Processo C‑362/14

Maximillian Schrems

contra

Data Protection Commissioner

[pedido de decisão prejudicial apresentado pela High Court (Irlanda)]

«Reenvio prejudicial — Dados pessoais — Proteção das pessoas singulares no que diz respeito ao tratamento desses dados — Carta dos Direitos Fundamentais da União Europeia — Artigos 7.°, 8.° e 47.° — Diretiva 95/46/CE — Artigos 25.° e 28.° — Transferência de dados pessoais para países terceiros — Decisão 2000/520/CE — Transferência de dados pessoais para os Estados Unidos — Nível de proteção inadequado — Validade — Queixa de uma pessoa singular cujos dados foram transferidos da União Europeia para os Estados Unidos — Poderes das autoridades nacionais de controlo»

Sumário — Acórdão do Tribunal de Justiça (Grande Secção) de 6 de outubro de 2015

1.        Aproximação das legislações — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46 — Interpretação à luz dos direitos fundamentais

(Carta dos Direitos Fundamentais da União Europeia; Diretiva 95/46 do Parlamento Europeu e do Conselho)

2.        Aproximação das legislações — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46 — Autoridades nacionais de controlo — Exigência de independência

(Artigo 16.°, n.° 2, TFUE; Carta dos Direitos Fundamentais da União Europeia, artigo 8.°, n.° 3; Diretiva 95/46 do Parlamento Europeu e do Conselho, considerando 62 e artigo 28.°, n.° 1)

3.        Aproximação das legislações — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46 — Autoridades nacionais de controlo — Poderes — Controlo das transferências de dados pessoais para países terceiros — Inclusão

(Carta dos Direitos Fundamentais da União Europeia, artigo 8.°, n.° 3; Diretiva 95/46 do Parlamento Europeu e do Conselho, artigo 28.°)

4.        Aproximação das legislações — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46 — Transferências de dados pessoais para países terceiros — Adoção pela Comissão de uma decisão que constata a existência de um nível de proteção adequado num país terceiro — Decisão vinculativa para todos os Estados‑Membros destinatários — Exame da validade de uma decisão desta natureza — Papeis respetivos das autoridades nacionais de controlo e dos órgãos jurisdicionais nacionais

(Artigo 288.°, quarto parágrafo, TFUE; Carta dos Direitos Fundamentais da União Europeia, artigos 8.°, n.° 3, e 47.°; Diretiva 95/46 do Parlamento Europeu e do Conselho, artigos 25.°, n.° 6, e 28.°, n.^os 3 e 4)

5.        Aproximação das legislações — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46 — Transferências de dados pessoais para países terceiros — Adoção pela Comissão de uma decisão que constata a existência de um nível de proteção adequado num país terceiro — Autoridade nacional de controlo chamada a decidir de um pedido relativo à proteção dos direitos e liberdades em relação ao tratamento dos dados transferidos respeitantes ao requerente — Requerente que contesta o nível de proteção adequado nesse país terceiro — Obrigação da referida autoridade de examinar o pedido — Alcance do exame

(Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.° e 47.°; Diretiva 95/46 do Parlamento Europeu e do Conselho, artigos 25.°, n.° 6, e 28.°)

6.        Aproximação das legislações — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46 — Transferência de dados pessoais para países terceiros — Adoção pela Comissão de uma decisão que constata a existência de um nível de proteção adequado num país terceiro — Conceito de nível de proteção adequado — Critérios de apreciação — Poder de apreciação da Comissão

(Diretiva 95/46 do Parlamento Europeu e do Conselho, artigo 25.°, n.^os 2 e 6)

7.        Aproximação das legislações — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46 — Transferência de dados pessoais para países terceiros — Adoção pela Comissão de uma decisão que constata a existência de um nível de proteção adequado num país terceiro — Decisão 2000/520, que constata a existência de um nível de proteção adequado nos Estados Unidos — Invalidez

(Carta dos Direitos Fundamentais da União Europeia; Diretiva 95/46 do Parlamento Europeu e do Conselho, artigos 25.°, n.° 6, e 28.°; Decisão 2000/520 da Comissão, artigos 1.° a 4)

