deverá ser acompanhada de
uma advertência clara, tanto escrita como gráfica, que indique que
atualmente a empresa em questão não preenche os requisitos do sistema «porto
seguro». Além disso,
algumas empresas ainda não integraram completamente todos os princípios de
«porto seguro» nas suas políticas. Para além da questão da transparência,
abordada no ponto 3, as políticas de proteção da vida privada adotadas pelas
empresas autocertificadas são muitas vezes pouco claras quanto aos fins a que
se destina a recolha de dados, bem como ao direito de decidir se os dados podem
ou não ser divulgadas a terceiros; o respeito dos princípios de «aviso» e de
«escolha» suscita, pois, alguma preocupação. O aviso e a escolha são elementos
determinantes para garantir que os titulares dos dados tenham um controlo sobre
o tratamento que é dado aos seus dados pessoais. Atualmente, não está suficientemente garantida
a primeira etapa decisiva do processo de cumprimento, a saber, a integração dos
princípios de «porto seguro» nas políticas das empresas relativas à proteção da
vida privada. O Department of Commerce deverá abordar prioritariamente esta
questão, desenvolvendo uma metodologia de cumprimento destinada às empresas,
tanto em termos das suas práticas de funcionamento, como da sua interação com
os clientes. Em vez de aplicar medidas de controlo unicamente com base em
queixas apresentadas por pessoas singulares, o Department of Commerce deverá
acompanhar de perto a integração efetiva dos princípios de «porto seguro» nas
políticas das empresas em matéria de proteção da vida privada. 5. Aplicação por parte das instâncias públicas Existem vários
mecanismos para assegurar a aplicação eficaz do sistema «porto seguro» e
oferecer a possibilidade de recurso às pessoas cuja proteção dos seus dados
pessoais seja afetada pelo incumprimento dos princípios que regem a proteção da
vida privada. Em conformidade
com o princípio de «aplicação», as políticas em matéria de proteção da vida
privada adotadas pelas organizações autocertificadas devem comportar mecanismos
de cumprimento eficazes. Em conformidade com o princípio de «aplicação», como
explicitado nas FAQ 11, 5 e 6, esta obrigação pode ser preenchida pela adesão a
mecanismos de recurso independentes que tenham declarado publicamente a sua
competência para tratar queixas apresentadas por pessoas singulares relativas
ao não cumprimento dos princípios do sistema «porto seguro». A título
alternativo, a empresa pode comprometer-se a cooperar com o Painel de
Proteção de Dados da UE[30].
Além disso, as empresas autocertificadas estão sob a jurisdição da Comissão
Federal do Comércio nos termos do ponto 5 do Federal Trade Commission Act,
que proíbe práticas ou atos desleais ou fraudulentos no domínio do comércio[31]. O relatório de
2004 dava conta de alguma preocupação no que diz respeito à aplicação do
sistema «porto seguro», indicando nomeadamente que a Comissão Federal do
Comércio deverá ser mais ativa em termos da abertura de inquéritos e da
sensibilização das pessoas singulares para os seus direitos. Outra questão
objeto de alguma preocupação era a falta de clareza no que se refere à
competência desta Comissão para controlar a aplicação dos princípios de «porto
seguro» relativos a dados sobre recursos humanos. O organismo de
recurso competente em matéria de dados sobre recursos humanos — Painel de
Proteção dos Dados da UE — recebeu uma queixa relativa a esse tipo de dados [32]. Todavia, a quase
inexistência de queixas não permite tirar conclusões quanto ao correto
funcionamento do sistema. Seria conveniente instaurar controlos sistemáticos
para verificar a aplicação efetiva dos compromissos assumidos pelas empresas
participantes em matéria de proteção de dados. As autoridades responsáveis pela
proteção dos dados na UE devem igualmente tomar medidas para sensibilizar os
cidadãos para a existência do Painel. Foram salientados
alguns problemas a nível do funcionamento das instâncias e organismos de
resolução alternativa de litígios na sua qualidade de órgãos de aplicação
efetiva. Alguns destes organismos não dispõem de meios suficientes para
resolver os casos de não respeito dos princípios de «porto seguro», pelo que é
necessário colmatar esta lacuna. 5.1. Comissão
Federal do Comércio A Comissão Federal
do Comércio pode tomar medidas coercivas em caso de violação, por parte das
empresas, dos compromissos que assumiram relativamente aos princípios de «porto
seguro». Quando o sistema «porto seguro» foi criado, a Comissão Federal do
Comércio comprometeu-se a examinar prioritariamente todos os dossiers
que lhe haviam sido submetidos pelas autoridades dos Estados-Membros da UE[33]. Como durante os
primeiros dez anos do acordo de «porto seguro» não recebeu quaisquer queixas, a
Comissão Federal do Comércio decidiu procurar detetar eventuais violações aos
princípios de «porto seguro» em cada inquérito que realizava em matéria da vida
privada e da segurança dos dados. Desde 2009, esta Comissão instaurou 10
processos coercitivos contra empresas por violação dos princípios de «porto
seguro». Estes processos traduziram-se, nomeadamente, em injunções — sob
reserva de pesadas multas — que proíbem as declarações falsas em matéria de
proteção da vida privada, incluindo no que se refere ao respeito dos princípios
de «porto seguro», e que impõem às empresas programas exaustivos de proteção da
vida privada, bem como auditorias durante 20 anos. A pedido da Comissão Federal
do Comércio, as empresas em questão devem submeter o seu programa de proteção
da vida privada a avaliações independentes, que serão comunicadas regularmente
a esta última. As injunções da Comissão Federal do Comércio proíbem igualmente
estas empresas de efetuarem declarações falsas quanto às suas práticas em
matéria de proteção da vida privada, bem como à sua participação no sistema
«porto seguro» ou em sistemas semelhantes de proteção da vida privada. Foi o
que decidiu, por exemplo, a Comissão Federal do Comércio na sequência dos
inquéritos que realizou às empresas Google, Facebook e Myspace.[34] Em 2012, a Google aceitou pagar uma multa de 22,5 milhões de dólares US
para pôr termo a alegações segundo as quais teria infringido uma injunção («consent
order»). Em todos os inquéritos relativos a violações da vida privada, a
Comissão Federal do Comércio examina sistematicamente se existe uma violação do
sistema «porto seguro». A Comissão Federal do
Comércio reiterou recentemente as suas declarações e o seu compromisso de
examinar, a título prioritário, os dossiês recebidos das empresas
autoregulamentadas em matéria de proteção da vida privada e dos Estados-Membros
da UE sobre alegações de incumprimento dos princípios de «porto seguro».[35] Nos últimos três anos, a Comissão Federal do
Comércio recebeu apenas um número reduzido de dossiês provenientes das
autoridades europeias responsáveis pela proteção de dados. A cooperação transatlântica entre as
autoridades de proteção de dados começou a desenvolver-se nos últimos meses.
