Processo C‑311/18
Data Protection Commissioner
contra
Facebook Ireland Ltd
e
Maximillian Schrems
[pedido de decisão prejudicial apresentado pela High Court (Irlanda)]
Acórdão do Tribunal de Justiça (Grande Secção) de 16 de julho de 2020
«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Carta dos Direitos Fundamentais da União Europeia — Artigos 7.°, 8.° e 47.° — Regulamento (UE) 2016/679 — Artigo 2.°, n.° 2 — Âmbito de aplicação — Transferências de dados pessoais para países terceiros para fins comerciais — Artigo 45.° — Decisão de adequação da Comissão — Artigo 46.° — Transferências mediante garantias adequadas — Artigo 58.° — Poderes das autoridades de controlo — Tratamento dos dados transferidos pelas autoridades públicas de um país terceiro para efeitos de segurança nacional — Apreciação do caráter adequado do nível de proteção assegurado no país terceiro — Decisão 2010/87/UE — Cláusulas tipo de proteção para a transferência de dados pessoais para países terceiros — Garantias adequadas oferecidas pelo responsável pelo tratamento — Validade — Decisão de Execução (UE) 2016/1250 — Adequação da proteção assegurada pelo Escudo de Proteção da Privacidade União Europeia‑Estados Unidos — Validade — Queixa de uma pessoa singular cujos dados foram transferidos da União Europeia para os Estados Unidos»
1. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Âmbito de aplicação — Conceito de tratamento de dados pessoais — Transferências de dados pessoais para fins comerciais, por um operador económico estabelecido num Estado‑Membro para outro operador económico estabelecido num país terceiro — Inclusão — Dados suscetíveis de ser tratados pelas autoridades do país terceiro em causa para efeitos de segurança nacional — Falta de incidência
[Regulamento n.° 2016/679 do Parlamento Europeu e do Conselho, artigo 2.°, n.os 1 e 2, alíneas a), b) e d), e artigo 4.°, ponto 2]
(cf. n.os 82, 83, 85‑89, disp. 1)
2. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Transferências de dados pessoais para países terceiros — Transferências mediante garantias adequadas, baseadas nas cláusulas‑tipo de proteção de dados — Conceito de nível de proteção adequado a assegurar pelo país terceiro em causa aquando dessas transferências — Interpretação à luz do direito da União — Critérios de apreciação
[Carta dos Direitos Fundamentais da União Europeia, artigo 52.°, n.° 3; Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 46.°, n.os1 e 2, alínea c)]
(cf. n.os 92‑96, 98‑101, 103‑105, disp. 2)
3. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Transferências de dados pessoais para países terceiros — Transferências mediante garantias adequadas, baseadas nas cláusulas‑tipo de proteção de dados — Autoridades nacionais de controlo — Poderes — Controlo das transferências de dados pessoais para países terceiros — Obrigação de suspender ou proibir essas transferências em caso de violação do nível de proteção adequado no país terceiro em causa — Requisitos
[Carta dos Direitos Fundamentais da União Europeia, artigo 8.°, n.° 3; Diretiva 2016/679 do Parlamento Europeu e do Conselho, artigos 45.°, 46.°, 51.°, n.° 1, 57.°, n.° 1, alíneas a) e f), e 58.°, n.os 1 e 2, alíneas f) e g)]
(cf. n.os 107, 108, 112‑121, disp. 3)
4. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Transferências de dados pessoais para países terceiros — Transferências mediante garantias adequadas, baseadas nas cláusulas‑tipo de proteção de dados — Decisão 2010/87 relativa a cláusulas contratuais‑tipo aplicáveis à transferência de dados pessoais para países terceiros — Garantias adequadas oferecidas pelo responsável desse tratamento estabelecido na União e pelas autoridades de controlo — Obrigação de essas autoridades suspenderem ou proibirem essas transferências em caso de violação das referidas cláusulas — Direitos à proteção da vida privada, à proteção dos dados pessoais e a uma proteção jurisdicional efetiva — Inexistência de violação — Validade da decisão
[Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.° e 47.°; Diretiva 2016/679 do Parlamento Europeu e do Conselho, artigos 46.°, n.os 1 e 2, alínea c); Decisão 2010/87 da Comissão, anexo]
