CONCLUSÕES DO ADVOGADO‑GERAL
HENRIK SAUGMANDSGAARD ØE
apresentadas em 19 de dezembro de 2019 (1)
Processo C‑311/18
Data Protection Commissioner
contra
Facebook Ireland Limited,
Maximillian Schrems,
sendo intervenientes:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance, Inc.,
Digitaleurope
[pedido de decisão prejudicial apresentado pela High Court (Tribunal Superior, Irlanda)]
«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 2.o, n.o 2 — Âmbito de aplicação — Transferência de dados pessoais para fins comerciais para os Estados Unidos — Tratamento pelas autoridades públicas dos Estados Unidos, para efeitos de segurança nacional, dos dados transferidos — Artigo 45.o — Apreciação da adequação do nível de proteção num país terceiro — Artigo 46.o — Garantias adequadas oferecidas pelo responsável pelo tratamento — Cláusulas‑tipo de proteção — Artigo 58.o, n.o 2 — Poderes das autoridades nacionais de controlo — Decisão 2010/87/UE — Validade — Decisão (UE) 2016/1250 — “Escudo de Proteção da Privacidade UE‑EUA” — Validade — Artigos 7.o, 8.o e 47.o da Carta dos Direitos Fundamentais da União Europeia»
Índice
I. Introdução
II. Quadro jurídico
A. Diretiva 95/46
B. RGPD
C. Decisão 2010/87
D. Decisão «Escudo de Proteção da Privacidade»
III. Litígio no processo principal, questões prejudiciais e tramitação processual no Tribunal de Justiça
IV. Análise
A. Considerações preliminares
B. Quanto à admissibilidade do reenvio prejudicial
1. Quanto à aplicabilidade ratione temporis da Diretiva 95/46
2. Quanto ao caráter provisório das dúvidas expressas pelo DPC
3. Quanto às incertezas que rodeiam a definição do quadro factual
C. Quanto à aplicabilidade do direito da União às transferências de dados pessoais para fins comerciais para um Estado terceiro suscetível de os tratar para fins de segurança nacional (primeira questão)
D. Quanto ao nível de proteção exigido no âmbito de uma transferência baseada em cláusulas contratuaistipo (primeira parte da sexta questão)
E. Quanto à validade da Decisão 2010/87 à luz dos artigos 7.o, 8.o e 47.o da Carta (sétima, oitava e décima primeira questões)
1. Quanto às obrigações que incumbem aos responsáveis pelo tratamento
2. Quanto às obrigações das autoridades de controlo
F. Quanto ao caráter desnecessário das outras questões prejudiciais e do exame da validade da Decisão «Escudo de Proteção da Privacidade»
1. Quanto ao caráter desnecessário das respostas do Tribunal de Justiça em relação ao objeto do processo principal
2. Quanto às razões que se opõem a um exame pelo Tribunal de Justiça à luz do objeto do processo pendente no DPC
G. Observações subsidiárias relativas aos efeitos e à validade da Decisão «Escudo de Proteção da Privacidade»
1. Quanto ao impacto da Decisão «Escudo de Proteção da Privacidade» no âmbito do tratamento, por uma autoridade de controlo, de uma queixa relativa à legalidade de uma transferência baseada em garantias contratuais
2. Quanto à validade da Decisão «Escudo de Proteção da Privacidade
a) Esclarecimentos relativos ao conteúdo do exame da validade de uma decisão de adequação
1) Quanto aos termos da comparação que permitem avaliar a «equivalência substancial» do nível de proteção
2) Quanto à necessidade de assegurar um nível adequado de proteção durante a fase de trânsito de dados
3) Quanto à tomada em consideração das conclusões factuais da Comissão e do órgão jurisdicional de reenvio no que respeita ao direito dos Estados Unidos
4) Quanto ao alcance do padrão da «equivalência substancial»
b) Quanto à validade da Decisão «Escudo de Proteção da Privacidade» no que se refere aos direitos ao respeito pela vida privada e à proteção dos dados pessoais
1) Quanto à existência de ingerências
2) Quanto à previsão por lei das ingerências
3) Quanto à inexistência de violação do conteúdo essencial dos direitos fundamentais
4) Quanto à prossecução de um objetivo legítimo
5) Quanto à necessidade e à proporcionalidade das ingerências
c) Quanto à validade da Decisão «Escudo de Proteção da Privacidade» relativamente ao direito à ação
1) Quanto à efetividade das vias de recurso judiciais previstas pelo direito americano
2) Quanto ao impacto do mecanismo de mediação no nível de proteção do direito a uma via de recurso efetiva
V. Conclusão
I. Introdução
1. Na falta de garantias comuns em matéria de proteção dos dados pessoais a nível mundial, os fluxos transfronteiriços desses dados são acompanhados de um risco de quebra na continuidade do nível de proteção assegurado na União Europeia. Preocupado em facilitar esses fluxos, limitando simultaneamente este risco, o legislador da União criou três mecanismos ao abrigo dos quais os dados pessoais podem ser transferidos da União para um país terceiro.
2. Em primeiro lugar, essa transferência pode ser operada com fundamento numa decisão em que a Comissão declare que o Estado terceiro em causa assegura um «nível de proteção adequado» dos dados para o qual são transferidos (2). Em segundo lugar, na falta dessa decisão, a transferência é autorizada quando for acompanhada de «garantias adequadas» (3). Essas garantias podem assumir a forma de um contrato entre o exportador e o importador dos dados que integre cláusulas‑tipo de proteção adotadas pela Comissão. O RGPD prevê, em terceiro lugar, determinadas derrogações, baseadas, nomeadamente, no consentimento do titular dos dados, que permitem a transferência para um país terceiro mesmo na falta de uma decisão de adequação ou de garantias adequadas (4).
3. O pedido de decisão prejudicial apresentado pela High Court (Tribunal Superior, Irlanda) diz respeito ao segundo destes mecanismos. Mais especificamente, diz respeito à validade da Decisão 2010/87/UE (5), através da qual a Comissão estabeleceu cláusulas contratuais‑tipo para certas categorias de transferências, ao abrigo dos artigos 7.o, 8.o e 47.o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»).
4. Este pedido foi apresentado no contexto de um litígio que opõe o Data Protection Commissioner (Comissário para a Proteção de Dados, Irlanda, a seguir «DPC») à Facebook Ireland Ltd e a M. Schrems relativamente a uma queixa, apresentada por este último, sobre a transferência dos seus dados pessoais pela Facebook Ireland para a Facebook Inc., a sua sociedade‑mãe, com sede nos Estados Unidos da América (a seguir «Estados Unidos»). O DPC considera que o tratamento desta queixa depende da questão de saber se a Decisão 2010/87 é válida. Neste contexto, ele pediu ao órgão jurisdicional de reenvio que interrogasse o Tribunal de Justiça a esse respeito.
5. Antes de mais, refiro que a análise das questões prejudiciais não revelou, na minha opinião, nenhum facto suscetível de afetar a validade da Decisão 2010/87.
6. Por outro lado, o órgão jurisdicional de reenvio salientou algumas dúvidas a respeito, em substância, da adequação do nível de proteção assegurado pelos Estados Unidos em relação às ingerências das autoridades de informação americanas no exercício dos direitos fundamentais das pessoas cujos dados são transferidos para este país terceiro. Essas dúvidas põem indiretamente em causa as apreciações efetuadas pela Comissão a este respeito na Decisão de Execução (UE) 2016/1250 (6). Embora a resolução do litígio no processo principal não necessite que o Tribunal de Justiça se pronuncie sobre esta questão e lhe sugira, portanto, que se abstenha de o fazer, explicarei, a título subsidiário, as razões que me levam a interrogar‑me acerca da validade desta decisão.
7. Toda a minha análise será orientada para a procura de um equilíbrio entre, por um lado, a necessidade de demonstrar um «nível razoável de pragmatismo para permitir a interação com o resto do mundo» (7), e, por outro, a de afirmar os valores fundamentais reconhecidos nas ordens jurídicas da União e dos seus Estados‑Membros, especialmente pela Carta.
II. Quadro jurídico
A. Diretiva 95/46
8. O artigo 3.o, n.o 2, da Diretiva 95/46/CE, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (8), dispunha:
«A presente diretiva não se aplica ao tratamento de dados pessoais:
– efetuado no exercício de atividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as atividades do Estado no domínio do direito penal,
[…]»
9. O artigo 13.o, n.o 1, desta diretiva tinha a seguinte redação:
«Os Estados‑Membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.o 1 do artigo 6.o, no artigo 10.o, no n.o 1 do artigo 11.o e nos artigos 12.o e 21.o, sempre que tal restrição constitua uma medida necessária à proteção:
a) Da segurança do Estado;
b) Da defesa;
c) Da segurança pública;
d) Da prevenção, investigação, deteção e repressão de infrações penais e de violações da deontologia das profissões regulamentadas;
e) De um interesse económico ou financeiro importante de um Estado‑Membro ou da União Europeia, incluindo nos domínios monetário, orçamental ou fiscal;
f) De missões de controlo, de inspeção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d) e);
g) De pessoa em causa ou dos direitos e liberdades de outrem.»
10. O artigo 25.o da referida diretiva enunciava:
«1. Os Estados‑Membros estabelecerão que a transferência para um país terceiro de dados pessoais objeto de tratamento, ou que se destinem a ser objeto de tratamento após a sua transferência, só pode realizar‑se se, sob reserva da observância das disposições nacionais adotadas nos termos das outras disposições da presente Diretiva, o país terceiro em questão assegurar um nível de proteção adequado.
2. A adequação do nível de proteção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, serão tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projetados, os países de origem e de destino final, as regras de direito, gerais ou setoriais, em vigor no país terceiro em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse país.
[…]
6. A Comissão pode constatar, nos termos do procedimento previsto no n.o 2 do artigo 31.o, que um país terceiro assegura um nível de proteção adequado na aceção do n.o 2 do presente artigo em virtude da sua legislação interna ou dos seus compromissos internacionais, subscritos nomeadamente na sequência das negociações referidas no n.o 5, com vista à proteção do direito à vida privada e das liberdades e direitos fundamentais das pessoas.
7. Os Estados‑Membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.»
11. O artigo 26.o, n.os 2 e 4, da mesma diretiva previa:
«2. Sem prejuízo do n.o 1, um Estado‑Membro pode autorizar uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro que não assegura um nível de proteção adequado na aceção do n.o 2 do artigo 25.o, desde que o responsável pelo tratamento apresente garantias suficientes de proteção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respetivos direitos; essas garantias podem, designadamente, resultar de cláusulas contratuais adequadas.
[…]
4. Sempre que a Comissão decidir […] que certas cláusulas contratuais‑tipo oferecem as garantias suficientes referidas no n.o 2, os Estados‑Membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.»
12. O artigo 28.o, n.o 3, da Diretiva 95/46 estava formulado nos seguintes termos:
«Cada autoridade do controlo disporá, nomeadamente:
[…]
– de poderes efetivos de intervenção, tais como, por exemplo, o de emitir pareceres previamente à execução adequada desses pareceres, o de ordenar o bloqueio, o apagamento ou a destruição dos dados, o de proibir temporária ou definitivamente o tratamento, o de dirigir uma advertência ou uma censura ao responsável pelo tratamento ou o de remeter a questão para os parlamentos nacionais ou para outras instituições políticas,
– […]»
B. RGPD
13. Nos termos do seu artigo 94.o, n.o 1, o RGPD revogou a Diretiva 95/46 com efeitos a partir de 25 de maio de 2018, data em que o referido regulamento entrou em vigor em conformidade com o seu artigo 99.o, n.o 2.
14. O artigo 2.o, n.o 2, do referido regulamento dispõe:
«O presente regulamento não se aplica ao tratamento de dados pessoais;
a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União;
b) Efetuado pelos Estados‑Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;
[…]
d) Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.»
15. O artigo 4.o, ponto 2, do mesmo regulamento define «tratamento» como «uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição».
16. O artigo 23.o do RGPD prevê:
«1. O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:
a) A segurança do Estado;
b) A defesa;
c) A segurança pública;
d) A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;
e) Outros objetivos importantes do interesse público geral da União ou de um Estado‑Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado‑Membro […];
[…]
2. Em especial, as medidas legislativas referidas no n.o 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:
a) Às finalidades do tratamento ou às diferentes categorias de tratamento;
b) Às categorias de dados pessoais;
c) Ao alcance das limitações impostas;
d) Às garantias para evitar o abuso ou o acesso ou transferência ilícitos;
e) À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento;
f) Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento;
g) Aos riscos específicos para os direitos e liberdades dos titulares dos dados; e
h) Ao direito dos titulares dos dados a serem informados da limitação, a menos que tal possa prejudicar o objetivo da limitação.»
17. O artigo 44.o deste regulamento, com a epígrafe «Princípio geral das transferências», enuncia:
«Qualquer transferência de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional só é realizada se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, inclusivamente no que diz respeito às transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional. Todas as disposições do presente capítulo são aplicadas de forma a assegurar que não é comprometido o nível de proteção das pessoas singulares garantido pelo presente regulamento.»
18. Em conformidade com o artigo 45.o do referido regulamento, com a epígrafe «Transferências com base numa decisão de adequação»:
«1. Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige autorização específica.
2. Ao avaliar a adequação do nível de proteção, a Comissão tem nomeadamente em conta os seguintes elementos:
a) O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de dados, das regras profissionais e das medidas de segurança, incluindo as regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência;
b) A existência e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados‑Membros; e
c) Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.
3. Após avaliar a adequação do nível de proteção, a Comissão pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.o 2 do presente artigo. O ato de execução prevê um procedimento de avaliação periódica, no mínimo de quatro em quatro anos, que deverá ter em conta todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional. […]
4. A Comissão controla, de forma continuada, os desenvolvimentos nos países terceiros e nas organizações internacionais que possam afetar o funcionamento das decisões adotadas nos termos do n.o 3 do presente artigo e das decisões adotadas com base no artigo 25.o, n.o 6, da [Diretiva 95/46].
5. A Comissão, sempre que a informação disponível revelar, nomeadamente na sequência da revisão a que se refere o n.o 3 do presente artigo, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, deixou de assegurar um nível de proteção adequado na aceção do n.o 2 do presente artigo, na medida do necessário, revoga, altera ou suspende a decisão referida no n.o 3 do presente artigo, através de atos de execução, sem efeitos retroativos. […]
6. A Comissão inicia consultas com o país terceiro ou a organização internacional com vista a corrigir a situação que tiver dado origem à decisão tomada nos termos do n.o 5.
[…]
9. As decisões adotadas pela Comissão com base no artigo 25.o, n.o 6, da [Diretiva 95/46] permanecem em vigor até que sejam alteradas, substituídas ou revogadas por uma decisão da Comissão adotada em conformidade com o n.o 3 ou o n.o 5 do presente artigo.»
19. O artigo 46.o do mesmo regulamento, com a epígrafe «Transferências sujeitas a garantias adequadas», está formulado nos seguintes termos:
«1. Não tendo sido tomada qualquer decisão nos termos do artigo 45.o, n.o 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.
2. Podem ser previstas as garantias adequadas referidas no n.o 1, sem requerer nenhuma autorização específica de uma autoridade de controlo, por meio de:
[…]
c) Cláusulas‑tipo de proteção de dados adotadas pela Comissão pelo procedimento de exame referido no artigo 93.o, n.o 2;
[…]
5. As autorizações concedidas por um Estado‑Membro ou uma autoridade de controlo com base no artigo 26.o, n.o 2, da [Diretiva 95/46] continuam válidas até que a mesma autoridade de controlo as altere, substitua ou revogue, caso seja necessário. As decisões adotadas pela Comissão com base no artigo 26.o, n.o 4, da [Diretiva 95/46] permanecem em vigor até que sejam alteradas, substituídas ou revogadas, caso seja necessário, por uma decisão da Comissão adotada em conformidade com o n.o 2 do presente artigo.»
20. Nos termos do artigo 58.o, n.os 2, 4 e 5, do RGPD:
«2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:
a) Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;
b) Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;
c) Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;
d) Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;
e) Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais;
f) Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;
[…]
i) Impor uma coima nos termos do artigo 83.o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;
j) Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais.
[…]
4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados‑Membros, em conformidade com a Carta.
5. Os Estados‑Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.»
C. Decisão 2010/87
21. O artigo 26.o, n.o 4, da Diretiva 95/46 deu lugar à adoção pela Comissão de três decisões nas quais declarou que as cláusulas contratuais‑tipo aí previstas oferecem garantias suficientes em relação à proteção da vida privada e das liberdades e dos direitos fundamentais das pessoas, bem como ao exercício dos direitos correspondentes (a seguir «Decisões CCT») (9).
22. Entre estas figura a Decisão 2010/87, cujo artigo 1.o prevê que «[se considera] que as cláusulas contratuais‑tipo constantes do anexo oferecem garantias adequadas de proteção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respetivos direitos, tal como exigido no artigo 26.o, n.o 2, da [Diretiva 95/46]».
23. Nos termos do artigo 3.o desta decisão:
«Para efeitos do disposto na presente decisão, entende‑se por:
[…]
c) “Exportador de dados”, o responsável pelo tratamento que transfere dados pessoais;
d) “Importador de dados”, o subcontratante estabelecido num país terceiro que concorda em receber, do exportador de dados, dados pessoais para serem tratados por conta deste depois da transferência, em conformidade com as suas instruções e nos termos da presente decisão, e que não está sujeito a um sistema de um país terceiro que assegure uma proteção adequada, na aceção do artigo 25.o, n.o 1, da [Diretiva 95/46];
[…]
f) “Legislação sobre proteção de dados aplicável”, a legislação que protege os direitos e as liberdades fundamentais das pessoas e, em especial, o seu direito à proteção da vida privada no que diz respeito ao tratamento dos seus dados pessoais, aplicável a um responsável pelo tratamento dos dados no Estado‑Membro em que o exportador de dados está estabelecido;
[…]»
24. Na sua versão inicial, o artigo 4.o da referida decisão previa, no seu n.o 1:
«Sem prejuízo das suas competências para tomar medidas que garantam o cumprimento das disposições nacionais adotadas por força dos capítulos II, III, V e VI da [Diretiva 95/46], as autoridades competentes dos Estados‑Membros podem exercer as suas competências para proibir ou suspender o fluxo de dados para países terceiros, de forma a proteger as pessoas no que diz respeito ao tratamento dos seus dados pessoais, nos casos em que:
a) Esteja comprovado que a legislação a que o importador de dados ou um subcontratante ulterior está sujeito lhe impõe requisitos que lhe permitem derrogar à legislação sobre proteção de dados aplicável e que ultrapassam as restrições necessárias numa sociedade democrática, tal como previsto no artigo 13.o da [Diretiva 95/46] sempre que estes requisitos possam ter um efeito adverso substancial nas garantias fornecidas pela legislação sobre proteção de dados aplicável e pelas cláusulas contratuais‑tipo;
b) Seja determinado, por uma entidade competente, que o importador de dados ou um subcontratante ulterior não respeitou as cláusulas contratuais‑tipo constantes do anexo; ou
c) Existam fortes probabilidades de as cláusulas contratuais‑tipo constantes do anexo não estarem a ser ou não virem a ser cumpridas e de a continuação da transferência dos dados poder causar graves prejuízos aos titulares dos dados.»
25. Na sua versão atual, tal como resulta da alteração da Decisão 2010/87 pela Decisão de Execução (UE) 2016/2297 (10), o artigo 4.o da Decisão 2010/87 enuncia que «[s]empre que as autoridades competentes dos Estados‑Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da [Diretiva 95/46], conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para países terceiros a fim de proteger pessoas singulares no que respeita ao tratamento dos seus dados pessoais, o Estado‑Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados‑Membros».
26. O anexo à Decisão 2010/87 contém um conjunto de cláusulas contratuais‑tipo. Especificamente, a cláusula 3 deste anexo, com a epígrafe «Cláusula do terceiro beneficiário», prevê:
«1. O titular dos dados pode fazer aplicar contra o exportador de dados a presente cláusula, a cláusula 4, alíneas b) a i), a cláusula 5, alíneas a) a e) e g) a j), a cláusula 6, n.os 1 e 2, a cláusula 7, a cláusula 8, n.o 2, e as cláusulas 9 a 12, na qualidade de terceiro beneficiário.
2. O titular dos dados pode fazer aplicar, contra o importador de dados a presente cláusula, a cláusula 5, alíneas a) a e) e g), as cláusulas 6 e 7, a cláusula 8, n.o 2, e as cláusulas 9 a 12, em caso de desaparecimento de facto ou de extinção legal do exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, e consequentemente assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados invocá‑los contra tal entidade.
[…]»
27. A cláusula 4 do referido anexo, com a epígrafe «Obrigações do exportador de dados», dispõe:
«O exportador de dados acorda e garante:
a) Que o tratamento dos dados pessoais, incluindo a própria transferência, foi e continuará a ser feito de acordo com as disposições pertinentes da legislação sobre proteção de dados aplicável (e que, se aplicável, foi notificada às entidades competentes do Estado‑Membro em que o exportador de dados está estabelecido) e que não viola as disposições pertinentes desse Estado;
b) Que deu e continuará a dar instruções ao importador de dados durante os serviços de tratamento de dados pessoais para tratar os dados pessoais transferidos apenas por conta do exportador de dados e em conformidade com a legislação sobre proteção de dados aplicável e com as cláusulas;
c) Que o importador de dados oferecerá garantias suficientes em relação às medidas de segurança técnicas e organizativas especificadas no apêndice 2 do presente contrato;
d) Que, depois de avaliar os requisitos da legislação sobre proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a divulgação ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito e que estas medidas asseguram um nível de segurança adequado em relação aos riscos que o tratamento representa e à natureza dos dados a proteger, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação;
e) Que zelará pelo cumprimento das medidas de segurança;
f) Que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado antes ou o mais depressa possível após a transferência, de que os seus dados poderão ser transmitidos para um país terceiro que não garante um nível de proteção adequado na aceção da [Diretiva 95/46];
g) Que enviará qualquer notificação recebida do importador de dados ou de qualquer subcontratante ulterior à autoridade de controlo responsável pela proteção dos dados, nos termos da cláusula 5, alínea b), e da cláusula 8, n.o 3, se decidir continuar a transferência ou levantar a suspensão;
h) Que disponibilizará aos titulares dos dados, mediante pedido, um exemplar das cláusulas, com exceção do apêndice 2, e uma descrição sumária das medidas de segurança, bem como um exemplar de qualquer contrato de serviços de subcontratação ulterior que tenha de ser celebrado em conformidade com as cláusulas, a menos que estas ou o contrato contenham informações comerciais, caso em que poderá suprimir essas informações;
i) Que, em caso de subcontratação ulterior, a atividade de tratamento é realizada em conformidade com a cláusula 11 por um subcontratante que assegure pelo menos o mesmo nível de proteção dos dados pessoais e dos direitos dos titulares dos dados que o importador de dados em conformidade com as cláusulas; e
j) Que zelará pelo cumprimento da cláusula 4, alíneas a) a i).»
28. A cláusula 5 prevista no mesmo anexo, com a epígrafe «Obrigações do importador de dados (1)», enuncia:
«O importador de dados acorda e garante:
a) Que tratará os dados pessoais exclusivamente por conta do exportador de dados e de acordo com as instruções do exportador de dados e as presentes cláusulas; se não puder cumpri‑las por qualquer motivo, concorda em informar o exportador de dados o mais rapidamente possível da sua incapacidade, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
b) Que não tem qualquer razão para crer que a legislação que lhe é aplicável o impede de respeitar as instruções recebidas do exportador de dados e as obrigações que lhe incumbem por força do contrato e que, no caso de haver uma alteração nesta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas cláusulas, notificará imediatamente essa alteração ao exportador de dados, logo que dela tiver conhecimento, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;
c) Que aplicou as medidas de segurança técnicas e organizativas previstas no apêndice 2 antes de tratar os dados pessoais transferidos;
d) Que notificará imediatamente o exportador de dados no que respeita a:
i) qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por parte de uma autoridade competente para a aplicação da lei, a não ser que exista uma proibição em contrário, como uma proibição prevista no direito penal para preservar a confidencialidade de uma investigação policial;
ii) qualquer acesso acidental ou não autorizado; e
iii) qualquer pedido recebido diretamente dos titulares de dados, sem responder a esse pedido, a não ser que tenha sido autorizado a fazê‑lo;
e) Que responderá rápida e adequadamente a todos os pedidos de informação do exportador de dados relacionados com o tratamento por si efetuado dos dados pessoais objeto da transferência e que se submeterá aos conselhos da autoridade de controlo relativamente ao tratamento dos dados transferidos;
f) Que, a pedido do exportador de dados, apresentará os seus meios de tratamento de dados para auditoria das atividades de tratamento abrangidas pelas cláusulas, que será efetuada pelo exportador de dados ou por um organismo de inspeção, composto por membros independentes que possuam as qualificações profissionais exigidas e estejam vinculados por um dever de confidencialidade, escolhido pelo exportador de dados e, se necessário, de acordo com a autoridade de controlo;
[…]»
29. Nos termos da nota [2], para a qual remete o título da cláusula 5 que consta do anexo da Decisão 2010/87:
«Os requisitos obrigatórios da legislação nacional aplicáveis ao importador de dados que não excedam o necessário numa sociedade democrática, com base num dos interesses enunciados no artigo 13.o, n.o 1, da Diretiva [95/46], ou seja, se constituírem uma medida necessária à proteção da segurança e da defesa do Estado, da segurança pública, da prevenção, investigação, deteção e repressão de infrações penais, ou de violações da deontologia das profissões regulamentadas, de um importante interesse económico ou financeiro do Estado, ou da proteção do titular dos dados ou dos direitos e liberdades de outrem, não são contrários ao disposto nas cláusulas contratuais‑tipo. Constituem exemplos de requisitos obrigatórios que não excedem o necessário numa sociedade democrática, nomeadamente, as sanções reconhecidas internacionalmente, as obrigações de comunicação em matéria fiscal ou de comunicação no âmbito do combate ao branqueamento de capitais.»
