Schrems 2.0: Tribunal de Justiça das Comunidades Europeias Advogado-Geral Apresenta conclusões

On December 19, 2019, the European Court of Justice (ECJ) Advocate General, Henrik Saugmandsgaard ØE, provided his opinion on the validity of Standard Contractual Clauses (SCCs) adopted by the European Commission for the transfer of personal data from controllers to processors. The rendered opinion confirms that companies relying upon SCCs do not need to consider changing their approach at this time.

en flag
nl flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota do Editor: Em 19 de dezembro de 2019, o advogado-geral do Tribunal de Justiça das Comunidades Europeias (TJCE), Henrik Saugmandsgaard ØE, emitiu o seu parecer sobre a validade das Cláusulas Contratuais-Tipo (CCC) adotadas pela Comissão Europeia para a transferência de dados pessoais dos responsáveis pelo tratamento para os subcontratantes. O parecer apresentado confirma que as empresas que dependem de SCC não precisam de ponderar a possibilidade de alterar a sua abordagem neste momento. Fornecida neste post é uma compilação de extractos informativos que podem ser úteis para aqueles que procuram compreender o conteúdo e o contexto desta recente opinião sobre práticas de transferência de dados.

Um extrato de um artigo de Laura Song de Alston e Bird

Schrems 2.0: Cláusulas contratuais-tipo declaradas válidas pelo advogado-geral da UE

Contexto de opinião: Max Schrems apresentou pela primeira vez uma queixa contra as práticas de transferência de dados do Facebook junto da autoridade irlandesa de proteção de dados (Data Protection Commission ou DPC) em 2013, o que levou à invalidação do quadro de porto seguro EUA-UE pelo Tribunal de Justiça Europeu (TJCE), o tribunal mais alto de a UE, em outubro de 2015. Como resultado, muitas empresas que anteriormente contavam com Safe Harbor para transferências de dados adotaram SCCs para transferir dados para processadores fora da UE, uma vez que a substituição do Safe Harbor, Privacy Shield, não estava operacional até agosto de 2016.

Na sequência da decisão do Tribunal, o Sr. Schrems apresentou uma nova queixa ao DPC focada na transferência de dados pessoais do Facebook da UE para os EUA com base em SCC. Em resposta, a DPC procurou clareza através dos tribunais, não só sobre a validade dos SCC, mas também sobre o Escudo de Proteção da Privacidade. A DPC apresentou um pedido junto do High Court irlandês, que posteriormente submeteu o caso ao TJCE juntamente com 11 questões. Em 9 de julho de 2019, o TJCE ouviu argumentos orais no processo (Schrems 2.0).

Em 19 de dezembro de 2019, o advogado-geral do Tribunal Henrik Saugmandsgaard Øe apresentou as suas conclusões sobre a Schrems 2.0.

Leia o artigo completo na Schrems 2.0: Cláusulas contratuais-tipo declaradas válidas pelo advogado-geral da UE

Introdução e conclusão do parecer do Tribunal de Justiça Europeu

Conclusões do advogado-geral Saugmandsgaard ØE apresentadas em 19 de dezembro de 2019 (processo C-311/18)

Data Protection Commissionmission/Facebook Ireland Limited, Maximillian Schrems, intervenientes: Estados Unidos da América, Electronic Privacy Information Centre, BSA Business Software Alliance, Inc., Digitaleurope (pedido de decisão prejudicial apresentado pelo High Court, Irlanda).

Introdução

Na ausência de salvaguardas comuns em matéria de proteção de dados pessoais a nível mundial, os fluxos transfronteiriços desses dados implicam o risco de violação da continuidade do nível de proteção garantido na União Europeia. Desejoso de facilitar esses fluxos, limitando simultaneamente esse risco, o legislador da UE estabeleceu três mecanismos através dos quais os dados pessoais podem ser transferidos da União Europeia para um Estado terceiro.

Em primeiro lugar, essa transferência pode realizar-se com base numa decisão segundo a qual a Comissão Europeia conclua que o Estado terceiro em causa assegura um “nível adequado de protecção” dos dados transferidos para esse Estado. Em segundo lugar, na ausência de tal decisão, a transferência é autorizada quando é acompanhada de “garantias adequadas”. Essas salvaguardas podem assumir a forma de um contrato entre o exportador e o importador dos dados que contenham cláusulas-tipo de proteção adotadas pela Comissão. O RGPD prevê, em terceiro lugar, certas derrogações, baseadas, em particular, no consentimento do titular dos dados, que permitem a transferência dos dados para um país terceiro, mesmo na ausência de uma decisão de adequação ou de salvaguardas adequadas.

