O Tribunal de Justiça da União Europeia acaba de publicar aquela que é a decisão mais importante dos últimos anos relativamente à privacidade e à protecção de dados pessoais.

O Tribunal considerou inválido o acordo Privacy Shield, que permitia a transferência de dados pessoais dos cidadãos europeus para os EUA. O Tribunal considerou que devido aos programas de vigilância massiva realizados pelos EUA, conhecidos pelo menos desde as revelações de Edward Snowden, os dados pessoais dos europeus não gozam, nos EUA, de níveis de proteção equivalente aos existentes na União Europeia, havendo portanto uma violação dos direitos fundamentais dos cidadãos europeus.

No cerne do questão está o facto de no pós-11 de Setembro de 2001, os EUA terem implementado diversos programas de vigilância massiva que não são compatíveis com as leis europeias de protecção de dados pessoais e em geral com o regime de protecção de direitos fundamentais vigente na União Europeia. Esta é a segunda vez que o TJUE invalida um acordo deste tipo, por motivos semelhantes, depois de em 2015 ter também invalidado o acordo Safe Harbor.

A decisão terá impacto em todas as empresas que optam por transferir dados pessoais de cidadãos europeus para os EUA. Essas empresas terão agora de reavaliar as suas práticas, e porventura optar antes por transferir os dados pessoais para países que respeitam os direitos fundamentais dos titulares desses dados, ou arriscarem-se a sofrer as perdas multas previstas no Regulamento Geral de Protecção de Dados, que podem chegar aos 20 milhões de euros ou 4% das suas receitas globais (o que for maior).

Recordando

Em 2015, na sequência das revelações de Edward Snowden, o Tribunal de Justiça anulou o acordo Safe Harbor (Porto Seguro). Este acordo proporcionava a necessária cobertura legal às empresas que quisessem realizar transferências de dados pessoais entre a Europa e os EUA. O acordo pressupunha que ambas as jurisdições garantissem um idêntico nível de elevada protecção dos direitos dos cidadãos. Tal permitiria, em teoria, que quando os dados pessoais de um cidadão da União Europeia fossem transferidos, por uma qualquer empresa, para os EUA, esse cidadão beneficiasse nos EUA de um nível de protecção de dados pessoais “essencialmente equivalente” à que disfruta na UE.

No entanto, como as revelações de Snowden colocaram em evidência, tal não era o caso no que respeita aos EUA. A lei americana permitia a existência de programas de vigilância massiva dos cidadãos e de colecta de dados pessoais pelo governo dos EUA. Ao abrigo de programas como o PRISM ou o Upstream, as empresas americadas como a Apple, Microsoft, Facebook, Google ou Yahoo eram forçadas a fornecer informações ao governo americano, consequentemente não poderiam garantir aos cidadãos europeus que os seus dados pessoais gozavam de um nível de protecção equivalente ao europeu. Foi também levantado o véu sobre a rede de operações de espionagem norte-americana, tanto em países inimigos como amigos, incluindo os da UE.

Assim, o Tribunal determinou que os EUA não cumpriam os níveis de protecção garantidos pela lei europeia, já que as leis dos EUA davam às autoridades públicas um direito generalizado de acesso aos dados pessoais, o que violava o direito fundamental à privacidade previsto no Art. 7º da Carta dos Direitos Fundamentais da União Europeia. No Acórdão Schrems, o TJUE declarou a invalidade do acordo Safe Harbor, com base na violação do direito à privacidade, do direito à protecção de dados, e direito a um julgamento justo. Este caso chegou ao TJUE graças ao activista Max Schrems, então um estudante de Direito austríaco que processou o Facebook por transferir os seus dados pessoais para os EUA.

No entanto, logo no ano seguinte, em 2016, a União Europeia voltaria a celebrar um novo acordo com os EUA, denominado Privacy Shield (Escudo de Privacidade). Também este acordo garantiria, pelo menos em teoria, a protecção dos dados pessoais dos europeus. A Comissão Europeia entendeu então que não existia qualquer conflito entre as leis americanas de vigilância e os direitos fundamentais dos cidadãos europeus, tendo mantido essa posição nas três revisões anuais que realizou posteriormente. Foram apenas adoptadas medidas com pouco impacto que nunca resolveram os problemas de fundo.