30. A cláusula 6 deste anexo, com a epígrafe «Responsabilidade», tem a seguinte redação:
«1. As partes acordam que qualquer titular dos dados que tenha sofrido danos resultantes de qualquer incumprimento das obrigações referidas nas cláusulas 3 ou 11 por qualquer parte ou subcontratante ulterior tem o direito de obter reparação do exportador de dados pelos danos sofridos.
2. Se o titular dos dados não puder intentar uma ação de reparação em conformidade com o n.o 1 contra o exportador de dados, por incumprimento pelo importador de dados ou o seu subcontratante de quaisquer das suas obrigações referidas nas cláusulas 3 e 11, devido ao desaparecimento de facto ou extinção legal ou à insolvência do exportador de dados, o importador de dados aceita que o titular dos dados lhe possa intentar uma ação como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade.
[…]»
31. A cláusula 7 enunciada no referido anexo, com a epígrafe «Mediação e jurisdição», dispõe:
«1. O importador de dados acorda que se o titular dos dados invocar contra ele os direitos de terceiro beneficiário e/ou exigir uma indemnização por perdas e danos ao abrigo das cláusulas, aceita a decisão do titular dos dados de:
a) Submeter o litígio a mediação de uma pessoa independente ou, quando aplicável, da autoridade de controlo;
b) Submeter o litígio aos tribunais do Estado‑Membro em que o exportador de dados está estabelecido.
2. As partes acordam que a opção do titular dos dados não prejudicará os direitos materiais ou processuais do mesmo de obter reparação em conformidade com outras disposições do direito nacional ou internacional.»
32. A cláusula 9 que figura no mesmo anexo, com a epígrafe «Direito aplicável», prevê que as cláusulas contratuais‑tipo são regidas pelo direito do Estado‑Membro onde o exportador de dados está estabelecido.
D. Decisão «Escudo de Proteção da Privacidade»
33. O artigo 25.o, n.o 6, da Diretiva 95/46 serviu de base à adoção pela Comissão de duas decisões sucessivas nas quais declarou que os Estados Unidos asseguram um nível adequado de proteção dos dados pessoais transferidos para as empresas estabelecidas nos Estados Unidos que declararam aderir, através de um procedimento de autocertificação, aos princípios estabelecidos nessas decisões.
34. Numa primeira fase, a Comissão adotou a Decisão 2000/520/CE, relativa à relevância do nível de proteção assegurado pelos princípios de «porto seguro» e pelas respetivas questões mais frequentes (FAQ) publicados pelo US Department of Commerce (Ministério do Comércio dos Estados Unidos da América) (11). No Acórdão de 6 de outubro de 2015, Schrems (12), o Tribunal de Justiça declarou esta decisão inválida.
35. Na sequência desse acórdão, a Comissão adotou a Decisão «Escudo de Proteção da Privacidade».
36. O artigo 1.o desta decisão dispõe:
«1. Para efeitos do artigo 25.o, n.o 2, da [Diretiva 95/46], os Estados Unidos devem assegurar um nível de proteção adequado dos dados pessoais transferidos da União para organizações dos Estados Unidos ao abrigo do Escudo de Proteção da Privacidade UE‑EUA.
2. O Escudo de Proteção da Privacidade UE‑EUA é constituído pelos princípios emitidos pelo Department of Commerce dos EUA [(Ministério do Comércio dos Estados Unidos da América)] em 7 de julho de 2016, tal como estabelecido no anexo II e nas declarações e compromissos oficiais constantes dos documentos enumerados nos anexos I e III a VII.
3. Para efeitos do n.o 1, os dados pessoais são transferidos ao abrigo do Escudo de Proteção da Privacidade UE‑EUA sempre que sejam transferidos da União para organizações nos Estados Unidos que constem da «lista do Escudo de Proteção da Privacidade», mantida e disponibilizada ao público pelo Department of Commerce dos EUA (Ministério do Comércio dos Estados Unidos da América), em conformidade com as secções I e III dos princípios estabelecidos no anexo II.»
37. O anexo III A desta decisão, com a epígrafe «Mecanismo do Mediador para o Escudo de Proteção da Privacidade UE‑EUA [r]elativamente à informação de origem eletromagnética», apenso a uma carta de John Kerry, então secretário de Estado, datada de 7 de julho de 2016, contém um memorando que descreve um novo processo de mediação por um «coordenador superior da diplomacia internacional em matéria de tecnologias da informação» (a seguir «Mediador») nomeado pelo secretário de Estado.
38. Nos termos desse memorando, este procedimento foi implementado «a fim de facilitar o tratamento dos pedidos relacionados com o acesso para efeitos de segurança nacional aos dados transmitidos da [União] para os EUA nos termos do Escudo de Proteção da Privacidade, de cláusulas contratuais‑tipo, regras vinculativas para as empresas, “derrogações” ou “possíveis derrogações futuras” através de vias estabelecidas em conformidade com a legislação e política norte‑americanas aplicáveis.»
III. Litígio no processo principal, questões prejudiciais e tramitação processual no Tribunal de Justiça
39. M. Schrems , cidadão austríaco residente na Áustria, é utilizador da rede social Facebook. Todos os utilizadores desta rede social que residem em território da União são obrigados, no momento da sua inscrição, a celebrar um contrato com a Facebook Ireland, uma filial da Facebook Inc., sedeada nos Estados Unidos. Os dados pessoais desses utilizadores são, no todo ou em parte, transferidos para servidores pertencentes à Facebook Inc. situados em território dos Estados Unidos, onde são objeto de tratamento.
40. Em 25 de junho de 2013, M. Schrems apresentou uma queixa junto do DPC na qual pedia, em substância, que a Facebook Ireland fosse proibida de transferir os seus dados pessoais para os Estados Unidos. Alegava que o direito e as práticas em vigor neste país terceiro não ofereciam uma proteção suficiente dos dados pessoais conservados no seu território contra a intrusão decorrente das atividades de vigilância exercidas pelas autoridades públicas. M. Schrems referia‑se, a este respeito, às revelações feitas por Edward Snowden sobre as atividades dos serviços de informação dos Estados Unidos, em particular da National Security Agency (NSA) (Agência Nacional de Segurança, Estados Unidos).
41. Esta queixa foi arquivada com o fundamento, nomeadamente, de que qualquer questão relativa à adequação da proteção assegurada nos Estados Unidos deve ser decidida em conformidade com a Decisão «Porto Seguro». Nessa decisão, a Comissão tinha considerado que esse país terceiro assegurava um nível adequado de proteção dos dados pessoais transferidos para as empresas situadas no seu território que tinham aderido aos princípios enunciados na referida decisão.
42. M. Schrems interpôs recurso da decisão de arquivamento da sua queixa para a High Court (Tribunal Superior). Este órgão jurisdicional considerou que, embora M. Schrems não tenha colocado formalmente em causa a validade da Decisão «Porto Seguro», a sua queixa denunciava, na realidade, a legalidade do regime instituído por essa decisão. Nestas condições, o referido órgão jurisdicional submeteu ao Tribunal de Justiça questões que visam, em substância, saber se as autoridades de proteção de dados dos Estados‑Membros (a seguir «autoridades de controlo»), quando chamadas a pronunciarem‑se sobre uma queixa relativa à proteção dos direitos e liberdades de uma pessoa no que respeita ao tratamento de dados pessoais que lhe digam respeito e que tenham sido transferidos para um Estado terceiro, estão vinculados pelas conclusões da Comissão relativas à adequação do nível de proteção oferecido por esse Estado terceiro nos termos do artigo 25.o, n.o 6, da Diretiva 95/46, quando o queixoso conteste essas conclusões.
43. Após ter declarado, nos n.os 51 e 52 do Acórdão Schrems, que uma decisão de adequação vincula as autoridades de controlo até ser declarada nula, o Tribunal de Justiça enunciou o seguinte, nos n.os 63 e 65 do referido acórdão:
«63. […] [Q]uando uma pessoa, cujos dados pessoais tenham sido ou possam ser transferidos para um país terceiro objeto de uma decisão da Comissão nos termos do artigo 25.o, n.o 6, da Diretiva 95/46, apresenta a uma autoridade nacional de controlo um pedido relativo à proteção dos seus direitos e liberdades no que diz respeito ao tratamento desses dados e contesta, por ocasião desse pedido, […], a compatibilidade dessa decisão com a proteção da vida privada e das liberdades e direitos fundamentais das pessoas, incumbe a essa autoridade examinar o referido pedido com toda a diligência exigida.
[…]
65. Na hipótese […] em que considere fundadas as críticas apresentadas [por essa pessoa], a referida autoridade deve, nos termos do artigo 28.o, n.o 3, primeiro parágrafo, terceiro travessão, da Diretiva 95/46, lido à luz, nomeadamente, do artigo 8.o, n.o 3, da Carta, poder intervir num processo judicial. A este respeito, incumbe ao legislador nacional prever vias de recurso que permitam à autoridade nacional de controlo em causa invocar as críticas que considera fundadas perante os órgãos jurisdicionais nacionais, para que estes últimos, caso partilhem das dúvidas dessa autoridade quanto à validade da decisão da Comissão, procedam a um reenvio prejudicial para efeitos da apreciação da validade dessa decisão.»
44. Nesse acórdão, o Tribunal de Justiça examinou igualmente a validade da Decisão «Porto Seguro» no que respeita às exigências decorrentes da Diretiva 95/46, lida à luz da Carta. No final deste exame, declarou a decisão inválida (13).
45. Na sequência do Acórdão Schrems, o órgão jurisdicional de reenvio anulou a decisão através da qual o DPC tinha arquivado a queixa de M. Schrems e devolveu esta última ao DPC para exame. Este último abriu um inquérito e convidou M. Schrems a reformular a sua queixa tendo em conta a invalidade da Decisão «Porto Seguro».
46. Para o efeito, M. Schrems pediu à Facebook Ireland que identificasse os fundamentos jurídicos em que assentam as transferências dos dados pessoais dos utilizadores da rede social Facebook desde a União até os Estados Unidos. Sem identificar todas as bases jurídicas em que se apoia, a Facebook Ireland fez referência a um acordo de transferência e de tratamento de dados (data transfer processing agreement) celebrado entre ela e a Facebook Inc., aplicável desde 20 de novembro de 2015, e invocou a Decisão 2010/87.
47. Na sua queixa reformulada, M. Schrems alega, por um lado, que as cláusulas contidas nesse acordo não são conformes com as cláusulas contratuais‑tipo que figuram no anexo da Decisão 2010/87. Por outro lado, M. Schrems alega que, em qualquer caso, essas cláusulas contratuais‑tipo não podem servir de base à transferência dos seus dados pessoais para os Estados Unidos. É isso que acontece, pois a legislação dos EUA impõe à Facebook Inc. a disponibilização dos dados pessoais dos seus utilizadores às autoridades dos EUA, como a NSA e o Federal Bureau of Investigation (FBI) (Agência Federal de Investigação), no âmbito de programas de vigilância que obstam ao exercício dos direitos garantidos pelos artigos 7.o, 8.o e 47.o da Carta. M. Schrems sustenta que nenhuma via de recurso judicial permite aos titulares de dados fazer valer os seus direitos ao respeito da vida privada e à proteção dos dados pessoais. Nestas condições, M. Schrems pede ao DPC que suspenda essa transferência e aplicação do artigo 4.o da Decisão 2010/87.
48. A Facebook Ireland reconheceu, no âmbito do inquérito do DPC, que continua a transferir os dados pessoais dos seus utilizadores da rede social Facebook que residem na União para os Estados Unidos e que, para o efeito, se baseia em grande parte nas cláusulas contratuais‑tipo constantes do anexo da Decisão 2010/87.
49. O inquérito do DPC tinha por objetivo determinar, por um lado, se os Estados Unidos asseguram uma proteção adequada dos dados pessoais dos cidadãos da União e, por outro, se as Decisões CCT apresentam garantias suficientes no que respeita à proteção das liberdades e dos direitos fundamentais destes últimos.
50. A este respeito, num projeto de decisão (draft decision), o DPC considerou provisoriamente que o direito americano não oferece vias de recurso efetivas na aceção do artigo 47.o da Carta aos cidadãos da União cujos dados são transferidos para os Estados Unidos, onde correm o risco de ser tratados pelas agências americanas para efeitos de segurança nacional de forma incompatível com os artigos 7.o e 8.o da Carta. As garantias previstas nas cláusulas que figuram no anexo das Decisões CCT não corrigem essa lacuna, uma vez que não são vinculativas para as autoridades ou agências dos Estados Unidos e apenas conferem aos titulares dos dados direitos contratuais contra o exportador e/ou importador dos dados.
51. Nestas circunstâncias, o DPC considerou que não se podia pronunciar sobre a queixa de M. Schrems sem que o Tribunal de Justiça examinasse a validade das Decisões CCT. Em conformidade com o que prescreve o n.o 65 do Acórdão Schrems, o DPC deu, por conseguinte, início a um processo junto do órgão jurisdicional de reenvio para que este, caso partilhe as dúvidas do DPC, submeta ao Tribunal de Justiça uma questão prejudicial sobre a validade destas decisões.
52. O Governo dos Estados Unidos, o Electronic Privacy Information Centre (EPIC), a Business Software Alliance (BSA) e a Digitaleurope foram autorizados a intervir perante o órgão jurisdicional de reenvio.
53. Para determinar se partilha das dúvidas expressas pelo DPC sobre a validade das Decisões CCT, a High Court (Tribunal Superior) recebeu as provas produzidas pelas partes em litígio e ouviu os argumentos apresentados por estas últimas e pelos intervenientes. Em especial, as disposições do direito dos Estados Unidos foram objeto da apresentação de provas por peritos. Em direito irlandês, o direito estrangeiro é considerado uma questão de facto que deve ser estabelecida por prova da mesma forma que qualquer outro facto. Com base nessas provas, o órgão jurisdicional de reenvio apreciou as disposições do direito dos Estados Unidos que permitem a vigilância pelas autoridades e agências governamentais, o funcionamento de dois programas de vigilância publicamente reconhecidos («PRISM» e «Upstream»), as diversas vias de recurso disponíveis para os particulares cujos direitos foram violados por medidas de vigilância, bem como as garantias sistémicas e os mecanismos de fiscalização. Esse tribunal consignou os resultados dessa apreciação num Acórdão de 3 de outubro de 2017, anexado ao seu despacho de reenvio [a seguir «Acórdão da High Court (Tribunal Superior) de 3 de outubro de 2017»].
54. Nesse acórdão, o órgão jurisdicional de reenvio referiu, entre os fundamentos jurídicos que autorizam a interceção de comunicações estrangeiras pelos serviços de informação americanos, a secção 702 do Foreign Intelligence and Surveillance Act (FISA) (Lei relativa à Vigilância e à Informação Externas) e a Executive Order 12333 (Decreto Presidencial n.o 12333, a seguir «EO 12333 »).
55. De acordo com os factos apurados no referido acórdão, a secção 702 do FISA permite que o Attorney General (Procurador‑Geral, Estados Unidos) e o Director of National Intelligence (DNI) (Diretor de Informação Nacional, Estados Unidos) autorizem conjuntamente, por um período de um ano, com a finalidade de obter informações externas, a vigilância de pessoas que não são cidadãos americanos nem residentes permanentes nos Estados Unidos (chamadas «pessoas não americanas»), quando for razoável pensar que estão localizadas fora do território dos Estados Unidos (14). Segundo o FISA, o conceito de «informação externa» designa as informações relativas à capacidade do Governo de se prevenir dos ataques estrangeiros, do terrorismo, da proliferação de armas de destruição maciça e à condução dos negócios estrangeiros dos Estados Unidos (15).
56. Essas autorizações anuais, assim como os procedimentos que regem a seleção das pessoas a vigiar e o tratamento («minimização») das informações recolhidas (16), devem ser aprovados pela Foreign Intelligence Surveillance Court (FISC) (Tribunal de Supervisão dos Serviços de Informações Externas, Estados Unidos). Enquanto a vigilância «tradicional» efetuada com fundamento noutras disposições do FISA exige que seja estabelecida uma «causa provável» que permita suspeitar que as pessoas sob vigilância pertencem ou são agentes de uma potência estrangeira, as atividades de vigilância efetuadas ao abrigo da secção 702 do FISA não estão sujeitas ao estabelecimento dessa «causa provável» nem à aprovação pelo FISC da seleção de determinadas pessoas. Além disso, ainda segundo os factos apurados pelo órgão jurisdicional de reenvio, os procedimentos de minimização não são aplicados às pessoas não americanas localizadas fora dos Estados Unidos.
57. Na prática, uma vez concedida a autorização pelo FISC, a NSA envia aos prestadores de serviços de comunicações eletrónicas estabelecidos nos Estados Unidos orientações que contêm critérios de pesquisa, denominados «seletores», associados a pessoas‑alvo (como números de telefone ou endereços de correio eletrónico). Estes prestadores estão então obrigados a transmitir à NSA os dados que correspondem aos seletores e devem guardar sigilo quanto às orientações que lhes são dirigidas. Podem apresentar um pedido ao FISC para alterar ou rejeitar uma diretiva da NSA. A decisão do FISC pode ser objeto de recurso para o Foreign Intelligence Surveillance Court of Review (FISCR) (Tribunal de Recurso das Decisões em Matéria de Vigilância e de Informação Externas, Estados Unidos).
58. A High Court (Tribunal Superior) constatou que a secção 702 do FISA constitui a base legal dos programas PRISM e Upstream.
59. No âmbito do programa PRISM, os prestadores de serviços de comunicações eletrónicas estão obrigados a enviar à NSA todas as comunicações «provenientes de» ou «destinadas a» um seletor comunicado por esta última. Parte dessas comunicações são transmitidas ao FBI e à Central Intelligence Agency (CIA) (Agência Central de Informação, Estados Unidos). Em 2015, 94 386 pessoas foram vigiadas e, em 2011, o Governo dos EUA obteve mais de 250 milhões de comunicações no âmbito deste programa.
60. O programa Upstream baseia‑se na assistência obrigatória das empresas que exploram a «espinha dorsal» — a saber, a rede de cabos, comutadores e routers — na qual transitam as comunicações telefónicas e as comunicações de Internet. Essas empresas são obrigadas a permitir que a NSA copie e filtre os fluxos de tráfego de Internet a fim de obter comunicações «provenientes de», «destinadas a» ou «respeitantes a» um seletor mencionado numa diretiva desta agência. As comunicações «respeitantes a» um seletor correspondem às que se referem a esse seletor, sem que a pessoa não americana associada ao referido seletor participe nelas necessariamente. Embora resulte de um parecer do FISC de 26 de abril de 2017 que, desde esta data, o Governo americano não recolhe nem adquire mais comunicações «respeitantes» a um seletor, esse parecer não refere que a NSA tenha deixado de copiar e de filtrar os fluxos de comunicações que transitam através do seu sistema de vigilância. O programa Upstream implica, assim, o acesso da NSA tanto aos metadados como ao conteúdo das comunicações. Desde 2011, a NSA recolheu cerca de 26,5 milhões de comunicações por ano no âmbito do programa Upstream, o que representa, porém, apenas uma pequena parte das comunicações sujeitas ao processo de filtragem operado ao abrigo desse programa.
61. Por outro lado, de acordo com as conclusões da High Court (Tribunal Superior), o EO 12333 autoriza a vigilância de comunicações eletrónicas fora do território dos Estados Unidos ao permitir o acesso, para fins de informação externa, a dados «em trânsito» para esse território, ou «que transitam» por esse território sem que se destinem a ser tratadas, bem como a recolha e a conservação desses dados. A EO 12333 define o conceito de «informação externa» no sentido de que inclui as informações relacionadas com as capacidades, intenções ou atividades de Governos, organizações ou pessoas estrangeiras (17).
62. A EO 12333 permite à NSA aceder aos cabos submarinos situados no leito do Oceano Atlântico através dos quais os dados são transferidos da União para os EUA, antes de esses dados chegarem aos EUA e ficarem, por esse motivo, sujeitos às disposições do FISA. No entanto, não há nenhuma prova de um qualquer programa implementado ao abrigo deste decreto presidencial.
63. Ainda que o EO 12333 preveja limites respeitantes à recolha, à retenção e à divulgação de informações, esses limites não são aplicáveis às pessoas não americanas. Estas últimas beneficiam apenas das garantias enunciadas pela Presidential Policy Directive 28 (Diretiva Estratégica Presidencial n.o 28, a seguir «PPD 28»), que é aplicável a todas as atividades de recolha e de utilização de informações em matéria de informação externa de origem eletromagnética. A PPD 28 dispõe que o respeito da vida privada é parte integrante das considerações a ter em conta no planeamento dessas atividades, que a recolha deve ter como único objetivo a aquisição de informações em matéria de informação externa e de contraespionagem e que as referidas atividades devem ser «tão personalizadas quanto possível».
64. De acordo com o órgão jurisdicional de reenvio, as atividades da NSA baseadas no EO 12333 , que pode ser alterado ou revogado a qualquer momento pelo presidente dos Estados Unidos, não são regidas pela lei, não estão sujeitas a fiscalização judicial e não podem ser objeto de uma ação judicial.
65. Com base nestas considerações, aquele órgão jurisdicional considera que os Estados Unidos procedem a tratamentos massivos e indiscriminados de dados pessoais que podem expor os titulares dos dados a um risco de violação dos direitos que lhes são conferidos pelos artigos 7.o e 8.o da Carta.
66. Além disso, o referido órgão jurisdicional refere que os cidadãos da União não têm acesso às mesmas vias de recurso contra tratamentos ilícitos dos seus dados pessoais pelas autoridades americanas que os cidadãos dos EUA. A Quarta Emenda da Constituição dos EUA, que constitui a proteção mais importante contra a vigilância ilegal, é inaplicável aos cidadãos da União que não tenham uma ligação voluntária significativa com os Estados Unidos. Embora esses cidadãos disponham, contudo, de alguns outras vias de recurso, enfrentam obstáculos significativos.
67. Em especial, o artigo III da Constituição dos Estados Unidos subordina qualquer ação para os tribunais federais à prova, pelo interessado, da sua legitimidade (standing). A legitimidade pressupõe, nomeadamente, que essa pessoa demonstre ter sofrido um dano real que seja, por um lado, concreto e específico, e, por outro, atual ou iminente. Remetendo, entre outros, para o Acórdão do Supreme Court of the United States (Supremo Tribunal dos Estados Unidos), Clapper c. Amnesty International US (18), o órgão jurisdicional de reenvio considera que este requisito é, na prática, excessivamente difícil de preencher, tendo em conta, nomeadamente, a inexistência de uma obrigação de informar as pessoas interessadas das medidas de vigilância adotadas a respeito delas (19). Acresce que uma parte das vias de recurso à disposição dos cidadãos da União está sujeita ao cumprimento de outras condições restritivas, como a necessidade de estabelecer um prejuízo pecuniário. A imunidade soberana concedida às agências de informação e o caráter confidencial das informações em causa impedem igualmente o exercício de determinadas vias de recurso (20).
68. Além disso, a High Court (Tribunal Superior) refere diversos mecanismos de fiscalização e de supervisão das atividades das agências de informação.
69. Entre estes figuram, por um lado, o mecanismo de certificação anual pelo FISC dos programas baseados na secção 702 do FISA, no âmbito do qual o FISC não aprova, no entanto, seletores individuais. Além disso, nenhuma fiscalização judicial prévia regula a recolha de informações em matéria de informação externa ao abrigo do EO 12333 .
70. Por outro lado, o órgão jurisdicional de reenvio refere vários mecanismos de supervisão extrajudicial das atividades de informações. Em particular, menciona o papel dos Inspectors General (Inspetores‑gerais, Estados Unidos), que, em cada agência de informação, são responsáveis pela supervisão das atividades de vigilância. Além disso, o Privacy and Civil Liberties Oversight Board (PCLOB) (Comissão de Supervisão da Privacidade e das Liberdades Civis, Estados Unidos), uma agência independente dentro do poder executivo, recebe relatórios de pessoas designadas em cada agência na qualidade de agentes das liberdades civis ou da privacidade (civil liberties or privacy officers). O PCLOB prepara regularmente relatórios dirigidos às comissões parlamentares e ao Presidente. As agências em causa devem comunicar, nomeadamente, ao DNI os incidentes relativos à violação das regras e dos procedimentos de recolha de informação externa. Esses incidentes são também comunicados ao FISC. O Congresso americano, através das comissões de informação da Câmara e do Senado, também é responsável pela fiscalização das atividades de informação externa.
71. No entanto, a High Court (Tribunal Superior) sublinha a diferença fundamental entre, por um lado, as regras destinadas a garantir que os dados são obtidos legalmente e que, uma vez obtidos, não são utilizados abusivamente, e, por outro, as vias de recurso judiciais disponíveis em caso de violação dessas regras. A proteção dos direitos fundamentais dos titulares de dados só será assegurada se vias de recurso efetivas lhes permitirem invocar os seus direitos em caso de violação das referidas regras.
72. Nestas circunstâncias, o órgão jurisdicional de reenvio considera fundados os argumentos avançados pelo DPC segundo os quais as limitações impostas pelo direito americano ao direito à ação das pessoas cujos dados são transferidos da União não respeitam o conteúdo essencial do direito garantido pelo artigo 47.o da Carta e, em todo o caso, constituem uma ingerência desproporcionada no exercício desse direito.
