O Acórdão C 311/18, de 16 de julho de 2020 – “Schrems II” : primeiras reações

1- Tomando em consideração o Acórdão C‑362/14, de 6 de outubro de 2015 - Schrems e as conclusões do Advogado-Geral Henrik Saugmandsgaard Øe não pode surpreender a declaração de invalidade do “Privacy Shield” (Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016).

Numa das observações do Advogado-Geral: “Por último, em conformidade com a jurisprudência, o respeito pelo direito garantido no artigo 47.° da Carta pressupõe que a decisão de uma autoridade administrativa que não preencha, ela própria, as condições de independência fique sujeita à fiscalização posterior de um órgão jurisdicional competente para apreciar todas as questões pertinentes (220). Portanto, de acordo com as indicações prestadas na Decisão «Escudo de Proteção da Privacidade», as decisões do Mediador não são objeto de uma fiscalização jurisdicional independente.” (340), O que o levou a concluir no sentido de: “ (…) todas as considerações anteriores, tenho algumas dúvidas quanto à conformidade da Decisão «Escudo de Proteção da Privacidade» com o artigo 45.°, n.° 1, do RGPD, interpretado à luz dos artigos 7.°, 8.° e 47.° da Carta e do artigo 8.° da CEDH. (342).

Relativamente às semelhanças com “Schrems I”, no fundamental, o “Privacy Shield” não se distinguiu das soluções do “Safe Harbour” mas, essencialmente, continua a apresentar dificuldades idênticas dado o controlo prévio e massivo a que se encontram sujeitas as transferências de dados internacionais pela legislação norte-americana:

“Atendendo ao seu caráter geral, a derrogação que figura no ponto I.1.5, do Anexo II da Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016 possibilita, assim, ingerências, baseadas em requisitos relativos à segurança nacional e ao interesse público ou na legislação interna dos Estados Unidos, nos direitos fundamentais das pessoas cujos dados pessoais sejam ou possam ser transferidos da União para os Estados Unidos (v., por analogia, no que respeita à Decisão 2000/520, Acórdão de 6 de outubro de 2015, Schrems, C‑362/14, EU:C:2015:650, n.° 87). Mais especificamente, e como foi constatado, essas ingerências podem resultar do acesso aos dados pessoais transferidos da União para os Estados Unidos e da utilização desses dados pelas autoridades públicas americanas, no âmbito dos programas de vigilância PRISM e UPSTREAM, baseados na secção 702 FISA e no E O. 12333.” (165).

Tendo o TJUE invalidado a decisão “Safe Harbour”, seria difícil não encontrar no “Privacy Shield” razões para idêntico desfecho.

2- Num mundo sem “Privacy Shield” tudo está em saber com que fundamento de legitimidade podem ser desenvolvidas transferências de dados com os EUA.

Na decisão Schrems II, e em resposta à primeira das questões prejudiciais, O TJUE aclarou que se enquadrava no âmbito de aplicação do RGPD (artigo 2.º) “uma transferência de dados pessoais efetuada para fins comerciais por um operador económico estabelecido num Estado‑Membro para outro operador económico estabelecido num país terceiro” (Decisão 1).

A invalidade da decisão “Privacy Shield” não significa que exista um vazio jurídico nas transferências de dados pessoais (202), sendo aplicável o artigo 49.º do RGPD (ver Considerando 112) por não existir decisão de adequação aprovada pela Comissão e por não estarem preenchidas as garantias adequadas previstas no artigo 46.º.

Não tendo sido invalidadas as “standard contractual clauses” (SCC) previstas na Decisão 2010/87/UE da Comissão, de 5 de fevereiro de 2010, alterada pela Decisão de Execução (UE) 2016/2297 da Comissão, de 16 de dezembro de 2016, a transferência de dados obriga a uma maior ponderação por não existir uma decisão de cúpula como o foram o “Safe Harbour” ou o “Privacy Shield”.

Será mais exigente encontrar soluções que fundamentem a transferência de dados e, esta é a má notícia, a utilização das SCC não será, muito provavelmente, suficiente para garantir a proteção de dados de acordo com o RGPD. A legislação americana não foi nem parece que venha a ser alterada.