Assim, em 26 de junho de 2013, a Comissão Federal do Comércio assinou com a
autoridade irlandesa de proteção de dados um memorando de entendimento sobre
assistência mútua em matéria de aplicação da legislação que protege os dados pessoais
no setor privado. Este memorando de entendimento estabelece um quadro para
intensificar, racionalizar e tornar mais eficaz a cooperação em matéria de
controlo do respeito da proteção da vida privada[36]. Em
agosto de 2013, a Comissão Federal do Comércio anunciou um novo reforço das
fiscalizações às empresas que controlam grandes bases de dados pessoais. Criou
igualmente um portal no qual os consumidores podem apresentar queixa contra uma
empresa americana por violação da vida privada [37]. A Comissão Federal do Comércio deverá
igualmente redobrar de esforços para investigar as falsas alegações de adesão
ao sistema «porto seguro». Uma empresa que afirma no seu sítio Web que
cumpre os requisitos do sistema «porto seguro», mas que não figura na lista do
Department of Commerce na qualidade de membro «atual» induz em erro os
consumidores e abusa da sua confiança. As declarações falsas enfraquecem a
credibilidade geral do sistema, pelo que devem ser imediatamente retiradas dos
sítios Web das empresas. Estas devem ficar vinculadas pela condição
obrigatória de não induzir em erro os consumidores. A Comissão Federal do
Comércio deve continuar a procurar detetar declarações falsas de adesão ao
sistema «porto seguro», como no caso Karnani, no qual decretou o encerramento
de um sítio Web criado e explorado por empresas estabelecidas na
Califórnia que se reclamavam, abusivamente, participantes no sistema e se
dedicavam a práticas fraudulentas de comércio eletrónico de que eram vítimas
consumidores europeus[38].
Em 29 de outubro de 2013, a Comissão Federal
do Comércio anunciou que, nos meses anteriores, tinha dado início a um grande
número de investigações relativas ao respeito dos princípios de «porto seguro»
e que era provável que iniciasse mais ações nesta matéria nos próximos meses.
Confirmou igualmente que estava decidida a procurar formas de melhorar a sua
eficácia e que continuaria a acolher favoravelmente qualquer pista concreta,
como a queixa recebida no mês anterior de um defensor dos direitos dos
consumidores estabelecido na Europa que dava conta de um grande número de
violações dos princípios de «porto seguro».[39]
A Agência comprometeu-se ainda a controlar «de forma sistemática o cumprimento
das injunções relativas ao sistema «porto seguro», como aliás de todas as
injunções»[40].
Em 12 de novembro de 2013, a Comissão Federal
do Comércio informou a Comissão Europeia de que «se a política de proteção
da vida privada de uma empresa promete proteções conformes com o sistema «porto
seguro», a omissão por esta empresa de se registar ou de renovar o seu registo
não escusa, por si só, a empresa de se submeter à aplicação coerciva, pela
Comissão Federal do Comércio, dos seus compromissos em matéria de «porto seguro»[41]. Em novembro de 2013, o Department of Commerce
informou a Comissão Europeia de que para «garantir que as empresas não
apresentem «declarações falsas» de adesão ao sistema «porto seguro», começará a
contactar os participantes no sistema, um mês antes da data de renovação da sua
certificação, para lhes indicar as etapas a seguir caso decidam não proceder a
essa renovação». O Department of Commerce irá intimar as empresas nesta
categoria a retirarem todas as referências à sua participação no sistema «porto
seguro», incluindo a utilização da marca de certificação correspondente, das
suas políticas de proteção da vida privada e dos seus sítios Web, e
notificá-las de forma clara que caso não o façam poderão ficar sujeitas a
processos coercitivos por parte da Comissão Federal do Comércio»[42]. Para lutar contra o fenómeno das declarações
falsas de adesão ao sistema «porto seguro», as políticas de proteção da vida
privada publicadas pelas empresas autocertificadas nos seus sítios Web
devem incluir sistematicamente uma ligação para o sítio Web do
Department of Commerce consagrado ao sistema «porto seguro», no qual são
enumerados todos os membros «atuais» do sistema. Os titulares de dados europeus
poderão assim verificar de forma imediata, sem buscas adicionais, se uma
determinada empresa é um membro atual do sistema. Em março de 2013, o
Department of Commerce começou a impor esta exigência às empresas, mas este
processo deverá ser intensificado. A monitorização permanente pela Comissão
Federal do Comércio e o consequente controlo da aplicação efetiva dos
princípios do «porto seguro» — para além das medidas adotadas pelo Department
of Commerce assinaladas acima — continuam a ser uma prioridade essencial para
assegurar o funcionamento correto e eficaz do sistema. É necessário,
nomeadamente, aumentar o número de verificações e inquéritos sistemáticos
para garantir o respeito, por parte das empresas, dos princípios de «porto
seguro». A apresentação de queixas relativas a violações junto da Comissão
Federal do Comércio deverá igualmente ser facilitada. 5.2. Painel
de proteção dos dados da UE O Painel de
proteção dos dados da UE é um órgão criado ao abrigo da Decisão «porto seguro».
Tem competência para investigar queixas apresentadas por particulares
relativamente a dados pessoais recolhidos no âmbito de relações de trabalho,
bem como os casos de empresas certificadas que optaram por esta solução para a
resolução de litígios no âmbito do sistema «porto seguro» (53 % das empresas).
É composto por representantes das diferentes autoridades de proteção dos dados
da UE. Até à data, o Painel
recebeu quatro queixas (duas em 2010 e duas em 2013). Em 2010, o Painel remeteu
duas queixas para as autoridades nacionais de proteção de dados (Reino Unido e
Suíça). A terceira e quarta queixas estão atualmente a ser examinadas. O número
reduzido de queixas pode ser explicado pelo facto de as competências do Painel
se limitarem, tal como acima referido, a um determinado tipo de dados. O limitado volume
de dossiês apresentados ao Painel também se poderá explicar, em parte,
pelo desconhecimento da existência desta entidade. Desde 2004, a Comissão
Europeia tem dado uma maior visibilidade no seu sítio Web às informações
relativas ao Painel[43].
Para que o Painel seja utilizado de forma mais eficiente, as empresas
estabelecidas nos EUA que tenham decidido cooperar com o Painel e dar
cumprimento às suas decisões, tanto no que respeita à totalidade como a certas
categorias apenas de dados pessoais abrangidos pelas autocertificações
respetivas, devem indicar, de forma clara e bem visível nos compromissos assumidos
no âmbito das suas políticas de proteção da vida privada que autorizam o
Department of Commerce a controlar este aspeto. Deverá ser criada uma página
especial sobre o sistema «porto seguro» no sítio Web de cada uma das
autoridades de proteção de dados da UE, com vista a dar a conhecer melhor este
sistema às empresas europeias e às pessoas cujos dados são tratados. 5.3. Melhoria da
aplicação coerciva As deficiências a
nível da transparência e da aplicação coerciva identificadas acima preocupam as
empresas europeias quanto ao impacto negativo que o sistema de «porto seguro»
pode ter na sua competitividade. Quando uma empresa europeia entra em
concorrência com uma empresa americana que exerce as suas atividades no âmbito
do sistema de «porto seguro», mas que, na prática, não aplica os seus
princípios, a empresa europeia sofre de uma desvantagem competitiva em relação
à empresa americana. Além disso, a
competência da Comissão Federal do Comércio inclui os atos e as práticas
desleais ou fraudulentas «no domínio do comércio». A Secção 5 da Federal Trade
Commission Act (lei sobre a Comissão Federal do Comércio) prevê exceções a esta
competência no que se refere, nomeadamente, ao domínio das telecomunicações.