8.        Direitos fundamentais — Respeito pela vida provada — Proteção de dados pessoais — Regulamentação da União que uma ingerência nos direitos fundamentais — Requisitos — Garantias suficientes contra os riscos de abuso — Respeito do princípio da proporcionalidade

(Carta dos Direitos Fundamentais da União Europeia, artigo 7.° e 8.°)

1.        V. texto da decisão.

(cf. n.° 38)

2.        V. texto da decisão.

(cf. n.^os 40, 41)

3.        As autoridades nacionais de controlo dispõem de um amplo leque de poderes, enumerados de forma não exaustiva no artigo 28.°, n.° 3, da Diretiva 95/46, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, que constituem os meios necessários para a realização das suas funções, como sublinha o considerando 63 desta diretiva. Assim, as referidas autoridades gozam, nomeadamente, de poderes de inquérito, tais como recolher todas as informações necessárias ao desempenho das suas funções de controlo, de poderes efetivos de intervenção, tais como proibir temporária ou definitivamente um tratamento de dados, ou, ainda, do poder de intervir em processos judiciais.

No que diz respeito ao poder de controlar as transferências de dados pessoais para os países terceiros, é certo que decorre do artigo 28.°, n.^os 1 e 6, da Diretiva 95/46 que os poderes das autoridades nacionais de controlo respeitam aos tratamentos de dados pessoais efetuados no território do Estado‑Membro dessas autoridades, pelo que não dispõem de poderes, ao abrigo deste artigo 28.°, relativamente aos tratamentos de tais dados efetuados no território de um país terceiro. Porém, a transferência de dados pessoais de um Estado‑Membro para um país terceiro constitui, enquanto tal, um tratamento de dados pessoais na aceção do artigo 2.°, alínea b), da Diretiva 95/46, efetuado no território de um Estado‑Membro. Por conseguinte, uma vez que as autoridades nacionais de controlo estão encarregadas, nos termos do artigo 8.°, n.° 3, da Carta dos Direitos Fundamentais da União Europeia e do artigo 28.° da Diretiva 95/46, da fiscalização do cumprimento das regras da União relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, cada uma delas tem, portanto, competência para verificar se uma transferência de dados pessoais do Estado‑Membro dessa autoridade para um país terceiro respeita os requisitos estabelecidos por esta diretiva.

(cf. n.^os 43‑45, 47)

4.        A Comissão pode, com base no artigo 25.°, n.° 6, da Diretiva 95/46, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, adotar uma decisão que constate que um país terceiro assegura um nível de proteção adequado. Nos termos do segundo parágrafo desta disposição, tal decisão tem como destinatários os Estados‑Membros, os quais devem tomar as medidas necessárias para lhe dar cumprimento. Por força do artigo 288.°, quarto parágrafo, TFUE, a referida decisão possui caráter obrigatório para todos os Estados‑Membros destinatários e impõe‑se, portanto, a todos os seus órgãos, na medida em que tem por efeito autorizar transferências de dados pessoais dos Estados‑Membros para o país terceiro visado pela mesma.

Assim, enquanto a decisão da Comissão não for declarada inválida pelo Tribunal de Justiça, o Tribunal de Justiça é o único competente para declarar a invalidade de um ato da União, os Estados‑Membros e os seus órgãos, entre os quais se encontram as autoridades de controlo independentes, não podem adotar medidas contrárias a essa decisão, tais como atos destinados a constatar, com efeitos vinculativos, que o país terceiro visado pela referida decisão não assegura um nível de proteção adequado. Com efeito, os atos das instituições da União gozam, em princípio, de uma presunção de legalidade e produzem, portanto, efeitos jurídicos enquanto não forem revogados, anulados no âmbito de um recurso de anulação ou declarados inválidos na sequência de um pedido prejudicial ou de uma questão prévia de ilegalidade.

