Joel A. Alves
Técnico Superior na Unidade de Proteção de Dados da Universidade do Porto. Doutorando em Direito, na especialidade de Ciências Jurídicas Públicas, na Escola de Direito da Universidade do Minho. Investigador do JusGov – Centro de Investigação em Justiça e Governação da Escola de Direito da Universidade do Minho.
0. Enquadramento
Fazendo uso dos poderes que lhe são cometidos, nos termos do artigo 58.º/2/j) do Regulamento Geral sobre a Proteção de Dados ([1]), a Comissão Nacional de Proteção de Dados veio, através da sua deliberação n.º 2021/533, de 27 de Abril, ordenar ao Instituto Nacional de Estatística, I.P., a suspensão, no prazo de 12 horas, do envio dos dados pessoais referentes aos Censos 2021 para os Estados Unidos da América ou para outros países ou organizações internacionais que não permitam assegurar um nível de proteção essencialmente equivalente ao garantido pela União Europeia em matéria de proteção de dados ([2]).
A decisão surgiu na sequência de uma breve investigação, no âmbito da qual a autoridade de controlo portuguesa concluiu que o referido Instituto Público recorria a serviços prestados pela Cloudflare, Inc., com vista à operacionalização do inquérito censitário. Serviços esses que, conforme explicado pela Comissão, implicavam o trânsito de informações relativas aos destinatários desse mesmo inquérito para os Estados Unidos da América, bem assim como para qualquer um dos mais de cem países em que se encontravam localizados os servidores da empresa (elenco onde se incluíam, designadamente, a África do Sul, a China, a Índia, a Jordânia, o México, a Rússia ou Singapura) ([3]).
Neste contexto – e sobretudo por força da extraordinária atenção mediática de que se acabou por revestir a citada deliberação –, tem a comunidade jurídica sido confrontada com uma incontornável interrogação: afinal de contas, é ou não possível transferir, de forma lícita, dados pessoais para fora do espaço europeu? Em caso afirmativo, sob que circunstâncias?
A questão colocada é complexa e merecedora de um tratamento sistemático que, naturalmente, se afigura impossível de realizar com a devida exaustividade num escrito com as presentes características. Em todo o caso, procuraremos, ao longo das próximas linhas, enunciar quais os principais requisitos impostos pelo ordenamento jurídico europeu para que uma transferência internacional de dados pessoais se possa considerar admissível.
1. O conceito de transferência internacional de dados pessoais
Na esteira do que já sucedia no quadro da Diretiva 95/46/CE, a matéria das transferências internacionais de dados pessoais é objeto de regulação específica no âmbito do RGPD, sendo-lhe dedicada um capítulo completo (Capítulo V), sob a epígrafe «Transferências de dados pessoais para países terceiros ou organizações internacionais». Não obstante, ponto é que o Regulamento não define, nesse capítulo ou em qualquer outro local, aquilo que deve entender-se por uma «transferência de dados pessoais para países terceiros ou organizações internacionais», para efeitos de aplicação das pertinentes disposições do seu articulado.
Atento o silêncio do legislador, resta, pois, tomar como referencial o habitual sentido do termo «transferência», o qual, parece-nos, sempre terá de englobar, desde logo, algumas das operações a que exemplificativamente alude o artigo 4.º/2 do RGPD, tais como a divulgação por transmissão, a difusão ou qualquer outra forma de disponibilização, na medida em que estas últimas sejam realizadas com o conhecimento ou a intenção de permitir o acesso a informações relativas a pessoas singulares identificadas ou identificáveis por parte dos correspondentes destinatários ([4]). Já por «países terceiros» ou «organizações internacionais», devem considerar-se, respetivamente: (i) os países não pertencentes ao Espaço Económico Europeu, e (ii) as organizações de direito internacional público e os organismos por estas tuteladas, ou outros organismos criados por um acordo celebrado entre dois ou mais países, ou com base num acordo dessa natureza.
