A DECISÃO DA CORTE EUROPEIA QUE INVALIDOU O ACORDO DE TRANSFERÊNCIA DE DADOS PESSOAIS
Demócrito Reinaldo Filho
(Juiz de Direito, titular da 32ª. Vara Cível)
Na primeira semana de outubro deste ano (1) o Tribunal de Justiça da União Europeia (2) produziu um julgamento que vai se tornar um marco em termos de proteção à privacidade dos indivíduos na Internet, ao invalidar o acordo de transferência de dados pessoais (conhecido como “Safe Harbor”, “Porto Seguro” em tradução para o português) entre os Estados Unidos e a União Europeia (3). Esse acordo, que estava em vigor desde o ano de 2000 (4), era o instrumento legal que autorizava empresas a transferirem dados coletados de cidadãos europeus para serem processados em seus estabelecimentos situados em território americano (5).
A decisão da corte europeia afeta companhias de todos os ramos, mas certamente as mais impactadas são as empresas de tecnologia, gigantes como Facebook e Google (6), que atuam coletando enormes quantidades de dados pessoais dos usuários de seus serviços. É que agora, com a decisão, as autoridades nacionais (dos 28 estados membros da EU) podem fiscalizar como essas empresas estão transferindo dados para os servidores de suas congêneres nos Estados Unidos e, encontrando indícios de violações às leis europeias de proteção à privacidade, impor limitações e multas. Cerca de duas semanas depois da decisão do Tribunal de Justiça da União Europeia, a Corte Superior da Irlanda determinou a abertura de investigação sobre as transferências de dados feitas pelo Facebook para sua matriz nos Estados Unidos (7).
Antes dessa decisão, a situação para as empresas americanas era bastante conveniente, pois bastava se registrarem como aderentes ao acordo de transferência de dados. Pelos termos do “Safe Harbor Agreement”, empresas que atuavam coletando dados de cidadãos europeus tinham que garantir o mesmo nível de proteção que é conferido a eles pela legislação europeia. A União Europeia tem um sistema legal bastante sistematizado no tocante à proteção da privacidade de seus cidadãos, considerado bem mais rigoroso do que a maioria dos países de outras regiões. Nos termos da Diretiva europeia 95/46/EC de proteção de dados pessoais, companhias operando no território europeu não podem enviar dados pessoais para países fora da área da União Europeia a não ser que garantam um nível adequado de proteção. O acordo “Safe-Harbor” foi negociado entre o Governo dos EUA e a União Europeia como forma de oferecer um meio para as empresas poderem compactuar com as normas da Diretiva, evitando problemas de ordem legal (8). O acordo prevê algumas normas, estabelecidos em concordância com a Diretiva, que as empresas americanas deviam aderir, para possibilitar a transferência de dados. Em julho de 2000, a Comissão Europeia (9) decidiu que as empresas americanas que obedecem aos princípios do acordo estavam autorizadas a transferir dados referentes a cidadãos europeus para seus servidores localizados em território estadunidense (10). Essa decisão, agora, foi invalidada pelo julgamento da Corte Europeia de Justiça, que considera que o Safe Harbor não oferece nível de proteção adequado aos dados pessoais dos cidadãos europeus.
O acordo Safe Harbor antes era visto como um instrumento eficaz, até que sobrevieram as denúncias de Edward Snowden, em junho de 2013, de que empresas de tecnologia eram colaboradoras ativas do sistema de vigilância massiva perpetrada pela NSA, a agência de inteligência do Governo dos EUA. A partir daí, setores organizados da sociedade civil e ativistas da privacidade passaram a defender que o acordo não era suficiente para oferecer um nível adequado de proteção contra intrusões das agências de inteligência. O texto do Safe Harbor permite limitações à proteção de dados onde a coleta se faça necessária por razões de segurança nacional. Daí que passou a ser sentimento geral na comunidade europeia de que o Safe Harbor não garantia um nível adequado de proteção de dados pessoais em relação aos programas de vigilância eletrônica executados pelas agências de inteligência norte-americanas.