O pedido de decisão prejudicial apresentado pelo High Court, Irlanda (“High Court”) refere-se ao segundo desses mecanismos. Trata-se, mais especificamente, da validade da Decisão 2010/87/UE, segundo a qual a Comissão estabeleceu cláusulas contratuais-tipo para certas categorias de transferências, à luz dos artigos 7.o, 8.o e 47.o da Carta dos Direitos Fundamentais da União Europeia (“Carta”).

O pedido foi apresentado no âmbito de um processo interposto pelo Data Protection Commissioner, Irlanda (“DPC”) contra a Facebook Ireland Ltd e Maximillian Schrems relativamente a uma queixa apresentada por J. Schrems perante o DPC relativa à transferência de dados pessoais que lhe dizem respeito pelo Facebook Ireland para o Facebook, Inc., a sua empresa-mãe, estabelecida nos Estados Unidos da América (“Estados Unidos”). A DPC considera que a apreciação dessa denúncia está condicionada à validade da Decisão 2010/87. A este respeito, solicitou ao órgão jurisdicional de reenvio que solicitasse esclarecimentos ao Tribunal de Justiça sobre este ponto.

Permitam-me que diga, em primeiro lugar, que a análise das questões prejudiciais não revelou, em meu entender, qualquer coisa que afecte a validade da Decisão 2010/87.

Além disso, o órgão jurisdicional de reenvio salientou certas dúvidas relacionadas, no essencial, com a adequação do nível de proteção garantido pelos Estados Unidos no que diz respeito às interferências das autoridades de inteligência dos Estados Unidos no exercício dos direitos fundamentais das pessoas cujos dados são transferidos para os Estados Unidos. Essas dúvidas põem indiretamente em causa as avaliações efetuadas pela Comissão a este respeito na Decisão de Execução 2016/1250. (Embora a resolução do litígio no processo principal não exija que o Tribunal de Justiça resolva esta questão e, por conseguinte, sugiro que se abstenha de o fazer, exponho, em alternativa, as razões que me levam a pôr em causa a validade dessa decisão.

A minha análise no seu conjunto será orientada pelo desejo de estabelecer um equilíbrio entre, por um lado, a necessidade de mostrar um “grau razoável de pragmatismo para permitir a interacção com outras partes do mundo” e, por outro lado, a necessidade de afirmar os valores fundamentais reconhecidos nas ordens jurídicas do a União e os seus Estados-Membros, nomeadamente na Carta.

Conclusão

Proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pelo High Court, Irlanda, do seguinte modo:

A análise das questões prejudiciais não revelou qualquer efeito sobre a validade da Decisão 2010/87/UE da Comissão, de 5 de Fevereiro de 2010, relativa às cláusulas contratuais-tipo para a transferência de dados pessoais para subcontratantes estabelecidos em países terceiros ao abrigo da Directiva 95/46/CE do Parlamento Europeu e do Conselho, com a redação que lhe foi dada pela Decisão de Execução (UE) 2016/2297 da Comissão, de 16 de dezembro de 2016.

Leia as conclusões completas nas conclusões do advogado-geral Saugmandsgaard ØE apresentadas em 19 de dezembro de 2019 (processo C-311/18)

Notícias Comentário da Comissão de Proteção de Dados (DPC) Irlanda

Declaração do DPC sobre o parecer do AG sobre o processo #C -311/18 TJUE

A DPC congratula-se com a publicação do parecer do AG sobre o processo #C -311/18 do TJUE. O parecer ilustra os níveis de complexidade associados aos tipos de questões que surgem quando as leis da UE em matéria de proteção de dados interagem com as leis de países terceiros, para incluir as leis dos Estados Unidos. Da mesma forma, a secção de abertura do parecer reconhece as tensões significativas que surgem entre, por um lado, a necessidade de mostrar pragmatismo e, por outro, “a necessidade de afirmar os valores fundamentais reconhecidos nas ordens jurídicas da União e dos seus Estados-Membros e, em particular, a Carta”.

Alguns dos pontos de complexidade aqui envolvidos vão para questões de fundo. Tomando apenas três exemplos: a legislação da UE se aplica quando os dados pessoais do titular dos dados são tratados por autoridades públicas de um país terceiro (o AG acredita que sim); as leis e práticas dos EUA facilitam interferências nos direitos de proteção de dados das pessoas que são incompatíveis com o direito da UE ( o ponto de vista do AG); e são esses problemas curados pelo Escudo de Proteção da Privacidade (não, na opinião do AG).