Assim, configurarão exemplos de operações sujeitas ao regime especial previsto no Capítulo V do Regulamento, entre outras, o envio de uma base de dados de clientes, através de correio eletrónico, para um operador económico sediado no continente asiático; o intercâmbio de documentos nominativos em papel com uma autoridade de saúde africana, no âmbito do combate a doenças contagiosas; ou ainda a comunicação a uma organização humanitária de determinadas informações relativas a um titular que seja física ou legalmente incapaz de dar o seu consentimento, com vista ao desempenho de missões, ao abrigo das Convenções de Genebra, ou para cumprir o direito internacional aplicável aos conflitos armados ([5]). Na mesma linha, também o acesso remoto a partir de um país terceiro (v.g., em situações de assistência técnica) e o armazenamento em nuvens situadas fora do Espaço Económico Europeu, foram já qualificadas pelo Comité Europeu para a Proteção de Dados como casos típicos de transferências internacionais de dados pessoais ([6]).
Mais controversa, porém, é a questão de saber até que ponto deve ser sujeita ao supramencionado regime a mera publicação de dados pessoais numa página na Internet. Isto porque, muito embora o Tribunal de Justiça da União Europeia tenha concluído, no âmbito do Acórdão Lindqvist, que não há lugar a uma transferência internacional de dados pessoais “quando uma pessoa que se encontra num Estado-Membro insere numa página Internet, armazenada num fornecedor de serviços de anfitrião que está estabelecido nesse mesmo Estado ou noutro Estado-Membro, dados de carácter pessoal, tornando-os deste modo acessíveis a qualquer pessoa que se ligue à Internet, incluindo pessoas que se encontram em países terceiros” ([7]), tem a Doutrina vindo a sustentar que tal interpretação deve ser contextualizada, atendendo às circunstâncias concretas em que foi proferida ([8]). Razão pela qual não possa ser analogicamente aplicável, sem mais, a operações que, conquanto tecnicamente similares, se reportem a realidades fácticas por demais distintas. O mesmo é dizer que, consoante as condições associadas à sua realização (objetivo; escala; público-alvo; intencionalidade; riscos para as pessoas singulares envolvidas, etc.), também a publicação de dados pessoais num blog, rede social ou website pode consubstanciar uma transferência internacional de dados pessoais, para os efeitos acima indicados ([9]).
2. A transferência de dados pessoais como uma operação de tratamento
Dito isto, cumpre igualmente não esquecer que uma transferência de dados pessoais, assume-se, antes de tudo o resto, como uma atividade de tratamento ([10]). Donde, independentemente do respetivo destino, a sua realização apenas se possa considerar lícita caso se desenvolva no pleno respeito por todos os princípios previstos no artigo 5.º do RGPD.
Assim, e sem embargo de outras exigências, deverá qualquer operação deste recorte, nomeadamente:
• fundamentar-se numa das condições de legitimidade previstas no artigo 6.º do Regulamento;
• preencher uma das derrogações contempladas no artigo 9.º/2 do sobredito diploma, caso envolva dados pessoais pertencentes a uma das categorias especiais do seu artigo 9.º/1;
• observar os deveres de informação estipulados nos artigos 13.º ou 14.º do RGPD, mormente, no que diz respeito aos elementos mencionados nos artigos 13.º/1/f) e 14.º/1/f);
• efetuar-se para finalidades determinadas, explícitas e legítimas, não conduzindo à utilização das informações em jogo para objetivos suscetíveis de serem considerados incompatíveis com aqueles que originariamente motivaram a realização da transferência;
• não implicar a comunicação de dados pessoais excessivos, face às finalidades do tratamento;
• revelar-se objeto de medidas que permitam assegurar a confidencialidade, integridade e disponibilidade das informações difundidas, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.