Aliás, foi em plena vigência do Privacy Shield que ocorreu o escândalo Cambridge Analytica, em 2018. A empresa possuia uma certificação Privacy Shield, o que não a impediu de recolher ilícitamente dados pessoais de mais de 87 milhões de utilizadores do Facebook, que foram usados para criar perfis psicológicos de cada pessoa, separando-as em grupos específicos, para fins que foram considerados uma “manipulação da democracia à escala global”.
Este caso redundou numa multa aplicada pelas autoridades norte-americanas ao Facebook, que prontamente a pagou, sem que isso sequer se reflectisse no valor da empresa em bolsa. Uma clara indicação de que não existia por parte dos EUA uma real vontade política de reformar a sua legislação e colocar um travão sério a este tipo de práticas.

De facto, posteriormente ao Acordão Schrems e à queda do Safe Harbor, as práticas de espionagem e vigilância dos EUA não apenas continuaram, como os seus poderes de vigilância foram até expandidos através de vários instrumentos legais. Os mais comummente referidos são a “Secção 702 do FISA” (Foreign Intelligence Surveillance Act), ou a “Ordem Executiva 12333”. A primeira permite à NSA recolher informações sobre cidadãos estrangeiros (não-americanos, localizados fora dos EUA), através do acesso aos dados armazenados em fornecedores de serviços de comunicações electrónicas, como o Facebook, que são forçados a ceder essa informação respeitante por exemplo a dados pessoais, chamadas telefónicas, emails e telecomunicações em geral. A segunda permite às agências de inteligência dos EUA aceder por exemplo a toda a informação que passa nos cabos submarinos transatlânticos; a segunda

Os EUA continuam, até hoje, sem uma lei federal de protecção de dados, e sem implementar algum tipo de estrutura séria de protecção de dados e de supervisão da privacidade. As poucas limitações ainda existentes protegem somente cidadãos norte-americanos.

Ainda assim, a Comissão Europeia tem vindo a preferir agradar aos parceiros americanos, em detrimento da protecção dos direitos fundamentais dos cidadãos europeus. Pese embora ameaças simbólicas do Parlamento Europeu, a verdade é que o acordo Privacy Shield continuava a vigorar até hoje.

Foi mais uma vez Max Schrems, que entretanto formou a NOYB (membro da rede EDRi, tal como a D3), que conseguiu invalidar este segundo acordo de transferência de dados entre os EUA e UE. Curiosamente, o anterior processo judicial de Schrems contra o Facebook acabaria por dar origem a um novo processo envolvendo ambas as partes e ainda a autoridade de controlo da Irlanda (o Estado-membro original do processo judicial) que, depois de várias peripécias, acabaria por voltar mais uma vez ao TJUE, anos após a decisão sobre o Safe Harbor, desta feita tendo como consequência a declaração de invalidade do herdeiro do Safe Harbor: o Privacy Shield. Também o grupo activista La Quadrature du Net, membro observador da EDRi, mantinha em processo judicial no TJUE com o mesmo fim.

As práticas de vigilância massiva do governo norte-americano, reveladas por Snowden em 2013, continuam a fazer danos. É tempo de fazer escolhas. É tempo de a União Europeia admitir que as práticas de vigilância massiva dos EUA não são e nunca serão compatíveis com a protecção dos direitos fundamentais que a União Europeia defende. Perante estes factos, há que ter a coragem de tomar decisões políticas em conformidade. Não podemos continuar a ignorar o problema ou a fingir que ele não existe, esta incompatibilidade é uma questão de fundo, que não é possível resolver através da criação política de um terceiro acordo Safe Harbor / Privacy Shield. A União Europeia tem de traçar a linha vermelha e rejeitar de vez a cultura de vigilância massiva dos EUA, ou abdicar da protecção dos direitos fundamentais dos cidadãos europeus. Não existe uma terceira via. É lamentável que tenha de ser sempre o Tribunal de Justiça a ter de vir em defesa dos direitos fundamentais dos cidadãos europeus.

D3 – Defesa dos Direitos Humanos

---

Fontes: Este texto teve por base principalmente as seguintes fontes:

NOYB: FAQs on the CJEU case
NOYB: Background on CJEU case on EU-US data transfers
NOYB: Most common misunderstandings in reporting on the CJEU case