73. Segundo a High Court (Tribunal Superior), a introdução pelo Governo dos EUA do mecanismo de mediação descrito na Decisão «Escudo de Proteção da Privacidade» não põe em causa esta apreciação. Depois de ter salientado que este mecanismo é acessível aos cidadãos da União que considerem, numa base razoável, que os seus dados foram transferidos em conformidade com as Decisões CCT (21), esse órgão jurisdicional observou que o Mediador não é um tribunal que responda às exigências do artigo 47.o da Carta e, em especial, não é independente do poder executivo (22). O referido órgão jurisdicional também duvida de que a intervenção do Mediador, cujas decisões não podem ser objeto de recurso judicial, represente uma via de recurso efetivo. Com efeito, essa intervenção não permite que as pessoas cujos dados pessoais foram ilegalmente recolhidos, tratados ou partilhados obtenham uma indemnização ou uma injunção para cessar os atos ilegais, uma vez que o Mediador não confirma nem desmente que um queixoso foi objeto de uma medida de vigilância eletrónica.
74. Tendo assim manifestado as suas dúvidas quanto à equivalência substancial entre as garantias previstas pelo direito americano e as exigências que decorrem dos artigos 7.o, 8.o e 47.o da Carta, o órgão jurisdicional de reenvio interroga‑se quanto à questão de saber se as cláusulas contratuais‑tipo previstas nas Decisões CCT — que, pela sua natureza, não vinculam as autoridades americanas ‑ são, no entanto, suscetíveis de assegurar a proteção dos direitos fundamentais dos titulares de dados. Esse órgão jurisdicional concluiu que partilha as dúvidas do DPC quanto à validade destas decisões.
75. A este respeito, o órgão jurisdicional de reenvio considera, nomeadamente, que o artigo 28.o, n.o 3, da Diretiva 95/46, para o qual remete o artigo 4.o da Decisão 2010/87, na medida em que reconhece às autoridades de controlo o poder de suspender ou de proibir as transferências baseadas nas cláusulas contratuais‑tipo previstas nessa decisão, não é suficiente para dissipar essas dúvidas. Além de, na sua opinião, esse poder revestir apenas natureza discricionária, o órgão jurisdicional de reenvio interroga‑se, à luz do considerando 11 da Decisão 2010/87, sobre a possibilidade de o exercer quando as deficiências constatadas não respeitam a um caso particular e excecional, mas revestem caráter geral e sistémico (23). Considera também que o risco de serem proferidas decisões divergentes em diferentes Estados‑Membros pode impedir que a constatação dessas falhas seja confiada às autoridades de controlo.
76. Nestas condições, a High Court (Tribunal Superior), por Decisão de 4 de maio de 2018 (24), que deu entrada no Tribunal de Justiça em 9 de maio de 2018, decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:
«1) Em circunstâncias nas quais uma empresa privada transfere, com base na [Decisão 2010/87], de um Estado‑Membro da [União] para uma empresa privada num país terceiro, para fins comerciais, dados pessoais que podem ser tratados posteriormente pelas autoridades do país terceiro não só para fins de segurança nacional mas também para efeitos da [manutenção da ordem pública] e da administração dos assuntos externos do país terceiro, [é] o direito da UE [incluindo a Carta] aplicável à transferência dos dados, [não obstante as] disposições do artigo 4.o, n.o 2, TUE relativas à segurança nacional e as disposições do artigo 3.o, n.o 2, primeiro travessão, da [Diretiva 95/46] [relativas] à segurança pública, [à] defesa e [à] segurança do Estado?
2) a) Para efeitos da Diretiva [95/46], ao determinar se constitui violação dos direitos de uma pessoa [a transferência de] dados ao abrigo Decisão [2010/87], a partir da [União] para um país terceiro no qual esses dados podem ser posteriormente tratados para fins de segurança nacional, o elemento de referência pertinente é:
i) A Carta, o TUE, o TFUE, a Diretiva [95/46], a [Convenção Europeia dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma em 4 de novembro de 1950 (a seguir “CEDH”] (ou qualquer outra disposição do direito da União), ou:
ii) A legislação nacional de um ou mais Estados‑Membros?
b) Se o elemento de referência pertinente for o referido [em ii)], devem ser igualmente incluídas nesse elemento as práticas seguidas [em matéria de] segurança nacional num ou em vários Estados‑Membros?
3) Ao avaliar se um país terceiro assegura o nível de proteção exigido pelo direito da União para transferir dados pessoais para esse país, para efeitos do artigo 26.o da Diretiva [95/46], deve o nível de proteção no país terceiro ser avaliado por referência:
a) às regras aplicáveis no país terceiro decorrentes da sua legislação interna ou dos [seus] compromissos internacionais […] e à prática seguida para garantir o cumprimento dessas regras, [incluindo] as regras profissionais e as medidas de segurança aplicadas no país terceiro;
ou
b) às regras referidas na alínea a), juntamente com as práticas administrativas, regulamentares e de [aplicação da lei], e as medidas de proteção, […] os procedimentos, protocolos [e] mecanismos de supervisão [bem como as] vias de recurso extrajudiciais aplicáveis no país terceiro?
4) Constitui violação dos direitos das pessoas, previstos nos artigos 7.o e/ou 8.o da Carta, a transferência de dados pessoais da [União] para os EUA ao abrigo da Decisão [2010/87], tendo em conta os factos apurados pela High Court [(Tribunal Superior)] em relação à lei dos EUA?
5) Tendo em conta os factos apurados pela High Court [(Tribunal Superior)] em relação à lei dos EUA, no caso de serem transferidos dados pessoais da [União] para os EUA ao abrigo da Decisão [2010/87]:
a) O nível de proteção conferido pelos EUA respeita o conteúdo essencial do direito das pessoas a [uma ação] judicial [por] violação dos seus direitos [à confidencialidade] dos dados, consagrado no artigo 47.o da Carta?
Se a resposta à alínea a) for afirmativa:
b) As limitações impostas pela legislação dos EUA ao direito das pessoas a [uma ação] judicial no contexto da segurança nacional dos EUA são proporcionadas, na aceção do artigo 52.o da Carta, e não excedem o que é necessário numa sociedade democrática para fins de segurança nacional?
6) a) Qual é, […] à luz das disposições da Diretiva [95/46] e, em especial, dos [seus] artigos 25.o e 26.o, interpretados à luz da Carta, o nível de proteção que deve ser concedido aos dados pessoais transferidos para um país terceiro ao abrigo de cláusulas contratuais‑tipo estipuladas em conformidade com uma decisão da Comissão[, a título do artigo 26.o, n.o 4, dessa diretiva]?
b) Quais são os elementos a ter em conta, ao avaliar se o nível de proteção concedido aos dados transferidos para um país terceiro ao abrigo da Decisão [2010/87] cumpre as exigências da Diretiva [95/46] e da Carta?
7) O facto de as cláusulas contratuais‑tipo serem aplicáveis ao exportador de dados e ao importador de dados, mas não serem vinculativas para as autoridades nacionais de um país terceiro, que podem exigir que o importador de dados disponibilize [aos] seus serviços de segurança, para […] tratamento posterior, os dados pessoais transferidos ao abrigo das cláusulas previstas na Decisão [2010/87], [exclui] que [essas] cláusulas [ofereçam as] garantias de proteção adequadas previstas no artigo 26.o, n.o 2, da Diretiva [95/46]?
8) Se um importador de dados de um país terceiro estiver sujeito a leis de vigilância que, na opinião de uma autoridade de [controlo], estejam em conflito com as cláusulas do anexo da Decisão [2010/87] ou com os artigos 25.o e 26.o da Diretiva [95/46] e/ou com a Carta, é uma autoridade de [controlo] obrigada a exercer os seus poderes de execução previstos no artigo 28.o, n.o 3, da Diretiva [95/46] para suspender os fluxos de dados, ou o exercício desses poderes limita‑se apenas a casos excecionais, à luz do considerando 11 da [Decisão 2010/87/], ou pode uma autoridade de [controlo] utilizar o seu poder discricionário para não suspender esses fluxos de dados?
9) a) Para efeitos do artigo 25.o, n.o 6, da Diretiva [95/46], constitui a Decisão [“Escudo de Proteção da Privacidade”] uma [declaração] de aplicação geral que é vinculativa para as autoridades de [controlo] e para os tribunais dos Estados‑Membros, [segundo a qual] os Estados Unidos[, em razão do seu direito interno ou dos seus compromissos internacionais, garantem] um nível de proteção adequado, na aceção do artigo 25.o, n.o 2, da Diretiva [95/46]?
b) Se assim não for, [qual é a eventual relevância] da Decisão [“Escudo de Proteção da Privacidade”] na avaliação realizada sobre a adequação [das garantias oferecidas] aos dados transferidos para os Estados Unidos em conformidade com a Decisão [2010/87]?
10) Tendo em conta as considerações da High Court [(Tribunal Superior)] relativas à legislação dos EUA, constitui a previsão de um Mediador para o Escudo de Proteção da Privacidade a que se refere o [anexo III A] da Decisão [“Escudo de Proteção da Privacidade”], quando considerada em conjugação com o regime vigente nos Estados Unidos, uma garantia de que este país oferece uma via de recurso compatível com o artigo 47.o da Carta […] àqueles cujos dados pessoais são transferidos para os EUA ao abrigo da Decisão [2010/87]?
11) A Decisão [2010/87] viola os artigos 7.o, 8.o ou 47.o da Carta?»
77. O DPC, a Facebook Ireland, M. Schrems , o Governo dos Estados Unidos, a EPIC, a BSA, a Digitaleurope, a Irlanda, os Governos belga, checo, alemão, neerlandês, austríaco, polaco, português e do Reino Unido, o Parlamento Europeu e a Comissão apresentaram observações escritas ao Tribunal de Justiça. O DPC, a Facebook Ireland, M. Schrems , o Governo dos EUA, o EPIC, a BSA, a Digitaleurope, a Irlanda, os Governos belga, checo, alemão, francês, neerlandês, austríaco e do Reino Unido, o Parlamento, a Comissão e o Comité Europeu de Proteção de Dados (CEPD) estiveram representados na audiência de 9 de julho de 2019.
IV. Análise
A. Considerações preliminares
78. Na sequência da anulação da Decisão «Porto Seguro» pelo Tribunal de Justiça no Acórdão Schrems, as transferências de dados pessoais para os Estados Unidos prosseguiram com base noutros fundamentos jurídicos. Especificamente, as empresas exportadoras de dados puderam recorrer a contratos com importadores de dados que incluem cláusulas‑tipo elaboradas pela Comissão. Estas cláusulas servem também de base jurídica para as transferências para diversos países terceiros a respeito dos quais a Comissão não adotou uma decisão de adequação (25). A Decisão «Escudo de Proteção da Privacidade» passou a permitir às empresas que autocertificaram a sua adesão aos princípios aí enunciados transferir dados pessoais para os Estados Unidos sem outras formalidades.
79. Como expressamente refere a decisão de reenvio e como salientaram a BSA, a Digitaleurope, a Irlanda, os Governos austríaco e francês, o Parlamento e a Comissão, o litígio no processo principal, pendente na High Court (Tribunal Superior), tem como único objetivo determinar se a decisão através da qual a Comissão estabeleceu as cláusulas contratuais‑tipo invocadas em apoio das transferências visadas na queixa de M. Schrems , a saber, a Decisão 2010/87, é válida (26).
80. O presente litígio tem origem num pedido que o DPC dirigiu ao órgão jurisdicional de reenvio no sentido de este submeter ao Tribunal de Justiça uma questão prejudicial relativa à validade da Decisão 2010/87. Nas palavras desse órgão jurisdicional, o litígio no processo principal diz, assim, respeito ao exercício da via de recurso cuja previsão pelos Estados‑Membros o Tribunal de Justiça ordenou no n.o 65 do Acórdão Schrems.
81. Recorde‑se que o Tribunal de Justiça declarou, no n.o 63 desse acórdão, que uma autoridade de controlo é obrigada a tratar com toda a diligência exigida uma queixa no âmbito da qual uma pessoa, cujos dados pessoais tenham sido ou possam ser transferidos para um país terceiro objeto de uma decisão de adequação, conteste a compatibilidade dessa decisão com os direitos fundamentais consagrados pela Carta. Nos termos do n.o 65 do referido acórdão, se essa autoridade considerar que as objeções formuladas nessa queixa são fundadas, deve, nos termos do artigo 28.o, n.o 3, primeiro parágrafo, terceiro travessão, da Diretiva 95/46 (a que corresponde o artigo 58.o, n.o 5, do RGPD), lido à luz do artigo 8.o, n.o 3, da Carta, ter o direito de intentar uma ação judicial. A este respeito, o legislador nacional deve estabelecer as vias de recurso que lhe permitam invocar essas críticas perante os órgãos jurisdicionais nacionais, para que estes últimos, caso partilhem das dúvidas da referida autoridade, procedam a um reenvio prejudicial sobre a validade da decisão em causa.
82. À semelhança do órgão jurisdicional de reenvio, considero que estas conclusões são aplicáveis por analogia quando, por ocasião do tratamento de uma queixa apresentada perante ela, uma autoridade de controlo tenha dúvidas sobre a validade não de uma decisão de adequação, mas de uma decisão, como a Decisão 2010/87, que estabelece cláusulas contratuais‑tipo para a transferência de dados pessoais para países terceiros. Contrariamente ao que alega o Governo alemão, não importa que essas dúvidas correspondam a críticas que lhe foram transmitidas pelo queixoso ou que essa autoridade ponha em causa por iniciativa própria a validade da decisão em questão. Com efeito, as exigências que decorrem do artigo 28.o, n.o 3, da Diretiva 95/46 e do artigo 8.o, n.o 3, da Carta, nos quais se baseia a fundamentação do Tribunal de Justiça, aplicam‑se qualquer que seja o fundamento jurídico da transferência visada pela queixa apresentada à autoridade de controlo e o motivo que levou essa autoridade a duvidar da validade da decisão em questão no âmbito do tratamento dessa queixa.
83. Feito o esclarecimento, se o DPC pediu ao órgão jurisdicional de reenvio para interrogar o Tribunal de Justiça sobre a validade da Decisão 2010/87, foi porque um esclarecimento do Tribunal de Justiça sobre a matéria lhe pareceu necessário ao tratamento da queixa através da qual M. Schrems lhe pede para exercer o poder, de que estava investido por força do artigo 28.o, n.o 3, segundo travessão, da Diretiva 95/46 — e que lhe passou a ser conferido pelo artigo 58.o, n.o 2, alínea f), do RGPD — de suspender a transferência de dados pessoais que lhe dizem respeito pela Facebook Ireland para a Facebook Inc.
84. Assim, enquanto o litígio no processo principal diz apenas respeito à validade in abstracto da Decisão 2010/87, o processo subjacente em curso no DPC diz respeito ao exercício por este último do seu poder de adotar medidas corretivas num caso específico. Proporei ao Tribunal de Justiça que se limite a examinar as questões suscitadas na medida do necessário para se pronunciar sobre a validade da Decisão 2010/87, uma vez que tal exame bastará para permitir ao órgão jurisdicional de reenvio resolver o litígio que lhe foi submetido (27).
85. Antes de apreciar a validade daquela decisão, devem ser afastadas algumas objeções suscitadas contra a admissibilidade do pedido de decisão prejudicial.
B. Quanto à admissibilidade do reenvio prejudicial
86. A admissibilidade do pedido de decisão prejudicial foi contestada com base em diversos fundamentos relativos, essencialmente, à inaplicabilidade ratione temporis da Diretiva 95/46, referida nas questões prejudiciais (Secção 1), ao facto de o processo no DPC não ter alcançado uma fase suficientemente avançada para justificar a sua utilidade (Secção 2) e à subsistência de incertezas quanto ao quadro factual descrito pelo órgão jurisdicional de reenvio (Secção 3).
87. Responderei a essas exceções de inadmissibilidade tendo em mente a presunção de pertinência de que gozam as questões submetidas ao Tribunal de Justiça nos termos do artigo 267.o TFUE. Segundo jurisprudência constante, o Tribunal de Justiça só pode recusar pronunciar‑se sobre um pedido de decisão prejudicial se for manifesto que a interpretação solicitada do direito da União não tem nenhuma relação com a realidade ou o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas (28).
1. Quanto à aplicabilidade ratione temporis da Diretiva 95/46
88. A Facebook Ireland invoca a inadmissibilidade das questões prejudiciais pelo facto de fazerem referência à Diretiva 95/46, quando esta diretiva tinha sido revogada e substituída pelo RGPD com efeitos a 25 de maio de 2018 (29). Este regulamento rege, desde essa data, as transferências de dados pessoais relativos a utilizadores da rede social Facebook da União para os Estados Unidos.
89. Partilho da opinião de que a validade da Decisão 2010/87 deve ser examinada à luz das disposições do RGPD.
90. Em conformidade com o artigo 94.o, n.o 2, deste regulamento, «[a]s remissões para a diretiva revogada são consideradas remissões para [o referido regulamento]». Daqui decorre, parece‑me, que a Decisão 2010/87, na medida em que menciona como fundamento jurídico o artigo 26.o, n.o 4, da Diretiva 95/46, deve ser interpretada no sentido de que remete para o artigo 46.o, n.o 2, alínea c), do RGPD, que reproduz, no essencial, o seu conteúdo (30). Por conseguinte, as decisões de execução adotadas pela Comissão nos termos do artigo 26.o, n.o 4, da Diretiva 95/46, antes da entrada em vigor do RGPD, devem ser interpretadas à luz do referido regulamento. É igualmente à luz do referido regulamento que a sua validade deve, sendo caso disso, ser avaliada.
91. Esta conclusão não é posta em causa pela jurisprudência segundo a qual a legalidade de um ato da União deve ser apreciada em função dos elementos de facto e de direito existentes na data de adoção desse ato. Com efeito, esta jurisprudência diz respeito ao exame da validade de um ato da União à luz das circunstâncias de facto pertinentes aquando da sua adoção (31) ou das regras processuais que regulam a sua adoção (32). Em contrapartida, o Tribunal de Justiça examinou repetidamente a validade de atos de direito derivado à luz de normas materiais de nível superior que entraram em vigor após a adoção desses atos (33).
92. No entanto, a designação, no enunciado das questões prejudiciais, de um ato que já não é aplicável ratione temporis, embora justifique a reformulação dessas questões, não pode conduzir à sua inadmissibilidade (34). Como alegaram o DPC e M. Schrems , as referências à Diretiva 95/46 no enunciado das questões prejudiciais podem, de resto, ser explicadas à luz do calendário processual do presente processo, uma vez que estas questões foram submetidas ao Tribunal de Justiça antes da entrada em vigor do RGPD.
93. Em todo o caso, as disposições do RGPD que serão abordadas para efeitos da análise das questões prejudiciais — a saber, em especial, os seus artigos 45.o, 46.o e 58.o — reproduzem, no essencial, embora o desenvolvam e lhe introduzam algumas nuances, o conteúdo dos artigos 25.o, 26.o e 28.o da Diretiva 95/46. No que se refere aos seus aspetos relevantes para efeitos de decidir sobre a validade da Decisão 2010/87, não concebo nenhuma razão para atribuir a essas disposições do RGPD um alcance distinto do das disposições correspondentes da Diretiva 95/46 (35).
2. Quanto ao caráter provisório das dúvidas expressas pelo DPC
94. Segundo o Governo alemão, o pedido de decisão prejudicial é inadmissível na medida em que o processo judicial referido no n.o 65 do Acórdão Schrems pressupõe que a autoridade de controlo tenha formado uma opinião definitiva quanto ao mérito das alegações aduzidas pelo recorrente contra a validade da decisão em causa. Não é esse o caso no presente processo, uma vez que o DPC expressou as suas dúvidas quanto à validade da Decisão 2010/87, que, de resto, M. Schrems não contesta, num projeto de decisão proferida a título provisório, sem prejuízo da eventual apresentação de observações adicionais por parte da Facebook Ireland e de M. Schrems .
95. Na minha opinião, a natureza provisória das dúvidas expressas pelo DPC não afeta a admissibilidade do reenvio prejudicial. Com efeito, os critérios de admissibilidade de uma questão prejudicial devem ser apreciados em relação ao objeto do litígio conforme definido pelo órgão jurisdicional de reenvio (36). Ora, é pacífico que este diz respeito à validade da Decisão 2010/87. Nos termos da decisão de reenvio e do acórdão que lhe está anexo, esse órgão jurisdicional considerou que as dúvidas expressas pelo DPC — independentemente de o ter feito a título provisório ou definitivo — têm fundamento e consequentemente interrogou o Tribunal de Justiça quanto à validade dessa decisão. Nestas condições, o esclarecimento do Tribunal de Justiça é indubitavelmente relevante para lhe permitir resolver o litígio que lhe foi submetido.
3. Quanto às incertezas que rodeiam a definição do quadro factual
96. O Governo do Reino Unido alega que o quadro factual descrito pelo órgão jurisdicional de reenvio contém várias lacunas que comprometem a admissibilidade das questões prejudiciais. Esse órgão jurisdicional não esclareceu se os dados pessoais respeitantes a M. Schrems foram efetivamente transferidos para os Estados Unidos nem, em caso afirmativo, se foram recolhidos pelas autoridades americanas. A base jurídica dessas eventuais transferências também não foi identificada com certeza, limitando‑se a decisão de reenvio a referir que os dados dos utilizadores europeus da rede social Facebook são transferidos «em grande parte» com base em cláusulas contratuais‑tipo previstas pela Decisão 2010/87. Em todo o caso, não tinha sido demonstrado que o contrato entre a Facebook Ireland e a Facebook Inc., invocado em apoio da transferência controvertida, incorpora fielmente essas cláusulas. O Governo alemão contesta também a admissibilidade do reenvio prejudicial pelo facto de o órgão jurisdicional de reenvio não ter verificado se M. Schrems deu indubitavelmente o seu consentimento para as transferências em causa, caso em que estas se baseavam validamente no artigo 26.o, n.o 1, da Diretiva 95/46[, cujo conteúdo o artigo 49.o, n.o 1, alínea a), do RGPD reproduz no essencial].
97. Estes argumentos não põem de modo algum em causa a pertinência do reenvio prejudicial em relação ao objeto do litígio do processo principal. Uma vez que este litígio tem a sua génese no exercício pelo DPC da via de recurso prevista no n.o 65 do Acórdão Schrems, o seu próprio objeto consiste em obter do órgão jurisdicional nacional um reenvio prejudicial sobre a validade da Decisão 2010/87. Os Governos alemão e do Reino Unido contestam, na realidade, a necessidade das questões prejudiciais, não para determinar se esta Decisão é válida, mas para permitir que o DPC se pronuncie in concreto sobre a queixa de M. Schrems .
98. Em todo o caso, mesmo do ponto de vista do processo subjacente ao litígio do processo principal, as questões prejudiciais relativas à validade da Decisão 2010/87 não me parecem irrelevantes. Com efeito, o órgão jurisdicional de reenvio estabeleceu que a Facebook Ireland continuou a transferir os dados dos seus utilizadores para os Estados Unidos após a anulação da Decisão «Porto Seguro» e que essas transferências se baseiam, pelo menos em parte, nessa decisão. Além disso, embora possa ser vantajoso que todos os factos relevantes sejam apurados antes de exercer a sua competência nos termos do artigo 267.o TFUE, cabe apenas ao órgão jurisdicional de reenvio apreciar em que fase do processo necessita de uma decisão prejudicial do Tribunal de Justiça (37).
99. Tendo em conta as considerações anteriores, entendo que o pedido de decisão prejudicial é admissível.
C. Quanto à aplicabilidade do direito da União às transferências de dados pessoais para fins comerciais para um Estado terceiro suscetível de os tratar para fins de segurança nacional (primeira questão)
100. Com a sua primeira questão, o órgão jurisdicional de reenvio pretende saber se o direito da União é aplicável a uma transferência de dados pessoais por uma sociedade situada num Estado‑Membro para uma sociedade estabelecida num país terceiro por razões comerciais se, depois da transferência se ter iniciado, os dados puderem ser tratados pelas autoridades públicas desse país terceiro para fins que incluam a proteção da segurança nacional.
101. O desafio que esta questão coloca à resolução do litígio no processo principal reside no facto de, se essa transferência não fosse abrangida pelo âmbito de aplicação do direito da União, todas as objeções formuladas contra a validade da Decisão 2010/87 neste processo não teriam fundamento.
102. Como observou o órgão jurisdicional de reenvio, o tratamento de dados pessoais para fins de segurança nacional estava excluído do âmbito de aplicação da Diretiva 95/46 por força do seu artigo 3.o, n.o 2. O artigo 2.o, n.o 2, do RGPD especifica atualmente que este regulamento não se aplica ao tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à aplicação do direito da União ou efetuado pelas autoridades competentes para efeitos de proteção da segurança pública. Estas disposições refletem a reserva de competência que o artigo 4.o, n.o 2, do TUE reconhece aos Estados‑Membros em matéria de proteção da segurança nacional.
103. O DPC, M. Schrems , a Irlanda, os Governos alemão, austríaco, belga, checo, neerlandês, polaco e português, o Parlamento e a Comissão alegam que transferências como as visadas na queixa de M. Schrems não estão abrangidas por estas disposições e que, portanto, se enquadram no âmbito de aplicação do direito da União. A Facebook Ireland defende a tese inversa. Eu adiro ao ponto de vista dos primeiros.
104. A este respeito, importa sublinhar que a transferência de dados pessoais a partir de um Estado‑Membro para um país terceiro constitui, enquanto tal, um «tratamento» na aceção do artigo 4.o, ponto 2, do RGPD, efetuado no território de um Estado‑Membro (38). A primeira questão prejudicial tem, precisamente, por objeto determinar se o direito da União se aplica ao tratamento que constitui a própria transferência. Esta questão não diz respeito à aplicabilidade do direito da União aos eventuais tratamentos posteriores, pelas autoridades americanas para efeitos de segurança nacional, dos dados transferidos para os Estados Unidos, dados esses que estão seguramente excluídos do âmbito territorial do RGPD (39).