Como não estão abrangidas pelo âmbito de ação da Comissão Federal do Comércio,
as empresas de telecomunicações não estão autorizadas a aderir aos princípios
de «porto seguro». No entanto, com a crescente convergência das tecnologias e
serviços, muitos dos seus concorrentes diretos no setor americano das TIC
aderem ao sistema «porto seguro». A exclusão das empresas de telecomunicações
do intercâmbio de dados no âmbito do sistema de «porto seguro» é uma questão
que preocupa alguns operadores de telecomunicações europeus. De acordo com a
Associação dos Operadores Europeus de Redes de Telecomunicações (ETNO), «esta
situação é manifestamente contrária às aspirações mais importantes dos
operadores de telecomunicações, que salientam a necessidade de garantir uma
igualdade de condições para todos[44]. 6. Reforço dos princípios de «porto seguro»
relativos à proteção da vida privada 6.1. Resolução
alternativa de litígios O princípio de aplicação requer a existência de ««mecanismos de
recurso imediatamente disponíveis e acessíveis que permitam investigar as
queixas e os litígios apresentados por pessoas singulares». Para esse efeito,
o sistema «porto seguro» instaura um sistema de resolução alternativa de
litígios (RAL) por um terceiro independente [45]
para oferecer aos cidadãos soluções rápidas. Os três principais organismos
dotados de mecanismos de recurso são o Painel de proteção de dados da UE, os
gabinetes de ética comercial (BBB) e o TRUSTe. O recurso à RAL tem vindo a aumentar desde 2004 e o Department of
Commerce reforçou a vigilância das entidades de RAL americanas para garantir
que as informações que fornecem sobre os procedimentos de recurso sejam claras,
acessíveis e compreensíveis. No entanto, a eficácia deste sistema continua por
demonstrar devido ao número limitado de casos tratados até à data[46]. Embora o Department
of Commerce tenha conseguido reduzir as taxas cobradas por sete grandes
entidades RAL, duas das principais entidades neste domínio continuam a cobrar
taxas a particulares que apresentam queixa[47].
Trata-se de entidades RAL cujos serviços são utilizados por cerca de 20 % das
empresas aderentes ao sistema «porto seguro». Estas empresas selecionaram uma
entidade RAL que cobra uma taxa aos clientes para apresentarem queixa. Estas
práticas não são conformes com o princípio de aplicação do «porto seguro» que
confere aos particulares o direito de aceder a mecanismos de recurso
independentes «imediatamente disponíveis e acessíveis». Na União Europeia, o
acesso a um serviço de resolução de litígios independente, prestado pelo Painel
de proteção dos dados da UE, é gratuito para todos os titulares de dados. Em 12 de novembro
de 2013, o Department of Commerce confirmou que «continuaria a defender o
direito dos cidadãos da UE à proteção da sua vida privada e que estudaria com
as entidades RAL as possibilidades de reduzir ainda mais as suas taxas». No que diz
respeito às sanções, nem todas as entidades RAL dispõem dos instrumentos
necessários para resolver as situações de desrespeito dos princípios de
proteção da vida privada. Além disso, a publicação de casos de incumprimento
destes princípios não parece estar prevista entre o leque de sanções e de
medidas aplicáveis por todas as entidades RAL. As entidades RAL
são igualmente convidadas a submeter à Comissão Federal do Comércio os casos de
empresas que não cumpram as decisões dos processos de RAL ou que rejeitem a
decisão das entidades RAL, para que a referida Comissão possa proceder a um
exame e a um inquérito e, se for caso disso, adotar medidas coercitivas. No
entanto, até à data, as entidades RAL ainda não submeteram casos desse tipo à
Comissão Federal do Comércio[48].
As entidades RAL
publicam, nos seus sítios Web, listas das empresas (participantes em
processos de resolução de litígios) que recorrem aos seus serviços, o que
permite aos consumidores verificar facilmente — em caso de litígio com uma
empresa — se um particular pode apresentar queixa junto de uma determinada
entidade RAL. Assim, por exemplo, a entidade RAL «BBB» elabora a lista de todas
as empresas abrangidas pelo sistema de resolução alternativa de litígios do seu
gabinete. No entanto, um grande número de empresas alegam estar abrangidas por
um determinado sistema de resolução de litígios, mas as entidades RAL não as
designam como participantes no seu sistema[49].