Embora possam apreciar a validade de um ato da União, como uma decisão da Comissão adotada nos termos do artigo 25.°, n.° 6, da Diretiva 95/46, os órgãos jurisdicionais nacionais não têm, todavia, competência para declarar, eles próprios, a invalidade de tal ato. Por maioria de razão, ao examinarem um pedido, na aceção do artigo 28.°, n.° 4, desta diretiva, relativo à compatibilidade de uma decisão da Comissão adotada nos termos do artigo 25.°, n.° 6, da referida diretiva com a proteção da vida privada e das liberdades e direitos fundamentais das pessoas, as autoridades nacionais de controlo não têm o direito de declarar, elas próprias, a invalidade de tal decisão.

Na hipótese de a referida autoridade chegar à conclusão de que os elementos apresentados em apoio desse pedido são infundados e, por essa razão, o arquivar, a pessoa que o apresentou deve, como resulta do artigo 28.°, n.° 3, segundo parágrafo, da Diretiva 95/46, lido à luz do artigo 47.° da Carta dos Direitos Fundamentais da União Europeia, ter acesso às vias de recurso jurisdicionais que lhe permitam impugnar essa decisão que lhe é desfavorável perante os órgãos jurisdicionais nacionais. Nestas condições, esses órgãos jurisdicionais nacionais são obrigados a suspender a instância e a apresentar ao Tribunal de Justiça um pedido de decisão prejudicial de apreciação da validade, quando considerem que um ou vários dos fundamentos de invalidade invocados pelas partes ou, sendo caso disso, suscitados oficiosamente, são procedentes.

Na hipótese contrária, em que considere fundadas as críticas apresentadas pela pessoa que lhe apresentou um pedido relativo à proteção dos seus direitos e liberdades no que diz respeito ao tratamento dos seus dados pessoais, a referida autoridade deve, nos termos do artigo 28.°, n.° 3, primeiro parágrafo, terceiro travessão, da Diretiva 95/46, lido à luz, nomeadamente, do artigo 8.°, n.° 3, da Carta dos Direitos Fundamentais da União Europeia, poder intervir num processo judicial. A este respeito, incumbe ao legislador nacional prever vias de recurso que permitam à autoridade nacional de controlo em causa invocar as críticas que considera fundadas perante os órgãos jurisdicionais nacionais, para que estes últimos, caso partilhem das dúvidas dessa autoridade quanto à validade da decisão da Comissão, procedam a um reenvio prejudicial para efeitos da apreciação da validade dessa decisão.

(cf. n.^os 51, 52, 61, 62, 64, 65)

5.        O artigo 25.°, n.° 6, da Diretiva 95/46, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, lido à luz dos artigos 7.°, 8.° e 47.° da Carta dos Direitos Fundamentais da União Europeia, deve ser interpretado no sentido de que uma decisão adotada ao abrigo desta disposição, através da qual a Comissão Europeia constata que um país terceiro assegura um nível de proteção adequado, não obsta a que uma autoridade de controlo de um Estado‑Membro, na aceção do artigo 28.° desta diretiva, conforme alterada, examine o pedido de uma pessoa relativo à proteção dos seus direitos e liberdades em relação ao tratamento de dados pessoais que lhe dizem respeito que foram transferidos de um Estado‑Membro para esse país terceiro, quando essa pessoa alega que o direito e as práticas em vigor neste último não asseguram um nível de proteção adequado.

Se assim não fosse, as pessoas cujos dados pessoais tivessem sido ou pudessem ser transferidos para o país terceiro em causa ficariam privadas do direito, garantido pelo artigo 8.°, n.^os 1 e 3, da Carta dos Direitos Fundamentais da União Europeia, de apresentar pedidos às autoridades nacionais de controlo para efeitos da proteção dos seus direitos fundamentais.

Além disso, um pedido, nos termos do artigo 28.°, n.° 4, da Diretiva 95/46, através do qual uma pessoa cujos dados pessoais tenham sido ou possam ser transferidos para um país terceiro alega, como no processo principal, que o direito e as práticas desse país não asseguram, não obstante o que a Comissão constatou numa decisão adotada nos termos do artigo 25.°, n.° 6, desta diretiva, um nível de proteção adequado deve ser entendido no sentido de que tem por objeto, em substância, a compatibilidade dessa decisão com a proteção da vida privada e das liberdades e direitos fundamentais das pessoas. Nestas condições, quando uma pessoa cujos dados pessoais tenham sido ou possam ser transferidos para um país terceiro objeto de uma decisão da Comissão nos termos do artigo 25.°, n.° 6, da Diretiva 95/46 apresenta a uma autoridade nacional de controlo um pedido dessa natureza, incumbe a essa autoridade examinar o referido pedido com toda a diligência exigida.