3. Os mecanismos para a transferência internacional de dados pessoais
Acresce que, em complemento de todas as exigências que juridicamente se colocam, quanto ao desenvolvimento de atividades de tratamento de carácter comum, sujeita o RGPD a realização de operações qualificáveis como «transferências de dados pessoais para países terceiros ou organizações internacionais», ainda, a um importante requisito adicional.
Assim – e por forma a assegurar a continuidade do elevado nível de proteção conferido pelas suas disposições, em caso da exportação de informações relativas a pessoas singulares identificadas ou identificáveis para fora do Espaço Económico Europeu ([11]) -, estabelece o Regulamento que quaisquer operações de tal recorte devem forçosamente obedecer a todas as condições previstas no regime especial do seu Capítulo V, só podendo concretizar-se caso se demonstrem subsumíveis num dos seguintes mecanismos: (i) uma decisão de adequação (artigo 45.º); (ii) a sujeição a garantias adequadas (artigo 46.º); ou (iii) a verificação do preenchimento de uma derrogação para situações específicas (artigo 49.º).
3.1. A transferência de dados pessoais com base numa decisão de adequação
Nesta senda, determina o artigo 45.º do RGPD que pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional quando a Comissão tenha adotado uma decisão, na qual haja reconhecido que o país terceiro, um território ou um mais setores específicos desse país terceiro, ou a organização internacional em causa, garantem um nível de proteção adequado dos direitos e liberdades fundamentais dos titulares dos dados – em especial, em matéria de proteção de dados pessoais.
Significa isto que, estando em causa transferências de dados pessoais para países terceiros ou organizações internacionais cuja Comissão Europeia já tenha declarado como detentores de um nível de proteção essencialmente equivalente ao conferido pelo RGPD, através de uma decisão nos termos anteriormente avançados, pode um responsável pelo tratamento ou subcontratante licitamente proceder à sua realização, sem que para tal necessite de obter qualquer tipo de autorização ou implementar outras salvaguardas. Todavia, na medida em que tais decisões podem ser revogadas, alteradas ou suspensas pela Comissão, bem assim como invalidadas pelo Tribunal de Justiça da União Europeia, devem ser tomadas providências, com vista a assegurar a monitorização, com a devida periodicidade, de quais as decisões que se encontram efetivamente em vigor em cada momento.
Refira-se que, à data do presente escrito, encontram-se abrangidas por decisões de adequação: Andorra; a Argentina; as Ilhas Faroé; Guernsey; a Ilha de Man; o Japão; Jersey; a Nova Zelândia; a Suiça e o Uruguai, bem como o Canadá (ainda que apenas em relação às suas organizações comerciais) ([12]). Já os Estados Unidos da América, deixaram, na sequência do Acórdão Schrems II, de ser considerados um país terceiro com um nível de proteção adequado em matéria de proteção de dados pessoais ([13]). Daí que, por oposição ao que sucedera até Julho de 2020, o envio de pessoais para entidades sitas no seu território não possa atualmente ser levado a cabo com base neste mecanismo de transferência.
3.2. A transferência de dados pessoais com base em garantias adequadas
Não tendo sido tomada qualquer decisão nos termos do artigo 45.º/3 do Regulamento, dispõe, por seu turno, o seu artigo 46.º/1, que os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.
3.2.1. Garantias não sujeitas a autorização
Ora, a este propósito, esclarece o artigo 46.º/2 do mesmo diploma que tais «garantias adequadas» podem ser previstas, sem que se mostre necessária a autorização específica de nenhuma autoridade administrativa de controlo, por meio de um dos seguintes mecanismos:
• um instrumento juridicamente vinculativo e com força executiva entre organismos públicos;
• regras vinculativas aplicáveis às empresas em conformidade com o artigo 47.º do RGPD;
• cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo e aprovadas pela Comissão pelo procedimento de exame previsto no artigo 93.º/2 do Regulamento;
• um código de conduta, aprovado nos termos do artigo 40.º do RGPD, e acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados;
• um procedimento de certificação, aprovado nos termos do artigo 42.º do Regulamento, e acompanhado de compromissos vinculativos e com força executiva, assumidos em condições análogas ao que se verifica no contexto dos códigos de conduta.