Os
mecanismos de RAL devem ser de acesso fácil, independentes e abordáveis em
termos económicos para as pessoas singulares. Um titular de dados deve poder
apresentar uma queixa sem que lhe sejam impostas restrições excessivas. Todos
os organismos de RAL devem publicar nos seus sítios Web estatísticas
sobre as queixas apresentadas e tratadas, bem como informações específicas
sobre os respetivos resultados. Por último, os organismos de RAL devem ser
sujeitos a um controlo posterior destinado a garantir que as informações que
facultam acerca do processo e das modalidades de apresentação das queixas sejam
claras e compreensíveis, a fim de tornar a resolução dos litígios num mecanismo
eficaz, com resultados fiáveis. Importa também reiterar que a publicação de
casos de incumprimento deve figurar entre as sanções obrigatórias dos
mecanismos de RAL. 6.2. Retransferência Com o crescimento exponencial do fluxos de
dados, é igualmente necessário assegurar a proteção continuada dos dados
pessoais em todas as fases do respetivo tratamento, nomeadamente quando uma
empresa que tenha subscrito os princípios de «porto seguro» transfere estes
dados para um terceiro que seja subcontratante. Por conseguinte, a
necessidade de assegurar um maior cumprimento do sistema de «porto seguro» diz
respeito não só aos aderentes, mas também aos subcontratantes. Se desejar transferir informações para
terceiros que desempenhem a função de agentes, a empresa – membro do sistema
«porto seguro» - só o poderá fazer na condição de se certificar de que a parte
terceira subscreve os princípios de «porto seguro», cumpre as disposições da
diretiva ou outras disposições adequadas, e de estabelecer um acordo escrito
com esse terceiro, exigindo que este garanta, pelo menos, o mesmo nível de
proteção da vida privada que o requerido pelos princípios pertinentes» [50]. [51]Por exemplo, um
fornecedor de serviços de computação em nuvem é convidado pelo Department of
Commerce a celebrar um contrato mesmo que cumpra os princípios de «porto
seguro» e receba dados pessoais para tratamento. Todavia, esta disposição não é
clara no anexo II da Decisão «porto seguro». Como o recurso a subcontratantes aumentou
consideravelmente nos últimos anos, em especial no contexto da computação em
nuvem, quando é celebrado um contrato, uma empresa membro do sistema de «porto
seguro» deve desse facto notificar o Department of Commerce e publicar as suas
garantias em matéria de proteção da vida privada[52]. Os três elementos
acima referidos, a saber, o mecanismo de resolução alternativa de litígios, o
reforço da supervisão e a retransferência de dados, deverão ser clarificados. 7. Acesso a dados
transferidos no âmbito do sistema de «porto seguro» Em 2013, as
informações sobre a dimensão e o âmbito dos programas de vigilância dos EUA
suscitaram grandes preocupações sobre a continuação da proteção de dados
pessoais legalmente transferidos para os Estados Unidos ao abrigo do sistema de
«porto seguro». Por exemplo, todas as empresas que participam no Programa
PRISM, que permite às autoridades americanas ter acesso a dados armazenados e
tratados nos EUA, parecem estar certificadas no âmbito do sistema de «porto
seguro». Este sistema passou, pois, a ser uma das vias através da qual os
serviços de informações americanos têm acesso à recolha de dados pessoais
inicialmente tratados na UE. A Decisão «porto
seguro» prevê, no seu anexo I, que a adesão aos princípios de proteção da
vida privada pode ser limitada para observar requisitos de segurança nacional,
interesse público ou execução legal, de legislação, regulamento governamental
ou jurisprudência. Para serem válidas, as limitações e restrições ao exercício
dos direitos fundamentais devem ser interpretadas de forma restritiva; devem
ser enunciadas numa legislação acessível ao público e necessárias e
proporcionadas numa sociedade democrática. Em especial, a Decisão «porto
seguro» especifica que essas limitações são permitidas apenas «na medida
necessária» para observar requisitos de segurança nacional, interesse
público ou execução legal[53].
Embora o tratamento excecional de dados para fins de segurança nacional,
interesse público ou execução legal esteja previsto no sistema de «porto
seguro», quando este sistema foi adotado não era possível prever o acesso em
grande escala por parte dos serviços de informações aos dados transferidos para
os Estados Unidos no âmbito de transações comerciais. Além
disso, por motivos de transparência e de segurança jurídica, a Comissão
Europeia deve ser notificada pelo Department of Commerce de qualquer texto
legislativo ou regulamento governamental que afete a adesão aos princípios de
«porto seguro»[54].
O recurso às derrogações deverá ser cuidadosamente controlado, não devendo
estas ser utilizadas de forma que comprometa a proteção assegurada pelos princípios
de «porto seguro»[55].
Em especial, o acesso em larga escala pelas autoridades dos EUA aos dados
tratados pelas empresas autocertificadas «porto seguro» pode comprometer a
confidencialidade das comunicações eletrónicas. 7.1. Proporcionalidade e necessidade
Segundo as conclusões do Grupo de trabalho ad
hoc UE-EUA em matéria de proteção de dados, uma série de bases jurídicas
previstas pela legislação americana permitem recolher e tratar em grande escala
dados pessoais, que são armazenados ou tratados por empresas estabelecidas nos
EUA. Tal pode incluir dados transferidos anteriormente da UE para os EUA no
âmbito do sistema de «porto seguro», o que levanta a questão da interrupção do
cumprimento dos princípios de «porto seguro». Como se trata de programas de
grande envergadura, é possível que os dados transferidos no âmbito do sistema
de «porto seguro» sejam acessíveis às autoridades americanas e sejam por estas
tratados para além do estritamente necessário e proporcional em relação à
proteção da segurança nacional, como previsto na derrogação enunciada na
Decisão «porto seguro». 7.2. Limitações e possibilidades de
recurso Segundo as
conclusões do grupo de trabalho ad hoc UE-EUA em matéria de proteção de
dados, são sobretudo os cidadãos dos EUA ou os residentes legais que beneficiam
das salvaguardas fornecidas ao abrigo da legislação americana. Além disso, não
existe qualquer possibilidade de os titulares de dados da UE ou dos EUA obterem
acesso ou solicitarem a retificação ou a supressão dos dados, ou apresentarem
um recurso administrativo ou judicial caso, no âmbito de programas de
vigilância dos EUA, os seus dados pessoais sejam recolhidos e tratados
posteriormente. 7.3. Transparência As empresas não
indicam sistematicamente, nas suas políticas de proteção da vida privada, em
que casos aplicam exceções ao sistema de «porto seguro». Os particulares e as
empresas não têm, pois, conhecimento da utilização que é feita dos seus dados,
o que é especialmente relevante no que respeita à exploração dos programas de
vigilância americanos em questão. Por conseguinte, os europeus cujos dados são
transferidos para uma empresa estabelecida nos EUA que aderiu ao sistema de
«porto seguro» podem não ser informados por essa empresa de que o acesso aos
seus dados é possível[56].
