O sócio da TELLES, Gonçalo Pinto Ferreira, escreve artigo de opinião sobre a transferência de dados pessoais entre os Estados Unidos da América e a União Europeia.
EU – US Privacy Shield – Snowden a quanto ainda obrigas!
Em Junho de 2013 Edward Snowden, ex-trabalhador da CIA e da NSA, faz revelações bombásticas sobre o programa de vigilância PRISM (sistema de vigilância global da NSA - EUA): Segundo as informações que Snowden então apresenta, os EUA tinham montado um verdadeiro “big brother” que lhes permitia entrar na vida privada de todos nós. As revelações foram ainda mais graves quando se constatou que a NSA tinha acesso aos servidores de gigantes como a Google, Facebook e Apple. Percebeu-se então que se estava perante uma gritante devassa de dados pessoais nos Estados Unidos da América.
Claro que os efeitos destas revelações não se confinaram aos EUA. E deste lado do Atlântico a questão era particularmente sensível face ao intenso fluxo diário de dados vindos da União Europeia para os EUA.
Por força de uma Decisão da Comissão Europeia, ao longo de mais de 15 anos que a transferência de dados pessoais da UE para os EUA se encontrava legitimada pelo Acordo Safe Harbor, por se considerar que ao abrigo das condições previstas no registo Safe Harbor nos EUA, estava garantido o mesmo nível de condições de segurança e proteção dos dados pessoais que era assegurado na UE.
Mas face às revelações de Snowden, não seriam tais condições de segurança e proteção meramente virtuais? Certo é que apesar da gravidade de tais revelações e de se ter percebido que a vida de qualquer pessoa poderia estar a ser vasculhada a qualquer momento pela NSA, o centro da questão – o que aconteceu afinal ao nosso direito à privacidade? – parece ter sido habilmente desviado, pois não se viu qualquer reação efetiva por parte das autoridades da UE que alterasse as regras da transferência de dados para os EUA, mesmo que a credibilidade do Safe Harbor e o paradigma da segurança tivessem sido beliscados.
Como já se esperava e até em função da passividade das autoridades da UE, as organizações de defesa do direito à privacidade não perderam tempo e reagiram. Em particular, foi apresentada por uma dessas organizações uma queixa contra o Facebook questionando a validade da transferência dos dados para os EUA. Esta queixa foi apresentada na Irlanda (país onde se situa a sede europeia do Facebook) junto da respetiva comissão de proteção de dados. Talvez sem surpresa, a decisão da comissão foi no sentido de que a transferência de dados estava legitimada pelo Acordo Safe Harbor. Tudo na mesma então!
Perante tal decisão da comissão Irlandesa, a queixa seguiu para os tribunais Irlandeses, os quais mantiveram a decisão da comissão. Voltou a queixa a subir, tendo sido remetida para o Tribunal de Justiça Europeu. Uma alta instância Europeia iria finalmente ter que analisar e tomar uma posição sobre este assunto. E tinha que o fazer olhando apenas para a lei e por isso sem quaisquer outros condicionalismos.
Em Outubro de 2015 o Tribunal de Justiça veio confirmar o que já se suspeitava que poderia acontecer: o acordo Safe Harbor já há muito debilitado não tinha resistido! Esta sentença veio invalidar a Decisão da Comissão Europeia relativa ao Safe Harbor, tornando assim ilegais os fluxos de dados para os EUA por essa via.
Perante esta decisão, não mais foi possível atuar como se nada tivesse acontecido, o que forçou as instituições europeias e nacionais a tomar uma posição. Em Portugal, a Comissão Nacional de Proteção de Dados decidiu emitir apenas autorizações provisórias para a transferência de dados para os EUA, realizadas através de mecanismos alternativos ao Safe Harbor, até à conclusão do estudo sobre o impacto da decisão do tribunal noutros instrumentos, acrescentando ainda que havendo o risco de se considerar que as transferências podem consubstanciar uma violação dos direitos fundamentais dos cidadãos europeus, tais autorizações estão sujeitas a eventual revisão num futuro próximo.
Perante o fim do Acordo Safe Harbor, iniciaram-se intensas conversações entre as autoridades europeias e norte-americanas, visando encontrar uma alternativa que legitime a transferência de dados entre os dois lados do Atlântico.
