Transferências Internacionais de Dados Pós-Schrems II

Na sequência da jurisprudência proferida no Acórdão Schrems II do Tribunal de Justiça da União Europeia (doravante “TJ”), várias foram as questões colocadas no âmbito das transferências internacionais de dados pessoais. Para as instituições europeias e operadores económicos cujos modelos de negócio se baseiam em tais operações, o clima passou a ser de incerteza e de insegurança jurídica.

Assim, preparámos esta informação com breves indicações sobre o enquadramento atual e recomendações de atuação em relação a este tema.

A. Enquadramento e regime jurídico das Transferências internacionais de Dados Pessoais à luz do Regulamento Geral Sobre a Proteção de Dados (doravante “RGPD”):

As transferências internacionais encontram-se previstas e reguladas no capítulo V do RGPD.

No Artigo 45.º prevê-se a possibilidade da Comissão Europeia declarar, através de um ato de execução, que o país terceiro ou organização internacional assegura um nível de proteção adequado, considerando, para esse efeito, os critérios consagrados no n.º 2 do referido Artigo. A partir do momento em que é emanada a decisão de adequação, tudo se processa como se o país terceiro ou organização, que recebe os dados, fosse de facto um Estado-Membro (doravante “EM”).

Por sua vez, o Artigo 46.º apresenta o procedimento a adotar na falta da “decisão de adequação” suprarreferida. De acordo com este último, as transferências ficam condicionadas à prestação de garantias adequadas, devendo ainda ser concedidos direitos oponíveis e medidas jurídicas corretivas eficazes, aos titulares dos dados. As garantias poderão consistir no recurso a regras vinculativas aplicáveis às empresas, cláusulas-tipo de proteção de dados adotadas pela Comissão, cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo, ou cláusulas contratuais autorizadas por esta autoridade.

Na falta de uma “decisão de adequação” ou de garantias adequadas, será ainda possível efetuar transferências ao abrigo do Artigo 49.º, no caso de estarmos perante uma situação específica abrangida pelo mesmo.

 

B. O que foi decidido no Acórdão Schrems II?

No seu acórdão de 16 de julho de 2020, o TJ declarou a invalidade da Decisão da Comissão Europeia n.º 2016/1250 que implementou o Privacy Shield Framework (este visava facilitar as transferências internacionais de dados pessoais da UE para os Estados Unidos da América – doravante “EUA”).

A invalidade invocada teve por fundamento o facto de o Privacy Shield não assegurar uma proteção adequada dos dados pessoais, visto permitir intromissões desproporcionais nos direitos fundamentais das pessoas. No caso em apreço, estava em causa o acesso aos dados pessoais transferidos para a sede do Facebook Inc., na Califórnia, por via do Facebook Ireland, pelas autoridades públicas dos EUA (nomeadamente de agências de segurança nacional, como o FBI e a NSA).

Também neste acórdão o TJ teve a oportunidade de se pronunciar acerca da validade das cláusulas-tipo de proteção. Com efeito, considerou-se que tais cláusulas são válidas, porém, a sua utilização sem mais, segundo o TJ, não assegura a licitude das transferências internacionais efetuadas. Para tal, deverá efetuar-se uma avaliação da legislação dos países terceiros de destino, a fim de se aferir se é concedido um nível de proteção adequado, ou se é necessário implementar medidas adicionais para assegurar uma proteção equivalente àquela que é concedida dentro do espaço da UE. No caso de não ser possível garantir esse nível de proteção, o TJ assinala que o exportador dos dados deverá suspender, ou até mesmo cancelar, a transferência dos dados.

Do exposto, parece resultar que a presente decisão vem afetar todas transferências de dados pessoais para fora do espaço da EU, e não apenas aquelas que se realizam para os EUA.

C. O que acontece às transferências de Dados que estavam a ser realizadas para os EUA ao abrigo do Privacy Shield Framework?

 

Uma vez que o TJ declarou a invalidade da Decisão n.º 2016/1250 com efeitos imediatos, estas transferências serão consideradas ilícitas. Contudo, e pese embora o aparente vazio jurídico, foram já apontadas algumas soluções para tentar regularizar quer as transferências em curso, quer as transferências futuras.

D. Quais as soluções?

D.1. A nível das instituições, gabinetes, órgãos e agências Europeias

A 6 de Outubro de 2020, o European Data Protection Supervisor (doravante “EDPS”) divulgou um documento com uma série de medidas destinadas às instituições, gabinetes, órgãos e agências da UE. As mesmas dividem-se em dois grupos: medidas a curto prazo e medidas a médio prazo.

Uma das medidas a curto prazo apresentadas consiste na realização de exercícios de levantamento, identificando quais os contratos, procedimentos de aquisição e outros tipos de cooperação em curso que envolvem transferências de dados.

Já uma das medidas a médio prazo consiste na realização de avaliações de impacto para averiguar se, na transferência em causa, é concedido um nível de proteção essencialmente equivalente ao da UE, no país terceiro de destino.

D.2. A nível dos operadores económicos

A nível dos operadores económicos, foram duas as soluções apontadas pelo TJ: recurso às derrogações e recurso às cláusulas contratuais-tipo.

 

Recurso às derrogações previstas no Artigo 49.º do RGPD:

O TJ no mencionado acórdão incentivou o recurso às derrogações previstas no Artigo 49.º do RGPD, como solução alternativa à invalidade do Privacy Shield Framework. Com efeito, entende este tribunal que as transferências de dados entre a UE e os EUA serão ainda possíveis caso se verifique uma das condições previstas na referida norma. A título de exemplo, e seguindo o entendimento do TJ, será ainda possível efetuar transferências para os EUA se as mesmas se basearem no consentimento do titular dos dados.