Esta situação levanta a questão do cumprimento dos princípios de «porto seguro»
em matéria de transparência, a qual deve ser assegurada tanto quanto possível,
sem comprometer a segurança nacional. Para além de, como previsto atualmente,
terem a obrigação de indicar nas suas políticas de proteção da vida privada os
casos em que os princípios podem ser limitados pela legislação, regulamento
governamental ou jurisprudência, as empresas devem também ser encorajadas a
indicar, nas suas políticas de proteção da vida privada, as situações em que
aplicam exceções aos princípios de «porto seguro» para observar requisitos de
segurança nacional, interesse público ou execução legal. 8. Conclusões e recomendações Desde que foi
adotado em 2000, o sistema «porto seguro» tornou-se um vetor para o fluxo de
dados pessoais entre a UE e os EUA. A importância de dispor de uma proteção
eficaz no caso de transferências de dados pessoais tem vindo a aumentar devido
ao aumento exponencial dos fluxos de dados, cruciais para a economia digital,
bem como aos enormes progressos realizados a nível da recolha, do tratamento e
da utilização dos dados. As empresas da Internet como a Google, Facebook,
Microsoft, Apple e Yahoo, possuem centenas de milhões de clientes na Europa e
transferem dados pessoais destinados a ser tratados nos EUA numa escala
impensável no ano 2000. As deficiências verificadas a nível da
transparência e da aplicação do acordo contribuem para perpetuar os seguintes
problemas específicos, que deverão ser abordados: (a)
Transparência das políticas de proteção da vida
privada adotadas pelos membros do sistema «porto seguro», (b)
Aplicação efetiva dos princípios de proteção da
vida privada pelas empresas nos EUA e (c)
Eficácia da sua aplicação. Além disso, o acesso em grande escala pelos
serviços de informações a dados transferidos para os EUA por empresas
certificadas participantes no sistema de «porto seguro» levanta novas
questões graves sobre a continuidade dos direitos dos cidadãos europeus em
matéria de proteção de dados quando os seus dados pessoais são transferidos
para os EUA. Com base no que precede, a Comissão formula as
seguintes recomendações: Transparência (1)
As empresas autocertificadas devem divulgar
publicamente as suas políticas de proteção da vida privada. Não basta que forneçam ao Department of Commerce uma descrição das
suas políticas em matéria de proteção da vida privada. Estas devem ser
disponibilizadas ao público nas páginas Web das respetivas empresas e
formuladas de forma clara e compreensível. (2)
As políticas de proteção da vida privada publicadas
nos sítios Web das empresas autocertificadas devem incluir sistematicamente uma
ligação para o sítio Web «porto seguro» do Department of Commerce, no qual deve
figurar uma lista dos membros atuais do sistema. Os
titulares de dados europeus poderão assim verificar imediatamente, sem buscas
adicionais, se uma determinada empresa é, nesse momento, membro do sistema de
«porto seguro». Tal contribuirá para reforçar a credibilidade do sistema,
graças à diminuição das possibilidades de declarações falsas de adesão aos
princípios de «porto seguro». Em março de 2013, o Department of Commerce
começou a impor esta exigência às empresas, mas este processo deverá ser
intensificado. (3)
As empresas autocertificadas devem publicar as
condições de proteção da vida privada de quaisquer contratos que celebrarem com
os subcontratantes, por exemplo, os serviços de computação em nuvem. O sistema
de «porto seguro» autoriza as retransferências das empresas autocertificadas
participantes neste sistema para terceiros que agem como «agentes», por
exemplo, os fornecedores de serviços de computação em nuvem. Tanto quanto é do
nosso conhecimento, o Department of Commerce exige que as empresas
autocertificadas celebrem um contrato. No entanto, quando celebram um contrato
desse tipo, as empresas participantes no sistema de «porto seguro» devem
igualmente informar desse facto o Department of Commerce e ser obrigadas a
tornar públicas as salvaguardas que oferecem em matéria de proteção da vida
privada. (4)
Indicação clara, no sítio Web do Department of
Commerce, de todas as empresas que não são membros atuais do regime. O estatuto «não atual» constante da lista dos membros do sistema
«porto seguro» do Department of Commerce deve ser acompanhado de um aviso claro
de que, nesse momento, a empresa correspondente não cumpre os requisitos do
sistema de «porto seguro». No entanto, caso o estatuto da empresa seja «não
atual», esta deve, mesmo assim, continuar a aplicar os requisitos do sistema de
«porto seguro» relativamente a dados que tenha recebido no âmbito desse
sistema. Recurso (5)
As políticas de proteção da vida privada publicadas
nos sítios Web das empresas devem incluir uma ligação para o sítio Web da
entidade responsável pela resolução alternativa de litígios (RAL) e/ou do
Painel de proteção de dados da UE. Tal permitirá aos titulares de dados
europeus contactar imediatamente a entidade RAL ou o Painel de proteção de
dados da UE em caso de problemas. Em março de 2013, o Department of Commerce
começou a impor esta exigência às empresas, mas este processo deverá ser
intensificado. (6)
As entidades RAL devem ser facilmente acessíveis
e pouco onerosas. Algumas das entidades RAL que
aderiram ao sistema de «porto seguro» continuam a cobrar taxas a particulares —
que podem ser bastante onerosas— pelo processamento de uma queixa (entre 200 e
250 dólares US). Em contrapartida, na Europa o acesso ao Painel de proteção dos
dados da UE previsto para a resolução das queixas respeitantes ao sistema
«porto seguro» é gratuito. (7)
O Department of Commerce deverá controlar de forma
mais sistemática as entidades RAL em termos da sua transparência e da
acessibilidade das informações que fornecem sobre o processo utilizado e o
seguimento dado às queixas que lhes são apresentadas. Tal tornará a resolução
de litígios num mecanismo eficaz e fiável, que produz efetivamente resultados.
Importa também lembrar que a publicação de casos de incumprimento deve ser
incluída no leque de sanções obrigatórias das entidades RAL. Aplicação (8)
Na sequência da certificação ou da recertificação
de empresas no âmbito do sistema «porto seguro», uma percentagem dessas
empresas deve ser sujeita a inquéritos sistemáticos sobre o cumprimento efetivo
das respetivas políticas de proteção da vida privada (para além do controlo do
cumprimento das exigências formais). (9)
Sempre que seja constatado um caso de
incumprimento, na sequência de uma queixa ou de um inquérito, a empresa em
causa deve ser objeto, um ano depois, de um inquérito específico. (10)
Caso existam queixas pendentes ou dúvidas quanto ao
cumprimento dos princípios de «porto seguro», por parte de uma empresa, o
Department of Commerce deve informar a autoridade competente da UE em matéria
de proteção de dados. (11)
As declarações falsas de adesão ao sistema
de «porto seguro» devem continuar a ser investigadas. Uma
empresa que afirma no seu sítio Web que cumpre os requisitos do sistema
«porto seguro», mas que não figura na lista do Department of Commerce na
qualidade de membro «atual» induz em erro os consumidores e abusa da sua
confiança. As declarações falsas enfraquecem a credibilidade geral do sistema,
pelo que devem ser imediatamente retiradas dos sítios Web das empresas. Acesso pelas
autoridades dos EUA (12)
As políticas de proteção da vida privada adotadas
pelas empresas autocertificadas devem incluir informações sobre a medida em que
a legislação dos EUA permite às autoridades públicas recolher e tratar dados
transmitidos no âmbito do sistema de «porto seguro». Em especial, as empresas
devem ser incentivadas a indicar, nas suas políticas de proteção da vida privada,