(cf. n.os 128‑130, 133‑145, 148, 149, disp. 4)
5. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Transferências de dados pessoais para países terceiros — Adoção pela Comissão de uma decisão que declara um nível de proteção adequado num país terceiro — Decisão 2016/1250 que declara um nível de proteção adequado assegurado pelo Escudo de Proteção da Privacidade União Europeia‑Estados Unidos — Autoridade nacional de controlo à qual é apresentado um pedido que põe em causa o nível de proteção adequado assegurado nesse país terceiro — Obrigação de essa autoridade examinar o pedido — Exame da validade da Decisão 2016/1250
(artigo 288.°, quarto parágrafo, TFUE; Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigos 45.°, n.° 3, e 77.°, n.° 1; Decisão 2016/1250 da Comissão, anexo II)
(cf. n.os 151‑161)
6. Direitos fundamentais — Carta dos Direitos Fundamentais da União Europeia — Respeito pela vida provada — Proteção de dados pessoais — Conservação e acesso aos dados pessoais com vista à sua utilização pelas autoridades públicas — Ingerência nesses direitos fundamentais — Limitações ao exercício desses direitos — Respeito do princípio da proporcionalidade
(Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.°, 52.°, n.° 1, segundo período; Regulamento 2016/679 do Parlamento Europeu e do Conselho)
(cf. n.os 170‑176)
7. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Transferências de dados pessoais para países terceiros — Adoção pela Comissão de uma decisão que declara um nível de proteção adequado num país terceiro — Decisão 2016/1250 que declara um nível de proteção adequado assegurado pelo Escudo de Proteção da Privacidade União Europeia‑Estados Unidos — Inexistência de um nível de proteção substancialmente equivalente ao assegurado pelo direito da União — Violação dos direitos à proteção da vida privada, à proteção dos dados pessoais e a uma proteção jurisdicional efetiva dos titulares dos dados visados por essas transferências — Instauração de um mecanismo de mediação no âmbito do Escudo de Proteção da Privacidade — Inexistência de incidência na violação do direito a uma proteção jurisdicional efetiva — Invalidade da decisão
[Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.°, 47.°, 52.°, n.° 1, segundo período; Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 45.°, n.° 2, alínea a), e n.° 3; Decisão 2016/1250 da Comissão, anexo II]
(cf. n.os 180‑185, 187‑192, 195‑201, disp. 5)
8. Questões prejudiciais — Apreciação de validade — Declaração de invalidade de um ato da União — Decisão 2016/1250 que declara um nível de proteção adequado assegurado pelo Escudo de Proteção da Privacidade União Europeia‑Estados Unidos — Efeitos — Limitação no tempo — Inexistência
(artigo 267.° TFUE; Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 49.°; Decisão 2016/1250 da Comissão)
(ver n.° 202)
Resumo
O Tribunal de Justiça declara inválida a Decisão de Execução 2016/1250, relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE‑EUA
Em contrapartida, declara que a Decisão 2010/87 da Comissão, relativa a cláusulas contratuais tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros, é válida.
O Regulamento Geral sobre a Proteção de Dados (1) (a seguir «RGPD») dispõe que, em princípio, a transferência de tais dados para um país terceiro apenas pode realizar‑se se o país terceiro em questão assegurar um nível de proteção adequado a esses dados. Segundo este regulamento, a Comissão pode declarar que um país terceiro assegura, em virtude da sua legislação interna ou dos seus compromissos internacionais, um nível de proteção adequado (2). Na falta de uma decisão de adequação dessa natureza, tal transferência apenas pode ser realizada se o exportador dos dados pessoais, estabelecido na União, apresentar garantias adequadas, que podem, nomeadamente, resultar de cláusulas‑tipo de proteção de dados adotadas pela Comissão, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes (3). Por outro lado, o RGPD estabelece, de forma precisa, as condições em que, na falta de uma decisão de adequação ou de garantias adequadas, tal transferência pode ocorrer (4).