3.2.2. Garantias sujeitas a autorização
Por outro lado – e já sob reserva de autorização da autoridade de controlo competente –, dispõe o artigo 46.º/3 que podem ser previstas tais garantias, nomeadamente, por meio de:
• cláusulas contratuais ad hoc entre os exportadores dos dados e os correspetivos importadores;
• disposições a inserir nos acordos administrativos entre as autoridades ou organismos públicos, que contemplem os direitos efetivos e oponíveis dos titulares dos dados transferidos.
3.2.3. Medidas suplementares
Seja como for – e contrariamente ao que se verifica com as decisões de adequação –, ponto é que o recurso às sobreditas «garantias adequadas» pode não se afigurar suficiente para garantir que o nível de proteção assegurado pelo RGPD não é comprometido ([14]). Donde, recaía sobre cada responsável pelo tratamento ou subcontratante que pretenda exportar dados pessoais para um país terceiro ou para uma organização internacional, avaliar, numa lógica de caso a caso, e de acordo com uma abordagem baseada no risco, se existe algo no direito ou nas práticas do respetivo importador que possa prejudicar a eficácia da proteção conferida pelo mecanismo de transferência utilizado ([15]). Sendo que, caso concluam que essa eficácia pode, efetivamente, ser colocada em causa, devem os referidos responsáveis pelo tratamento e subcontratantes, implementar medidas complementares que, uma vez combinadas com as garantias anteriormente elencadas, permitam assegurar um nível de proteção das pessoas singulares essencialmente equivalente ao conferido no Espaço Económico Europeu em matéria de proteção de dados pessoais ([16]).
3.3. A transferência de dados pessoais com base em derrogações
Finalmente, na inexistência de uma decisão de adequação ou de garantias adequadas suficientes, determina o artigo 49.º/1 do RGPD que apenas poderá haver lugar à transferência de dados pessoais para países terceiros ou para organizações internacionais, na medida em que se encontre preenchida uma das seguintes derrogações para situações específicas:
• o titular dos dados tiver explicitamente dado o seu consentimento para a realização da transferência prevista, após ter sido informado dos possíveis riscos decorrentes de tal operação;
• a transferência for necessária para a execução de um contrato entre o titular das informações objeto de potencial transmissão e o responsável pelo tratamento, ou para a execução de diligências prévias à formação do contrato decididas a pedido de tal titular;
• a transferência for necessária para a celebração ou execução de um contrato, celebrado no interesse do titular dos dados, entre o exportador e outra pessoa singular ou coletiva;
• a transferência for necessária por importantes razões de interesse público;
• a transferência for necessária à declaração, exercício ou à defesa de um direito num processo judicial;
• a transferência for necessária para proteger interesses vitais do titular dos dados ou de outras pessoas, se esse titular estiver física ou legalmente incapaz de dar o seu consentimento;
• a transferência for realizada a partir de um registo que, nos termos do direito da União ou do Estado-Membro, se destine a informar o público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar nela ter um interesse legítimo, mas apenas na medida em que as condições de consulta estabelecidas no direito da União ou de um Estado-Membro se encontrem preenchidas nesse caso concreto.
Afora estes casos, determina o Regulamento que a transferência de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada se, cumulativamente: (i) for qualificável como uma operação não repetitiva; (ii) apenas disser respeito a um número limitado de pessoas; (iii) e se afigurar necessária para efeitos de interesses legítimos prosseguidos pelo responsável pelo tratamento, desde que a tais interesses não se sobreponham os interesses ou direitos e liberdades dos titulares dos dados, e o responsável pelo tratamento, após ponderação de todas as circunstâncias em presença, tenha apresentado garantias adequadas em matéria de proteção de dados pessoais.
