O Tribunal de Justiça da União Europeia (TJUE) voltou a decidir pela inadequação do programa aplicável às transferências de dados entre a União Europeia (UE) e os EUA.
Esta decisão de 16.07.2020 (caso Schrems II) é a sequela de uma anterior decisão do TJUE (de 06.10.2015, caso Schrems I), que invalidou o anterior programa Porto Seguro (“Safe Harbour”). Este programa foi substituído pelo programa Escudo de Proteção (“Privacy Shield”) agora considerado inadequado para assegurar o nível de proteção exigido pelo Regulamento Geral de Proteção de Dados (RGPD). Em contraposição, o TJUE considerou como válida a solução assente em cláusulas contratuais tipo de proteção de dados (CCT) adotadas pela Comissão Europeia para transferências internacionais de dados pessoais.
Esta decisão do TJUE, em sede de reenvio prejudicial, surge na sequência de uma queixa apresentada por M. Schrems. O cidadão austríaco, utilizador do Facebook, fez a denúncia à autoridade de controlo austríaca, no sentido de proibir o Facebook Ireland de transferir os seus dados pessoais para os EUA. Os dados pessoais dos utilizadores do Facebook residentes na UE são transferidos para servidores do Facebook Inc., nos EUA, onde são objeto de tratamento, ao abrigo de CCT. Segundo M. Schrems, as CCT não assegurariam um nível de proteção adequado dos dados pessoais contra atividades de vigilância das autoridades públicas norte-americanas.
Seguindo a Opinião do Advogado-Geral (opinião não vinculativa publicada em 19.12.2019), o TJUE considerou as CCT adequadas. Afirmando que no âmbito da avaliação da adequação do nível de proteção garantido pelo país terceiro, a Comissão Europeia tem em conta, nomeadamente, as vias de recurso administrativo e judicial para os titulares de dados pessoais objeto de transferência.
Já o nível de proteção conferido pelo Escudo de Proteção é posto em causa pelo TJUE, com o fundamento de que as ingerências que resultam dos programas de vigilância das autoridades públicas norte-americanas não estão sujeitas a exigências que garantam, no cumprimento do princípio da proporcionalidade, um nível de proteção jurisdicional equivalente ao do RGPD.
Embora as CCT permaneçam válidas, as organizações que atualmente justifiquem as transferências internacionais de dados em CCT, terão de considerar se, tendo em conta a natureza dos dados pessoais, as finalidades e o contexto do tratamento, e o país de destino, existe um "nível de proteção adequado", tal como exigido pela legislação da UE. Caso contrário, devem considerar adotar garantias adicionais. Já as organizações que justifiquem as transferências internacionais no Escudo de Proteção terão de procurar urgentemente soluções alternativas, tendo, nomeadamente, em conta as derrogações previstas no RGPD (por exemplo, consentimento explícito do titular dos dados, quando a transferência for necessária para a celebração ou execução de um contrato). As CCT, regras vinculativas aplicáveis às empresas, códigos de conduta ou procedimentos de certificação serão outras das soluções alternativas.