Depois de vários meses de tensas negociações, num clima de grande insegurança jurídica para milhares de empresas (entre estas o Facebook, o Google, o Twitter, a Amazon….) que transferem diariamente inúmeros dados para os EUA onde estes depois são tratados, chegou-se finalmente este mês a um acordo, tendo em consequência nascido o EU – US Privacy Shield.
À luz das informações oficiais circuladas pelas autoridades europeias e norte-americanas, este acordo pretende garantir os níveis de proteção e segurança adequados para os dados pessoais dos cidadãos europeus, prevendo nomeadamente:
a) Garantias e obrigação de transparência por parte das autoridades norte-americanas no tratamento dos dados pessoais europeus transferidos para os EUA.
b) A criação pelos EUA de um provedor de justiça dentro do Departamento de Estado para lidar com queixas e pedidos de informação enviados por agências de proteção de dados da UE.
c) A existência de um mecanismo de resolução alternativo para litígios, que permitam a resolução das queixas, e ainda uma revisão anual conjunta do acordo
d) Que as autoridades europeias de proteção de dados, por seu lado, irão também trabalhar com a Comissão Federal de Comércio dos EUA (U.S. Federal Trade Commission) para maior controlo do sistema.
Mas estará resolvido o problema? Longe disso certamente…
Este é um acordo político apenas e que necessita de ser ainda concretizado no terreno. Ao mesmo tempo leva-nos a questionar o que acontecerá entre este acordo e a implementação das novas regras, pelo que até à confirmação de que de fato as mesmas levam à segurança pretendida ainda vai um longo caminho. Sobretudo, não nos podemos esquecer que está em causa a credibilidade de um sistema que supostamente garantia a segurança dos dados pessoais, mas que na realidade não o fazia, e como sabemos não é fácil recuperar essa credibilidade.
Claro que este acordo foi muito aclamado por algumas instâncias europeias e americanas, mas também porque era politicamente importante transmitir à opinião pública uma mensagem de tranquilidade e segurança. E não deixam de ser curiosas algumas reações no momento da assinatura deste acordo. Veja-se, por exemplo, a reação da Information Technology and Innovation Foundation (Washington, EUA) que ao mesmo tempo que vai dizendo que de fato estavam todos muito preocupados com a proteção e segurança dos dados pessoais, por outro lado afirma que a decisão do Tribunal que levou à revogação do Acordo do Safe Harbor foi a forma errada de abordar a questão. Percebe-se bem nas entrelinhas a tensão gerada pela decisão do Tribunal de Justiça Europeu.
De qualquer forma, a questão que muitos ainda colocam é se este acordo EU – US Privacy Shield não estará condenado já à nascença.
De fato, no polo oposto ao do entusiasmo demonstrado pelas autoridades americanas (até estão já a decorrer seminários nos EUA para dar formação sobre este acordo aos executivos das empresas americanas…), está o ceticismo de algumas entidades que não se fiam nas palavras dos responsáveis de Bruxelas que participaram nas negociações e na celebração deste acordo para dar por garantido que, agora, a segurança e proteção dos dados passam a ser uma realidade.
Especialmente relevante foi a reação das entidades reguladoras Europeias, as quais imediatamente após o anúncio do acordo vieram solicitar mais informações à Comissão Europeia. Em particular, as comissões de proteção de dados dos 28 países estão preocupados em perceber qual o nível de acesso que as agências de segurança americanas terão quanto aos dados pessoais dos cidadãos europeus, tendo dado um prazo até 29 de Fevereiro para receberem essas informações. Após esse prazo, se não receberem informações que apontem claramente para a pretendida segurança, as comissões de proteção de dados reservam-se o direito de iniciar processos de investigação às empresas. Note-se que estes processos poderão culminar com a condenação no pagamento de multas avultadas, o que poderá suceder sobretudo se cidadãos ou grupos organizados decidirem apresentar queixas.
Mantem-se por isso um clima de nervosismo. Há mesmo quem apele ao bom senso e “cabeça fria” porque estão em causa negócios e atividades de muitos milhões de dólares. Enfim, Snowden a quanto ainda obrigas!
voltar a Tellex