se aplicam exceções ao sistema de «porto seguro» para observar requisitos de
segurança nacional, interesse público ou execução legal. (13)
É importante que a exceção por motivos de segurança
nacional prevista na Decisão «porto seguro» seja utilizada apenas de forma
proporcional e na medida em que for estritamente necessária. [1] Os artigos
25.º e 26.º da Diretiva relativa à proteção de dados definem o quadro jurídico
aplicável às transferências de dados pessoais da UE para países terceiros não
Partes do EEE. [2] A
Decisão-Quadro 2008/977/JAI do Conselho, de 27 de novembro de 2008, relativa à
proteção dos dados pessoais tratados no âmbito da cooperação policial e
judiciária em matéria penal estabelece, no seu artigo 13.º, regras adicionais
na medida em que essas transferências digam respeito a dados pessoais
transmitidos ou disponibilizados por um Estado-Membro a outro Estado-Membro que
posteriormente tencione transferir esses dados para um Estado terceiro ou
organismo internacional para efeitos de prevenção, investigação, deteção ou
repressão de infrações penais ou de execução de sanções penais. [3] Decisão
520/2000/CE da Comissão, de 26 de julho de 2000, nos termos da Diretiva
95/46/CE do Parlamento Europeu e do Conselho e relativa ao nível de proteção
assegurado pelos princípios de «porto seguro» e pelas respetivas questões mais
frequentes (FAQ) emitidos pelo Department of Commerce dos Estados Unidos da
América, JO 215 de 28 de agosto de 2000, página 7. [4] O acima
exposto não exclui a aplicação ao tratamento de dados de outros requisitos
eventualmente previstos na legislação nacional que aplica a Diretiva relativa à
proteção de dados. [5] As
transferências de dados dos três Estados Partes no EEE são afetadas do mesmo
modo, em conformidade com a extensão da Diretiva 95/46/CE ao Acordo do EEE,
Decisão 38/1999 de 25 de junho de 1999, JO L 296 de 23.11.2000, página 41. [6] De acordo
com alguns estudos, se os serviços e os fluxos transfronteiriços de dados forem
perturbados devido à supressão das regras vinculativas para as empresas, das
cláusulas contratuais-tipo e das regras de «porto seguro», o impacto negativo
no PIB na UE poderá atingir entre 0,8 % e 1,3 % e as exportações de
serviços da UE para os EUA poderão diminuir 6,7 % devido à perda de
competitividade. Ver: «The Economic Importance of Getting Data Protection
Right», estudo do Centro Europeu para Economia Política Internacional da Câmara
de Comércio dos EUA, março de 2013. [7] Estudo de
avaliação do impacto elaborado pela Comissão Europeia em 2008 pelo Centre de
Recherche Informatique et Droit («CRID») da Universidade de Namur. [8] Documento
de trabalho dos serviços da Comissão intitulado «Aplicação da Decisão
520/2000/CE da Comissão, de 26 de julho de 2000, nos termos da Diretiva
95/46/CE do Parlamento Europeu e do Conselho relativa ao nível de proteção
assegurado pelos princípios de «porto seguro» e pelas respetivas questões mais
frequentes (FAQ) emitidos pelo Department of Commerce dos Estados Unidos da
América» SEC (2002) 196 de 13.12.2002. [9] Documento
de trabalho dos serviços da Comissão «Aplicação da Decisão 520/2000/CE da
Comissão relativa ao nível de proteção assegurado pelos princípios de «porto
seguro» e pelas respetivas questões mais frequentes (FAQ) emitidos pelo
Department of Commerce dos Estados Unidos da América», SEC (2004)1323 de
20.10.2004 [10] Se a
certificação ou recertificação da empresa não preencher os requisitos de «porto
seguro», o Department of Commerce notifica a empresa solicitando-lhe que tome
medidas (por exemplo, esclarecimentos, alterações na descrição da política da
empresa), antes de a certificação poder ser finalizada. [11] Ver Código
US, Título 49, Secção 41712. [12] Mais
especificamente, a suspensão das transferências pode impor-se nas duas
situações seguintes: a) O organismo governamental nos EUA determinou que a
empresa viola os princípios de «porto seguro». b) Existam fortes probabilidades de os princípios de
«porto seguro» estarem a ser violados; existam motivos razoáveis para crer
que o mecanismo de execução não toma ou não irá tomar as decisões adequadas na
altura devida para resolver o caso em apreço; a continuação da transferência
dos dados pode criar um risco iminente de graves prejuízos para os titulares de
dados em questão; e as autoridades competentes do Estado-Membro da UE realizaram,
nesses casos, esforços razoáveis para informar a empresa e lhe dar a
oportunidade de reagir: [13] Em 26 de
setembro de 2013 o número de organizações que participam no sistema de «porto
seguro» consideradas «current» (atual) na Lista «porto seguro» era de 3 246,
e consideradas «not current» (não atual) elevava-se a 935. [14] Organizações
que aderiram ao sistema de «porto seguro» com, no máximo, 250 empregados: 60%
(1 925 de 3 246). Organizações que aderiram ao sistema de «porto
seguro» com, pelo menos, 251 empregados: 40% (1 295 de 3 246).
[15] A título de
exemplo, a MasterCard trabalha com milhares de bancos e constitui um bom
exemplo de um caso em que o sistema «porto seguro» não pode ser substituído por
outros instrumentos jurídicos para efeitos da transferência de dados pessoais,
tais como normas vinculativas para as empresas ou disposições contratuais. [16] Organizações
que aderiram ao sistema «porto seguro» e que tratam dados relativos aos
recursos humanos em virtude da sua certificação «porto seguro» (e que, por
conseguinte, aceitaram cooperar com as autoridades da UE responsáveis pela
proteção dos dados, bem como conformar-se às suas regras): 51% (1 671
de 3 246). [17] Ver Decisão Düsseldorfer Kreis de 28/29 de
abril de 2010. Ver: Beschluss der obersten
Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich de 28./29
de abril de 2010 em Hanover: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile No entanto, o titular da Autoridade Europeia
para a Proteção de Dados (AEPD), Peter Hustinx, declarou, na audiência pública
de 7 de outubro de 2013 consagrada a um inquérito da Comissão LIBE do
Parlamento Europeu, que foram obtidas melhorias substanciais e que a maioria
dos problemas relativos ao «porto seguro» está resolvida: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2013/13-10-07_Speech_LIBE_PH_EN.pdf [18] Ver a resolução de uma conferência alemã dos
comissários responsáveis pela proteção dos dados, que indica que os serviços de
informações constituem uma enorme ameaça para a transmissão de dados entre a
Alemanha e os países não-europeus. http://www.bfdi.bund.de/EN/Home/homepage_Kurzmeldungen/PMDSK_SafeHarbor.html?nn=408870 [19] Ver o
comunicado de imprensa, de 18 de novembro de 2013, da autoridade luxemburguesa
responsável pela proteção de dados. [20] http://www.export.gov/SafeHarbour/ [21] https://SafeHarbour.export.gov/list.aspx [22] O Guia pode ser consultado no sítio Web
do programa: http://export.gov/SafeHarbour/ Indicações úteis: http://export.gov/SafeHarbour/eu/eg_main_018495.asp [23] Em 12 de
novembro de 2013, o Department of Commerce confirmou que: «Atualmente, as
empresas que possuem um sítio Web público e que tratam dados relativos
aos consumidores/clientes/visitantes devem incluir nos seus sítios Web
uma descrição da sua política de proteção da vida privada conforme com os
princípios de «porto seguro» (documento: «U.S.-EU Cooperation to Implement the
Safe Harbor Framework» de 12 de novembro de 2013). [24] Em setembro
de 2013 o gabinete de consultoria australiano Galexia comparou as «declarações
falsas» de adesão ao sistema «porto seguro» apresentadas em 2008 e em 2013. A
sua principal constatação foi de que, paralelamente ao aumento do número de
participantes neste sistema verificado entre 2008 e 2013 (de 1 109 para 3
246), o número de declarações falsas passou de 206 para 427.
