Schrems 2.0: Tribunal de Justiça das Comunidades Europeias Advogado-Geral Apresenta conclusões

On December 19, 2019, the European Court of Justice (ECJ) Advocate General, Henrik Saugmandsgaard ØE, provided his opinion on the validity of Standard Contractual Clauses (SCCs) adopted by the European Commission for the transfer of personal data from controllers to processors. The rendered opinion confirms that companies relying upon SCCs do not need to consider changing their approach at this time.

en flag
nl flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota do Editor: Em 19 de dezembro de 2019, o advogado-geral do Tribunal de Justiça das Comunidades Europeias (TJCE), Henrik Saugmandsgaard ØE, emitiu o seu parecer sobre a validade das Cláusulas Contratuais-Tipo (CCC) adotadas pela Comissão Europeia para a transferência de dados pessoais dos responsáveis pelo tratamento para os subcontratantes. O parecer apresentado confirma que as empresas que dependem de SCC não precisam de ponderar a possibilidade de alterar a sua abordagem neste momento. Fornecida neste post é uma compilação de extractos informativos que podem ser úteis para aqueles que procuram compreender o conteúdo e o contexto desta recente opinião sobre práticas de transferência de dados.

Um extrato de um artigo de Laura Song de Alston e Bird

Schrems 2.0: Cláusulas contratuais-tipo declaradas válidas pelo advogado-geral da UE

Contexto de opinião: Max Schrems apresentou pela primeira vez uma queixa contra as práticas de transferência de dados do Facebook junto da autoridade irlandesa de proteção de dados (Data Protection Commission ou DPC) em 2013, o que levou à invalidação do quadro de porto seguro EUA-UE pelo Tribunal de Justiça Europeu (TJCE), o tribunal mais alto de a UE, em outubro de 2015. Como resultado, muitas empresas que anteriormente contavam com Safe Harbor para transferências de dados adotaram SCCs para transferir dados para processadores fora da UE, uma vez que a substituição do Safe Harbor, Privacy Shield, não estava operacional até agosto de 2016.

Na sequência da decisão do Tribunal, o Sr. Schrems apresentou uma nova queixa ao DPC focada na transferência de dados pessoais do Facebook da UE para os EUA com base em SCC. Em resposta, a DPC procurou clareza através dos tribunais, não só sobre a validade dos SCC, mas também sobre o Escudo de Proteção da Privacidade. A DPC apresentou um pedido junto do High Court irlandês, que posteriormente submeteu o caso ao TJCE juntamente com 11 questões. Em 9 de julho de 2019, o TJCE ouviu argumentos orais no processo (Schrems 2.0).

Em 19 de dezembro de 2019, o advogado-geral do Tribunal Henrik Saugmandsgaard Øe apresentou as suas conclusões sobre a Schrems 2.0.

Leia o artigo completo na Schrems 2.0: Cláusulas contratuais-tipo declaradas válidas pelo advogado-geral da UE

Introdução e conclusão do parecer do Tribunal de Justiça Europeu

Conclusões do advogado-geral Saugmandsgaard ØE apresentadas em 19 de dezembro de 2019 (processo C-311/18)

Data Protection Commissionmission/Facebook Ireland Limited, Maximillian Schrems, intervenientes: Estados Unidos da América, Electronic Privacy Information Centre, BSA Business Software Alliance, Inc., Digitaleurope (pedido de decisão prejudicial apresentado pelo High Court, Irlanda).

Introdução

Na ausência de salvaguardas comuns em matéria de proteção de dados pessoais a nível mundial, os fluxos transfronteiriços desses dados implicam o risco de violação da continuidade do nível de proteção garantido na União Europeia. Desejoso de facilitar esses fluxos, limitando simultaneamente esse risco, o legislador da UE estabeleceu três mecanismos através dos quais os dados pessoais podem ser transferidos da União Europeia para um Estado terceiro.

Em primeiro lugar, essa transferência pode realizar-se com base numa decisão segundo a qual a Comissão Europeia conclua que o Estado terceiro em causa assegura um “nível adequado de protecção” dos dados transferidos para esse Estado. Em segundo lugar, na ausência de tal decisão, a transferência é autorizada quando é acompanhada de “garantias adequadas”. Essas salvaguardas podem assumir a forma de um contrato entre o exportador e o importador dos dados que contenham cláusulas-tipo de proteção adotadas pela Comissão. O RGPD prevê, em terceiro lugar, certas derrogações, baseadas, em particular, no consentimento do titular dos dados, que permitem a transferência dos dados para um país terceiro, mesmo na ausência de uma decisão de adequação ou de salvaguardas adequadas.

O pedido de decisão prejudicial apresentado pelo High Court, Irlanda (“High Court”) refere-se ao segundo desses mecanismos. Trata-se, mais especificamente, da validade da Decisão 2010/87/UE, segundo a qual a Comissão estabeleceu cláusulas contratuais-tipo para certas categorias de transferências, à luz dos artigos 7.o, 8.o e 47.o da Carta dos Direitos Fundamentais da União Europeia (“Carta”).