Contudo, importa sublinhar o carácter excecional do Artigo 49.º do RGPD. Isto é, o recurso às derrogações deverá restringir-se a situações específicas, sob pena de se subverter a ratio do regime instituído pelo RGPD.

Recurso às cláusulas contratuais-tipo:

Com o Acórdão Schrems II, a possibilidade de transferir dados pessoais com base em cláusulas contratuais-tipo, ou em regras vinculativas aplicáveis às empresas, fica dependente do resultado da sua avaliação, tendo em conta as circunstâncias das transferências, bem como a possibilidade de aplicação de medidas adicionais, sendo sempre necessário garantir que a legislação dos países terceiros destinatários não põe em causa o nível adequado de proteção necessário à realização da transferência.

Neste âmbito, cumpre assinalar que no passado dia 12 de Novembro de 2020, a Comissão Europeia publicou um Projeto de Implementação de novas cláusulas contratuais-tipo para a transferência internacional de dados pessoais. Deste último, têm-se destacado os seguintes pontos:

  • O âmbito de aplicação (as novas cláusulas contratuais-tipo permitem aos exportadores e importadores de dados selecionar as cláusulas que são relevantes para os tipos de transferências em que participam);
  • A abordagem “modular”(as novas cláusulas contratuais-tipo permitem uma abordagem “modular”, que contempla diferentes situações de transferência: entre responsáveis pelo tratamento; entre responsável pelo tratamento e subcontratante; entre subcontratantes; entre subcontratante e responsável pelo tratamento);
  • A aplicabilidade a exportadores não pertencentes ao Espaço Económico Europeu (doravante “EEE”) (As novas cláusulas contratuais-tipo não exigem que o exportador de dados esteja estabelecido no EEE);
  • A comunicação que deverá ser efetuada aos titulares dos dados (os titulares dos dados deverão ser notificados da transferência, e deverá ser-lhes entregue uma cópia das cláusulas contratuais-tipo);
  • O período de transição (está previsto um período de um ano, a partir da entrada em vigor da decisão da Comissão, durante o qual os exportares e importadores de dados pessoais poderão continuar a recorrer às cláusulas contratuais-tipo estabelecidas na Decisão n.º 2001/497/EC e 2010/87/EU para a execução de um contrato celebrado antes dessa data).

De notar, ainda, que na sequência da jurisprudência do Acórdão Schrems II, o European Data Protection Board (doravante “EDPB”) emitiu, a 10 de Novembro de 2020, dois conjuntos de recomendações:

  • Um relativo às medidas adicionais ou suplementares às “ferramentas” de transferência para garantir o nível de proteção concedido aos dados pessoais na U.E (Recomendações 01/2020);
  • E outro relativo às Garantias Europeias Essenciais que devem ser respeitadas para garantir que as interferências nos direitos fundamentais, ao transferir dados pessoais, não vão além do que é necessário e proporcional numa sociedade democrática (Recomendações 02/2020).

Recomendações 01/2020:

Estas recomendações visam auxiliar os exportadores de dados com a complexa tarefa de avaliar se os países terceiros destinatários reúnem as condições adequadas e necessárias à proteção dos dados pessoais, bem como a identificar quais serão as medidas adicionais necessárias para que essa proteção seja equivalente à concedida no espaço da U.E. Para este efeito, o EDPB vem recomendar seis passos que deverão ser seguidos, bem como alguns exemplos de medidas adicionais que poderão ser implementadas.

Dentre os passos recomendados, destacamos aquele que consiste numa reavaliação do nível de proteção conferido aos dados transferidos e monitorização de situações ou de desenvolvimentos que possam afetar a proteção concedida.

Quanto aos exemplos de medidas adicionais, o documento prevê uma lista exemplificativa de medidas técnicas, organizacionais e contratuais.

Recomendações 02/2020:

Nestas, o EDPB vem especificar os requisitos legais aplicáveis para justificar as limitações aos direitos fundamentais à proteção de dados e à privacidade. De facto, vem aquele considerar que tais requisitos podem ser resumidos em quatro Garantias Europeias Essenciais:

  • O tratamento deve basear-se em regras claras, precisas e acessíveis;
  • A necessidade e a proporcionalidade no que diz respeito aos objetivos legítimos prosseguidos devem ser demonstradas;
  • Deve existir um mecanismo de supervisão independente;
  • Os remédios eficazes precisam de estar disponíveis para o indivíduo

Estas Garantias – que se aplicam a todas as pessoas independentemente da sua nacionalidade – visam determinar melhor a forma de avaliar o nível de interferência nos direitos fundamentais à privacidade e à proteção de dados, no contexto das medidas de supervisão ou segurança adotadas pelas autoridades públicas de um país terceiro, aquando da transferência de dados pessoais.

Em todo o caso, cumpre sublinhar que, segundo o EDPB, caberá ao TJ a decisão sobre se as ingerências sobre determinado direito fundamental serão justificadas. Na ausência de tal decisão, serão as autoridades de proteção de dados as responsáveis pela avaliação de casos individuais, quer ex officio, quer na sequência de uma queixa.

Não obstante o supramencionado, há quem entenda, ainda assim, que o caminho para muitas transferências continua incerto. Agora, a grande questão que coloca reside em saber se as autoridades de controlo irão executar estas orientações e quando é que o farão.

Conhecimento