(http://www.galexia.com/public/about/news/about_news-id225.html). [25] Entre março e
setembro de 2013, o Department of Commerce : • Notificou as 101 empresas que
já tinham carregado a sua política de proteção da vida privada conforme com os
princípios de «porto seguro» no sítio Web correspondente de que deveriam
igualmente fazer figurar essa política nos seus próprios sítios Web; • Notificou as 154 empresas que ainda o não tinham
feito de que deveriam incluir na sua política de proteção da vida privada uma
ligação para o sítio Web consagrado ao «porto seguro» [26] Ver página 8
do Relatório de 2004, SEC(2004) 1323. [27] Segundo as
estatísticas publicadas em setembro de 2013, o Department of Commerce contactou
em 2010 18 % (93) das 512 empresas que receberam a sua primeira certificação e
16 % (231) das 1 417 empresas que a renovaram, exortando-as a introduzir
melhoramentos nas suas políticas de proteção da vida privada e/ou nos seus
pedidos de adesão ao sistema «porto seguro». No entanto, em resposta aos
pedidos da Comissão no sentido de que todos os pedidos sejam objeto de
controlos rigorosos, diligentes e sistemáticos, o Department of Commerce
contactou, a partir de meados de setembro, 56 % (340) das empresas que
receberam a sua primeira certificação e 27 % (493) das empresas que a
renovaram, solicitando-lhes que introduzissem melhoramentos nas suas políticas
de proteção da vida privada. [28] Intervenção
de Chris Connolly (Galexia) perante a Comissão LIBE do Parlamento Europeu, em 7
de outubro de 2013. [29] Em dezembro
de 2011, o Department of Commerce dos EUA havia retirado 323 empresas da lista
de participantes no sistema «porto seguro»: 94 empresas foram retiradas por
cessação de atividade, 88 por terem sido objeto de fusões ou de aquisições, 95
a pedido da empresa-mãe, 41 por não terem solicitado, por várias vezes, a
recondução da certificação, e 5 por razões várias. [30] O Painel de
Proteção de Dados da UE tem competência para instruir e resolver queixas
apresentadas por pessoas singulares por alegado incumprimento dos princípios de
«porto seguro» por parte de empresas americanas membros deste sistema. As
empresas que certificam que respeitam os princípios de «porto seguro» devem
optar por aderir a um mecanismo de recurso independente ou por cooperar com o
Painel de Proteção de Dados da UE para solucionar problemas decorrentes do
incumprimento dos princípios de «porto seguro». No entanto, a cooperação com o
Painel de Proteção de Dados da UE é obrigatória nos casos em que a empresa americana
em questão trata dados pessoais respeitantes a recursos humanos transferidos da
União no âmbito de uma relação de trabalho. Se a empresa se comprometer a
cooperar com o Painel de Proteção de Dados da UE, deve comprometer-se
igualmente a respeitar todas as recomendações formuladas pelo mesmo caso este
considere que a empresa deve tomar medidas específicas para cumprir os
princípios de «porto seguro», incluindo medidas corretivas ou compensatórias. [31] O Department
of Transportation exerce competências análogas relativamente às transportadoras
aéreas ao abrigo do Código dos Estados Unidos, Título 49, secção 41712. [32] A queixa foi
apresentada por um cidadão suíço e, por conseguinte, foi submetida pelo Painel
de Proteção dos Dados da UE à autoridade nacional de proteção de dados suíça
(os EUA têm um sistema «porto seguro» separado para a Suíça). [33] Ver anexo V
da Decisão 2000/520/CE da Comissão, de 26 de julho de 2000. [34] Entre 2009 e 2012, a Comissão
Federal do Comércio concluiu 10 processos coercitivos relativos a casos de
violações de compromissos a título do sistema «porto seguro»: FTC v. Javian
Karnani, and Balls of Kryptonite, LLC (2009), World Innovators, Inc. (2009),
Expat Edge Partners, LLC (2009), Onyx Graphics, Inc. (2009), Directors Desk LLC
(2009), Progressive Gaitways LLC (2009), Collectify LLC (2009), Google Inc.
(2011), Facebook, Inc. (2011),
Myspace LLC (2012). Ver: “Federal Trade Commission of Safe Harbour
Commitments”:
http://export.gov/build/groups/public/@eg_main/@SafeHarbour/documents/webcontent/eg_main_052211.pdf
Ver igualmente: “Case Highlights”:
http://business.ftc.gov/us-eu-Safe-Harbour-framework. A maior parte destes litígios diziam respeito a
empresas que tinham aderido ao sistema «porto seguro», mas que posteriormente
continuaram a declarar que eram participantes, embora não tivessem renovado a
sua certificação anual. [35] Julie Brill, Membro da Comissão
Federal do Comércio, reiterou este compromisso numa reunião realizada com as
autoridades europeias responsáveis pela proteção de dados (Grupo criado nos
termos do Artigo 29.º) em Bruxelas, em 17 de abril de 2013. [36] http://www.dataprotection.ie/viewdoc.asp?Docid=1317&Catid=66&StartDate=1+January+2013&m=n [37] Os consumidores americanos podem
apresentar as suas queixas no portal criado para o efeito pela Comissão Federal
do Comércio (https://www.ftccomplaintassistant.gov/) e os consumidores estrangeiros podem
apresentar queixa no sítio Web http://www.econsumer.gov. [38] http://www.ftc.gov/os/caselist/0923081/090806karnanicmpt.pdf [39] http://www.ftc.gov/speeches/brill/131029europeaninstituteremarks.pdf e http://www.ftc.gov/speeches/ramirez/131029tacdremarks.pdf [40] Carta da
Presidente da Comissão Federal do Comércio, Edith Ramirez, à Vice-Presidente da
Comissão Viviane Reding. [41] Carta da
Presidente da Comissão Federal do Comércio, Edith Ramirez, à Vice-Presidente
Viviane Reding. [42] «U.S.-EU
Cooperation to Implement the Safe Harbor Framework», 12 de novembro de 2013. [43] Em
conformidade com o relatório de 2004, foi publicado no sítio Web da
Comissão (DG Justiça) um aviso de informação sob a forma de perguntas e
respostas redigidas pelo Painel sobre a proteção dos dados da UE, com o
objetivo de sensibilizar os cidadãos e de os ajudar a apresentar queixas caso considerem que os seus dados
pessoais foram tratados em violação do sistema «porto seguro»: http://ec.europa.eu/justice/policies/privacy/docs/adequacy/information_Safe_harbour_en.pdf O formulário de apresentação das queixas está
disponível no sítio:http://ec.europa.eu/justice/policies/privacy/docs/adequacy/
complaint_form_en.pdf [44] As
«Considerações ETNO» recebidas em 4 de outubro de 2013 pelos serviços da
Comissão abordam igualmente 1) a definição de «dados pessoais» no âmbito do
sistema «porto seguro» ; 2) o controlo insuficiente do sistema; 3) e o facto de
as «empresas americanas poderem transferir dados com muito menos restrições que
as aplicáveis aos seus homólogos europeus», o que «constitui uma discriminação
manifesta em relação às empresas europeias e afeta a sua competitividade». Em
conformidade com as regras de «porto seguro», para poderem divulgar informações