105. Nesta perspetiva, só deve ser tomada em consideração, para efeitos de determinar se o direito da União se aplica à transferência dos dados em causa, a atividade no âmbito da qual se inscreve a própria transferência, sem que importe o objeto de eventuais tratamentos posteriores a que serão submetidos os dados transferidos no país terceiro de destino (40).
106. Ora, resulta da decisão de reenvio que a transferência visada na queixa de M. Schrems faz parte de uma atividade comercial. Aliás, esta transferência não é feita com o objetivo de permitir que os dados em causa sejam tratados posteriormente pelas autoridades americanas para fins de segurança nacional.
107. De resto, a abordagem proposta pela Facebook Ireland privaria de efeito útil as disposições do RGPD relativas às transferências para países terceiros, uma vez que nunca se pode excluir que dados transferidos no decurso de uma atividade comercial sejam tratados para fins de segurança nacional após a respetiva transferência.
108. A interpretação que preconizo é confirmada na redação do artigo 45.o, n.o 2, alínea a), do RGPD. Esta disposição refere que, quando adota uma decisão de adequação, a Comissão tem em conta, nomeadamente, a legislação em matéria de segurança nacional do país terceiro em causa. Pode inferir‑se daqui que a possibilidade de os dados serem sujeitos, por parte das autoridades do país terceiro de destino, a um tratamento que tem por objeto a proteção da segurança nacional não torna o direito da União inaplicável ao tratamento que é constituído pela transferência de dados para esse país terceiro.
109. O raciocínio e as conclusões adotadas pelo Tribunal de Justiça no Acórdão Schrems baseiam‑se igualmente nesta premissa. Em especial, o Tribunal de Justiça examinou nesse acórdão a validade da Decisão «Porto Seguro», à luz do artigo 25.o, n.o 6, da Diretiva 95/46, lido à luz da Carta, na medida em que dizia respeito à transferência de dados pessoais para os Estados Unidos, onde eram suscetíveis de ser recolhidos e tratados para efeitos de proteção da segurança nacional (41).
110. Tendo em conta estas considerações, entendo que o direito da União se aplica à transferência de dados pessoais de um Estado‑Membro para um país terceiro quando essa transferência se inscreve numa atividade comercial, sem que seja importante que os dados transferidos corram o risco de ser tratados pelas autoridades públicas desse país terceiro a fim de proteger a segurança nacional.
D. Quanto ao nível de proteção exigido no âmbito de uma transferência baseada em cláusulas contratuais‑tipo (primeira parte da sexta questão)
111. Nos termos da primeira parte da sua sexta questão, o órgão jurisdicional de reenvio pretende saber qual é o nível de proteção dos direitos fundamentais dos titulares de dados que deve ser assegurado para que os dados pessoais possam ser transferidos para um país terceiro ao abrigo das cláusulas contratuais‑tipo previstas na Decisão 2010/87.
112. Esse órgão jurisdicional sublinha que, no Acórdão Schrems, o Tribunal de Justiça interpretou o artigo 25.o, n.o 6, da Diretiva 95/46 (cujo conteúdo é, no essencial, reproduzido no artigo 45.o, n.o 3, do RGPD), na medida essa disposição previa que a Comissão só pode adotar uma decisão de adequação depois de se ter assegurado que o país terceiro em causa garante um nível de proteção adequado, no sentido de que pressupõe que esta decisão estabelece que esse país assegura um nível de proteção das liberdades e direitos fundamentais substancialmente equivalente ao conferido dentro da União nos termos da Diretiva 95/46, lida à luz da Carta (42).
113. Neste contexto, a primeira parte da sexta questão prejudicial convida o Tribunal de Justiça a estabelecer se a aplicação das cláusulas contratuais‑tipo adotadas pela Comissão nos termos do artigo 26.o, n.o 4, da Diretiva 95/46 — que correspondem às «clásulas‑tipo» a partir de agora mencionadas no artigo 46.o, n.o 2, alínea c), do RGPD — deve permitir atingir um nível de proteção correspondente ao mesmo padrão de «equivalência substancial».
114. A este propósito, o artigo 46.o, n.o 1, do RGPD prevê que, se não tiver sido tomada uma decisão de adequação, os responsáveis pelo tratamento só podem transferir dados pessoais para um país terceiro «se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes» (o sublinhado é meu) (43). Nos termos do artigo 46.o, n.o 2, alínea c), do RGPD, essas garantias podem resultar, nomeadamente, de «cláusulas‑tipo de proteção» elaboradas pela Comissão.
115. À semelhança do DPC, de M. Schrems e da Irlanda, considero que as «garantias adequadas» fornecidas pelo responsável pelo tratamento às quais se refere o artigo 46.o, n.o 1, do RGPD devem assegurar que os direitos das pessoas cujos dados são transferidos beneficiam, tal como no âmbito de uma transferência baseada numa decisão de adequação, de um nível de proteção substancialmente equivalente ao resultante do RGPD, lido à luz da Carta.
116. Esta conclusão decorre do objetivo desta disposição e do instrumento de que faz parte.
117. Os artigos 45.o e 46.o do RGPD têm como objetivo assegurar a continuidade do elevado nível de proteção dos dados pessoais assegurado por este regulamento, quando transferidos para fora da União. Com efeito, o artigo 44.o do RGPD, com a epígrafe «Princípio geral das transferências», abre o capítulo V, relativo às transferências para países terceiros, enunciando que todas as disposições deste capítulo são aplicadas de forma a assegurar que não é comprometido o nível de proteção garantido pelo RGPD em caso de transferência para um Estado terceiro (44). Esta regra visa evitar que os padrões de proteção que decorrem do direito da União sejam contornados transferindo dados pessoais para um país terceiro com vista ao seu tratamento nesses países (45). À luz deste objetivo, é indiferente que a transferência se baseie numa decisão de adequação ou em garantias oferecidas pelo responsável do tratamento, nomeadamente através de cláusulas contratuais. As exigências de proteção dos direitos fundamentais garantidos pela Carta não estabelecem qualquer distinção em função da base jurídica em que assenta uma determinada transferência (46).
118. Em contrapartida, a forma como a continuidade do elevado nível de proteção é preservada difere em função da base jurídica da transferência.
119. Por um lado, uma decisão de adequação tem como objeto estabelecer que o país terceiro visado assegura ele próprio um nível de proteção substancialmente equivalente àquele que deve ser alcançado dentro do direito da União. A adoção de uma decisão de adequação pressupõe que a Comissão avalie previamente, em relação a um determinado país terceiro, o nível de proteção garantido pela legislação e pelas práticas desse país terceiro, à luz dos fatores enunciados no artigo 45.o, n.o 3, do RGPD. Os dados pessoais podem então ser transferidos para o referido país terceiro sem que o responsável pelo tratamento tenha de obter uma autorização específica.
120. Por outro lado, como exposto com maior detalhe na secção seguinte, as garantias adequadas oferecidas pelo responsável pelo tratamento destinam‑se a assegurar um elevado nível de proteção na hipótese de uma insuficiência das garantias disponíveis no país terceiro de destino. Assim, embora o artigo 46.o, n.o 1, do RGPD permita a transferência de dados pessoais para Estados terceiros que não asseguram um nível adequado de proteção, esta disposição só permite essas transferências quando forem oferecidas garantias adequadas por outros meios. As cláusulas contratuais‑tipo adotadas pela Comissão preveem, a este respeito, um mecanismo geral aplicável às transferências seja qual for o país terceiro de destino e o nível de proteção que é aí assegurado.
E. Quanto à validade da Decisão 2010/87 à luz dos artigos 7.o, 8.o e 47.o da Carta (sétima, oitava e décima primeira questões)
121. Com a sua sétima questão, o órgão jurisdicional de reenvio pergunta, em substância, se a Decisão 2010/87 é inválida pelo facto de não impor nenhuma obrigação às autoridades dos Estados terceiros para os quais os dados pessoais são transferidos ao abrigo das cláusulas contratuais‑tipo previstas no anexo desta decisão e, em particular, pelo facto de não os impedir de exigir ao importador que coloque esses dados à sua disposição. Assim, esta questão põe em causa a própria possibilidade de assegurar um nível adequado de proteção desses dados através de mecanismos de natureza exclusivamente contratual. A décima primeira questão incide, em termos mais globais, sobre a validade da Decisão 2010/87 à luz dos artigos 7.o, 8.o e 47.o da Carta.
122. A oitava questão convida o Tribunal de Justiça a determinar se uma autoridade de controlo é obrigada a usar dos poderes que lhe são conferidos pelo artigo 58.o, n.o 2, alíneas f) e j), do RGPD para suspender uma transferência para um país terceiro com base nas cláusulas contratuais‑tipo previstas na Decisão 2010/87 se considerar que o importador de dados está ali sujeito a obrigações que o impedem de honrar essas cláusulas e que têm por efeito não ser assegurada uma proteção adequada dos dados transferidos. Na medida em que a resposta a esta questão tem, na minha opinião, impacto na validade da Decisão 2010/87 (47), trato‑a conjuntamente com a sétima e décima primeira questões.
123. O enunciado do artigo 46.o, n.o 1, do RGPD, na medida em que prevê que, «[n]ão tendo sido tomada qualquer decisão nos termos do artigo 45. o, n. o 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro […] se tiverem apresentado garantias adequadas […]» (o sublinhado é meu), expõe a lógica de que procedem os mecanismos contratuais como o previsto na Decisão 2010/87. Como sublinham os considerandos 108 e 114 do RGPD, estes mecanismos têm por objeto permitir as transferências para países terceiros relativamente aos quais a Comissão não adotou uma decisão de adequação, uma vez que as eventuais insuficiências da proteção assegurada no ordenamento jurídico desse país são então compensadas por garantias que o exportador e o importador dos dados se obrigam contratualmente a respeitar.
124. Uma vez que a razão de ser das garantias contratuais consiste precisamente em sanar as possíveis lacunas na proteção oferecida pelos países terceiros de destino quaisquer que eles sejam, a validade de uma decisão pela qual a Comissão considera que determinadas cláusulas‑tipo preenchem adequadamente essas lacunas não pode depender do nível de proteção oferecido em cada um dos países terceiros para os quais os dados podem ser transferidos. A validade dessa decisão depende apenas da solidez das garantias que essas cláusulas preveem para compensar uma eventual insuficiência da proteção no país terceiro de destino. A eficácia destas garantias deve ser avaliada tendo em conta também as salvaguardas que constituem os poderes das autoridades de controlo nos termos do artigo 58.o, n.o 2, do RGPD.
125. A este respeito, tal como salientaram, no essencial, o DPC, M. Schrems , a BSA, a Irlanda, os Governos austríaco, francês, polaco e português e a Comissão, as garantias contidas nas cláusulas contratuais‑tipo podem ser reduzidas, ou mesmo suprimidas, quando a legislação do país terceiro de destino impõe ao importador obrigações contrárias ao que é exigido nessas cláusulas. Assim, o contexto jurídico prevalecente no país terceiro de destino pode, em função das circunstâncias concretas da transferência (48), tornar impossível o cumprimento das obrigações previstas nessas cláusulas.
126. Nestas circunstâncias, como salientaram M. Schrems e a Comissão, o mecanismo contratual previsto no artigo 46.o, n.o 2, alínea c), do RGPD baseia‑se na responsabilização do exportador e, subsidiariamente, das autoridades de controlo. É caso a caso, para cada transferência específica, que o responsável pelo tratamento ou, na sua falta, a autoridade de controlo, examina se a legislação do país terceiro de destino impede a aplicação das cláusulas‑tipo e, portanto, uma proteção adequada dos dados transferidos, de tal modo que as transferências devam ser proibidas ou suspensas.
127. Tendo em conta estas observações, considero que o facto de a Decisão 2010/87 e as cláusulas contratuais‑tipo que ela enuncia não vincularem as autoridades do país terceiro de destino não torna, por si só, esta decisão inválida. A conformidade da Decisão 2010/87 com os artigos 7.o, 8.o e 47.o da Carta depende, na minha opinião, da questão de saber se existem ou não mecanismos suficientemente sólidos que permitam assegurar que as transferências baseadas nas cláusulas contratuais‑tipo sejam suspensas ou proibidas em caso da sua violação ou da impossibilidade para as cumprir.
128. A este respeito, o artigo 46.o, n.o 1, do RGPD prevê que uma transferência baseada em garantias adequadas só pode ser efetuada «na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes». Importa verificar se as garantias previstas pelas cláusulas que constam do anexo da Decisão 2010/87, completadas pelos poderes das autoridades de controlo, permitem assegurar o cumprimento desta condição. Na minha opinião, isso só será assim quando exista uma obrigação a cargo dos responsáveis pelo tratamento (Secção 1) e, em caso de inação destes últimos, das autoridades de controlo (Secção 2) — de suspender ou de proibir uma transferência sempre que, em razão de um conflito entre as obrigações decorrentes das cláusulas‑tipo e as obrigações impostas pelo direito do país terceiro de destino, essas cláusulas não possam ser respeitadas.
1. Quanto às obrigações que incumbem aos responsáveis pelo tratamento
129. Em primeiro lugar, as cláusulas contratuais‑tipo constantes do anexo da Decisão 2010/87 exigem que, em caso de conflito entre as obrigações que preveem e as exigências impostas pelo direito do país terceiro de destino, essas cláusulas não sejam invocadas em apoio de uma transferência para esse país terceiro ou, se a transferência já tiver sido iniciada com base nas referidas cláusulas, o exportador seja informado do conflito e possa suspender essa transferência.
130. Assim, nos termos da cláusula 5, alínea a), o importador compromete‑se a tratar os dados pessoais transferidos apenas por conta do exportador e em conformidade com as suas instruções e as cláusulas contratuais‑tipo. Se o importador não puder cumprir estas cláusulas, concorda em informar imediatamente o exportador de dados desse facto, tendo neste caso este último o direito de suspender a transferência e/ou de rescindir o contrato (49).
131. A nota [2] relativa à cláusula 5 especifica que as cláusulas‑tipo não são violadas quando o importador cumpre os requisitos obrigatórios da legislação nacional que lhe são aplicáveis no país terceiro, desde que esses requisitos não excedam o que é necessário numa sociedade democrática para proteger um dos interesses previstos no artigo 13.o, n.o 1, da Diretiva 95/46 (cujo conteúdo é reproduzido no artigo 23.o, n.o 1, do RGPD), entre os quais figuram a segurança pública e a segurança do Estado. Pelo contrário, a inobservâncias destas cláusulas a fim de cumprir uma obrigação contraditória imposta pelo direito do país terceiro de destino que vá além do que é proporcionado à salvaguarda de um interesse legítimo reconhecido pela União é considerado uma violação das referidas cláusulas.
132. Na minha opinião, e conforme alegaram M. Schrems e a Comissão, a cláusula 5, alínea a), não pode ser interpretada no sentido de que implica que a suspensão da transferência ou a rescisão do contrato apenas é opcional no caso de o importador não poder respeitar as cláusulas‑tipo. Embora esta cláusula refira apenas um direito nesse sentido em benefício do exportador, esta redação deve ser entendida por referência ao quadro contratual em que se insere. O facto de, nas suas relações bilaterais com o importador, o exportador estar investido de um direito de suspender a transferência ou de rescindir o contrato quando este não tiver capacidade para honrar as cláusulas‑tipo não afeta a obrigação que cabe ao exportador de o fazer em conformidade com as exigências de proteção dos direitos dos titulares de dados que decorrem do RGPD. Qualquer outra interpretação implicaria a invalidade da Decisão 2010/87, na medida em que as cláusulas contratuais‑tipo nela previstas não permitiriam proteger a transferência com «garantias adequadas», tal como exigido pelo artigo 46.o, n.o 1, do RGPD, lido à luz das disposições da Carta (50).
133. Além disso, nos termos da cláusula 5, alínea b), o importador garante que não tem qualquer razão para crer que a legislação que lhe é aplicável o impede de respeitar as instruções recebidas do exportador de dados e as obrigações que lhe incumbem por força do contrato. No caso de haver uma alteração nesta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas cláusulas‑tipo, notificará imediatamente essa alteração ao exportador de dados, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato. Em conformidade com a cláusula 4, alínea g), o exportador deve enviar a notificação recebida do importador à autoridade de controlo competente se decidir continuar a transferência.
134. Creio ser necessário clarificar aqui alguns pormenores relativos ao conteúdo do exame a efetuar pelas partes no contrato a fim de determinar, à luz da nota relativa à cláusula 5, se as obrigações impostas ao importador pelo direito do Estado terceiro implicam uma violação das cláusulas‑tipo e, portanto, impedem que a transferência seja acompanhada de garantias adequadas. Esta problemática foi suscitada, em substância, no âmbito da segunda parte da sexta questão prejudicial.
135. Esse exame implica, em minha opinião, que sejam tidas em conta todas as circunstâncias que caracterizam cada transferência, entre as quais podem ser importantes a natureza dos dados e o seu eventual caráter delicado, os mecanismos implementados pelo exportador e/ou importador para garantir a sua segurança (51), a natureza e a finalidade dos tratamentos pelas autoridades públicas do país terceiro aos quais os dados serão expostos, as modalidades desses tratamentos e as limitações e garantias fornecidas por esse país terceiro. Os elementos que caracterizam as atividades de tratamento pelas autoridades públicas e as garantias aplicáveis no ordenamento jurídico desse país terceiro podem, em minha opinião, sobrepor‑se aos enunciados no artigo 45.o, n.o 2, do RGPD.
136. Em segundo lugar, as cláusulas contratuais‑tipo enunciadas no anexo da Decisão 2010/87 estabelecem, em benefício dos titulares dos dados, direitos oponíveis e vias de recurso contra o exportador e, subsidiariamente, contra o importador.
137. Assim, a cláusula 3, com a epígrafe «Cláusula do terceiro beneficiário», prevê, no n.o 1, um direito de ação do titular dos dados contra o exportador, em caso de violação, nomeadamente, da cláusula 5, alíneas a) ou b). Em conformidade com a cláusula 3, n.o 2, em caso de desaparecimento de facto ou de extinção legal do exportador de dados, o titular dos dados pode fazer aplicar esta cláusula contra o importador.
138. A cláusula 6, n.o 1, atribui, ao titular dos dados que tenha sofrido danos resultantes de qualquer incumprimento das obrigações referidas na cláusula 3, o direito de obter reparação do exportador pelos danos sofridos. Nos termos da cláusula 7, n.o 1, o importador acorda que, se o titular dos dados invocar contra ele os direitos de terceiro beneficiário e/ou exigir uma indemnização por perdas e danos ao abrigo das cláusulas, aceita a decisão do titular dos dados de submeter o litígio a mediação de uma pessoa independente ou, quando aplicável, da autoridade de controlo ou submeter o litígio aos tribunais do Estado‑Membro em que o exportador de dados está estabelecido.
139. Além das vias de recurso à sua disposição ao abrigo das cláusulas contratuais‑tipo previstas no anexo da Decisão 2010/87, os titulares dos dados podem, quando considerem que essas cláusulas foram violadas, solicitar às autoridades de controlo a adoção de medidas corretivas nos termos do artigo 58.o, n.o 2, do RGPD, para o qual remete o artigo 4.o da Decisão 2010/87 (52).
2. Quanto às obrigações das autoridades de controlo
140. As seguintes razões levam‑me a considerar, à semelhança de M. Schrems , da Irlanda, dos Governos alemão, austríaco, belga, neerlandês e português e do CEPD, que o artigo 58.o, n.o 2, do RGPD obriga as autoridades de controlo, sempre que considerem, após um exame diligente, que os dados transferidos para um país terceiro não beneficiam de proteção adequada devido à inobservância das cláusulas contratuais acordadas, a tomar medidas adequadas para corrigir esta ilegalidade, se necessário ordenando a suspensão da transferência.
141. Em primeiro lugar, observo que, contrariamente ao que alega o DPC, não há nenhuma disposição na Decisão 2010/87 que limite a casos excecionais o exercício dos poderes de «[i]mpor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição» e de «[o]rdenar a suspensão do envio de dados para destinatários em países terceiros», de que dispõem as autoridades de controlo nos termos do artigo 58.o, n.o 2, alíneas f) e j), do RGPD.
142. É verdade que a versão inicial do artigo 4.o da Decisão 2010/87 confinava, no seu n.o 1, o exercício, pelas autoridades de controlo, dos seus poderes de suspender ou de proibir os fluxos transfronteiriços de dados a certas hipóteses em que estivesse comprovado que uma transferência efetuada numa base contratual pudesse de ter um efeito adverso substancial nas garantias e obrigações que oferecem uma proteção adequada ao titular dos dados. No entanto, o artigo 4.o desta decisão, conforme alterado pela Comissão em 2016 para dar cumprimento ao Acórdão Schrems (53), passou a limitar‑se a referir esses poderes, sem nunca os restringir. Em todo o caso, uma decisão de execução da Comissão, como a Decisão 2010/87, não pode restringir validamente os poderes conferidos às autoridades de controlo nos termos do próprio RGPD (54).
143. Esta conclusão não é posta em causa pelo considerando 11 da Decisão 2010/87, que estabelece que os poderes de suspensão e proibição de transferências só podem ser exercidos pelas autoridades de controlo em «casos excecionais». Este considerando, já presente na versão inicial desta decisão, estava relacionado com o antigo artigo 4.o, n.o 1, da referida decisão, que limitava os poderes das autoridades de controlo. Aquando da revisão da Decisão 2010/87 pela Decisão 2016/2297, a Comissão não retirou nem corrigiu o referido considerando com vista a adaptar o seu conteúdo ao disposto no novo artigo 4.o O considerando 5 da Decisão 2016/2297 reafirmou, no entanto, o poder das autoridades de controlo de suspender ou de proibir qualquer transferência que considerem contrária ao direito da União, nomeadamente devido ao incumprimento das cláusulas contratuais‑tipo pelo importador. Na medida em que o considerando 11 da Decisão 2010/87 contradiz atualmente tanto a redação como o objetivo de uma sua disposição juridicamente vinculativa, deve ser qualificado de obsoleto (55).
144. Em segundo lugar, contrariamente ao que também alega o DPC, o exercício dos poderes de suspensão e de proibição previstos no artigo 58.o, n.o 2, alíneas f) e j), do RGPD também não constitui uma mera possibilidade deixada à discricionariedade das autoridades de controlo. Esta conclusão decorre, na minha opinião, de uma interpretação do artigo 58.o, n.o 2, do RGPD à luz de outras disposições deste regulamento e da Carta, bem como da economia geral e dos objetivos da Decisão 2010/87.
145. Em especial, o artigo 58.o, n.o 2, do RGPD deve ser lido à luz do artigo 8.o, n.o 3, da Carta e do artigo 16.o, n.o 2, TFUE. Em conformidade com estas disposições, o respeito das exigências que o direito fundamental à proteção de dados pessoais implica está sujeito ao controlo de autoridades independentes. Esta missão de vigilância do cumprimento das exigências relativas à proteção dos dados pessoais, também referida no n.o 1, alínea a), do artigo 57.o do RGPD, implica uma obrigação para as autoridades de controlo de agirem de forma a assegurar a correta aplicação deste regulamento.
146. Assim, uma autoridade de controlo deve examinar com toda a diligência exigida a queixa apresentada por uma pessoa cujos dados são alegadamente transferidos para um Estado terceiro em violação das cláusulas contratuais‑tipo aplicáveis à transferência (56). Para o efeito, o artigo 58.o, n.o 1, do RGPD confere às autoridades de controlo poderes de investigação significativos (57).
147. A autoridade de controlo competente deve igualmente reagir de forma adequada a eventuais violações dos direitos do titular dos dados que tenha apurado em resultado da sua investigação. A este respeito, cada autoridade de controlo dispõe, nos termos do artigo 58.o, n.o 2, do RGPD, de um vasto leque de meios — os vários poderes para adotar as medidas corretivas enumeradas nessa disposição — a fim de realizar a tarefa que lhe foi confiada (58).
148. Embora a escolha do meio mais eficaz fique ao critério da autoridade de controlo competente, tendo em conta todas as circunstâncias da transferência em causa, esta deve desempenhar plenamente a missão de vigilância que lhe foi confiada. Sendo caso disso, essa autoridade deve suspender a transferência se concluir que as cláusulas contratuais‑tipo não estão a ser respeitadas e que uma proteção adequada dos dados transferidos não pode ser assegurada por outros meios, no caso de o próprio exportador não pôr termo à transferência.
149. Esta interpretação é corroborada pelo artigo 58.o, n.o 4, do RGPD, que prevê que o exercício dos poderes conferidos às autoridades de controlo em aplicação deste artigo está sujeito a garantias adequadas, incluindo o direito a uma ação judicial efetiva, em conformidade com o artigo 47.o da Carta. Aliás, o artigo 78.o, n.os 1 e 2, do RGPD reconhece igualmente que todas as pessoas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito ou quando essas autoridades se abstenham de tratar a sua reclamação (59).
150. Estas disposições implicam, como alegam, em substância, M. Schrems , a BSA, a Irlanda, os Governos polaco e do Reino Unido e a Comissão, que uma decisão em que uma autoridade de controlo se abstém de proibir ou de suspender uma transferência para um país terceiro, a pedido de uma pessoa que invoca o risco de que dados que lhe dizem respeito sejam ali tratados em violação dos seus direitos fundamentais, pode ser objeto de uma ação judicial. Ora, o reconhecimento de um direito de ação judicial pressupõe a existência de uma competência conexa, e não meramente discricionária, das autoridades de controlo. Além disso, M. Schrems e a Comissão sublinharam, com razão, que o exercício de uma fiscalização jurisdicional efetiva implica que a autoridade autora do ato contestado o fundamente de forma adequada (60). Esta obrigação de fundamentação estende‑se, na minha opinião, à opção das autoridades de controlo pela utilização de um ou de outro dos poderes que lhes confere o artigo 58.o, n.o 2, do RGPD.