(cf. n.^os 58, 59, 63, 66, disp. 1)

6.        A expressão «nível de proteção adequado» que figura no artigo 25.°, n.° 6, da Diretiva 95/46, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, deve ser entendida no sentido de que exige que esse país terceiro assegure efetivamente, em virtude da sua legislação interna ou dos seus compromissos internacionais, um nível de proteção das liberdades e direitos fundamentais substancialmente equivalente ao conferido dentro da União nos termos desta diretiva, lida à luz da Carta dos Direitos Fundamentais da União Europeia.

Nestas condições, ao examinar o nível de proteção oferecido por um país terceiro, a Comissão está obrigada a apreciar o conteúdo das regras aplicáveis nesse país que resultam da legislação interna ou dos seus compromissos internacionais, bem como a prática destinada a assegurar o respeito de tais regras, devendo, em conformidade com o artigo 25.°, n.° 2, da Diretiva 95/46, tomar em conta todas as circunstâncias relativas a uma transferência de dados pessoais para um país terceiro. De igual modo, atendendo ao facto de o nível de proteção assegurado por um país terceiro ser suscetível de evoluir, incumbe à Comissão, após a adoção de uma decisão nos termos do artigo 25.°, n.° 6, da Diretiva 95/46, verificar periodicamente se a constatação relativa ao nível de proteção adequado assegurado pelo país terceiro em causa se continua a justificar de facto e de direito. Tal verificação impõe‑se, em qualquer caso, quando haja indícios que suscitem dúvidas a este respeito.

A este respeito, por um lado, o importante papel desempenhado pela proteção de dados pessoais à luz do direito fundamental ao respeito da vida privada e, por outro, o elevado número de pessoas cujos direitos fundamentais podem ser violados em caso de transferência de dados pessoais para um país terceiro que não assegure um nível de proteção adequado, o poder de apreciação da Comissão quanto à adequação desse nível é reduzido, pelo que se deve proceder a uma fiscalização estrita das exigências que decorrem do artigo 25.° da Diretiva 95/46, lido à luz da Carta dos Direitos Fundamentais da União Europeia.

(cf. n.^os 73, 75, 76, 78)

7.        A adoção pela Comissão de uma decisão nos termos do artigo 25.°, n.° 6, da Diretiva 95/46, relativa ao nível de proteção assegurado pelos princípios de «porto seguro» e pelas respetivas questões mais frequentes (FAQ) emitidos pelo Department of Commerce dos Estados Unidos da América, exige a constatação, devidamente fundamentada, por parte daquela instituição, de que o país terceiro em causa assegura efetivamente, em virtude da sua legislação interna ou dos seus compromissos internacionais, um nível de proteção dos direitos fundamentais substancialmente equivalente ao garantido na ordem jurídica da União.

Ora, na medida em que a Comissão não fez essa menção na Decisão 2000/520, o artigo 1.° daquela decisão viola os requisitos estabelecidos no artigo 25.°, n.° 6, da Diretiva 95/46, lido à luz da Carta dos Direitos Fundamentais da União Europeia, e é, por esta razão, inválido. Com efeito, os princípios de «porto seguro» são unicamente aplicáveis às organizações americanas autocertificadas que recebam dados pessoais da União, sem que se exija que as autoridades públicas americanas fiquem sujeitas ao respeito de tais princípios. Além disso, a Decisão 2000/520 possibilita ingerências, fundadas em requisitos relativos à segurança nacional e ao interesse público ou na legislação interna dos Estados Unidos, nos direitos fundamentais das pessoas cujos dados pessoais sejam ou possam ser transferidos da União para os Estados, sem conter nenhuma referência à existência, nos Estados Unidos, de normas de caráter estatal destinadas a limitar as eventuais ingerências nesses direitos e sem referir a existência de uma proteção jurídica eficaz contra ingerências desta natureza.