O pedido foi apresentado no âmbito de um processo interposto pelo Data Protection Commissioner, Irlanda (“DPC”) contra a Facebook Ireland Ltd e Maximillian Schrems relativamente a uma queixa apresentada por J. Schrems perante o DPC relativa à transferência de dados pessoais que lhe dizem respeito pelo Facebook Ireland para o Facebook, Inc., a sua empresa-mãe, estabelecida nos Estados Unidos da América (“Estados Unidos”). A DPC considera que a apreciação dessa denúncia está condicionada à validade da Decisão 2010/87. A este respeito, solicitou ao órgão jurisdicional de reenvio que solicitasse esclarecimentos ao Tribunal de Justiça sobre este ponto.

Permitam-me que diga, em primeiro lugar, que a análise das questões prejudiciais não revelou, em meu entender, qualquer coisa que afecte a validade da Decisão 2010/87.

Além disso, o órgão jurisdicional de reenvio salientou certas dúvidas relacionadas, no essencial, com a adequação do nível de proteção garantido pelos Estados Unidos no que diz respeito às interferências das autoridades de inteligência dos Estados Unidos no exercício dos direitos fundamentais das pessoas cujos dados são transferidos para os Estados Unidos. Essas dúvidas põem indiretamente em causa as avaliações efetuadas pela Comissão a este respeito na Decisão de Execução 2016/1250. (Embora a resolução do litígio no processo principal não exija que o Tribunal de Justiça resolva esta questão e, por conseguinte, sugiro que se abstenha de o fazer, exponho, em alternativa, as razões que me levam a pôr em causa a validade dessa decisão.

A minha análise no seu conjunto será orientada pelo desejo de estabelecer um equilíbrio entre, por um lado, a necessidade de mostrar um “grau razoável de pragmatismo para permitir a interacção com outras partes do mundo” e, por outro lado, a necessidade de afirmar os valores fundamentais reconhecidos nas ordens jurídicas do a União e os seus Estados-Membros, nomeadamente na Carta.

Conclusão

Proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pelo High Court, Irlanda, do seguinte modo:

A análise das questões prejudiciais não revelou qualquer efeito sobre a validade da Decisão 2010/87/UE da Comissão, de 5 de Fevereiro de 2010, relativa às cláusulas contratuais-tipo para a transferência de dados pessoais para subcontratantes estabelecidos em países terceiros ao abrigo da Directiva 95/46/CE do Parlamento Europeu e do Conselho, com a redação que lhe foi dada pela Decisão de Execução (UE) 2016/2297 da Comissão, de 16 de dezembro de 2016.

Leia as conclusões completas nas conclusões do advogado-geral Saugmandsgaard ØE apresentadas em 19 de dezembro de 2019 (processo C-311/18)

Notícias Comentário da Comissão de Proteção de Dados (DPC) Irlanda

Declaração do DPC sobre o parecer do AG sobre o processo #C -311/18 TJUE

A DPC congratula-se com a publicação do parecer do AG sobre o processo #C -311/18 do TJUE. O parecer ilustra os níveis de complexidade associados aos tipos de questões que surgem quando as leis da UE em matéria de proteção de dados interagem com as leis de países terceiros, para incluir as leis dos Estados Unidos. Da mesma forma, a secção de abertura do parecer reconhece as tensões significativas que surgem entre, por um lado, a necessidade de mostrar pragmatismo e, por outro, “a necessidade de afirmar os valores fundamentais reconhecidos nas ordens jurídicas da União e dos seus Estados-Membros e, em particular, a Carta”.

Alguns dos pontos de complexidade aqui envolvidos vão para questões de fundo. Tomando apenas três exemplos: a legislação da UE se aplica quando os dados pessoais do titular dos dados são tratados por autoridades públicas de um país terceiro (o AG acredita que sim); as leis e práticas dos EUA facilitam interferências nos direitos de proteção de dados das pessoas que são incompatíveis com o direito da UE ( o ponto de vista do AG); e são esses problemas curados pelo Escudo de Proteção da Privacidade (não, na opinião do AG).

Separadamente, o parecer observa igualmente que, em casos individuais, as cláusulas contratuais-tipo também podem não dar resposta aos problemas que surgem quando as transferências de dados colocam os dados dos cidadãos da UE no âmbito das competências das autoridades públicas dos EUA. Neste ponto, as complexidades processuais também vêm em vista. Especificamente, quem deve intervir quando, no contexto de uma transferência individual, o nível de protecção exigido pelo direito comunitário não pode ser mantido? Neste contexto, embora reconhecendo as suas imperfeições e as dificuldades práticas que apresenta, e não obstante o risco de fragmentação entre as autoridades de supervisão nos Estados-Membros, o AG conclui que a abordagem adoptada pela UE no contexto dos CCSC estabelece um equilíbrio adequado entre pragmatismo e princípio. Esta abordagem é uma abordagem em que a responsabilidade de garantir a proteção dos direitos de proteção de dados dos cidadãos da UE cabe, em primeira instância, aos responsáveis pelo tratamento e, na opinião do AG, às autoridades nacionais de supervisão em que o responsável pelo tratamento não cumpra as suas obrigações.

Embora saliente que estas questões ainda não foram determinadas pelo Tribunal, a DPC congratula-se com a clareza da análise contida no parecer do AG.

Leia o anúncio de notícias original na declaração do DPC sobre o parecer da AG sobre o caso C-311/18 CJEU

Leitura adicional

Tribunal de Justiça da União Europeia (TJUE)

Comissão de Proteção de Dados (DPC) Irlanda

Fonte: ComplexDiscovery