151. No entanto, é ainda necessário responder aos argumentos em que o DPC alega que, mesmo no caso de as autoridades de controlo estarem obrigadas a suspender ou a proibir uma transferência quando os direitos do titular de dados assim o exigir, nem por isso a validade da Decisão 2010/87 estaria assegurada.
152. Primeiro, o DPC considera que uma obrigação dessa natureza não resolve os problemas sistémicos relacionados com a falta de garantias adequadas num país terceiro como os Estados Unidos. Com efeito, os poderes destas autoridades só podem ser exercidos casuisticamente, ao passo que as lacunas que caracterizam o direito americano revestem natureza geral e estrutural. Resulta daqui um risco de adoção, por diferentes autoridades de controlo, de decisões divergentes respeitantes a transferências comparáveis.
153. A este respeito, não posso ignorar as dificuldades práticas associadas à opção legislativa de confiar às autoridades de controlo a responsabilidade de assegurar o respeito dos direitos fundamentais dos titulares de dados no âmbito de transferências específicas ou de fluxos para determinado destinatário. No entanto, estas dificuldades não me parecem provocar a invalidade da Decisão 2010/87.
154. Com efeito, o direito da União não exige, parece‑me, que se adote uma solução geral e preventiva para todas as transferências para um determinado país terceiro, suscetíveis de acarretar os mesmos riscos de violação dos direitos fundamentais.
155. Acresce que o risco de fragmentação das abordagens seguidas pelas diversas autoridades de controlo é inerente à arquitetura de vigilância descentralizada pretendida pelo legislador (61). De resto, como sublinhou o Governo alemão, o capítulo VII do RGPD, com a epígrafe «Cooperação e coerência», institui mecanismos que se destinam a evitar esse risco. O artigo 60.o deste regulamento prevê, no caso de tratamento transfronteiriço de dados, um procedimento de cooperação entre as autoridades de controlo em causa e a autoridade de controlo do estabelecimento do responsável pelo tratamento, a chamada «autoridade de controlo principal» (62). No caso de opiniões divergentes, a falta de acordo deve ser decidida pelo CEPD (63). Este último também é competente para emitir pareceres, a pedido de uma autoridade de controlo, sobre qualquer questão cujo interesse se estenda a diversos Estados‑Membros (64).
156. Segundo, o DPC invoca a invalidade da Decisão 2010/87 à luz do artigo 47.o da Carta com o fundamento de que as autoridades de controlo só podem proteger os direitos dos titulares de dados para o futuro, sem oferecer uma solução àqueles cujos dados já foram transferidos. Em particular, o DPC salienta que o artigo 58.o, n.o 2, do RGPD não prevê um direito de acesso, de retificação e de apagamento dos dados recolhidos pelas autoridades públicas do país terceiro nem a possibilidade de reparação dos danos sofridos pelos titulares dos dados.
157. No que respeita à alegada inexistência de um direito de acesso, de retificação e de apagamento dos dados recolhidos, há que concluir que, quando não existe um direito à ação efetivo no país terceiro de destino, as vias de recurso previstas na União contra o responsável pelo tratamento não permitem obter da parte das autoridades públicas desse país terceiro o acesso a esses dados, ou ainda a sua retificação ou o seu apagamento.
158. No entanto, em minha opinião, esta objeção não justifica a incompatibilidade da Decisão 2010/87 com o artigo 47.o da Carta. Com efeito, a validade desta decisão não depende do nível de proteção existente em cada país terceiro para o qual os dados possam ser transferidos com base em cláusulas contratuais‑tipo que essa decisão enuncia. Se o direito do país terceiro de destino impedir o importador de cumprir estas cláusulas, exigindo‑lhe que conceda às autoridades públicas um acesso aos dados que não seja acompanhado de vias de recurso adequadas, incumbe às autoridades de controlo adotar medidas corretivas se o exportador não tiver suspendido a transferência nos termos da cláusula 5, alíneas a) ou b), constante do anexo da Decisão 2010/87.
159. Por outro lado, como salientou M. Schrems , as pessoas cujos direitos foram violados passaram a beneficiar, nos termos do artigo 82.o do RGPD, do direito à reparação do dano material ou moral sofrido em consequência de uma violação deste regulamento, imputável ao responsável pelo tratamento ou ao subcontratante (65).
160. Assim, como resulta de todas estas considerações, a minha análise não revelou nenhum elemento suscetível de afetar a validade da Decisão 2010/87 à luz dos artigos 7.o, 8.o e 47.o da Carta.
F. Quanto ao caráter desnecessário das outras questões prejudiciais e do exame da validade da Decisão «Escudo de Proteção da Privacidade»
161. Na presente secção, exponho as razões, relacionadas principalmente com a limitação do objeto do litígio do processo principal à validade da Decisão 2010/87, pelas quais considero que não há que responder às questões prejudiciais segunda a quinta, nona e décima ou pronunciar‑me sobre a validade da Decisão «Escudo de Proteção da Privacidade».
162. A segunda questão prejudicial diz respeito à identificação dos padrões de proteção que um país terceiro deve respeitar para que lhe possam ser legalmente transferidos dados com base em cláusulas contratuais‑tipo, sempre que, após a sua transferência, esses dados possam ser tratados para fins de segurança nacional pelas autoridades desse país terceiro. A terceira questão submetida ao Tribunal de Justiça diz respeito à determinação dos elementos característicos do regime de proteção aplicável no Estado terceiro de destino que devem ser tidos em conta para verificar se este satisfaz esses padrões.
163. Na sua quarta, quinta e décima questões, o órgão jurisdicional de reenvio pretende essencialmente saber se, tendo em conta os factos que estabeleceu relativamente ao direito dos Estados Unidos, estão aí previstas garantias adequadas contra a ingerência das autoridades de informação americanas no exercício dos direitos fundamentais do respeito da vida privada, à proteção dos dados pessoais e à proteção jurisdicional efetiva.
164. A nona questão prejudicial diz respeito ao impacto que reveste, no âmbito do exame através do qual uma autoridade de controlo verifica se uma transferência para os Estados Unidos baseada nas cláusulas contratuais‑tipo previstas na Decisão 2010/87 é acompanhada de garantias adequadas, a circunstância de a Comissão ter considerado, na Decisão «Escudo de Proteção da Privacidade», que os Estados Unidos oferecem um nível adequado de proteção dos direitos fundamentais dos titulares de dados contra essa ingerência.
165. A questão da validade da Decisão «Escudo de Proteção da Privacidade» não foi explicitamente levantada pelo órgão jurisdicional de reenvio — embora, como se explica a seguir (66), a quarta, quinta e décima questões prejudiciais ponham, indiretamente, em causa o mérito da verificação de adequação feita pela Comissão nessa decisão.
166. Na minha opinião, tendo em atenção os elementos que resultam da análise anterior, a clarificação destas questões pelo Tribunal de Justiça não é suscetível de afetar a sua conclusão quanto à validade in abstracto da Decisão 2010/87 nem, por conseguinte, de influenciar a resolução do litígio no processo principal (Secção 1). Por outro lado, embora as respostas do Tribunal de Justiça às referidas questões possam, numa fase posterior, revelar‑se úteis ao DPC para determinar, no âmbito do procedimento subjacente a este litígio, se as transferências em causa devem, in concreto, ser suspensas devido à alegada falta de garantias adequadas, é, na minha opinião, prematuro decidi‑las no âmbito do presente processo (Secção 2).
1. Quanto ao caráter desnecessário das respostas do Tribunal de Justiça em relação ao objeto do processo principal
167. O litígio no processo principal resulta, recorde‑se, do exercício pelo DPC da via de recurso descrita no n.o 65 do Acórdão Schrems, segundo o qual cada Estado‑Membro deve permitir que, para efeito do tratamento de uma queixa que lhe foi apresentada, uma autoridade de controlo peça a um órgão jurisdicional nacional que submeta ao Tribunal de Justiça uma questão prejudicial para esse efeito.
168. A este respeito, a High Court (Tribunal Superior) sublinhou que, depois de ter sido chamada a pronunciar‑se pelo DPC, dispunha, como únicas opções, apresentar o pedido de decisão prejudicial sobre a validade da Decisão 2010/87 solicitado pelo DPC, no caso de partilhar as suas dúvidas quanto à validade dessa decisão, ou recusar‑se deferir esse pedido na hipótese contrária. Esse órgão jurisdicional considera que, se tivesse seguido esta segunda via, teria sido obrigado a negar provimento ao recurso, uma vez que a queixa do DPC não tinha outro objeto (67).
169. Nesta mesma linha, a Supreme Court (Supremo Tribunal), chamado a pronunciar‑se em sede de recurso interposto pela Facebook Ireland contra a decisão de reenvio, descreveu o litígio no processo principal como um processo declaratório através do qual o DPC pedia ao órgão jurisdicional de reenvio que submetesse ao Tribunal de Justiça uma questão prejudicial sobre a validade da Decisão 2010/87. Segundo o órgão jurisdicional supremo irlandês, a única questão substancial suscitada perante o órgão jurisdicional de reenvio e perante o Tribunal de Justiça diz, por conseguinte, respeito à validade dessa decisão (68).
170. Tendo em conta o objeto do litígio no processo principal assim circunscrito, o órgão jurisdicional de reenvio submeteu ao Tribunal de Justiça as suas dez primeiras questões na medida em que considerava que a respetiva análise contribui para a avaliação de conjunto necessária para o Tribunal de Justiça se pronunciar, em resposta à décima primeira questão, quanto à validade da Decisão 2010/87 à luz dos artigos 7.o, 8.o e 47.o da Carta. Esta questão representa, nos termos da decisão de reenvio, o resultado lógico das questões que a precedem.
171. Nesta ótica, as questões segunda a quinta, nona e décima parecem‑me assentar na premissa de que a validade da Decisão 2010/87 depende do nível de proteção dos direitos fundamentais previsto em cada um dos Estados terceiros para os quais os dados podem ser transferidos com base em cláusulas contratuais‑tipo que esta decisão prevê. Ora, como resulta da minha análise da sétima questão (69), esta premissa é, a meu ver, incorreta. O exame da legislação do país terceiro de destino só se aplica quando a Comissão adota uma decisão de adequação ou quando o responsável pelo tratamento — ou, na sua falta, a autoridade de controlo competente — verifica se, no âmbito de uma transferência baseada em garantias adequadas na aceção do artigo 46.o, n.o 1, do RGPD, as obrigações impostas ao importador pelo direito desse país terceiro não comprometem a eficácia da proteção assegurada por essas garantias.
172. Por conseguinte, as respostas do Tribunal de Justiça às questões acima referidas não são suscetíveis de influenciar a sua conclusão quanto à décima primeira questão (70). Também não há que lhes responder do ponto de vista do objeto do litígio no processo principal.
173. Proponho ao Tribunal de Justiça que se limite a tratar o presente processo do ponto de vista do objeto desse litígio. Na minha opinião, o Tribunal de Justiça não deveria ir além do que é necessário para a resolução do referido litígio, abordando as questões prejudiciais do ponto de vista do processo subjacente em curso no DPC. Como se explica a seguir, este convite à contenção procede, por um lado, da preocupação de não interromper a tramitação normal do processo, que deverá prosseguir no DPC depois de o Tribunal de Justiça ter decidido sobre a validade da Decisão 2010/87. Por outro lado, tendo em atenção os factos em apreço, parece‑me algo precipitado, mesmo do ponto de vista daquilo que está em causa neste processo, que o Tribunal de Justiça examine as problemáticas suscitadas pelas questões segunda a quinta, nona e décima.
2. Quanto às razões que se opõem a um exame pelo Tribunal de Justiça à luz do objeto do processo pendente no DPC
174. Na sua queixa ao DPC, M. Schrems pede a esta autoridade de controlo para exercer os poderes que lhe são conferidos pelo artigo 58.o, n.o 2, alínea f), do RGPD ordenando à Facebook Ireland que suspenda a transferência dos seus dados pessoais para os Estados Unidos com base em cláusulas contratuais‑tipo. Em apoio deste pedido, M. Schrems invoca, no essencial, o caráter inadequado dessas garantias contratuais em relação à ingerência, no exercício dos seus direitos fundamentais, que resulta da atividade dos serviços de informação americanos.
175. A argumentação de M. Schrems põe em causa a conclusão, feita pela Comissão na Decisão «Escudo de Proteção da Privacidade», de que os Estados Unidos asseguram um nível de proteção adequado em relação às restrições colocadas ao acesso aos dados transferidos e à sua utilização pelas autoridades de informação americanas, bem como à proteção jurídica oferecida aos titulares de dados (71). As preocupações expressas pelo DPC a título provisório (72), assim como pelo órgão jurisdicional de reenvio no âmbito da sua quarta, quinta e décima questões, lançam também, de forma indireta, dúvidas sobre o mérito dessa conclusão.
176. Seguramente, a Decisão «Escudo de Proteção da Privacidade» limita‑se a constatar a adequação do nível de proteção dos dados pessoais transferidos, em conformidade com os princípios que enuncia, para uma empresa estabelecida nos Estados Unidos que autocertificou a sua adesão a esses princípios (73). No entanto, as considerações que dela constam ultrapassam o contexto das transferências abrangidas por esta decisão na medida em que incidem sobre o direito e as práticas em vigor nesse país terceiro em matéria de tratamento dos dados transferidos, para efeitos de proteção da segurança nacional. Como observaram, em substância, a Facebook Ireland, M. Schrems , o Governo dos Estados Unidos e a Comissão, a vigilância exercida pelas autoridades de informação americanas, assim como as garantias contra os riscos de abuso que ela comporta e os mecanismos destinados a controlar o seu cumprimento, aplicam‑se qualquer que seja, do ponto de vista do direito da União, a base legal invocada em apoio da transferência.
177. Nesta perspetiva, a questão de saber se as conclusões formuladas a este respeito na Decisão «Escudo de Proteção da Privacidade» vinculam as autoridades de controlo quando estas examinam a legalidade de uma transferência efetuada com base em cláusulas contratuais‑tipo pode revelar‑se pertinente para efeitos do tratamento da queixa de M. Schrems pelo DPC. Em caso de resposta afirmativa a esta questão, coloca‑se a de saber se esta decisão é efetivamente válida.
178. No entanto, não aconselho o Tribunal de Justiça a pronunciar‑se sobre estas questões com o único objetivo de ajudar o DPC a tratar esta queixa, quando não há necessidade de lhe dar resposta para permitir que o órgão jurisdicional de reenvio possa resolver o litígio no processo principal. Uma vez que o processo previsto no artigo 267.o TFUE institui um diálogo entre juízes, o Tribunal de Justiça não é chamado a fornecer esclarecimentos com a única finalidade de prestar assistência a uma autoridade administrativa no âmbito de um procedimento subjacente a esse litígio.
179. Na minha opinião, a reserva impõe‑se tanto mais quando a questão da validade da Decisão «Escudo de Proteção da Privacidade» não lhe foi expressamente submetida — sendo, aliás, esta decisão objeto de um recurso de anulação pendente no Tribunal Geral da União Europeia (74).
180. Acresce que, caso se pronuncie sobre as problemáticas supramencionadas, o Tribunal de Justiça perturbará, na minha opinião, o curso normal que o processo terá após proferir o seu acórdão. No âmbito desse processo, incumbe ao DPC tratar a queixa de M. Schrems tendo em conta a resposta que o Tribunal de Justiça dará à décima primeira questão prejudicial. Se o Tribunal de Justiça declarar, como proponho e contrariamente ao que o DPC alegou, que a Decisão 2010/87 não é inválida à luz dos artigos 7.o, 8.o e 47.o da Carta, o DPC deve, na minha opinião, ter a possibilidade de reexaminar o processo pendente perante ele. Se o DPC considerar que não se pode pronunciar sobre a queixa de M. Schrems sem que o Tribunal de Justiça determine previamente se a Decisão «Escudo de Proteção da Privacidade» obsta ao exercício dos seus poderes de suspensão da transferência em causa, e confirmar que mantém dúvidas quanto à validade dessa decisão, pode recorrer novamente aos tribunais nacionais para que estes interroguem o Tribunal de Justiça a este respeito (75).
181. Seria então iniciado um processo que permitiria a qualquer parte e a qualquer interessado referido no artigo 23.o, segundo parágrafo, do Estatuto do Tribunal de Justiça, submeter ao Tribunal de Justiça observações respeitantes, especificamente, à validade da Decisão «Escudo de Proteção da Privacidade», indicando, sendo caso disso, as apreciações concretas que contesta e as razões pelas quais considera que a Comissão tinha excedido a reduzida margem de apreciação de que dispunha (76). No âmbito de um processo dessa natureza, a Comissão teria a oportunidade de responder de forma precisa e detalhada a cada uma das eventuais críticas dirigidas contra a referida decisão. Embora o presente processo tenha dado às partes e aos interessados que apresentaram observações ao Tribunal de Justiça a oportunidade de debater determinados aspetos relevantes para efeitos de avaliação da conformidade da Decisão «Escudo de Proteção da Privacidade» com os artigos 7.o, 8.o e 47.o da Carta, esta questão merece, dado o que está em jogo, que lhe seja consagrado um debate exaustivo e aprofundado.
182. Na minha opinião, é prudente esperar que essas etapas processuais sejam transpostas antes de o Tribunal de Justiça examinar o impacto que a Decisão «Escudo de Proteção da Privacidade» tem no tratamento, por uma autoridade de controlo, de um pedido de suspensão de uma transferência para os Estados Unidos ao abrigo do artigo 46.o, n.o 1, do RGPD e decidir sobre a validade dessa decisão.
183. Isto é assim por maioria de razão, na medida em que os autos submetidos ao Tribunal de Justiça não permitem concluir que o tratamento da queixa de M. Schrems pelo DPC dependerá necessariamente da questão de saber se a Decisão «Escudo de Proteção da Privacidade» se opõe ao exercício pelas autoridades de controlo do seu poder de suspender uma transferência baseada em cláusulas contratuais‑tipo.
184. A este respeito, em primeiro lugar, não está excluído que o DPC seja levado a suspender a transferência em causa por motivos diferentes dos relativos à alegada inadequação do nível de proteção assegurado nos Estados Unidos contra violações dos direitos fundamentais dos titulares de dados resultantes das atividades dos serviços de informação americanos. Em especial, o órgão jurisdicional de reenvio precisou que M. Schrems sustenta, na sua queixa junto do DPC, que as cláusulas contratuais invocadas pela Facebook Ireland em apoio desta transferência não refletem fielmente as que figuram no anexo da Decisão 2010/87. M. Schrems sustenta, além disso, que a referida transferência não é abrangida pelo âmbito de aplicação desta decisão, mas das outras Decisões CCT (77).
185. Em segundo lugar, o DPC e o órgão jurisdicional de reenvio salientaram que a Facebook Ireland não invocou, em apoio da transferência visada na queixa de M. Schrems , a Decisão «Escudo de Proteção da Privacidade» (78), o que esta sociedade confirmou na audiência. Embora a Facebook Inc. tenha autocertificado a sua adesão aos princípios do Escudo de Proteção da Privacidade desde 30 de setembro de 2016 (79), a Facebook Ireland afirma que essa adesão diz respeito apenas a determinadas categorias de dados, a saber, os que respeitam aos parceiros comerciais da Facebook Inc. Parece‑me inoportuno que o Tribunal de Justiça antecipe as questões que poderiam surgir a este propósito, apreciando, no pressuposto de que a Facebook Ireland não possa invocar a Decisão 2010/87 em apoio da transferência em causa, se essa transferência está, não obstante, abrangida pela Decisão «Escudo de Proteção da Privacidade», quando esta última não suscitou este argumento nem no órgão jurisdicional de reenvio nem no DPC.
186. Concluo daqui que não há que responder às questões prejudiciais segunda a quinta, nona e décima nem que examinar a validade da Decisão «Escudo de Proteção da Privacidade».
G. Observações subsidiárias relativas aos efeitos e à validade da Decisão «Escudo de Proteção da Privacidade»
187. Embora a análise anterior me leve a propor ao Tribunal de Justiça que, a título principal, se abstenha de se pronunciar sobre o impacto da Decisão «Escudo de Proteção da Privacidade» no tratamento de uma queixa como a apresentada por M. Schrems junto do DPC e sobre a validade dessa decisão, pareceu‑me útil desenvolver, a título subsidiário e com reservas, algumas observações não exaustivas a este respeito.
1. Quanto ao impacto da Decisão «Escudo de Proteção da Privacidade» no âmbito do tratamento, por uma autoridade de controlo, de uma queixa relativa à legalidade de uma transferência baseada em garantias contratuais
188. Com a nona questão prejudicial, o órgão jurisdicional de reenvio pergunta se, tendo em conta as limitações impostas ao acesso e à utilização dos dados transferidos pelas autoridades americanas para fins de segurança nacional e de proteção jurídica dos titulares de dados, a constatação operada pela Decisão «Escudo de Proteção da Privacidade», relativa à adequação do nível de proteção assegurado nos Estados Unidos se opõe a que uma autoridade de controlo suspenda uma transferência para esse país terceiro executada ao abrigo de cláusulas contratuais‑tipo.
189. Esta problemática deve, parece‑me, ser analisada à luz dos n.os 51 e 52 do Acórdão Schrems, dos quais resulta que uma decisão de adequação se impõe às autoridades de controlo enquanto não for declarada inválida. Uma autoridade de controlo que receba a queixa de uma pessoa cujos dados são transferidos para o país terceiro abrangido por uma decisão de adequação não pode, por conseguinte, suspender a transferência com o fundamento de que o nível de proteção é inadequado nesse país sem que o Tribunal de Justiça tenha previamente declarado essa decisão inválida (80).
190. O órgão jurisdicional de reenvio pretende essencialmente saber se, no caso de uma decisão de adequação — como a Decisão «Escudo de Proteção da Privacidade» ou, antes desta, a Decisão «Porto Seguro» — baseada na adesão voluntária das empresas aos princípios nela estabelecidos, aquela constatação só é aplicável na medida em que a transferência para o país terceiro em causa esteja abrangida por essa decisão ou também quando assenta numa base legal distinta.
191. De acordo com M. Schrems , os Governos alemão, neerlandês, polaco e português e a Comissão, a constatação de adequação operada na Decisão «Escudo de Proteção da Privacidade» não priva as autoridades de controlo do seu poder de suspender ou de proibir uma transferência para os Estados Unidos executada ao abrigo de cláusulas contratuais‑tipo. Quando a transferência para os Estados Unidos não se baseie na Decisão «Escudo de Proteção da Privacidade», as autoridades de controlo não estão formalmente vinculadas por esta decisão no exercício dos poderes que lhes confere o artigo 58.o, n.o 2, do RGPD. Por outras palavras, estas autoridades podem distanciar‑se das conclusões da Comissão acerca da adequação do nível de proteção contra as ingerências das autoridades públicas americanas no exercício dos direitos fundamentais dos titulares de dados. O Governo neerlandês e a Comissão esclarecem que as autoridades de controlo devem, no entanto, ter este facto em conta quando utilizam estes poderes. Na opinião do Governo alemão, estas autoridades só podem proceder a apreciações contrárias após um exame do mérito das conclusões da Comissão, que inclua as investigações pertinentes.
192. Em contrapartida, a Facebook Ireland e o Governo dos Estados Unidos alegam, em substância, que o efeito vinculativo de uma decisão de adequação implica, à luz dos imperativos de segurança jurídica e de aplicação uniforme do direito da União, que as autoridades de controlo não possam para pôr em causa, mesmo no âmbito do tratamento de uma queixa destinada a obter a suspensão das transferências para o país terceiro em causa com um fundamento diferente dessa decisão, as conclusões contidas na referida decisão.
193. Subscrevo a primeira destas duas abordagens. Uma vez que o âmbito de aplicação da Decisão «Escudo de Proteção da Privacidade» está limitado às transferências executadas para uma empresa autocertificada ao abrigo desta decisão, esta não pode obrigar formalmente as autoridades de controlo em relação a transferências que não se enquadrem nesse âmbito de aplicação. A Decisão «Escudo de Proteção da Privacidade» não se destina, correlativamente, a garantir a segurança jurídica apenas em benefício dos exportadores que transferem dados no quadro que estabelece. Na minha opinião, a independência que o artigo 52.o do RGPD reconhece às autoridades de controlo também se opõe a que fiquem vinculadas pelas conclusões formuladas pela Comissão numa decisão de adequação, para além do seu âmbito de aplicação.
194. Evidentemente, as conclusões, que figuram na Decisão «Escudo de Proteção da Privacidade», relativas à adequação do nível de proteção assegurado nos Estados Unidos contra as ingerências relacionadas com as atividades dos seus serviços de informação constituem o ponto de partida para a análise através da qual uma autoridade de controlo avalia, caso a caso, se uma transferência baseada em cláusulas contratuais‑tipo deve ser suspensa devido a essas ingerências. No entanto, se considerar, no termo de um inquérito aprofundado, que não pode aderir a essas conclusões no que se refere à transferência levada ao seu conhecimento, a autoridade de controlo competente, mantém, na minha opinião, a faculdade de exercer os poderes que lhe confere o artigo 58.o, n.o 2, alíneas f) e j), do RGPD.
195. Assim sendo, se o Tribunal de Justiça der à questão aqui examinada uma resposta contrária à que defendo, há que verificar se esses poderes não deveriam, porém, ser restaurados devido à invalidade da Decisão «Escudo de Proteção da Privacidade».
2. Quanto à validade da Decisão «Escudo de Proteção da Privacidade
196. As observações que se seguem levantarão algumas questões quanto ao mérito das apreciações que constam da Decisão «Escudo de Proteção da Privacidade» no que respeita à adequação, na aceção do artigo 45.o, n.o 1, do RGPD, do nível de proteção assegurado pelos Estados Unidos em relação às atividades de vigilância das comunicações eletrónicas levadas a cabo pelas autoridades de informação americanas. Estas observações não se destinam a expor uma posição definitiva ou exaustiva sobre a validade dessa decisão. Limitar‑se‑ão a apresentar algumas reflexões que pode revelar‑se úteis ao Tribunal de Justiça se este pretender, contrariamente ao que preconizo, pronunciar‑se sobre este ponto.