Maximillian Schrems, um cidadão austríaco, ingressou com uma reclamação perante a autoridade nacional de proteção de dados da Irlanda, alegando que seus dados estavam sendo transferidos da subsidiária irlandesa do Facebook para servidores localizados nos Estados Unidos. Justificou que, de acordo com as revelações feitas por Snowden – que os serviços de inteligência dos Estados Unidos (em particular a National Security Agency-NSA) utilizam programas para vigilância eletrônica massificada – o Safe Harbor não oferecia proteção adequada. O comissário de proteção de dados irlandês rejeitou a queixa, baseando-se na decisão de 26 de julho de 2002 da Comissão Europeia, que decidiu pela validade desse acordo. O caso, então, foi submetido à Corte Superior da Irlanda, que considerou necessário antes uma definição da Corte Europeia de Justiça sobre o assunto.
No julgamento do dia 06 de outubro, o Tribunal de Justiça da União Europeia declarou inválido o “Safe Harbor Agreement”, com o resultado de que o comissário irlandês de proteção de dados vai ter que apreciar a reclamação de Maximillian Schrems e decidir se a transferência de dados de cidadãos europeus para servidores localizados nos Estados Unidos, realizada pelo Facebook, deve ser suspensa ou não, se ficar caracterizado que as autoridades americanas não garantem um adequado nível de proteção aos dados transferidos (11).
Após a decisão do Tribunal de Justiça da União Europeia, os Estados Unidos e a UE apressaram as negociações para o estabelecimento de um novo pacto, capaz de atender a legislação europeia de proteção de dados e substituir eficazmente o falecido Safe Harbor. O objetivo é concluir as negociações até janeiro do próximo ano. Os Estados Unidos e a União Europeia são importantes parceiros comerciais e a transferência de dados entre os continentes é essencial para os negócios. Mas o Grupo de Trabalho do Artigo 29º. (Article 29 Working Party) (12), que reúne os comissários nacionais de proteção à privacidade da União Europeia, já advertiu que se um novo acordo não for concluído até o final de janeiro do próximo ano, tomarão todas as medidas necessárias para evitar violações às leis europeias de proteção de dados, o que pode incluir a aplicação de multas (13).
Nesse intervalo, as empresas norte-americanas podem se valer de alguns instrumentos jurídicos alternativos, para realizar a transferência de dados de cidadãos europeus para seus servidores situados fora da área geográfica da União Europeia. Elas podem, por exemplo, se valer das cláusulas contratuais modelo (“standard clauses”) (14), mas é sempre um expediente mais limitado, dispendioso e que tem que ser trabalhado caso a caso (15), aumentando os custos para as empresas e as dificuldades administrativas para cuidar de todos os contratos (16). Outra saída, para evitar problemas legais, é hospedar todas as informações dos europeus em servidores localizados em países integrantes da União Europeia. Muitas empresas americanas estão movendo seus data centers e servidores para território europeu ou contratando serviços de empresas de cloud computing sediadas na Europa, para terceirizar o serviço de hospedagem de dados dos usuários europeus (17).
As medidas alternativas ao Safe Harbor, para permitir o trânsito das informações dos cidadãos europeus para servidores de empresas situadas nos Estados Unidos, têm que ser adotadas de forma rápida, não somente ante a possibilidade de multa pelos comissários de proteção de dados, se um novo acordo não for estabelecido até janeiro, mas também porque ativistas já estão tomando iniciativas contra algumas empresas de tecnologia, sobretudo aquelas denunciadas no escândalo de vigilância eletrônica da NSA. Maximillian Schrems, aquele mesmo cidadão austríaco que promoveu a ação vitoriosa que resultou na decisão do Tribunal de Justiça da União Europeia, recentemente requereu a alguns comissários de proteção da privacidade que obriguem o Facebook a interromper toda e qualquer transferência de dados de sua subsidiária europeia para a matriz norte-americana (18). Prometeu fazer o mesmo em relação a outros gigantes da Internet, como Google, Microsoft e Yahoo (19), empresas que colaboraram com o programa PRISM, um dos sistemas de vigilância eletrônica massiva da NSA (20).
Tudo indica que o novo acordo que vai substituir o Safe Harbor deve sair mesmo até janeiro do próximo ano. Autoridades dos Estados Unidos e União Europeia já estão em conversas adiantadas e já chegaram a consenso em torno de alguns aspectos. Um dos pontos que devem constar do novo acordo é certamente a introdução de algum tipo de mecanismo de reparação judicial, para os casos de mau uso dos dados pessoais transferidos (21). Na sua decisão, o Tribunal de Justiça da União Europeia registrou que os cerca de 500 milhões de cidadãos europeus não têm o direito de ajuizar ação nas cortes estadunidenses, em caso de violação de privacidade pelas empresas ou Governo norte-americano. Uma lei para atribuir aos cidadãos estrangeiros os mesmos direitos conferidos a cidadãos norte-americanos, que tenham suas informações pessoais violadas, quando utilizadas para fins de prevenção criminal e persecução processual, já está sendo debatida no Congresso norte-americano (22).