Separadamente, o parecer observa igualmente que, em casos individuais, as cláusulas contratuais-tipo também podem não dar resposta aos problemas que surgem quando as transferências de dados colocam os dados dos cidadãos da UE no âmbito das competências das autoridades públicas dos EUA. Neste ponto, as complexidades processuais também vêm em vista. Especificamente, quem deve intervir quando, no contexto de uma transferência individual, o nível de protecção exigido pelo direito comunitário não pode ser mantido? Neste contexto, embora reconhecendo as suas imperfeições e as dificuldades práticas que apresenta, e não obstante o risco de fragmentação entre as autoridades de supervisão nos Estados-Membros, o AG conclui que a abordagem adoptada pela UE no contexto dos CCSC estabelece um equilíbrio adequado entre pragmatismo e princípio. Esta abordagem é uma abordagem em que a responsabilidade de garantir a proteção dos direitos de proteção de dados dos cidadãos da UE cabe, em primeira instância, aos responsáveis pelo tratamento e, na opinião do AG, às autoridades nacionais de supervisão em que o responsável pelo tratamento não cumpra as suas obrigações.

Embora saliente que estas questões ainda não foram determinadas pelo Tribunal, a DPC congratula-se com a clareza da análise contida no parecer do AG.

Leia o anúncio de notícias original na declaração do DPC sobre o parecer da AG sobre o caso C-311/18 CJEU

Leitura adicional

Tribunal de Justiça da União Europeia (TJUE)

Comissão de Proteção de Dados (DPC) Irlanda

Fonte: ComplexDiscovery

Festivo ou Inquieto? A pesquisa de confiança dos negócios eDiscovery no outono de 2020

Since January 2016, 2,189 individual responses to nineteen quarterly eDiscovery Business...

Sueded azul? Considerações para a tomada de decisão

While an understanding of decisions from definitions and elements to cornerstones...

Socialmente Aceitável? Diretrizes da EDBP sobre o direcionamento de usuários de mídias sociais

According to the recently published EDPB guidelines on the targeting of...

O que é Kratt? Uma Visão e Conceito para Inteligência Artificial na Estónia

Published originally on Independence Day in Estonia, the vision and concept...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guia de Compradores de Sistemas de Disclosure — Edição 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

A Corrida para a Linha de Partida? Anúncios recentes de revisão remota segura

Not all secure remote review offerings are equal as the apparent...

Ativando a Descoberta Eletrônica Remota? Um instantâneo de DAaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Para casa ou para fora? Considerações de preço e dimensionamento do mercado de coleta de eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Revisões e decisões? Novas considerações sobre análises remotas seguras de eDiscovery

One of the key revision and decision areas that business, legal,...

Uma visão macro do tamanho do mercado de descoberta eletrônica passado e projetado de 2012 a 2024

From a macro look at past estimations of eDiscovery market size...

Um Mashup de tamanho de mercado de eDiscovery: 2019-2024 Visão geral de software e serviços em todo o mundo

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Festivo ou Inquieto? A pesquisa de confiança dos negócios eDiscovery no outono de 2020

Since January 2016, 2,189 individual responses to nineteen quarterly eDiscovery Business...

Lançando uma rede mais larga? Pesquisa de Protocolos e Tecnologias de Codificação Preditiva — Resultados do Out

The Predictive Coding Technologies and Protocols Survey is a non-scientific semi-annual...

Negócios como incomuns? Dezoito observações sobre a confiança dos negócios de eDiscovery no verão de 2020

Based on the aggregate results of nineteen past eDiscovery Business Confidence...

Uma preocupação crescente? Restrições orçamentárias e o negócio de eDiscovery

In the summer of 2020, 56% of respondents viewed budgetary constraints...

ayfie para Adquirir Haive

According to Johannes Stiehler, CEO of ayfie Group AS, “This acquisition...

Descoberta inovadora e Integro

“Integro and Innovative Discovery’s services and solutions are highly complementary. Our...

Parceiros de crescimento de software fazem investimento maioritário na Venio Systems

According to the press announcement, industry analysts have enthusiastically supported this...

Revelar adquire NexLP

According to Jay Leib, Co-Founder and CEO of NexLP, "We chose...

Cinco grandes leituras sobre eDiscovery para agosto de 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Cinco grandes leituras sobre eDiscovery em julho de 2020

From business confidence and operational metrics to data protection and privacy...

Cinco grandes leituras sobre eDiscovery em junho de 2020

From collection market size updates to cloud outsourcing guidelines, the June...

Cinco grandes leituras sobre eDiscovery em maio de 2020

From review market sizing revisions to pandemeconomic pricing, the May 2020...