197. A este respeito, resulta do considerando 64 e do ponto I.5 do anexo II da Decisão «Escudo de Proteção da Privacidade» que a adesão das empresas aos princípios estabelecidos nesta decisão pode ser limitada, em especial, por exigências relativas à segurança nacional, ao interesse público e à aplicação da lei ou por obrigações contraditórias resultantes do direito americano.
198. Por conseguinte, a Comissão avaliou as garantias previstas no direito dos Estados Unidos no que se refere ao acesso aos dados transferidos e à sua utilização pelas autoridades públicas americanas para fins, em especial, de segurança nacional (81). Obteve da parte do Governo americano determinados compromissos respeitantes, por um lado, às limitações ao acesso e à utilização de dados transferidos pelas autoridades americanas, bem como, por outro, à proteção jurídica oferecida aos titulares dos dados (82).
199. No Tribunal de Justiça, M. Schrems alega a invalidade da Decisão «Escudo de Proteção da Privacidade» pelo facto de as garantias assim descritas não bastarem para assegurar um nível adequado de proteção dos direitos fundamentais das pessoas cujos dados são transferidos para os Estados Unidos. O DPC, o EPIC e os Governos austríaco, polaco e português, sem porem diretamente em causa a validade dessa decisão, contestam as apreciações que a Comissão fez nessa decisão a respeito da adequação do nível de proteção contra as ingerências decorrentes das atividades dos serviços de informação americanos. Estas dúvidas refletem as preocupações expressas pelo Parlamento (83), pela CEPD (84) e pela AEPD (85).
200. Antes de examinar o mérito da constatação de adequação efetuada na Decisão «Escudo de Proteção da Privacidade», é necessário especificar a metodologia que deve orientar esse exame.
a) Esclarecimentos relativos ao conteúdo do exame da validade de uma decisão de adequação
1) Quanto aos termos da comparação que permitem avaliar a «equivalência substancial» do nível de proteção
201. Em conformidade com o artigo 45.o, n.o 3, do RGPD e da jurisprudência do Tribunal de Justiça (86), a Comissão só pode declarar que um país terceiro assegura um nível de proteção adequado na medida em que tenha concluído, de forma devidamente fundamentada, que o nível de proteção dos direitos fundamentais dos titulares de dados é «substancialmente equivalente» ao exigido na União pelo presente regulamento lido à luz da Carta.
202. Assim, a verificação da adequação do nível de proteção assegurado num país terceiro implica necessariamente uma comparação entre as regras e práticas que prevalecem nesse país terceiro, por um lado, e as normas de proteção em vigor na União, por outro. Através da sua segunda questão, o órgão jurisdicional de reenvio pede ao Tribunal de Justiça para clarificar os termos dessa comparação (87).
203. Mais especificamente, este órgão jurisdicional nacional pretende saber se a reserva de competência que o artigo 4.o, n.o 2, do TUE e o artigo 2.o, n.o 2, do RGPD reconhecem aos Estados‑Membros em matéria de proteção da segurança nacional implica que a ordem jurídica da União não comporte padrões de proteção aos quais deveriam ser comparadas, com vista a avaliar a adequação, as garantias oferecidas num país terceiro contra a ingerência das autoridades públicas no exercício dos direitos dos titulares de dados para efeitos de proteção da segurança nacional. Em caso afirmativo, o referido órgão jurisdicional pretende saber como deve ser determinado o quadro de referência relevante.
204. A este respeito, importa ter presente que a razão de ser das restrições que o direito da União aplica às transferências internacionais de dados pessoais, exigindo que seja assegurada a continuidade do nível de proteção dos direitos dos titulares dos dados, consiste em evitar o risco de desvio dos padrões aplicáveis na União (88). Conforme alegou, em substância, a Facebook Ireland, não há nenhuma justificação, relacionada com este objetivo, para se esperar que um país terceiro cumpra exigências que não correspondem a obrigações que incumbem aos Estados‑Membros.
205. Ora, em conformidade com o seu artigo 51.o, n.o 1, a Carta só é aplicável aos Estados‑Membros quando aplicam o direito da União. Consequentemente, a validade de uma decisão de adequação no que respeita às restrições ao exercício dos direitos fundamentais dos titulares de dados que decorrem da regulamentação do país terceiro de destino depende de uma comparação entre essas restrições e aquelas que as disposições da Carta autorizariam aos Estados‑Membros apenas na medida em que uma regulamentação semelhante de um Estado‑Membro se enquadrasse no âmbito de aplicação do direito da União.
206. No entanto, a adequação do nível de proteção assegurado no país terceiro de destino não pode ser avaliado ignorando a eventuais ingerências, no exercício dos direitos fundamentais dos titulares de dados resultante de medidas estatais, nomeadamente no domínio da segurança nacional, que, se fossem adotadas por um Estado‑Membro, não seriam abrangidas pelo âmbito de aplicação do direito da União. Para efeitos desta apreciação, o artigo 45.o, n.o 2, alínea a), do RGPD exige que sejam tidas em conta, sem qualquer limitação, as regulamentações nacionais em matéria de segurança nacional em vigor nesse Estado terceiro.
207. Na minha opinião, a avaliação da adequação do nível de proteção dessas medidas estatais implica comparar as garantias que as acompanham com o nível de proteção exigido na União por força do direito dos Estados‑Membros, incluindo os seus compromissos a título da CEDH. Uma vez que a adesão dos Estados‑Membros à CEDH os obriga a adaptar os seus ordenamentos jurídicos internos às disposições desta convenção e constituiu assim, como, sublinharam, no essencial, a Facebook Ireland, os Governos alemão e checo e a Comissão, um denominador comum nos Estados‑Membros, considerarei estas disposições como o elemento de comparação relevante para efeitos dessa avaliação.
208. No caso vertente, como mencionado supra (89), as exigências relativas à segurança nacional dos Estados Unidos têm prioridade sobre as obrigações das empresas autocertificadas ao abrigo da Decisão «Escudo de Proteção da Privacidade». Por conseguinte, a validade desta decisão depende da questão de saber se essas exigências estão acompanhadas de garantias que ofereçam um nível de proteção substancialmente equivalente ao que deve ser assegurado na União.
209. A resposta a esta questão exige, em primeiro lugar, identificar os padrões — a saber, os que decorrem da Carta ou da CEDH — aos quais devem responder, na União, regulamentações em matéria de vigilância das comunicações eletrónicas semelhantes às que a Comissão examinou na Decisão «Escudo de Proteção da Privacidade». A determinação dos padrões aplicáveis depende da questão de saber se regulamentações como a secção 702 do FISA e a EO 12333 , caso emanassem de um Estado‑Membro, seriam ou não abrangidas pelo âmbito de aplicação do RGPD nos termos do seu artigo 2.o, n.o 2, lido à luz do artigo 4.o, n.o 2, TUE.
210. A este respeito, resulta da redação do artigo 4.o, n.o 2, TUE e de jurisprudência constante que o direito da União e, designadamente, os instrumentos do direito derivado relativo à proteção dos dados pessoais não se aplicam às atividades relacionadas com a proteção da segurança nacional, na medida em que constituem atividades próprias dos Estados ou das autoridades estatais e alheias aos domínios de atividade dos particulares (90).
211. Este princípio implica, por um lado, que uma regulamentação no domínio da proteção da segurança nacional não é abrangida pelo âmbito de aplicação do direito da União quando regula apenas atividades estatais, com exclusão das atividades exercidas por particulares. Consequentemente, na minha opinião, este direito não é aplicável a medidas nacionais relativas à recolha e à utilização de dados pessoais, diretamente implementadas pelo Estado para efeitos de proteção da segurança nacional sem impor obrigações específicas aos operadores privados. Em particular, como a Comissão alegou na audiência, uma medida adotada por um Estado‑Membro que, tal como a EO 12333 , autorizasse o acesso direto dos seus serviços de segurança a dados em trânsito, está igualmente excluída do âmbito de aplicação do direito da União (91).
212. Muito mais complexa é a questão de saber se, por outro lado, as disposições nacionais que, à semelhança da secção 702 do FISA, obrigam os prestadores de serviços de comunicações eletrónicas a oferecer o seu apoio às autoridades competentes em matéria de segurança nacional, a fim de lhes permitir o acesso a determinados dados pessoais, também não seriam abrangidas pelo âmbito de aplicação do direito da União.
213. Enquanto o Acórdão PNR defende uma resposta afirmativa a esta questão, o raciocínio adotado nos Acórdãos Tele2 Sverige e Ministerio Fiscal pode justificar que lhe seja dada uma resposta negativa.
214. No Acórdão PNR, o Tribunal de Justiça anulou a decisão na qual a Comissão tinha constatado a adequação do nível de proteção dos dados pessoais contidos nos registos de identificação dos passageiros (Passenger Name Records, PNR) dos passageiros aéreos transferidos para a autoridade americana competente em matéria de alfândegas e de proteção das fronteiras (92). O Tribunal de Justiça declarou que o tratamento sobre o qual incidia essa decisão — a saber, a transferência de dados PNR pelas companhias aéreas para a autoridade em causa — estava, atendendo ao seu objeto, excluído do âmbito de aplicação da Diretiva 95/46 por força do seu artigo 3.o, n.o 2. Segundo o Tribunal de Justiça, esse tratamento não era necessário para a realização de uma prestação de serviços, mas antes para a proteção da segurança pública e para fins repressivos. Uma vez que a transferência em causa se realizava num quadro estabelecido pelos poderes públicos e destinado à segurança pública, estava excluída do âmbito de aplicação desta diretiva, apesar de os dados PNR terem sido inicialmente recolhidos por operadores privados no contexto de uma atividade comercial abrangida por esse âmbito de aplicação e de essa transferência ter sido organizada por eles (93).
215. No Acórdão subsequente Tele2 Sverige (94), o Tribunal de Justiça declarou que as disposições nacionais, baseadas no artigo 15.o, n.o 1, da Diretiva 2002/58 (95), que regulam tanto a conservação de dados de tráfego e de localização pelos prestadores de serviços de telecomunicações como o acesso das autoridades públicas aos dados armazenados para os fins mencionados nessa disposição — que incluem a repressão penal e a proteção da segurança nacional — são abrangidas pelo âmbito de aplicação da referida diretiva e, portanto, da Carta. Segundo o Tribunal de Justiça, nem as disposições relativas à conservação de dados nem as relativas ao acesso aos dados armazenados são abrangidas pela exclusão do âmbito de aplicação desta diretiva, prevista no artigo 1.o, n.o 3, que se refere, nomeadamente, às atividades do Estado em matéria de repressão e de proteção da segurança nacional (96). O Tribunal de Justiça confirmou essa jurisprudência no Acórdão Ministerio Fiscal (97).
216. No entanto, a secção 702 do FISA difere dessa regulamentação na medida em que esta disposição não impõe aos prestadores de serviços de comunicações eletrónicas qualquer obrigação de conservar os dados ou de efetuar qualquer outro tratamento na falta de um pedido de acesso aos dados, apresentado pelas autoridades de informação.
217. Por conseguinte, coloca‑se a questão de saber se as medidas nacionais que impõem a esses prestadores uma obrigação de disponibilizar dados às autoridades públicas para fins de segurança nacional estão abrangidas pelo âmbito de aplicação do RGPD e, portanto, da Carta, independentemente de qualquer obrigação de conservação (98).
218. Uma primeira abordagem pode consistir em conciliar, tanto quanto possível, as duas linhas de jurisprudência referidas supra, interpretando a conclusão do Tribunal de Justiça nos Acórdãos Tele2 Sverige e Ministerio Fiscal, relativa à aplicabilidade do direito da União às medidas que regulam o acesso aos dados por autoridades nacionais para fins, nomeadamente, de proteção da segurança nacional (99), no sentido de que é limitada aos casos em que os dados foram conservados nos termos de uma obrigação legal instituída ao abrigo do artigo 15.o, n.o 1, da Diretiva 2002/58. Em contrapartida, esta conclusão não é aplicável ao contexto factual distinto do Acórdão PNR, que dizia respeito à transferência, para uma autoridade americana competente em matéria de segurança interna, de dados conservados pelas das companhias aéreas, para fins comerciais, por sua própria iniciativa.
219. De acordo com uma segunda abordagem, que a Comissão defende e que considero mais convincente, o raciocínio adotado nos Acórdãos Tele2 Sverige e Ministerio Fiscal justifica a aplicabilidade do direito da União às regras nacionais que obrigam os prestadores de serviços de comunicações eletrónicas a dar assistência às autoridades responsáveis pela segurança nacional para que estas possam aceder a determinados dados, independentemente de essas regras serem acompanhadas ou não de uma obrigação de conservação prévia dos dados.
220. Com efeito, o cerne desse raciocínio baseia‑se, não no objetivo das disposições em causa, como no Acórdão PNR, mas antes no facto de estas disposições regerem as atividades dos prestadores, impondo‑lhes um tratamento de dados. Estas atividades não constituíam atividades do Estado nos domínios referidos no artigo 1.o, n.o 3, da Diretiva 2002/58 e no artigo 3.o, n.o 2, da Diretiva 95/46, cujo conteúdo o artigo 2.o, n.o 2, do RGPD reproduz em substância.
221. Assim, no Acórdão Tele2 Sverige, o Tribunal de Justiça declarou que «o acesso aos dados conservados pelos referidos prestadores tem por objeto o tratamento de dados pessoais por parte destes últimos, tratamento que se enquadra no âmbito de aplicação desta diretiva» (100). Do mesmo modo, no Acórdão Ministerio Fiscal, declarou que medidas legislativas que impõem aos prestadores conceder às autoridades nacionais competentes o acesso aos dados conservados, «implicam necessariamente, da parte destes, o tratamento [desses] dados» (101).
222. Ora, a disponibilização de dados pelo responsável pelo tratamento em benefício de uma autoridade pública responde à definição do «tratamento» prevista no artigo 4.o, n.o 2, do RGPD (102). O mesmo se pode dizer a propósito da filtragem prévia dos dados através de critérios de pesquisa para isolar aqueles aos quais as autoridades públicas pediram acesso (103).
223. Concluo daqui que, na sequência do raciocínio adotado pelo Tribunal de Justiça nos Acórdãos Tele2 Sverige e Ministerio Fiscal, o RGPD e, portanto, a Carta são aplicáveis a uma regulamentação nacional que obriga um fornecedor de serviços de comunicações eletrónicas a prestar a sua colaboração às autoridades responsáveis pela segurança nacional disponibilizando‑lhes esses dados, eventualmente depois de os ter filtrado, mesmo independentemente de qualquer obrigação legal de conservação desses dados.
224. Acresce que esta interpretação parece decorrer, pelo menos implicitamente, do Acórdão Schrems. Como salientaram o DPC, os Governos austríaco e polaco e a Comissão, o Tribunal de Justiça, no âmbito do exame da validade da Decisão «Porto Seguro», declarou que a lei do país terceiro abrangido por uma decisão de adequação deve prever, contra a ingerência das suas autoridades públicas nos direitos fundamentais dos titulares dos dados para fins de segurança nacional, garantias substancialmente equivalentes às que decorrem, nomeadamente, dos artigos 7.o, 8.o e 47.o da Carta (104).
225. Daqui decorre, de forma mais específica, que uma medida nacional que obriga os prestadores de serviços de comunicações eletrónicas a satisfazer um pedido de acesso das autoridades competentes em matéria de segurança nacional a determinados dados conservados por esses prestadores no âmbito das suas atividades comerciais, independentemente de qualquer obrigação legal, identificando previamente os dados solicitados por meio da aplicação dos seletores (como no âmbito do programa PRISM), não está abrangida pelo âmbito de aplicação do artigo 2.o, n.o 2, do RGPD. O mesmo se pode dizer a propósito de uma medida nacional que exija que as empresas que exploram a «espinha dorsal» das telecomunicações deem acesso, às autoridades responsáveis pela segurança nacional, a dados que transitam através das infraestruturas que exploram (como no âmbito do programa Upstream).
226. Em contrapartida, uma vez os dados em causa chegados às mãos das autoridades estatais, a sua conservação e posterior utilização por essas autoridades para fins de segurança nacional estão, em minha opinião, pelas mesmas razões que as mencionadas no n.o 211 das presentes conclusões, abrangidas pela derrogação prevista no artigo 2.o, n.o 2, do RGPD, de forma que não se enquadram no âmbito de aplicação deste regulamento nem, portanto, no da Carta.
227. Atendendo a todas as considerações anteriores, entendo que a fiscalização da validade da Decisão «Escudo de Proteção da Privacidade» no que respeita às limitações aos princípios nela estabelecidos, as quais podem resultar das atividades das autoridades de informação americanas, implica uma dupla verificação.
228. Em primeiro lugar, há que apreciar se os Estados Unidos asseguram um nível de proteção substancialmente equivalente ao que decorre das disposições do RGPD e da Carta, contra as limitações que resultam da aplicação da secção 702 do FISA, na medida em que esta permite à NSA obrigar os prestadores a disponibilizarem‑lhe dados pessoais.
229. Em segundo lugar, as disposições da CEDH constituem o quadro de referência relevante para avaliar se as limitações que podem resultar da aplicação da EO 12333 , na medida em que autoriza as autoridades de informação a recolherem elas próprias dados pessoais sem a assistência de operadores privados, põem em causa a adequação do nível de proteção assegurado nos Estados Unidos. Estas disposições fornecem também os padrões de comparação que permitem apreciar a adequação desse nível de proteção no que respeita à conservação e à utilização de dados adquiridos por estas autoridades para fins de segurança nacional.
230. No entanto, é ainda necessário determinar se a recolha de dados ao abrigo da EO 12333 é acompanhada de um nível de proteção substancialmente equivalente àquele que deve ser assegurado na União, mesmo que essa recolha tenha lugar fora do território dos Estados Unidos, durante a fase de trânsito dos dados desde a União até esse país terceiro.
2) Quanto à necessidade de assegurar um nível adequado de proteção durante a fase de trânsito de dados
231. Foram defendidas no Tribunal de Justiça três posições distintas quanto à necessidade ou não de a Comissão ter em conta, para avaliar a adequação do nível de proteção assegurado num país terceiro, medidas nacionais relativas ao acesso aos dados pelas autoridades desse país terceiro, fora do seu território, durante a fase de trânsito dos dados desde a União até esse território.
232. Primeiro, a Facebook Ireland e os Governos dos Estados Unidos e do Reino Unido alegam, em substância, que a existência de tais medidas não afeta a verificação de uma constatação de adequação. Em apoio desta abordagem, estes últimos afirmam que é impossível para um Estado terceiro controlar todas as vias de comunicação situadas fora do seu território através das quais transitam os dados provenientes da União, de modo que nunca se pode garantir que outro Estado terceiro não recolha secretamente dados durante o seu trânsito.
233. Segundo, o DPC, M. Schrems, o EPIC, os Governos austríaco e neerlandês, o Parlamento e a CEPD alegam que o imperativo de continuidade do nível de proteção, tal como estabelecido no artigo 44.o do RGPD, implica que esse nível deve ser adequado durante toda a transferência, inclusive quando os dados são encaminhados por através de cabos submarinos antes de alcançarem o território do país terceiro de destino.
234. Terceiro, embora reconhecendo este princípio, a Comissão sustenta que o objeto de uma constatação de adequação se limita à proteção assegurada pelo país terceiro em causa dentro das suas fronteiras, de modo que o facto de não estar garantido um nível adequado de proteção durante o trânsito para esse país terceiro não põe em causa a validade de uma decisão de adequação. No entanto, incumbe ao responsável pelo tratamento garantir, em conformidade com o artigo 32.o do RGPD, a segurança da transferência, protegendo tanto quanto possível os dados pessoais durante a fase de trânsito para esse país terceiro.
235. A este respeito, o artigo 44.o do RGPD subordina a transferência para um país terceiro ao cumprimento dos requisitos enunciados nas disposições do capítulo V deste regulamento, na medida em que os dados possam ser objeto de tratamento «após transferência». Estes termos podem ser entendidos no sentido de que significam quer, como defende o Governo dos Estados Unidos na sua resposta escrita às questões do Tribunal de Justiça, que esses requisitos devem ser respeitados uma vez os dados chegados ao seu destino, quer que esses requisitos se impõem depois de a transferência ter sido iniciada (incluindo durante a fase de trânsito).
236. Uma vez que a redação do artigo 44.o do RGPD não é conclusiva, uma interpretação teleológica leva‑me a subscrever a segunda destas interpretações e, por conseguinte, a segunda das abordagens acima referidas. Com efeito, se se considerasse que a exigência de continuidade do nível de proteção previsto nesta disposição só abrange as medidas de vigilância aplicadas no território do país terceiro de destino, este podia ser contornado se esse país terceiro aplicasse essas medidas fora do seu território durante a fase de trânsito de dados. A fim de evitar este risco, a avaliação da adequação do nível de proteção assegurado por um país terceiro deve abranger todas as disposições, nomeadamente em matéria de segurança nacional, do ordenamento jurídico desse país terceiro (105), entre as quais figuram também as medidas relativas à vigilância aplicada no seu território e as que permitem a vigilância dos dados em trânsito para esse território (106).
237. Todavia, ninguém contesta que, conforme o CEPD sublinhou, a avaliação da adequação do nível de proteção diz apenas respeito, como resulta do artigo 45.o, n.o 1, do RGPD, às disposições do ordenamento jurídico do país terceiro de destino dos dados. A impossibilidade, que a Facebook Ireland e os Governos dos Estados Unidos e do Reino Unido invocam, de garantir que um outro país terceiro não recolhe secretamente esses dados durante o trânsito não afeta esta avaliação. De resto, esse risco não pode ser excluído mesmo depois de os dados terem chegado ao território do Estado terceiro de destino.
238. Por outro lado, também é verdade que a Comissão, quando aprecia a adequação do nível de proteção assegurado por um país terceiro, pode eventualmente ser confrontada com o facto de esse país terceiro não lhe revelar a existência de determinados programas de vigilância secretos. No entanto, não resulta daqui que, quando esses programas lhe sejam comunicados, a Comissão se possa abster de os tomar em conta no âmbito do seu exame de adequação. Do mesmo modo, se, após a adoção de uma decisão de adequação, lhe for revelada a existência de determinados programas secretos de vigilância implementados pelo país terceiro em causa no seu território ou durante o trânsito para esse país, a Comissão deve reexaminar a sua conclusão relativa à adequação do nível de proteção assegurado por esse país terceiro se essa revelação suscitar dúvidas a este respeito (107).
3) Quanto à tomada em consideração das conclusões factuais da Comissão e do órgão jurisdicional de reenvio no que respeita ao direito dos Estados Unidos
239. Embora seja pacífico que o Tribunal de Justiça não tem competência para proceder a uma interpretação do direito de um país terceiro que seja vinculativa no seu ordenamento jurídico deste último, a validade da Decisão «Escudo de Proteção da Privacidade» depende do mérito das apreciações feitas pela Comissão relativamente ao nível de proteção, assegurado pelo direito e pelas práticas dos Estados Unidos, dos direitos fundamentais das pessoas cujos dados são transferidos para esse país terceiro. Com efeito, a Comissão estava obrigada a fundamentar a sua constatação de adequação à luz dos elementos referidos no artigo 45.o, n.o 2, do RGPD, que incidem, nomeadamente, sobre o conteúdo do direito desse país terceiro (108).
240. A High Court (Tribunal Superior) apresentou, no seu Acórdão de 3 de outubro de 2017, conclusões detalhadas que descrevem os aspetos relevantes do direito americano depois de ter avaliado as provas apresentadas pelas partes no litígio (109). Esta exposição reproduz largamente as conclusões efetuadas pela Comissão, na Decisão «Escudo de Proteção da Privacidade», relativas ao conteúdo das regras que acompanham a recolha e o acesso pelas autoridades de informação americanas aos dados transferidos bem como às vias de recurso e aos respetivos mecanismos de supervisão dessas atividades.
241. O órgão jurisdicional de reenvio, bem como algumas das partes e alguns dos intervenientes que apresentaram observações ao Tribunal de Justiça, põem mais em causa as consequências jurídicas que a Comissão retirou destas conclusões — a saber, que os Estados Unidos asseguram um nível de proteção adequado dos direitos fundamentais das pessoas cujos dados são transferidos ao abrigo desta decisão — do que a descrição que ela forneceu do conteúdo do direito americano.
242. Nestas condições, avaliarei essencialmente a validade da Decisão «Escudo de Proteção da Privacidade» à luz das conclusões da própria Comissão relativas ao conteúdo do direito americano, examinando se estas justificavam a adoção desta decisão de adequação.
243. A este respeito, não concordo com o ponto de vista, defendido pelo DPC e por M. Schrems , de que as conclusões da High Court (Tribunal Superior) quanto ao direito dos Estados Unidos vinculam o Tribunal de Justiça no âmbito do exame da validade da Decisão «Escudo de Proteção da Privacidade». Estes últimos alegam que, uma vez que o direito estrangeiro constitui uma questão de facto nos termos do direito processual irlandês, o órgão jurisdicional de reenvio tem competência exclusiva para estabelecer o seu conteúdo.
244. A jurisprudência constante reconhece, efetivamente, ao órgão jurisdicional nacional a competência exclusiva para estabelecer os elementos de facto pertinentes e para interpretar o direito de um Estado‑Membro e aplicá‑lo ao litígio que lhe foi submetido (110). Esta jurisprudência traduz a repartição de funções entre o Tribunal de Justiça e o órgão jurisdicional de reenvio no âmbito do processo instituído pelo artigo 267.o TFUE. Enquanto o Tribunal de Justiça é o único competente para interpretar o direito da União e decidir quanto à validade do direito derivado, cabe ao órgão jurisdicional nacional, chamado a dirimir um litígio concreto que lhe é submetido, estabelecer o contexto factual e regulamentar desse litígio para que o Tribunal de Justiça lhe possa dar uma resposta útil.
