CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Pedido de decisão prejudicial apresentado pela High Court (Irlanda) em 9 de maio de 2018 – Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems

(Processo C-311/18)

Língua do processo: inglês

Órgão jurisdicional de reenvio

High Court

Partes no processo principal

Demandante: Data Protection Commissioner

Demandado: Facebook Ireland Limited, Maximillian Schrems

Questões prejudiciais

Em circunstâncias nas quais uma empresa privada transfere, com base na Decisão 2010/87/UE¹ , conforme alterada pela Decisão 2016/2297² da Comissão (a seguir «Decisão CCT»), de um Estado-Membro da União Europeia (UE) para uma empresa privada num país terceiro, para fins comerciais, dados pessoais que podem ser tratados posteriormente pelas autoridades do país terceiro não só para fins de segurança nacional mas também para efeitos da aplicação da lei e da administração dos assuntos externos do país terceiro, o direito da UE [incluindo a Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»)] é aplicável à transferência dos dados, sem prejuízo das disposições do artigo 4.°, n.° 2, TUE relativas à segurança nacional e as disposições do artigo 3.°, n.° 2, primeiro travessão, da Diretiva 95/46/CE³ (a seguir «Diretiva») em relação à segurança pública, defesa e segurança do Estado?

1) Para efeitos da Diretiva, ao determinar se constitui violação dos direitos de uma pessoa ao transferir dados ao abrigo Decisão CCT a partir da União Europeia para um país terceiro no qual esses dados podem ser posteriormente tratados para fins de segurança nacional, o elemento de referência pertinente é:

A Carta, o TUE, o TFUE, a Diretiva, a CEDH (ou qualquer outra disposição do direito da União), ou:

A legislação nacional de um ou de vários Estados-Membros?

2) Se o elemento de referência pertinente for o referido na alínea b), devem ser igualmente incluídas nesse elemento as práticas seguidas no contexto da segurança nacional num ou em vários Estados-Membros?

Ao avaliar se um país terceiro assegura o nível de proteção exigido pelo direito da União para transferir dados pessoais para esse país para efeitos do artigo 26.° da Diretiva, deve o nível de proteção no país terceiro ser avaliado por referência:

às regras aplicáveis no país terceiro decorrentes da sua legislação interna ou dos compromissos internacionais deste e à prática seguida para garantir o cumprimento dessas regras, a fim de incluir as regras profissionais e as medidas de segurança aplicadas no país terceiro; ou:

às regras referidas na alínea a), juntamente com as práticas administrativas, regulamentares e de execução, e as medidas de proteção e os procedimentos, protocolos, mecanismos de supervisão e vias de recurso extrajudiciais aplicáveis no país terceiro?

Constitui violação dos direitos das pessoas, previstos nos artigos 7.° e /ou 8.° da Carta, a transferência de dados pessoais da UE para os EUA ao abrigo da Decisão CCT, tendo em conta os factos apurados pela High Court em relação à lei dos EUA?

Tendo em conta os factos apurados pela High Court em relação à lei dos EUA, no caso de serem transferidos dados pessoais da UE para os EUA ao abrigo da Decisão CCT:

O nível de proteção conferido pelos EUA respeita o conteúdo essencial do direito das pessoas a um recurso judicial, em caso de violação dos seus direitos de privacidade dos dados, consagrado no artigo 47.° da Carta?

Se a resposta à alínea a) for afirmativa:

As limitações impostas pela legislação dos EUA ao direito das pessoas a um recurso judicial no contexto da segurança nacional dos EUA são proporcionadas, na aceção do artigo 52.° da Carta, e não excedem o que é necessário numa sociedade democrática para fins de segurança nacional?

(1) Qual é, por força do artigo 26.°, n.° 4, à luz das disposições da Diretiva e, em especial, dos artigos 25.° e 26.°, interpretados à luz da Carta, o nível de proteção que deve ser concedido aos dados pessoais transferidos para um país terceiro ao abrigo de cláusulas contratuais-tipo estipuladas em conformidade com uma decisão da Comissão?

(2) Quais são os elementos a ter em conta, ao avaliar se o nível de proteção concedido aos dados transferidos para um país terceiro ao abrigo da Decisão CCT cumpre as exigências da Diretiva e da Carta?

O facto de as cláusulas contratuais-tipo serem aplicáveis ao exportador de dados e ao importador de dados, mas não serem vinculativas para as autoridades nacionais de um país terceiro, que podem exigir que o importador de dados disponibilize os seus serviços de segurança, para o seu tratamento posterior, os dados pessoais transferidos ao abrigo das cláusulas previstas na Decisão CCT, impede que as cláusulas se incluam nas garantias de proteção adequadas previstas no artigo 26.°, n.° 2, da Diretiva?

Se um importador de dados de um país terceiro estiver sujeito a leis de vigilância que, na opinião de uma autoridade de proteção de dados, estejam em conflito com as cláusulas do anexo da Decisão CCT ou com os artigos 25.° e 26.° da Diretiva e/ou com a Carta, é uma autoridade de proteção de dados obrigada a exercer os seus poderes de execução previstos no artigo 28.°, n.° 3, da Diretiva para suspender os fluxos de dados ou o exercício desses poderes limita-se apenas a casos excecionais, à luz do considerando 11 da Diretiva [considerando 11 da Decisão da Comissão 2010/87/EU], ou pode uma autoridade de proteção de dados utilizar o seu poder discricionário para não suspender esses fluxos de dados?

(1) Para efeitos do artigo 25.°, n.° 6, da Diretiva, constitui a Decisão (UE) 2016/1250⁴ (a seguir «Decisão relativa ao Escudo de Proteção da Privacidade») uma conclusão de alcance geral que é vinculativa para as autoridades de proteção de dados e para os tribunais dos Estados-Membros, que tem por efeito que os Estados Unidos, em razão da sua legislação interna ou dos compromissos internacionais que tenham assumido, garantam um nível de proteção adequado na aceção do artigo 25.°, n.° 2, da Diretiva?

(2) Se assim não for, que relevância tem, se for caso disso, a Decisão relativa ao Escudo de Proteção da Privacidade na avaliação realizada sobre a adequação da proteção fornecida aos dados transferidos para os Estados Unidos em conformidade com a Decisão CCT?

Tendo em conta as considerações da High Court relativas à legislação dos EUA, constitui a previsão de um Mediador para o Escudo de Proteção da Privacidade a que se refere o Anexo A do Anexo III da Decisão relativa ao Escudo de Proteção da Privacidade, quando considerada em conjugação com o regime vigente nos Estados Unidos, uma garantia de que este país oferece uma via de recurso compatível com o artigo 47.° da Carta aos àqueles cujos dados pessoais são transferidos para os EUA ao abrigo da Decisão CCT?

A Decisão CCT viola os artigos 7.°, 8.° e/ou 47.° da Carta?

____________

¹ Decisão da Comissão, de 5 de fevereiro de 2010, relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (JO 2010, L 39, p. 5).

² Decisão de Execução (UE) 2016/2297 da Comissão, de 16 de dezembro de 2016, que altera as Decisões 2001/497/CE e 2010/87/UE relativas às cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros e para subcontratantes estabelecidos nesses países, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (JO 2016, L 344, p. 100).

³ Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

⁴ Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016, relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento Europeu e do Conselho (JO 2016, L 207, p. 1).