Recife, 04.12.15
(1) Mais exatamente no dia 06.10.15.
(2) O Tribunal de Justiça da União Europeia (TJUE) tem a função de uniformizar a legislação europeia, para que seja interpretada e aplicada da mesma maneira em todos os países integrantes da UE. Sua sede fica em Luxemburgo. O endereço de seu site na Internet é: http://curia.europa.eu/
(3) O julgamento foi no caso Maximillian Schrems v. Data Protection Comissioner, Case C-362/14,decidido em 06.10.15.
(4) Em 26 de julho de 2000, a Comissão Europeia adotou uma decisão reconhecendo os princípios do “Safe Harbor” editados pelo Departamento de Comércio dos Estados Unidos como provendo um nível de proteção adequada para fins da transferência de dados. Como resultado, essa decisão proporcionou a transferência de dados pessoais para fins comerciais de companhias da União Europeia para empresas nos Estados Unidos, que tivessem aderido a esses princípios.
(5) Ver notícia publicada no New York Times, em 06.10.15, acessível em: http://www.nytimes.com/2015/10/07/technology/european-union-us-data-collection.html?_r=1
(6) Google e Facebook vêm sendo alvo de constantes investigações das autoridades europeias, por denúncias de violações a direitos ligados à privacidade de seus usuários.
(7) Ver reportagem publicada em 20.10.15, acessível em: http://www.reuters.com/article/2015/10/20/us-eu-privacy-facebook-idUSKCN0SE14G20151020
(8) Mais de cinco mil empresas norte-americanas aderiram ao acordo Safe Harbor para facilitar a transferência de dados pessoais.
(9) A Comissão Europeia é o braço executivo da União Europeia.
(10) Decisão 2000/520/EC de 26 de julho de 2000.
(11) Link para a íntegra da decisão do Tribunal de Justiça da União Europeia: http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=125031
(12) O “Grupo de Trabalho do art. 29” é um corpo consultivo independente, em matéria de privacidade e proteção de dados pessoais, estabelecido pelo art. 29 da Diretiva 95/46/EC de proteção de dados. É composto por representantes das autoridades de proteção de dados de cada Estado-membro da União Europeia, pelo Supervisor Europeu da Proteção de Dados e por representantes da Comissão Europeia. Sua atribuição está descrita no art. 30 da Diretiva 95/46/EC e artigo 15 da Diretiva 2002/58/EC. É competente para apreciar qualquer questão relacionada à aplicação das diretivas de proteção de dados.
(13) Em comunicado publicado no dia 16.10.15, acessível em: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf
(14) O uso de cláusulas contratuais modelo, em transações comerciais que impliquem a transferência de dados pessoais, é um meio de se obedecer aos princípios e normas da Diretiva europeia 95/46/EC sobre proteção de dados pessoais, que exige “proteção adequada” aos dados pessoais transferidos para fora da União Europeia. O uso das cláusulas modelo («standard clauses») é voluntário, mas representa um meio para que empresas e organizações atendam as exigências da Diretiva quanto a dados pessoais transferidos a países não integrantes da UE, a respeito dos quais a Comissão Europeia ainda não tenha reconhecido que oferecem «proteção adequada». Por exemplo, uma das cláusulas contém uma declaração por meio da qual a empresa que transfere os dados e a organização ou empresa que os recebe se comprometem a obedecer os princípios básicos da Diretiva. Periodicamente, a Comissão emite decisões reconhecendo países não membros que oferecem proteção adequada a dados pessoais. Em relação a países cujos sistemas de leis conferem um nível de «proteção adequada» a dados pessoais, já reconhecidos pela Comissão Europeia, não há necessidade do emprego das cláusulas contratuais modelo nas relações que empresas europeias travarem com empresas desses países. Quanto aos demais, sem reconhecido regime jurídico de «proteção adequada», o uso das cláusulas contratuais modelo é uma solução viável para transferência de informações pessoais. Para saber mais sobre o instrumento das “clausulas contratuais modelo”, sugiro a leitura de artigo de minha autoria, intitulado “Comissão europeia aprova novos modelos de cláusulas contratuais para a transmissão de dados pessoais a países não membros da EU”, publicado em 04.04.2005, no site Boletim Jurídico, acessível em: http://www.boletimjuridico.com.br/doutrina/texto.asp?id=565