245. A razão de ser desta competência exclusiva do órgão jurisdicional de reenvio não me parece transponível para o estabelecimento do direito de um país terceiro enquanto elemento suscetível de influenciar a conclusão do Tribunal de Justiça quanto à validade de um ato de direito derivado (111). Uma vez que uma declaração de invalidade desse ato se impõe erga omnes no ordenamento jurídico da União (112), a conclusão do Tribunal de Justiça não pode depender da origem do reenvio prejudicial. Ora, como a Facebook Ireland e o Governo dos Estados Unidos salientaram, essa conclusão ficaria dependente da referida origem se o Tribunal de Justiça estivesse vinculado pelas conclusões do órgão jurisdicional de reenvio relativas ao direito de um Estado terceiro, uma vez que estas podem variar em função do órgão jurisdicional nacional que as emite.
246. Tendo em atenção estas considerações, entendo que, quando a resposta a uma questão prejudicial relativa à validade de um ato da União implica a avaliação do conteúdo do direito de um Estado terceiro, o Tribunal de Justiça, embora possa tê‑las em conta, não está vinculado pelas conclusões do órgão jurisdicional de reenvio relativas ao direito desse Estado terceiro. O Tribunal de Justiça pode, se for caso disso, alterá‑las ou completá‑las, tomando outras fontes em consideração, no respeito do princípio do contraditório, a fim de determinar os elementos necessários para apreciar a validade do ato em causa (113).
4) Quanto ao alcance do padrão da «equivalência substancial»
247. A validade da Decisão «Escudo de Proteção da Privacidade» depende, recordo, da questão de saber se o ordenamento jurídico dos Estados Unidos assegura, em benefício das pessoas cujos dados são transferidos da União para esse país terceiro, um nível de proteção contra as ingerências no exercício dos seus direitos fundamentais que seja «substancialmente equivalente» ao garantido nos Estados‑Membros nos termos do RGPD e da Carta e, em domínios excluídos do âmbito do direito da União, dos seus compromissos ao abrigo da CEDH.
248. Como o Tribunal de Justiça declarou no Acórdão Schrems (114), este padrão não significa que o nível de proteção deva ser «idêntico» ao exigido na União. Embora os meios aos quais um país terceiro recorre para proteger os direitos dos titulares de dados possam diferir dos prescritos pela RGPD, lido à luz da Carta, «estes meios devem […] revelar‑se efetivos para assegurar uma proteção equivalente à garantida dentro da União».
249. Daqui decorre também, na minha opinião, que o direito do Estado terceiro de destino pode refletir a sua própria escala de valores, em função da qual o peso respetivo dos vários interesses envolvidos pode divergir daquele que lhes é atribuído no ordenamento jurídico da União. De resto, a proteção dos dados pessoais que prevalece dentro da União responde a um padrão particularmente elevado em comparação com o nível de proteção em vigor no resto do mundo. Por conseguinte, o critério da «equivalência substancial» deve, na minha opinião, ser aplicado de forma a preservar uma certa flexibilidade para ter em conta diversas tradições jurídicas e culturais. No entanto, este critério implica, sob pena de o seu conteúdo ser esvaziado, que determinadas garantias mínimas e exigências gerais de proteção dos direitos fundamentais que decorrem do RGPD, da Carta e da CEDH sejam equivalentes na ordem jurídica do país terceiro de destino (115).
250. A este respeito, em conformidade com o artigo 52.o, n.o 1, da Carta, qualquer restrição ao exercício dos direitos e liberdades nela consagrados deve estar prevista por lei, respeitar o seu conteúdo essencial e, na observância do princípio da proporcionalidade, ser necessária e corresponder efetivamente a um objetivo de interesse geral reconhecido pela União ou à necessidade de proteção dos direitos e liberdades de terceiros. Estas exigências correspondem, essencialmente, às enunciadas no artigo 8.o, n.o 2, da CEDH (116).
251. Em conformidade com o artigo 52.o, n.o 3, da Carta, na medida em que os direitos garantidos nos seus artigos 7.o, 8.o e 47.o correspondem aos direitos consagrados nos artigos 8.o a 13.o da CEDH, eles partilham o seu sentido e alcance, no pressuposto de que o direito da União pode, não obstante, conferir‑lhes uma proteção mais ampla. Nesta ótica, como a minha exposição demonstrará, os padrões que resulta dos artigos 7.o, 8.o e 47.o da Carta, tal como interpretados pelo Tribunal de Justiça, são em alguns aspetos mais rigorosos do que os que resultam do artigo 8.o da CEDH, de acordo com a interpretação que lhe foi dada pelo Tribunal Europeu dos Direitos do Homem (a seguir «TEDH»).
252. Observo também que os processos pendentes em cada um destes órgãos jurisdicionais convida‑os a reconsiderar determinados aspetos das respetivas jurisprudências. Assim, por um lado, dois acórdãos recentes do TEDH em matéria de vigilância das comunicações eletrónicas — a saber, os Acórdãos Centrüm för Rättvisa c. Suécia (117) e Big Brother Watch c. Reino Unido (118) — foram objeto de reenvio para reexame em Grande Secção. Por outro lado, três órgãos jurisdicionais nacionais submeteram questões prejudiciais ao Tribunal de Justiça que abrem o debate sobre a necessidade ou não de uma inflexão da sua jurisprudência decorrente do Acórdão Tele2 Sverige (119).
253. Uma vez feitos estes esclarecimentos, examino agora a validade da Decisão «Escudo de Proteção da Privacidade» à luz do artigo 45.o, n.o 1, do RGPD, lido à luz da Carta e da CEDH, na medida em que garantem, por um lado, os direitos ao respeito da vida privada e à proteção dos dados pessoais [secção b)], e, por outro, a uma proteção jurisdicional efetiva [alínea c)].
b) Quanto à validade da Decisão «Escudo de Proteção da Privacidade» no que se refere aos direitos ao respeito pela vida privada e à proteção dos dados pessoais
254. No âmbito da sua quarta questão, o órgão jurisdicional de reenvio coloca essencialmente em causa a equivalência substancial entre o nível de proteção assegurado pelos Estados Unidos e aquele que, na União, decorre para os titulares dos dados dos seus direitos fundamentais ao respeito da vida privada e à proteção dos dados pessoais.
1) Quanto à existência de ingerências
255. Nos considerandos 67 a 124 da Decisão «Escudo de Proteção da Privacidade», a Comissão refere a possibilidade de as autoridades públicas americanas acederem aos dados transferidos da União e de os utilizarem para fins de segurança nacional no quadro de programas baseados, nomeadamente, na secção 702 do FISA ou na EO 12333 .
256. A implementação destes programas leva a intrusões por parte dos serviços de informação americanos, as quais, se tivessem origem nas autoridades de um Estado‑Membro, seriam consideradas ingerências no exercício do direito ao respeito da vida privada garantido pelo artigo 7.o da Carta e pelo artigo 8.o da CEDH. A referida implementação expõe também os titulares dos dados ao risco de verem os seus dados pessoais ser tratados de uma forma que não cumpre as exigências enunciadas no artigo 8.o da Carta (120).
257. Esclareço desde já que os direitos ao respeito da vida privada e à proteção dos dados pessoais incluem não só a proteção do conteúdo das comunicações mas também os dados relativos ao tráfego (121) e à localização (em conjunto designados por «metadados»). Com efeito, tanto o Tribunal de Justiça como o TEDH reconheceram que os metadados, tal como os dados de conteúdo, podem revelar informações muito específicas sobre a vida privada de uma pessoa (122).
258. Segundo a jurisprudência do Tribunal de Justiça, para demonstrar a existência de uma ingerência no exercício do direito garantido no artigo 7.o da Carta, pouco importa que os dados em causa tenham ou não caráter sensível e que os titulares dos dados tenham ou não sofrido eventuais inconvenientes em razão da medida de vigilância em causa (123).
259. Recordado isto, os programas de vigilância baseados na secção 702 do FISA geram, em primeiro lugar, ingerências no exercício dos direitos fundamentais das pessoas cujas comunicações correspondem aos seletores escolhidos pela NSA e são, consequentemente, transmitidos a esta última pelos prestadores de serviços de comunicações eletrónicas (124). Mais concretamente, a obrigação que recai sobre os prestadores de pôr os dados à disposição da NSA, na medida em que derroga o princípio de confidencialidade das comunicações (125), conduz em si mesma a uma ingerência ainda que esses dados não sejam posteriormente consultados e utilizados pelas autoridades de informação (126). A conservação e o acesso efetivo por essas autoridades aos metadados e ao conteúdo das comunicações postas à sua disposição, do mesmo modo que a utilização desses dados, constituem uma ingerência suplementar (127).
260. Acresce que, segundo as conclusões do órgão jurisdicional de reenvio (128) e de outras fontes, como o relatório do PCLOB sobre os programas implementados nos termos da secção 702 do FISA, levado ao conhecimento do Tribunal de Justiça pelo Governo americano (129), a NSA já tinha, no âmbito do programa Upstream, acesso para efeitos da sua filtragem a grandes conjuntos («pacotes») de dados presentes nos fluxos de comunicações que circulam pela «espinha dorsal» das telecomunicações e englobam comunicações que não contêm os seletores identificados pela NSA. A NSA só podia examinar esses conjuntos de dados para determinar rapidamente, de forma automatizada, se continham esses seletores. Apenas as comunicações assim filtradas eram então guardadas nas bases de dados da NSA. Esse acesso aos dados para fins de filtragem constitui também, a meu ver, uma ingerência no exercício do direito ao respeito da vida privada dos titulares de dados, independentemente da utilização posterior dos dados conservados (130).
261. Por outro lado, a disponibilização e a filtragem dos dados em causa (131), o acesso a esses dados pelas autoridades de informação, assim como as eventuais recolha, conservação, análise e utilização dos referidos dados são abrangidos pelo conceito de «tratamento» na aceção do artigo 4.o, ponto 2, do RGPD e do artigo 8.o, n.o 2, da Carta. Esses tratamentos devem, consequentemente, respeitar os requisitos previstos por esta última disposição (132).
262. A vigilância ao abrigo da EO 12333 pode, por seu lado, implicar o acesso direto, pelas autoridades de informação, aos dados em trânsito, levando a uma ingerência no exercício do direito garantido no artigo 8.o da CEDH. A esse tipo de ingerência acrescenta‑se a que é constituída pela eventual utilização posterior desses dados.
2) Quanto à previsão por lei das ingerências
263. De acordo com a jurisprudência do Tribunal de Justiça (133) e do TEDH (134), a exigência de que qualquer ingerência no exercício dos direitos fundamentais deve estar «prevista por lei», na aceção do artigo 52.o, n.o 1, da Carta e do artigo 8.o, n.o 2, da CEDH, implica não só que a medida que prevê a ingerência tenha uma base legal no direito interno, mas também que essa base legal tenha determinadas qualidades de acessibilidade e previsibilidade, para evitar o risco de arbitrariedade.
264. A este respeito, as partes e os intervenientes que apresentaram observações no Tribunal de Justiça discordam essencialmente quanto à questão de saber se a secção 702 do FISA e a EO 12333 preenchem a condição relativa à previsibilidade da lei.
265. Esta condição, conforme interpretada pelo Tribunal de Justiça (135) e pelo TEDH (136), exige que uma regulamentação que implica uma ingerência no exercício do direito à vida privada estabeleça regras claras e precisas que regulem o âmbito e a aplicação da medida em causa e imponham exigências mínimas, de modo a dar aos titulares dos dados garantias suficientes que permitam proteger os seus dados contra os riscos de abuso e contra qualquer acesso ou utilização ilícita dos mesmos. Essas regras devem, especificamente, indicar em que circunstâncias e em que condições as autoridades públicas podem conservar dados pessoais, ter‑lhes acesso e utilizá‑los (137). Por outro lado, a base legal que permite uma ingerência deve definir ela própria o alcance da limitação ao exercício do direito ao respeito da via privada (138).
266. Duvido, à semelhança de M. Schrems e do EPIC, que a EO 12333, bem como a PPD 28, que estabelece garantias que acompanham todas as atividades de informação relativas às transmissões eletromagnéticas (139), sejam suficientemente previsíveis para revestir a qualidade de «lei».
267. Estes instrumentos referem expressamente que não conferem direitos juridicamente exequíveis aos titulares dos dados (140). Por conseguinte, esses titulares não podem invocar nos tribunais garantias previstas pela PPD 28 (141). Aliás, na Decisão «Escudo de Proteção de Privacidade», a Comissão considerou que as garantias enunciadas nessa diretiva presidencial, embora revistam caráter vinculativo para os serviços de informação (142), «não [estão] enunciadas [em] termos jurídicos» (143). A EO 12333 e a PPD 28 assemelham‑se mais a instruções administrativas internas que podem ser revogadas ou alteradas pelo Presidente dos Estados Unidos. Ora, o TEDH já declarou que as diretivas administrativas internas não têm a qualidade de «lei» (144).
268. No que respeita a secção 702 do FISA, o caráter previsível desta disposição é posto em causa por M. Schrems com o fundamento de que não delimita a escolha dos critérios de seleção utilizados para filtrar os dados através de garantias suficientes contra o risco de abuso. Na medida em que esta problemática também diz respeito à natureza estritamente necessária das ingerências previstas pela secção 702 do FISA, examiná‑la‑ei mais adiante na minha exposição (145).
269. A terceira questão prejudicial sobrepõe‑se à temática do respeito da condição relativa à «qualidade de lei». Com esta questão, o órgão jurisdicional de reenvio pretende saber, em substância, se a adequação do nível de proteção assegurado num país terceiro deve ser apreciada unicamente à luz de regras juridicamente vinculativas em vigor nesse país terceiro e das práticas destinadas a garantir o seu cumprimento, ou ainda à luz dos diversos instrumentos não vinculativos e mecanismos de controlo extrajudicial aí aplicados.
270. A este respeito, o artigo 45.o, n.o 2, alínea a), RGPD estabelece uma lista não exaustiva de circunstâncias que a Comissão deve ter em conta ao avaliar a adequação do nível de proteção oferecido por um país terceiro. Estas circunstâncias incluem a legislação aplicável e a forma como esta é aplicada. Aquela disposição menciona também a incidência de outros tipos de normas, como as regras profissionais e as medidas de segurança. Exige, além disso, a tomada em consideração dos «direitos efetivos e oponíveis» e das «vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência» (146).
271. Lida no seu conjunto e tendo em conta o caráter não limitativo da lista que contém, a referida disposição implica, na minha opinião, que práticas ou instrumentos não fundados numa base legal acessível e previsível podem ser tidos em conta no âmbito da avaliação global do nível de proteção assegurado pelo país terceiro em causa, de forma a corroborar garantias que têm, elas próprias, uma base jurídica com estas características. No entanto, como essencialmente alegam o DPC, M. Schrems , o Governo austríaco e o CEPD, tais práticas ou instrumentos não se podem substituir a essas garantias nem, portanto, assegurarem elas próprias o nível de proteção exigido.
3) Quanto à inexistência de violação do conteúdo essencial dos direitos fundamentais
272. A exigência, enunciada no artigo 52.o, n.o 1, da Carta, de que qualquer restrição ao exercício dos direitos e liberdades reconhecidos pela Carta deve respeitar o seu conteúdo essencial, implica que se uma ingerência os violar nenhum objetivo legítimo a pode justificar. A ingerência é então considerada contrária à Carta, sem que seja necessário examinar se é apta e necessária para a realização do objetivo prosseguido.
273. A este respeito, o Tribunal de Justiça declarou que uma regulamentação nacional que permita às autoridades públicas aceder de modo generalizado ao conteúdo das comunicações eletrónicas deve ser considerada lesiva do conteúdo essencial do direito fundamental ao respeito da vida privada, tal como garantido pelo artigo 7.o da Carta (147). Em contrapartida, muito embora sublinhe os riscos associados ao acesso e à análise dos dados de tráfego e de localização (148), o Tribunal de Justiça considerou que o conteúdo essencial desse direito não é afetado quando uma regulamentação nacional autoriza um acesso generalizado pelas autoridades estatais a esses dados (149).
274. No caso em apreço, a secção 702 do FISA não pode, na minha opinião, ser considerado no sentido de que autoriza as autoridades de informação americanas a aceder de forma generalizada ao conteúdo das comunicações eletrónicas.
275. Com efeito, por um lado, o acesso aos dados pelas autoridades de informação, nos termos da secção 702 do FISA, para efeitos da sua análise e da sua utilização eventuais está limitado aos dados que cumprem critérios de seleção associados a alvos individuais.
276. Por outro lado, o programa Upstream pode, efetivamente, implicar um acesso generalizado ao conteúdo das comunicações eletrónicas com vista à sua filtragem automatizada na hipótese de os seletores serem aplicados não só aos campos «de» e «a» mas também a todo o conteúdo dos fluxos de comunicações (pesquisa «relativa» ao seletor) (150). Todavia, como sustenta a Comissão e contrariamente ao que alegam M. Schrems e o EPIC, o acesso temporário das autoridades de informação a todo o conteúdo das comunicações eletrónicas apenas para efeitos da sua filtragem por meio da aplicação de critérios de seleção não pode ser equiparado a um acesso generalizado a esse conteúdo (151). Na minha opinião, a gravidade da ingerência que decorre desse acesso limitado no tempo para efeitos de filtragem automatizada não atinge a da ingerência que resulta de um acesso generalizado a esse conteúdo pelas autoridades públicas com vista à sua análise e à sua eventual utilização (152). O acesso temporário com vista à filtragem não permite a essas autoridades conservar os metadados ou o conteúdo das comunicações que não respondem a esses critérios de seleção nem, em especial, como salientou o Governo americano, estabelecer perfis relativos a pessoas não identificadas por esses critérios.
277. Todavia, a questão de saber se a identificação, através de seletores, no âmbito de programas baseados na secção 702 do FISA, restringe de forma efetiva os poderes das autoridades de informação depende da delimitação da escolha dos seletores (153). A este respeito, M. Schrems alega que, na falta de um controlo suficiente para este efeito, o direito americano não prevê garantias contra o acesso generalizado ao conteúdo das comunicações logo na fase da filtragem, pelo que viola a essência do próprio direito à vida privada dos titulares dos dados.
278. Como explicarei mais detalhadamente a seguir (154), inclino‑me a partilhar estas dúvidas quanto à suficiência da delimitação da escolha dos seletores a fim de cumprir os critérios de previsibilidade e proporcionalidade das ingerências. No entanto, a existência desta delimitação, ainda que imperfeita, opõe‑se à conclusão de que a secção 702 do FISA permite um acesso generalizado das autoridades públicas ao conteúdo das comunicações eletrónicas e, por conseguinte, equivale a uma violação da própria essência do direito consagrado no artigo 7.o da Carta.
279. Sublinho também que, no Parecer 1/15, o Tribunal de Justiça considerou que o conteúdo essencial do direito à proteção dos dados pessoais, garantido no artigo 8.o da Carta, é preservado quando as finalidades do tratamento estão circunscritas e o tratamento é acompanhado de regras destinadas a garantir, nomeadamente, a segurança, a confidencialidade e a integridade destes dados, bem como a protegê‑los contra os acessos e os tratamentos ilegais (155).
280. Na Decisão «Escudo de Proteção da Privacidade», a Comissão constatou que tanto a secção 702 do FISA como a PPD 28 delimitam as finalidades para as quais os dados podem ser recolhidos no âmbito dos programas implementados nos termos da secção 702 do FISA (156). A Comissão também salientou nessa decisão que a PPD 28 prevê regras que delimitam o acesso aos dados assim como o seu armazenamento e a sua divulgação, a fim de garantir a sua segurança e de os proteger contra acessos não autorizados (157). Como mostrará mais adiante a minha exposição (158), tenho dúvidas, em particular, quanto à questão de saber se as finalidades dos tratamentos em causa estão definidas com suficiente clareza e precisão para assegurar um nível de proteção substancialmente equivalente àquele que prevê o ordenamento jurídico da União. No entanto, essas eventuais fragilidades não são, na minha opinião, suficientes para permitir a conclusão de que semelhantes programas, se fossem implantados na União, violariam o conteúdo essencial do direito à proteção dos dados pessoais.
281. Por outro lado, a adequação do nível de proteção assegurado no âmbito de atividades de vigilância ao abrigo da EO 12333 deve, recordo, ser avaliada à luz das disposições da CEDH. A este respeito, resulta da Decisão «Escudo de Proteção da Privacidade» que as únicas restrições impostas à implementação de medidas baseadas na EO 12333 para recolher os dados relativos a pessoas não americanas são as previstas na PPD 28 (159). Esta diretiva presidencial estabelece que a utilização de informação externa deve ser «tão direcionada quanto possível». Todavia, menciona expressamente a possibilidade de recolher dados «em bloco», fora do território americano, para efeitos da prossecução de determinados objetivos específicos de segurança nacional (160). Na opinião de M. Schrems , as disposições da PPD 28, a qual, de resto, não cria direitos na esfera jurídica das pessoas, não protegem os titulares dos dados contra o risco de um acesso generalizado ao conteúdo das suas comunicações eletrónicas.
282. Limitar‑me‑ei a observar, a este respeito, que o TEDH não recorreu, na sua jurisprudência relativa ao artigo 8.o da CEDH, ao conceito de violação do conteúdo essencial, ou da própria substância, do direito ao respeito da vida privada (161). Até esta data, esse tribunal não considerou que regimes que permitem a interceção das comunicações eletrónicas, mesmo em massa, excediam enquanto tais a margem de apreciação dos Estados‑Membros. O TEDH considera que esses regimes são compatíveis com o artigo 8.o, n.o 2, CEDH desde que acompanhados de um determinado número de garantias mínimas (162). Nestas condições, não me parece adequado concluir que um regime de vigilância como o previsto pela EO 12333 excede a margem de apreciação dos Estados‑Membros, sem proceder a um exame das eventuais salvaguardas que o acompanham.
4) Quanto à prossecução de um objetivo legítimo
283. Nos termos do artigo 52.o, n.o 1, da Carta, qualquer restrição ao exercício dos direitos que consagra deve corresponder efetivamente a um objetivo de interesse geral reconhecido pela União. O artigo 8.o, n.o 2, da Carta dispõe também que qualquer tratamento de dados pessoais que não se baseie no consentimento do respetivo titular deve assentar num «fundamento legítimo previsto por lei». O artigo 8.o, n.o 2, da CEDH enumera, por seu turno, os objetivos suscetíveis de justificar uma ingerência no exercício do direito ao respeito da vida privada.
284. Nos termos da Decisão «Escudo de Proteção da Privacidade», a adesão aos princípios que esta enuncia pode ser limitada para cumprir obrigações relativas à segurança nacional, ao interesse público e à aplicação da lei (163). Os considerandos 67 a 124 desta decisão analisam mais especificamente as limitações que decorrem do acesso aos dados e da sua utilização pelas autoridades públicas americanas para fins de segurança nacional.
285. É um facto assente que a proteção da segurança nacional constitui um objetivo legítimo suscetível de justificar derrogações às exigências decorrentes do RGPD (164), aos direitos fundamentais consagrados nos artigos 7.o e 8.o da Carta (165) e ao artigo 8.o, n.o 2, da CEDH. No entanto, M. Schrems , o Governo austríaco e o EPIC observaram que os objetivos prosseguidos no âmbito dos programas de vigilância baseados na secção 702 do FISA e na EO 12333 ultrapassam a mera a segurança nacional. Com efeito, estes instrumentos têm por objeto a obtenção de «informação externa», abrangendo este conceito diversos tipos de informações, incluindo as relativas à segurança nacional, sem necessariamente se limitarem a elas (166). Assim, enquadram‑se no conceito de «informação externa» na aceção da secção 702 do FISA, os dados relativos à condução dos negócios estrangeiros (167). Pelo seu lado, a EO 12333 define este conceito no sentido de que engloba as informações relativas às capacidades, intenções ou atividades de governos, de organizações e de pessoas estrangeiros (168). M. Schrems questiona a legitimidade do objetivo assim visado na medida em que ultrapassa a segurança nacional.
286. Na minha opinião, o perímetro da segurança nacional pode incluir, em certa medida, a proteção de interesses relativos à condução dos negócios estrangeiros (169). Além disso, determinadas finalidades diferentes da proteção da segurança nacional, que engloba o conceito de «informação externa», conforme definido na secção 702 do FISA e na EO 12333 , podem corresponder a objetivos importantes de interesse geral suscetíveis de justificar uma ingerência nos direitos fundamentais ao respeito da vida privada e à proteção dos dados pessoais. De qualquer modo, estes objetivos são menos importantes do que a salvaguarda da segurança nacional no âmbito de uma ponderação entre os direitos fundamentais dos titulares dos dados e o objetivo prosseguido pela ingerência (170).
287. No entanto, importa ainda, em conformidade com o artigo 52.o, n.o 1, da Carta, que a segurança nacional ou um outro objetivo legítimo seja efetivamente prosseguido pelas medidas que preveem as ingerências em causa (171). Além disso, os objetivos da ingerência devem ser definidos de forma a satisfazer os requisitos de clareza e precisão (172).
288. Ora, de acordo com M. Schrems, o objetivo das medidas de vigilância previstas na secção 702 do FISA e na EO 12333 não é enunciado com precisão suficiente para respeitar as garantias de previsibilidade e de proporcionalidade. Isso é assim, em especial, na medida em que estes instrumentos definem o conceito de «informação externa» de uma forma particularmente ampla. Acresce que a Comissão constatou, no considerando 109 da Decisão «Escudo de Proteção da Privacidade», que a secção 702 do FISA exige que a recolha de informações externas constitua um «objetivo importante» da recolha, não excluindo esta formulação, à primeira vista e como sublinhou o EPIC, a prossecução de outros objetivos não determinados.