Maximillian Schrems, cidadão austríaco residente na Áustria, é utilizador do Facebook desde 2008. Tal como em relação aos outros utilizadores residentes na União, os dados pessoais de M. Schrems são, no todo ou em parte, transferidos pela Facebook Ireland para servidores pertencentes à Facebook Inc., situados em território dos Estados Unidos, onde são objeto de tratamento. M. Schrems apresentou à autoridade irlandesa de controlo uma queixa destinada, em substância, a obter a proibição dessas transferências. Sustentou que o direito e as práticas dos Estados Unidos não asseguram uma proteção suficiente contra o acesso, pelas autoridades públicas, aos dados transferidos para esse país. Esta queixa foi arquivada, com o fundamento, nomeadamente, de que a Comissão tinha constatado, na sua Decisão 2000/520 (5) (a chamada decisão «porto seguro»), que os Estados Unidos asseguravam um nível de proteção adequado. Por Acórdão proferido em 6 de outubro de 2015, o Tribunal de Justiça, chamado a apreciar uma questão prejudicial submetida pela High Court (Tribunal Superior, Irlanda), declarou essa decisão inválida (a seguir «Acórdão Schrems I») (6).
Na sequência do Acórdão Schrems I e da consecutiva anulação, pelo órgão jurisdicional irlandês, da decisão de arquivamento da queixa de M. Schrems, a autoridade de controlo irlandesa convidou este último a reformular a sua queixa tendo em conta a anulação, pelo Tribunal de Justiça, da Decisão 2000/520. Na sua queixa reformulada, M. Schrems mantém que os Estados Unidos não oferecem uma proteção suficiente dos dados transferidos para esse país. Pede a suspensão ou a proibição, para o futuro, das transferências dos seus dados pessoais, da União para os Estados Unidos, que a Facebook Ireland passou a realizar com base nas cláusulas tipo de proteção de dados que figuram no anexo da Decisão 2010/87 (7). Por considerar que o tratamento da queixa de M. Schrems depende, nomeadamente, da validade da Decisão 2010/87, a autoridade de controlo irlandesa iniciou um processo destinado a que a High Court (Tribunal Superior) submetesse ao Tribunal de Justiça um pedido de decisão prejudicial. Após o início desse processo, a Comissão adotou a Decisão 2016/1250, relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE‑EUA (8) (a chamada decisão «Escudo de Proteção da Privacidade»).
Com o seu pedido de decisão prejudicial, o órgão jurisdicional de reenvio interroga o Tribunal de Justiça sobre a aplicabilidade do RGPD a transferências de dados pessoais baseadas nas cláusulas‑tipo de proteção que figuram na Decisão 2010/87, sobre o nível de proteção exigido por esse regulamento no âmbito de uma transferência deste tipo e sobre as obrigações que cabem às autoridades de controlo neste contexto. Além disso, a High Court (Tribunal Superior) suscita a questão da validade tanto da Decisão 2010/87 como da Decisão 2016/1250.
Com o seu acórdão de hoje, o Tribunal de Justiça conclui que o exame da Decisão 2010/87 à luz da Carta dos Direitos Fundamentais não revela nenhum elemento suscetível de afetar a sua validade. Em contrapartida, declara inválida a Decisão 2016/1250.
O Tribunal começa por afirmar que o direito da União, nomeadamente o RGPD, é aplicável a uma transferência de dados pessoais efetuada, para fins comerciais, por um operador económico estabelecido num Estado‑Membro para outro operador económico estabelecido num país terceiro, não obstante o facto de, no decurso ou na sequência dessa transferência, esses dados poderem vir a ser tratados para efeitos de segurança pública, de defesa e de segurança do Estado pelas autoridades do país terceiro em causa. O Tribunal precisa que esse tipo de tratamento de dados pelas autoridades de um país terceiro não pode excluir uma transferência dessa natureza do âmbito de aplicação do regulamento.
No que respeita ao nível de proteção exigido no âmbito de tal transferência, o Tribunal entende que as exigências previstas para esse efeito pelas disposições do RGPD relativas a garantias adequadas, a direitos oponíveis e a medidas jurídicas corretivas eficazes devem ser interpretadas no sentido de que as pessoas cujos dados pessoais são transferidos para um país terceiro com base em cláusulas tipo de proteção de dados devem beneficiar de um nível de proteção substancialmente equivalente ao garantido na União por este regulamento, lido à luz da Carta. Neste contexto, precisa que a avaliação desse nível de proteção deve ter em consideração tanto as estipulações contratuais acordadas entre o exportador dos dados estabelecido na União e o destinatário da transferência estabelecido no país terceiro em causa como, no que respeita a um eventual acesso das autoridades públicas desse país terceiro aos dados assim transferidos, os elementos pertinentes do sistema jurídico deste país terceiro
No que se refere às obrigações que incumbem às autoridades de controlo no contexto dessa transferência, o Tribunal declara que, a menos que exista uma decisão de adequação validamente adotada pela Comissão, essas autoridades estão, nomeadamente, obrigadas a suspender ou a proibir uma transferência de dados pessoais para um país terceiro se considerarem, à luz das circunstâncias especificas dessa transferência, que as cláusulas‑tipo de proteção de dados não são ou não podem ser respeitadas nesse país terceiro e que a proteção dos dados transferidos exigida pelo direito da União não pode ser assegurada por outros meios, no caso de o exportador estabelecido na União não ter ele próprio suspendido ou posto termo a essa transferência.