(15) Desde o dia 23 de outubro, a Comissão Nacional de Proteção de Dados (CNPD) de Portugal vem concedendo autorizações provisórias a empresas para transferência de dados de cidadãos portugueses aos EUA. Ver comunicado da CNPD em: https://www.cnpd.pt/bin/relacoes/comunicados/Comunicado_CNPD_SafeHarbor.pdf
(16) Ver, a esse, respeito, notícia publicada no site da BBC, em 06.10.15, acessível em: http://www.bbc.com/news/technology-34442618
(17) Ver reportagem publicada no New York Times que mostra essa tendência, em 20.10.15, acessível em: http://www.nytimes.com/2015/10/21/technology/as-us-tech-companies-scramble-group-sees-opportunity-in-safe-harbor-decision.html?smid=fb-share&_r=0
(18) Antes dessa iniciativa, o comissário alemão de proteção de dados já havia anunciado que abriria investigações contra o Google e o Facebook. Ver notícia publicada em 27.10.15, acessível em: http://arstechnica.co.uk/tech-policy/2015/10/germany-to-begin-investigating-legality-of-eu-us-data-transfers-immediately/
(19) Ver reportagem publicada no dia 02.12.15, acessível em: http://arstechnica.co.uk/tech-policy/2015/12/after-safe-harbour-ruling-legal-moves-to-force-facebook-to-stop-sending-data-to-us/
(20) O PRISM (abreviatura em inglês para Planning Tool for Ressource Integration, Synchronization and Management) é apenas um dos muitos programas de vigilância massiva eletrônica que vieram a público com as revelações de Edward Snowden e que são operados pela NSA. Permite coletar e analisar informação proveniente dos servidores das grandes empresas da Internet. Não se restringe a metadados, pois compreende o conteúdo das comunicações, alcançando arquivos de áudio, vídeos, fotografias e e-mails. Segundo as denúncias divulgadas em junho de 2013, nove grandes empresas de tecnologia (Google, Microsoft, Facebook, Yahoo, Skype, Apple, Paltalk, Youtube e AOL) proporcionam um ilimitado e direto acesso da NSA aos seus servidores e bases de dados, como parte da execução do PRISM. Para saber mais sobre o programa PRISM e a participação das empresas de tecnologia americanas nesse sistema de vigilância eletrônica da NSA, sugiro a leitura do meu artigo “A espionagem eletrônica: a resposta do governo americano e das empresas de tecnologia”, publicado em outubro de 2013 no site Jus Navigandi e acessível em: http://jus.com.br/artigos/25639/a-espionagem-eletronica-a-resposta-do-governo-americano-e-das-empresas-de-tecnologia
(21) Ver notícia publicada em 27.10.15, acessível em: http://thehill.com/policy/cybersecurity/258182-eu-us-strike-deal-in-principle-on-new-data-sharing-pact
(22) Essa Lei é o Judicial Redress Act, que já foi aprovada na House of Representatives (equivalente à nossa Câmara dos Deputados) e está atualmente tramitando no Senado norte-americano. Ela estende os mesmos direitos de reparação judicial conferidos a cidadãos norte-americanos a cidadãos de países que relaciona, para o caso de informações pessoais serem indevidamente utilizadas por autoridades públicas. Embora essa Lei só se refira a dados transferidos de outros países para os Estados Unidos para fins de investigação criminal e persecução processual (incluindo terrorismo), sua aprovação vai terminar favorecendo a aprovação do novo acordo que substituirá o Safe Harbor. Além de um novo acordo para transferência de dados pessoais entre empresas, com fins comerciais, os Estados Unidos atualmente negocia com a União Europeia um acordo de transferência de dados para fins de investigação criminal, o “EU-US Umbrella Agreement”. A aprovação da Lei Judicial Redress Act proporcionará as condições políticas necessárias para a aprovação de ambos os acordos. Ver notícia publicada em 21.10.15, acessível em: http://www.pcworld.com/article/2995935/judicial-redress-act-heads-for-senate-making-new-safe-harbor-agreement-more-likely.html