289. Por estas razões, sem excluir que as medidas de vigilância ao abrigo da secção 702 do FISA ou da EO 12333 cumprem objetivos legítimos, é legítimo questionar se estes estão definidos de forma suficientemente clara e precisa para prevenir os riscos de abuso e para permitir um controlo da proporcionalidade das ingerências daí resultantes (173).
5) Quanto à necessidade e à proporcionalidade das ingerências
290. O Tribunal de Justiça tem sublinhado reiteradamente que os direitos consagrados nos artigos 7.o e 8.o da Carta não constituem prerrogativas absolutas, mas devem ser considerados em relação à sua função na sociedade e ponderados com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade (174). Como sublinhou a Facebook Ireland, entre estes outros direitos figura o direito à segurança garantido no artigo 6.o da Carta.
291. A este respeito, segundo jurisprudência igualmente constante, qualquer ingerência no exercício dos direitos garantidos nos artigos 7.o e 8.o da Carta deve estar sujeita a um controlo estrito da proporcionalidade (175).
292. Em especial, resulta do Acórdão Schrems que «não é limitada ao estritamente necessário uma regulamentação que autoriza de modo generalizado a conservação da totalidade dos dados […] sem qualquer diferenciação, limitação ou exceção em função do objetivo prosseguido e sem que esteja previsto um critério objetivo que permita delimitar o acesso das autoridades públicas aos dados e a sua utilização posterior para fins precisos, estritamente limitados e suscetíveis de justificar a ingerência que tanto o acesso como a utilização desses dados comportam» (176).
293. O Tribunal de Justiça declarou igualmente que, salvo em casos de urgência devidamente justificados, o acesso deve ser sujeito a uma fiscalização prévia efetuada por um órgão jurisdicional ou por uma entidade administrativa independente cuja decisão se destina a limitar o acesso aos dados e a sua utilização ao estritamente necessário para alcançar o objetivo prosseguido (177).
294. O artigo 23.o, n.o 2, do RGPD passou a estabelecer um conjunto de garantias que um Estado‑Membro deve prever quando derroga disposições desse regulamento. A regulamentação que permite essa derrogação deve conter disposições relativas, nomeadamente, às finalidades do tratamento, ao âmbito da derrogação, às garantias destinadas a prevenir abusos, aos períodos de armazenagem e ao direito dos titulares dos dados de serem informados da derrogação, a menos que isso prejudique a finalidade dessa derrogação.
295. No caso em apreço, M. Schrems alega que a secção 702 do FISA não prevê garantias suficientes contra o risco de utilização abusiva e de acesso ilegal aos dados. Em especial, a escolha dos critérios de seleção não está suficientemente regulamentada, de modo que esta disposição não oferece garantias contra um acesso generalizado ao conteúdo das comunicações.
296. O Governo dos Estados Unidos e a Comissão alegam, pelo contrário, que a secção 702 do FISA limita por meio de critérios objetivos a escolha dos seletores, uma vez que esta disposição apenas permite a recolha de dados de comunicações eletrónicas de pessoas não americanas localizadas fora dos Estados Unidos para efeitos de obtenção de dados em matéria de informação externa.
297. Na minha opinião, é legítimo duvidar do caráter suficientemente claro e preciso destes critérios e da existência de garantias suficientes para prevenir o risco de abuso.
298. Antes de mais, o considerando 109 da Decisão «Escudo de Proteção da Privacidade» estabelece que os seletores não são aprovados individualmente pelo FISC ou por qualquer outro órgão judicial ou administrativo independente antes da sua aplicação. A Comissão concluiu nessa decisão que «o FISC não autoriza medidas de vigilância individuais; em vez disso, autoriza programas de vigilância […] com base em certificações anuais», o que foi confirmado pelo Governo dos Estados Unidos perante o Tribunal de Justiça. Este considerando especifica que «as certificações a aprovar pelo FISC não contêm informações sobre as pessoas visadas, mas sim categorias de identificação das informações no estrangeiro» que podem ser recolhidas. A Comissão concluiu também que «o FISC não avalia, com base numa causa ou em qualquer outro critério, se as pessoas são devidamente visadas para obter informações externas», embora controle a condição de que «um objetivo importante da aquisição consiste em obter informações externas».
299. Seguidamente, nos termos do referido considerando, a secção 702 do FISA só autoriza a NSA a recolher comunicações «se existirem motivos razoáveis para crer que é utilizado um meio de comunicação específico para comunicar informações externas». O considerando 70 da Decisão «Escudo de Proteção da Privacidade» acrescenta que a escolha dos seletores é feita de acordo com o Quadro de Prioridades da Informação Nacional (National Intelligence Priorities Framework, NIPF). Esta decisão não faz referências a exigências de fundamentação ou de justificação mais precisas para a escolha dos seletores atendendo a essas prioridades administrativas que são impostas à NSA (178).
300. Por último, o considerando 71 da Decisão «Escudo de Proteção da Privacidade» refere‑se ao requisito estabelecido na PPD 28 de que a recolha de informação externa deve ser sempre «a mais adaptada possível». Além do facto de esta diretiva presidencial não criar direitos na esfera jurídica das pessoas, a equivalência substancial entre o critério de uma atividade «a mais adaptada possível» e o da «absoluta necessidade» que o artigo 52.o, n.o 1, da Carta impõe para justificar uma ingerência no exercício dos direitos garantidos nos artigos 7.o e 8.o parece‑me longe de ser evidente (179).
301. Tendo em conta estas considerações, não é certo que, com base nos elementos expostos na Decisão «Escudo de Proteção da Privacidade», as medidas de vigilância baseadas na secção 702 do FISA sejam acompanhadas de garantias, relativas à limitação das pessoas que podem ser objeto de uma medida de vigilância e dos objetivos para os quais podem ser recolhidos dados, substancialmente equivalentes às que são exigidas por força do RGPD, lido à luz dos artigos 7.o e 8.o da Carta (180).
302. Por outro lado, no que se refere à avaliação da adequação do nível de proteção que envolve a vigilância nos termos da EO 12333 , o TEDH reconhecia aos Estados‑Membros uma ampla margem de apreciação para escolher os meios para proteger a sua segurança nacional, sendo essa margem, no entanto, limitada pela exigência de prever garantias adequadas e suficientes contra os abusos (181). Na sua jurisprudência relativa às medidas de vigilância secreta, o TEDH verifica se o direito interno no qual se baseiam essas medidas contém garantias e salvaguardas suficientes e efetivas adequadas para satisfazer as exigências de «previsibilidade» e de «necessidade numa sociedade democrática» (182).
303. A este respeito, o TEDH enuncia uma série de garantias mínimas. Estas garantias dizem respeito à indicação clara da natureza das infrações suscetíveis de dar lugar a um mandado de interceção, à definição das categorias de pessoas cujas comunicações podem ser intercetadas, à fixação de um limite à duração da execução da medida, ao procedimento a seguir para o exame, a utilização e a conservação dos dados recolhidos, às precauções a tomar para a comunicação dos dados a outras partes e às circunstâncias em que o apagamento ou a destruição dos registos podem ou devem ter lugar (183).
304. O caráter adequado e efetivo das garantias que delimitam a ingerência depende de todas as circunstâncias do caso, incluindo a natureza, o alcance e a duração das medidas, as razões exigidas para as ordenar, as autoridades competentes para as autorizar, executar e controlar e o tipo de via de recurso prevista no direito interno (184).
305. Em particular, para avaliar a justificação de uma medida de vigilância secreta, o TEDH tem em conta todas as fiscalizações exercidas «quando é ordenada», «durante a sua execução» e «depois de ter cessado» (185). No que se refere à primeira destas três fases, o TEDH exige que uma medida dessa natureza seja autorizada por um organismo independente. Ainda que o poder judicial represente, segundo ele, as melhores garantias de independência, de imparcialidade e de regularidade do processo, o órgão em causa não tem necessariamente de pertencer à organização judiciária (186). Uma fiscalização jurisdicional aprofundada numa fase posterior pode contrabalançar quaisquer deficiências no procedimento de autorização (187).
306. No caso em apreço, resulta da Decisão «Escudo de Proteção da Privacidade» que as únicas garantias que limitam a recolha e a utilização de dados fora do território dos Estados Unidos constam da PPD 28, uma vez que a secção 702 do FISA não é aplicável fora desse território. Não estou convencido de que estas garantias possam bastar para satisfazer as condições de «previsibilidade» e de «necessidade numa sociedade democrática».
307. Desde logo, já salientei que essa diretiva presidencial não cria direitos na esfera jurídica das pessoas. Em seguida, duvido de que a exigência de assegurar uma vigilância «o mais adaptada possível» esteja formulada em termos suficientemente claros e precisos para proteger adequadamente os titulares dos dados contra os riscos de abuso (188). Por último, a Decisão «Escudo de Proteção da Privacidade» não estabelece que a vigilância baseada na EO 12333 está sujeita a uma fiscalização prévia por um órgão independente ou que pode ser objeto de uma fiscalização jurisdicional a posteriori (189).
308. Nestas condições, interrogo‑me sobre o mérito da conclusão de que os Estados Unidos asseguram, no âmbito das atividades dos seus serviços de informação ao abrigo da secção 702 do FISA e da EO 12333 , um nível de proteção adequado na aceção do artigo 45.o, n.o 1, do RGPD, lido à luz dos artigos 7.o e 8.o da Carta e do artigo 8.o da CEDH.
c) Quanto à validade da Decisão «Escudo de Proteção da Privacidade» relativamente ao direito à ação
309. A quinta questão prejudicial convida o Tribunal de Justiça de Justiça a determinar se as pessoas cujos dados são transferidos para os Estados Unidos beneficiam aí de uma proteção jurisdicional substancialmente equivalente à que deve ser assegurada na União por força do artigo 47.o da Carta. Com a sua décima questão, o órgão jurisdicional de reenvio pergunta, em substância, se a quinta questão pede uma resposta afirmativa, tendo em conta a introdução, pela Decisão «Escudo de Proteção da Privacidade», do mecanismo de mediação.
310. Constato antes de mais que, no considerando 115 dessa decisão, a Comissão reconhece que o sistema jurídico americano apresenta lacunas na proteção jurisdicional das pessoas.
311. Nos termos deste considerando, primeiro, «pelo menos algumas bases jurídicas que os serviços de informação dos EUA podem utilizar (por exemplo a EO 12333 ) não são abrangidas» pela possibilidade de uma ação judicial. Com efeito, a EO 12333 e a PPD 28 não conferem direitos aos titulares dos dados e não podem ser invocados por estes em tribunal. Ora, uma proteção jurisdicional efetiva pressupõe, no mínimo, que os particulares disponham de direitos suscetíveis de ser invocados em juízo.
312. Segundo, «mesmo nos casos em que, em princípio, existem possibilidades de recurso judicial para cidadãos de países terceiros, como no que diz respeito à vigilância ao abrigo do FISA, as causas de ação disponíveis são limitadas e as ações apresentadas […] serão declaradas inadmissíveis se não conseguirem demonstrar a sua “legitimidade”, o que limita o acesso aos tribunais comuns».
313. Nos considerandos 116 a 124 da Decisão «Escudo de Proteção da Privacidade», a Comissão afirma que a instituição do Mediador pretende compensar essas limitações. Conclui, no considerando 139 dessa decisão, que, «como um todo, os mecanismos de supervisão e recurso previstos pelo Escudo de Proteção […] oferecem vias de recurso ao titular de dados que lhe dão acesso aos seus dados pessoais, permitindo a retificação ou eliminação de tais dados» (o sublinhado é meu).
314. Recordando os princípios gerais que decorrem da jurisprudência do Tribunal de Justiça e do TEDH relativa ao direito de recurso contra as medidas de vigilância das comunicações, analisarei se os recursos judiciais previstos pelo direito americano, tal como descritos na Decisão «Escudo de Proteção da Privacidade», permitem assegurar uma proteção jurisdicional adequada aos titulares dos dados [Secção 1)]. Determinarei, em seguida, se a introdução do mecanismo de mediação extrajudicial permite, se necessário, colmatar eventuais lacunas na proteção jurisdicional dessas pessoas [Secção 2)].
1) Quanto à efetividade das vias de recurso judiciais previstas pelo direito americano
315. Em primeiro lugar, o artigo 47.o, primeiro parágrafo, da Carta consagra o direito de toda a pessoa cujos direitos e liberdades garantidos pelo direito da União tenham sido violados tem direito a uma ação perante um tribunal (190). Nos termos do segundo parágrafo deste artigo, toda a pessoa tem direito a que a sua causa seja julgada por um tribunal independente e imparcial (191). O Tribunal de Justiça declarou que o acesso a um tribunal independente se enquadra no conteúdo essencial do direito garantido pelo artigo 47.o, segundo parágrafo, da Carta (192).
316. Este direito à proteção jurisdicional individual acresce à obrigação que recai sobre os Estados‑Membros, por força dos artigos 7.o e 8.o da Carta, de submeterem qualquer medida de vigilância, exceto em casos urgentes devidamente justificados, a uma fiscalização prévio por um tribunal ou de uma autoridade administrativa independente (193).
317. É certo que, como alegaram os Governos alemão e francês, o direito a uma ação judicial efetiva não constitui uma garantia absoluta (194), uma vez que este direito pode ser limitado por razões de segurança nacional. No entanto, as derrogações só são autorizadas na medida em que não afetem o seu conteúdo essencial e sejam estritamente necessárias para a realização de um objetivo legítimo.
318. A este respeito, o Tribunal de Justiça considerou, no Acórdão Schrems, que uma regulamentação que não preveja nenhuma possibilidade de o particular exercer vias de direito para ter acesso aos dados pessoais que lhe dizem respeito, ou para obter a retificação ou a supressão de tais dados, não respeita o conteúdo essencial do direito fundamental consagrado no artigo 47.o da Carta (195).
319. Sublinho que este direito de acesso implica a possibilidade de obter das autoridades públicas, sem prejuízo de derrogações estritamente necessárias à prossecução de um interesse legítimo, a confirmação do facto de que tratam ou não dados pessoais que lhe dizem respeito (196). Este é, na minha opinião, o alcance prático do direito de acesso quando o titular dos dados desconhece se as autoridades públicas conservaram dados pessoais que lhe dizem respeito, nomeadamente, no termo de um processo de filtragem automatizado de fluxos de comunicações eletrónicas.
320. Por outro lado, resulta da jurisprudência que as autoridades de um Estado‑Membro são, em princípio, obrigadas a notificar o acesso aos dados a partir do momento em que essa comunicação não seja suscetível de comprometer as investigações levadas a cabo (197). Tal notificação constitui, com efeito, um pré‑requisito do exercício do direito de ação, a título do artigo 47.o da Carta (198). Esta obrigação é atualmente reproduzida no artigo 23.o, n.o 2, alínea h), do RGPD.
321. Os considerandos 111 a 135 da Decisão «Escudo de Proteção da Privacidade» descrevem sucintamente todas as vias de recurso à disposição das pessoas cujos dados foram transferidos quando receiam que esses dados tenham sido tratados pelos serviços de informação americanos após a transferência. Estas vias de recurso também foram descritas no Acórdão da High Court (Tribunal Superior) de 3 de outubro de 2017, anexada à decisão de reenvio, bem como nas observações, nomeadamente, do Governo dos Estados Unidos.
322. Não é necessário recordar em detalhe o conteúdo dessas exposições. Com efeito, o órgão jurisdicional de reenvio põe em causa a adequação das garantias relativas à proteção jurídica dos titulares dos dados, com o fundamento, essencialmente, de que as exigências particularmente estritas em matéria de legitimidade para agir (standing) (199), combinadas com a inexistência de qualquer obrigação de notificar as pessoas que tenham sido objeto de uma medida de vigilância mesmo quando a notificação já não ponha em perigo os seus objetivos, tornam, na prática, exageradamente difícil o exercício das vias de recurso previstas no direito dos Estados Unidos. Estas dúvidas são partilhadas pelo DPC, por M. Schrems , pelos Governos austríaco, polaco e português e pelo CEPD (200).
323. A este respeito, limitar‑me‑ei a recordar que as regras em matéria de legitimidade para agir não podem violar a proteção jurisdicional efetiva (201), e a constatar que a Decisão «Escudo de Proteção da Privacidade» não menciona nenhuma exigência de informar os titulares dos dados do facto de terem sido objeto de uma medida de vigilância (202). Uma vez que é suscetível de impedir o exercício de vias de recurso judiciais, a inexistência da obrigação de notificar essa medida, mesmo que a informação do titular dos dados já não prejudicasse a sua eficácia, parece problemática atendendo à jurisprudência mencionada no n.o 320 das presentes conclusões.
324. A nota 169 da Decisão «Escudo de Proteção da Privacidade» reconhece, além disso, que as causas de ação disponíveis «exigem a existência de danos […] ou uma demonstração de que o governo pretende utilizar ou divulgar informações obtidas ou decorrentes de vigilância eletrónica do titular dos dados contra essa pessoa […]». Como sublinharam o órgão jurisdicional de reenvio, o DPC e M. Schrems , esta exigência contrasta com a jurisprudência do Tribunal de Justiça segundo a qual, para demonstrar a existência de uma ingerência no direito fundamental ao respeito da vida privada do titular dos dados, pouco importa que este tenha ou não sofrido eventuais inconvenientes em razão dessa ingerência (203).
325. Além disso, o ponto de vista expresso pela Facebook Ireland e pelo Governo dos EUA, de que as deficiências que caracterizam a proteção jurisdicional das pessoas cujos dados são transferidos para os Estados Unidos são compensadas pelos controlos prévio e a posteriori efetuados pelo FISC e pelos múltiplos mecanismos de vigilância estabelecidos no âmbito dos poderes executivo e legislativo(204), não me convence.
326. Por um lado, já salientei que, em conformidade com as conclusões que figuram na Decisão «Escudo de Proteção da Privacidade», o FISC não controla as medidas individuais de vigilância antes da sua execução (205). Como refere o considerando 109 desta decisão e confirmou o Governo dos Estados Unidos na sua resposta escrita às perguntas colocadas pelo Tribunal de Justiça o controlo ex post da aplicação dos seletores tem, por outro lado, como objeto verificar o cumprimento das condições que regulam a escolha dos seletores previstas na certificação anual, quando é levado ao conhecimento do FISC um incidente relativo à possível violação dos procedimentos de orientação e minimização (206). Por conseguinte, o procedimento perante o FISC não parece oferecer uma via de recurso efetiva às pessoas cujos dados são transferidos para os Estados Unidos.
327. Os mecanismos de controlo extrajudiciais mencionados nos considerandos 95 a 110 da Decisão «Escudo de Proteção da Privacidade», embora possam, se for caso disso, reforçar outras vias de recurso judiciais, não são, na minha opinião, suficientes para assegurar um nível adequado de proteção do direito à ação dos titulares dos dados. Em especial, os inspetores‑gerais, que fazem parte da estrutura interna de cada serviço, não constituem, parece‑me, mecanismos de controlo independentes. A vigilância exercida pelo PCLOB e pelas comissões de informação do Congresso americano não equivale, por seu turno, a um mecanismo de ação individual contra medidas de vigilância.
328. Por conseguinte, há que verificar se a instituição do Mediador preenche essas lacunas, proporcionando aos titulares dos dados uma via de recurso efetiva perante um órgão independente e imparcial (207).
329. Em segundo lugar, para avaliar o mérito da verificação de adequação efetuada na Decisão «Escudo de Proteção da Privacidade» relativamente às vias de recurso à disposição das pessoas que pensem ter sido objeto de uma vigilância baseada na EO 12333 , o quadro de referência pertinente reside, recordo, nas disposições da CEDH.
330. Como foi exposto anteriormente (208), o TEDH procede, para avaliar se uma medida de vigilância cumpre os requisitos de «previsibilidade» e de «necessidade numa sociedade democrática» na aceção do artigo 8.o, n.o 2, CEDH (209), a um exame global dos mecanismos de controlo e supervisão aplicados «antes, durante e após» a sua execução. Quando o exercício de uma via de recurso individual é impedido pelo facto de a notificação da medida de vigilância não ser possível sem pôr em perigo a sua eficácia (210), essa lacuna pode ser contrabalançada pela aplicação de um controlo independente antes da aplicação da medida em causa (211). Assim, embora considere que tal notificação é «desejável» logo que possa ser efetuada sem alterar a eficácia da medida de vigilância, o TEDH não fez dela uma exigência (212).
331. A este respeito, a Decisão «Escudo de Proteção da Privacidade» não revela que as medidas de vigilância baseadas na EO 12333 são notificadas aos titulares dos dados ou delimitadas por mecanismos independentes de fiscalização judicial ou administrativa em qualquer fase da sua adoção ou da sua aplicação.
332. Nestas condições, importa examinar se o recurso ao Mediador permite, não obstante, assegurar um controlo independente das medidas de vigilância, incluindo quando estas se baseiam na EO 12333 .
2) Quanto ao impacto do mecanismo de mediação no nível de proteção do direito a uma via de recurso efetiva
333. Nos termos do considerando 116 da Decisão «Escudo de Proteção da Privacidade», o mecanismo de mediação descrito no anexo III A dessa decisão visa fornecer vias de recurso efetivas a todas as pessoas cujos dados são transferidos da União para os Estados Unidos.
334. Tal como o Governo dos Estados Unidos salientou, a admissibilidade de uma queixa apresentada junto do Mediador não está condicionada ao cumprimento de regras de legitimidade ativa semelhantes às que regem o acesso aos tribunais americanos. O considerando 119 daquela decisão precisa, a este respeito, que o recurso ao Mediador não pressupõe que a pessoa interessada demonstre que o Governo dos Estados Unidos consultou os seus dados pessoais.
335. À semelhança do DPC, de M. Schrems , dos Governos polaco e português e do EPIC, duvido da capacidade deste mecanismo para compensar as insuficiências da proteção jurisdicional oferecida às pessoas cujos dados são transferidos da União para os Estados Unidos.
336. Antes de mais, embora um mecanismo de recurso extrajudicial possa constituir uma via de recurso efetiva na aceção do artigo 47.o TFUE, tal só se verifica se, em especial, o organismo em questão tiver uma origem legal e preencher a condição de independência (213).
337. Ora, resulta da Decisão «Escudo de Proteção da Privacidade» que o mecanismo de mediação, que se baseia na PPD 28 (214), não tem origem na lei. O Mediador é designado pelo secretário de Estado e integra o Departamento de Estado dos Estados Unidos (215). Esta decisão não contém nenhuma indicação de que a demissão do Mediador ou a anulação da sua nomeação são acompanhadas de garantias especiais (216). Embora seja apresentado como independente do «setor das informações», o Mediador presta contas ao secretário de Estado e não é, portanto, independente do poder executivo (217).
338. Seguidamente, a efetividade de uma via de recurso extrajudicial depende também, parece‑me, da capacidade do organismo em causa para adotar decisões vinculativas e fundamentadas. A este respeito, a Decisão «Escudo de Proteção da Privacidade» não inclui nenhuma indicação de que o Mediador adote esse tipo de decisões. A referida decisão não estabelece que a instituição do Mediador permite aos requerentes aceder aos seus dados e obter a sua retificação ou supressão, nem que o Mediador concede uma indemnização às pessoas lesadas por uma medida de vigilância. Em especial, como resulta do anexo III A, ponto 4, alínea e), desta decisão, «[o] Mediador […] não confirmará nem desmentirá se o cidadão foi objeto de vigilância nem confirmará a reparação específica aplicada» (218). Embora o Governo americano se tenha comprometido a que esta componente dos serviços de informação seja obrigada a corrigir qualquer violação das normas aplicáveis detetada pelo Mediador (219), a referida decisão não menciona garantias legais que acompanhem esse compromisso e que possam ser invocadas pelas pessoas interessadas.
339. Por conseguinte, a instituição do Mediador não fornece, na minha opinião, uma via de recurso para um organismo independente que dê às pessoas cujos dados são transferidos a possibilidade de invocarem o seu direito de acesso aos dados ou de contestarem eventuais violações das regras aplicáveis por parte dos serviços de informação.
340. Por último, em conformidade com a jurisprudência, o respeito pelo direito garantido no artigo 47.o da Carta pressupõe que a decisão de uma autoridade administrativa que não preencha, ela própria, as condições de independência fique sujeita à fiscalização posterior de um órgão jurisdicional competente para apreciar todas as questões pertinentes (220). Portanto, de acordo com as indicações prestadas na Decisão «Escudo de Proteção da Privacidade», as decisões do Mediador não são objeto de uma fiscalização jurisdicional independente.
341. Nestas condições, tal como alegam o DPC, M. Schrems , o EPIC e os Governos polaco e português, a equivalência substancial entre a proteção jurisdicional oferecida pelo ordenamento jurídico dos Estados Unidos às pessoas cujos dados são transferidos da União e a que decorre do RGPD, interpretado à luz do artigo 47.o da Carta e do artigo 8.o da CEDH, parece‑me questionável.
342. Tendo em conta todas as considerações anteriores, tenho algumas dúvidas quanto à conformidade da Decisão «Escudo de Proteção da Privacidade» com o artigo 45.o, n.o 1, do RGPD, interpretado à luz dos artigos 7.o, 8.o e 47.o da Carta e do artigo 8.o da CEDH.
V. Conclusão
343. Proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pela High Court (Tribunal Superior) nos seguintes termos:
A análise das questões prejudiciais não revelou elementos suscetíveis de afetar a validade da Decisão 2010/87/UE, de 5 de fevereiro de 2010, relativa a cláusulas contratuais‑tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, conforme alterada pela Decisão de Execução (UE) 2016/2297, da Comissão, de 16 de dezembro de 2016.