Em todo o caso, importa advertir, que as derrogações acima configuram “isenções à aplicação do princípio geral de que os dados pessoais só podem ser transferidos para países terceiros se estes oferecerem um nível de proteção adequado, ou se tiverem sido apresentadas garantias adequadas e os titulares dos dados usufruírem de direitos efetivos e oponíveis que lhes permitam continuar a beneficiar dos seus direitos e garantias fundamentais” ([17]).
Nesse sentido, é entendimento do Comité Europeu para a Proteção de Dados
que a invocação deste mecanismo de transferência deve ser feita com a devida
conta, peso e medida, sob pena daquilo que é um regime de exceção
se transformar num regime regra, num claro atropelo aos mais
elementares princípios inerentes ao direito da União ([18]). Donde,
os exportadores de dados devam seguir uma abordagem por níveis, começando por
tentar enquadrar as respetivas operações num dos mecanismos previstos nos
artigos 45.º e 46.º do RGPD, e, somente na impossibilidade de se socorrerem dos
mesmos, fazerem uso das derrogações contempladas no artigo 49.º/1 – e, em
especial, no §2 deste preceito.
([1]) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (doravante, abreviadamente designado pela sigla «RGPD» ou simplesmente por «Regulamento»).
([2]) Cfr. §42 da referida Deliberação.
([3]) Idem, §23.
([4]) Em sentido próximo, cfr. Autoridade Europeia para a Proteção de Dados, “The transfer of personal data to third countries and international organisations by EU institutions and bodies”, 14 de Julho de 2014, p. 7.
([5]) Cfr. considerando 112 do RGPD.
([6]) Cfr. Comité Europeu para a Proteção de Dados,
“Recomendações 01/2020 relativas às medidas complementares aos instrumentos
de transferência para assegurar o cumprimento
do nível de proteção dos dados pessoais da UE”, 10 de Novembro de 2020, p.
10, §13.
([7]) Tribunal de Justiça da União Europeia, Processo C-101/, Processo-crime contra Bodil Lindqvist, 6 de Novembro de 2003, §71.
([8]) Nesse sentido, cfr., por todos, Cécile de Terwangne / Claire Gayrel, “Le RGPD et les transferts internationaux de données à caractère personnel”, in Le règlement général sur la protection des données (RGPD/GDPR): analyse approfondie, Larcier, p. 286, nota 7.
([9]) Nesse sentido, cfr., Autoridade Europeia para a Proteção de Dados, “The transfer…”, p. 7.
([10]) Advertindo para este facto, cfr., Tribunal de Justiça da União Europeia, Processo C-362/14, Maximillian Schrems contra Data Protection Commissioner, 6 de Outubro de 2015, §45.
([11]) Cfr. Tribunal de Justiça da União Europeia, Processo C-311/18, Data Protection Commissioner contra Facebook Ireland Ltd e Maximillian Schrems, 16 de Julho de 2020, §93.
([12]) A lista atualizada de países cobertos por decisões de adequação pode ser consulta em https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
([13]) Para uma súmula sobre o tema, cfr. Comité Europeu para a Proteção de Dados, “Perguntas frequentes sobre o acórdão do Tribunal de Justiça da União Europeia no Processo C-311/18 – Data Protection Comissioner contra Facebook Ireland Limited e Maximillian Schrems, 23 de Julho de 2020, p. 2.
([14]) Comité Europeu para a Proteção de Dados, “Recomendações 01/2020…”, p. 13, §28.
([15]) Tribunal de Justiça da União Europeia, Processo C-311/18, §135.
([16]) Para alguns exemplos de tais medidas, cfr., Comité Europeu para a Proteção de Dados, “Recomendações 01/2020…”, pp. 24 e ss..
([17]) Comité Europeu para a Proteção de Dados, “Diretrizes 2/2018 relativos às derrogações do artigo 49.º do Regulamento (UE) 2016/679”, 25 de Maio de 2018, p. 4.
([18]) Idem, ibidem.