Além disso, a Comissão ultrapassou a competência que lhe é atribuída pelo artigo 25.°, n.° 6, da Diretiva 95/46, lido à luz da Carta dos Direitos Fundamentais da União Europeia ao adotar o artigo 3.° da Decisão 2000/520, o qual é, por essa razão, inválido. Com efeito, este artigo deve ser entendido no sentido de que priva as autoridades nacionais de controlo dos poderes que lhes são conferidos pelo artigo 28.° da Diretiva 95/46 no caso de uma pessoa apresentar, por ocasião de um pedido nos termos desta disposição, elementos suscetíveis de colocar em causa a compatibilidade com a proteção da vida privada e das liberdades e direitos fundamentais das pessoas de uma decisão da Comissão que tenha constatado, com base no artigo 25.°, n.° 6, desta diretiva, que um país terceiro assegura um nível de proteção adequado. Ora, o poder de execução atribuído pelo legislador da União à Comissão no artigo 25.°, n.° 6, da Diretiva 95/46 não confere a esta instituição competência para limitar os referidos poderes das autoridades nacionais de controlo.

Uma vez que os artigos 1.° e 3.° da Decisão 2000/520 são indissociáveis dos artigos 2.° e 4.°, bem como dos anexos da mesma, a sua invalidade tem como efeito afetar a validade dessa decisão na sua totalidade.

(cf. n.^os 82, 87‑89, 96‑98, 102‑105, disp. 2)

8.        Uma regulamentação da União dessa proteção que implique uma ingerência nos direitos fundamentais garantidos pelos artigos 7.° e 8.° da Carta dos Direitos Fundamentais da União Europeia deve estabelecer regras claras e precisas que regulem o âmbito e a aplicação de uma medida e imponham exigências mínimas, de modo a que as pessoas cujos dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer utilização ilícita desses dados. A necessidade de dispor destas garantias é ainda mais importante quando os dados pessoais sejam sujeitos a tratamento automático e exista um risco significativo de acesso ilícito aos mesmos. Além disso, e sobretudo, a proteção do direito fundamental ao respeito da vida privada a nível da União exige que as derrogações à proteção dos dados pessoais e as suas limitações operem na estrita medida do necessário.

Assim, não é limitada ao estritamente necessário uma regulamentação que autoriza de modo generalizado a conservação da totalidade dos dados pessoais de todas as pessoas cujos dados foram transferidos da União para os Estados Unidos sem qualquer diferenciação, limitação ou exceção em função do objetivo prosseguido e sem que esteja previsto um critério objetivo que permita delimitar o acesso das autoridades públicas aos dados e a sua utilização posterior para fins precisos, estritamente limitados e suscetíveis de justificar a ingerência que tanto o acesso como a utilização desses dados comportam.

Em particular, uma regulamentação que permita às autoridades públicas aceder de modo generalizado ao conteúdo das comunicações eletrónicas deve ser considerada lesiva do conteúdo essencial do direito fundamental ao respeito da vida privada, tal como é garantido pelo artigo 7.° da Carta dos Direitos Fundamentais da União Europeia.

De igual modo, uma regulamentação que não preveja nenhuma possibilidade de o particular recorrer a vias de direito para ter acesso aos dados pessoais que lhe dizem respeito, ou para obter a retificação ou a supressão de tais dados, não respeita o conteúdo essencial do direito fundamental a uma proteção jurisdicional efetiva, tal como é consagrado no artigo 47.° da Carta dos Direitos Fundamentais da União Europeia. Com efeito, o primeiro parágrafo deste artigo exige que qualquer pessoa cujos direitos e liberdades garantidos pelo direito da União tenham sido violados tenha direito a uma ação perante um tribunal nos termos previstos nesse artigo. A este respeito, a própria existência de uma fiscalização jurisdicional efetiva destinada a assegurar o cumprimento das disposições do direito da União é inerente à existência de um Estado de Direito.

(cf. n.^os 91‑95)