Seguidamente, o Tribunal examina a validade da Decisão 2010/87. Segundo ele, a validade desta decisão não é posta em causa pelo simples facto de as cláusulas‑tipo de proteção de dados que nela figuram não vincularem, devido ao seu caráter contratual, as autoridades do país terceiro para o qual uma transferência de dados pode ser realizada. Em contrapartida, precisa que essa validade depende da questão de saber se a referida decisão comporta mecanismos efetivos que permitam, na prática, garantir que o nível de proteção exigido pelo direito da União seja respeitado e que as transferências de dados pessoais baseadas nessas cláusulas sejam suspensas ou proibidas em caso de violação dessas cláusulas ou de impossibilidade de as honrar. O Tribunal declara que a Decisão 2010/87 prevê tais mecanismos. A este respeito, sublinha, nomeadamente, que esta decisão impõe uma obrigação ao exportador dos dados e ao destinatário da transferência de verificar previamente que esse nível de proteção é respeitado no país terceiro em causa, e obriga esse destinatário a informar o exportador dos dados da sua eventual incapacidade de dar cumprimento às cláusulas‑tipo de proteção, cabendo então a este último suspender a transferência de dados e/ou rescindir o contrato celebrado com o primeiro.
O Tribunal procede, por último, ao exame da validade da Decisão 2016/1250 face às exigências que decorrem do RGPD, lido à luz das disposições da Carta que garantem o respeito da vida privada e familiar, a proteção dos dados pessoais e o direito a uma proteção jurisdicional efetiva. A este respeito, o Tribunal salienta que, à semelhança da Decisão 200/520, esta decisão consagra o primado das exigências relativas à segurança nacional, ao interesse público e ao respeito da legislação americana, possibilitando assim ingerências nos direitos fundamentais das pessoas cujos dados são transferidos para este país terceiro. Segundo o Tribunal, as limitações da proteção dos dados pessoais que decorrem da regulamentação interna dos Estados Unidos relativa ao acesso e à utilização, pelas autoridades públicas americanas, desses dados transferidos da União para esse país terceiro, e que a Comissão avaliou na Decisão 2016/1250, não estão enquadradas de forma a satisfazer requisitos substancialmente equivalentes aos exigidos, no direito da União, pelo princípio da proporcionalidade, na medida em que os programas de vigilância baseados nessa regulamentação não se limitam ao estritamente necessário. Baseando‑se nas constatações que figuram nessa decisão, o Tribunal salienta que, relativamente a certos programas de vigilância, a referida regulamentação não revela de forma alguma a existência de limitações à habilitação que comporta para efeitos da execução desses programas nem a existência de garantias para as pessoas não americanas potencialmente visadas. O Tribunal acrescenta que, embora essa regulamentação preveja exigências que as autoridades americanas devem respeitar aquando da implementação dos programas de vigilância em causa, não confere aos titulares dos dados direitos oponíveis às autoridades americanas nos tribunais.
Quanto à exigência de proteção jurisdicional, o Tribunal declara que, contrariamente ao que a Comissão considerou na Decisão 2016/1250, o mecanismo de mediação previsto nessa decisão não oferece a essas pessoas nenhuma via de recurso num órgão que ofereça garantias substancialmente equivalentes às exigidas pelo direito da União, capazes de assegurar tanto a independência do mediador previsto por esse mecanismo como a existência de normas que o habilitem a adotar decisões vinculativas para os serviços de informações americanos. Por todas estas razões, o Tribunal declara inválida a Decisão 2016/1250.