A transferência de dados pessoais para os Estados Unidos: consequências do Acórdão Schrems II (C-311/18), de 15 de julho de 2020.

1- O tema do momento no universo da proteção de dados pessoais respeita às consequências e aos efeitos do designado Acórdão Schrems II de 15 de julho de 2020, decidido pelo Tribunal de Justiça da União Europeia (TJUE). A leitura desta decisão deve ser acompanhada pelo Acórdão Schrems I (C-362/14), de 6 de outubro de 2015.

Trata-se de um aresto com um enorme impacto económico que se projeta para além dos 7 triliões de USD e que pode causar uma grande incerteza nos operadores económicos.

Os factos respeitam a uma queixa apresentada por Maximiliam Schrems, advogado e ativista austríaco, fundador do NOYB (none of your business) – European Centre for Digital Rights, em 2013 (antes de ser invalidada a Decisão Safe-Harbour) apresentou uma queixa à Autoridade de Controlo Irlandesa contra o Facebook Ireland Ltd, por proceder a transferências de dados pessoais para os Estados -Unidos não existindo proteção suficiente na legislação norte-americana por existirem mecanismos de vigilância massivos desenvolvidos entre outros pela National Security Agency (NSA) e pelo FBI.

Por exemplo, nos termos da secção 702 da [Foreign Intelligence Surveillance Act (FISA)] [o United States Foreign Intelligence Surveillance Court (FISC) (Tribunal de supervisão dos serviços de informações externas dos Estados Unidos)] não autoriza medidas de vigilância individuais; em vez disso, autoriza programas de vigilância (tais como o PRISM e o UPSTREAM) com base em certificações anuais elaboradas pelo [United States Attorney General (procurador geral)] e o Director of National Intelligence [(DNI) (Diretor dos Serviços Nacionais de Informações)] (p. 45).

Após desenvolvimentos processuais que passaram pelo arquivamento e reabertura da queixa, o Supremo Tribunal irlandês apresentou ao TJUE um reenvio prejudicial, em maio de 2018, relativo a questões sobre a validade de Standard Contractual Clauses (SCC) (Decisão 2010/87/UE da Comissão, de 5 de fevereiro de 2010, alterada pela Decisão de Execução (UE) 2016/2297 da Comissão, de 16 de dezembro de 2016,) e do Privacy Shield (Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016) tendo por base os artigos 7.º, (direito à vida privada), 8.º (direito à proteção de dados pessoais) e artigo 52.º (âmbito e interpretação dos direitos fundamentais) da Carta de Direitos Fundamentais da União Europeia (CDFUE).

2- Esclarecendo a âmbito de aplicação do Regulamento Geral de Proteção de Dados (RGPD) no caso concreto, o TJUE decidiu que este se aplicava nos casos de transferências entre operadores comerciais em que existissem tratamentos de dados pessoais para fins de segurança pública, defesa e segurança nacional, quando realizadas por Estados-terceiros (artigo 2.º do RGPD) (p.86).

Tratamentos de dados pessoais desta natureza, legitimados por legislação geral ou sectorial fazem necessariamente parte da decisão sobre o caráter adequado do nível de proteção de um país terceiro (p.87).

A necessidade de serem respeitadas garantias adequadas de proteção de dados aplica-se quer a decisões de adequação aprovadas pela Comissão – Privacy Shield – quer às SCC (p. 96, com referência aos artigos 45.º e 46.º do RGPD).

Com base neste quadro percebe-se mal que o TJUE venha a sustentar que as SCC não estejam sujeitas pela Comissão a um sufrágio do caráter adequado de proteção por não se dirigirem a um Estado em concreto. São assim “interpretados” os artigos 46.º, n.º 1 e 46.°, n.° 2, alínea c) (p. 130).

De acordo com esta interpretação o TJUE emitiu uma decisão que tem tanto de histórico na defesa de direitos fundamentais, como de “político” na forma como interpreta o RGPD de modo a atribuir às autoridades de controlo a competência para verificar se as SCC respeitam as condições da transferência de dados (p. 113).

Pensando nos autos, em que está em causa a mesma legislação norte-americana, independentemente de se estar perante uma decisão de adequação ou SCC fortalecidas com exigências de appropriate safeguards, enforceable rights and effective legal remedies será difícil encontrar respostas seguras e categóricas que fundamentem a legitimidade de transferências de dados para os Estados Unidos.

Estamos convencidos que o TJUE, dentro da sua lógica de decidir “politicamente” não pretendeu deixar um vazio jurídico, apesar de a decisão ter efeitos mediatos (p.202). A invalidade da decisão Privacy Shield não afeta a aplicabilidade das derrogações do artigo artigo 49.º do RGPD (ver Considerando 112) por não existir decisão de adequação aprovada pela Comissão e por não estarem preenchidas as garantias adequadas previstas no artigo 46.º.

3- Se a invalidade do Privacy Shield está relacionada com a legislação de segurança dos Estados Unidos, as SCC que tenham por destino os EUA também deveriam ter como resultado a mesma consequência jurídica (como referimos o TJUE elabora uma tese para não o fazer). As construções jurídicas a partir daqui possíveis para assegurar as transferências de dados para os os Estados Unidos são complexas e variadas, caminhando desde decisões ad hoc até binding corporate rules, mas dificilmente se pode verificar o respeito pelos artigos 7.º, 8.º e 52.º, da CDFUE. Não é excessivo afirmar que, em fundo, se ouve o anúncio de um Schrems III (próximos 5 anos?).