a terceiros, as organizações devem obrigatoriamente aplicar os princípios de
aviso e de escolha. Se desejarem transferir informações para terceiros que
desempenhem a função de agentes, as organizações só o poderão fazer na condição
de se certificarem de que o terceiro em questão subscreve os princípios de
«porto seguro», cumpre as disposições da diretiva ou outras disposições
adequadas, e de estabelecerem um acordo escrito com esse terceiro, exigindo que
este garanta, pelo menos, o mesmo nível de proteção da vida privada que o
requerido pelos princípios pertinentes. [45] A Diretiva 2013/11/UE sobre a
resolução alternativa de litígios de consumo salienta a importância de
procedimentos independentes, imparciais, transparentes, eficazes, céleres e
equitativos de resolução de litígios. [46] A título de
exemplo, uma importante entidade («TRUSTe») indicou que dos 881 pedidos que
recebera em 2010 só três tinham sido considerados admissíveis e fundamentados,
pelo que a empresa em questão foi convidada a modificar a sua política de
proteção da vida privada no seu sítio Web. Em 2011, o número de queixas
elevou-se a 879 , tendo, num caso, a empresa sido convidada a modificar a sua
política de proteção da vida privada. Segundo o Department of Commerce, a
grande maioria das queixas apresentadas no âmbito da RAL proveem dos
consumidores, por exemplo, utilizadores que se esqueceram da sua senha e não a
conseguiram recuperar junto do serviço da Internet. A pedido da Comissão, o
Department of Commerce desenvolveu novos critérios de comunicação de
estatísticas que deverão ser utilizados por todas as RAL. Estes critérios
estabelecem uma distinção entre pedidos e queixas e, por outro lado, fornecem
esclarecimentos suplementares sobre os tipos de queixas recebidas. No entanto,
estes novos critérios deverão ser objeto de um debate mais aprofundado que
permita assegurar que as novas estatísticas em 2014 abranjam todas as entidades
RAL, sejam comparáveis e forneçam informações determinantes para avaliar a
eficácia do mecanismo de recurso. [47] O
International Centre for Dispute Resolution/American Arbitration Association
(ICDR/AAA) cobra, respetivamente, 200 e 250 dólares US por «despesas
administrativas». O Department of Commerce informou a Comissão que tinha
trabalhado com a AAA, a entidade de resolução de litígios para particulares
mais onerosa, com vista a conceber um programa específico para o sistema «porto
seguro» destinado a reduzir os custos para os consumidores de vários milhares
de dólares para uma taxa fixa de 200 dólares US. [48] Ver FAQ 11. [49] Exemplos: A
Amazon informou o Department of Commerce que recorria ao BBB enquanto entidade
RAL, mas a BBB não inclui a Amazon na lista dos participantes no seu sistema de
RAL. Pelo contrário, a Arsalon Technologies (www.arsalon.net), um fornecedor de
serviços de computação na nuvem, figura na lista de RAL da BBB no âmbito do
sistema de «porto seguro», embora atualmente essa empresa não seja membro desse
sistema (situação em 1 de outubro de 2013). BBB, TRUSTe e outras entidades RAL
devem eliminar as declarações de certificação erradas ou corrigi-las. Deverão
ficar vinculadas pela condição obrigatória de só certificar as empresas que são
efetivamente membros do sistema de «porto seguro». [50] Ver Decisão
da Comissão 2000/520/CE, página 7 (Retransferência). [51] Ver:
«Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud
Computing»: http://export.gov/static/Safe%20Harbor%20and%20Cloud%20Computing%20Clarification_April%2012%202013_Latest_eg_main_060351.pdf [52] Estas
observações dizem respeito aos fornecedores de serviços de computação em nuvem
que não são membros do sistema de «porto seguro». De acordo com a empresa de
consultoria Galexia, «o nível de adesão e de cumprimento («porto seguro») entre
este tipo de prestadores de serviços é bastante elevado. Em geral, têm vários
níveis de proteção da vida privada, combinando muitas vezes contratos diretos
com os clientes com políticas globais em matéria de proteção da vida privada.
Com uma ou duas exceções importantes, estes prestadores de serviços no âmbito
do sistema de «porto seguro» respeitam as principais disposições em matéria de
resolução de litígios e respetiva aplicação. Atualmente, na lista das empresas
que prestaram declarações de adesão falsas não figura nenhum fornecedor de
serviços de computação em nuvem.» (Intervenção de Chris Connolly da Galexia
no inquérito da Comissão LIBE sobre a vigilância maciça eletrónica dos cidadãos
da UE). [53] Ver anexo 1
da Decisão «porto seguro»: A adesão a estes princípios pode ser limitada: a)
na medida necessária para observar requisitos de segurança nacional, interesse
público ou execução legal, b) por legislação, regulamento governamental ou
jurisprudência que criam obrigações contraditórias ou autorizações explícitas,
desde que, no exercício de tal autorização, uma organização possa demonstrar
que o seu incumprimento dos princípios se limita ao necessário para respeitar
os legítimos interesses superiores avançados por essa autorização, ou c) por
exceção ou derrogação prevista na diretiva ou nas normas de direito interno dos
Estados-Membros, desde que a aplicação das referidas exceções ou derrogações ocorra
em contextos comparáveis. Para que se possa melhorar a proteção da vida
privada, as organizações deverão envidar esforços no sentido de aplicar estes
princípios de forma integral e transparente, incluindo a indicação das
respetivas políticas de proteção da vida privada, sempre que as exceções aos
princípios permitidas pela alínea b) supra se apliquem regularmente. Pela
mesma razão, quando a escolha for permitida pelos princípios e/ou pela
legislação norte-americana, as organizações deverão optar pelo nível de
proteção mais elevado possível». [54] Parecer n.
°4/2000 sobre o nível de proteção assegurado pelos princípios de «porto seguro»
adotado, em 16 de maio de 2000, pelo grupo de trabalho criado nos termos do
artigo 29.º. [55] Parecer n.°
4/2000 sobre o nível de proteção assegurado pelos princípios de «porto seguro»
adotado, em 16 de maio de 2000, pelo grupo de trabalho criado nos termos do
artigo 29.º. [56] Algumas
empresas que participam no sistema de «porto seguro» fornecem informações
relativamente transparentes a este respeito. A Nokia, por exemplo, que está
estabelecida nos EUA e é membro do sistema de «porto seguro», fornece a
seguinte informação sobre a sua política de proteção da vida privada: «Podemos ser legalmente obrigados a divulgar os seus dados
pessoais a certas autoridades ou a outros terceiros, por exemplo, às
autoridades responsáveis pela aplicação coerciva da lei, nos países em que
estamos presentes ou em que estão presentes terceiros que agem em nosso nome.»