Nota do editor: O Comité Europeu para a Proteção de Dados (AEPD) é um organismo europeu independente, que contribui para a aplicação coerente das regras de proteção de dados em toda a União Europeia e promove a cooperação entre as autoridades de proteção de dados da UE. Recentemente, em resposta ao acórdão do Tribunal de Justiça da União Europeia (TJUE) no marco do Data Protection Commission/Facebook Irlanda e Maximillian Schrems (Schrems II), o EDPB publicou um documento de perguntas frequentes (FAQ) destinado a fornecer esclarecimentos iniciais e preliminares Orientações sobre o acórdão. Fornecida para sua revisão e uso é uma cópia completa deste FAQ publicado recentemente.
Retirado do Comité Europeu para a Proteção de Dados (AEPD), Andrea Jelinek
Conselho Europeu para a Proteção de Dados publica documento de perguntas frequentes sobre o acórdão C-311/18 do TJUE (Schrems II)
Extração de Documento
Este documento visa apresentar respostas a algumas perguntas frequentes recebidas pelas autoridades de supervisão (“SA”) e será desenvolvido e complementado com uma análise mais aprofundada, uma vez que o AEPD continua a examinar e a avaliar o acórdão do Tribunal de Justiça da União Europeia (“Tribunal”).
O acórdão C-311/18 pode ser consultado aqui, e o comunicado de imprensa do Tribunal pode ser consultado aqui.
O que decidiu o Tribunal de Justiça no seu acórdão?
No seu acórdão, o Tribunal examinou a validade da Decisão 2010/87/CE da Comissão Europeia relativa às cláusulas contratuais-tipo (“CCC”) e considerou-a válida. Com efeito, a validade dessa decisão não é posta em causa pelo simples facto de as cláusulas normalizadas de proteção de dados constantes dessa decisão não vincularem, uma vez que são de natureza contratual, as autoridades do país terceiro para o qual os dados podem ser transferidos.
No entanto, essa validade, acrescentou o Tribunal, depende se a Decisão 2010/87/CE inclui mecanismos eficazes que permitam, na prática, garantir o cumprimento do nível de proteção essencialmente equivalente ao garantido na UE pelo RGPD e que as transferências de dados pessoais nos termos do a tais cláusulas são suspensas ou proibidas em caso de violação de tais cláusulas ou de impossibilidade de honrá-las.
A este respeito, o Tribunal de Justiça salienta, em especial, que a Decisão 2010/87/CE impõe a um exportador de dados e ao destinatário dos dados (“importador de dados”) a obrigação de verificar, antes de qualquer transferência, e tendo em conta as circunstâncias da transferência, se esse nível de proteção é respeitado no país terceiro em causa, e que a Decisão 2010/87/CE exige que o importador de dados informe o exportador de dados de qualquer incapacidade de cumprir as cláusulas normalizadas de proteção de dados e, se necessário, de quaisquer medidas suplementares às propostas por essa cláusula, sendo o exportador de dados, por sua vez, obrigados a suspender a transferência de dados e/ou rescindir o contrato com o importador de dados
O Tribunal examinou igualmente a validade da Decisão relativa ao Escudo de Proteção da Privacidade (Decisão 2016/1250 relativa à adequação da proteção proporcionada pela UE-EUA. Escudo de Proteção da Privacidade), uma vez que as transferências em jogo no contexto do litígio nacional que levou ao pedido de decisão prejudicial ocorreram entre a UE e os Estados Unidos (“EUA”).
O Tribunal considerou que os requisitos da legislação nacional dos EUA, em particular certos programas que permitem o acesso das autoridades públicas dos EUA aos dados pessoais transferidos da UE para os EUA para fins de segurança nacional, resultam em limitações à proteção de dados pessoais que não são circunscritos de uma forma que satisfaça requisitos essencialmente equivalentes aos exigidos pela legislação da UE, e que esta legislação não conceda aos titulares dos dados direitos acionáveis perante os tribunais contra as autoridades dos EUA.
Em consequência de tal grau de interferência nos direitos fundamentais das pessoas cujos dados são transferidos para esse país terceiro, o Tribunal declarou inválida a decisão relativa ao Escudo de Proteção da Privacidade.
Revise o Documento Completo de Perguntas Frequentes (PDF)
Perguntas frequentes sobre o Acórdão Schrems II do TJUE — 24 de julho de 2020
Leia as perguntas frequentes originais do Comité Europeu para a Proteção de Dados
Leitura Adicional
TJUE anula a Decisão sobre a Adequação da Proteção ao abrigo do Escudo de Proteção de Dados UE-EUA
A Idade do Consentimento? Diretrizes do Conselho Europeu de Proteção de Dados sobre Consentimento ao abrigo do RGPD
Fonte: ComplexDiscovery