As empresas e entidades que têm vindo a beneficiar das autorizações emitidas no âmbito do tratado Safe Harbour estão proibidas de enviar dados de cidadãos portugueses para os EUA. A Comissão Nacional de Proteção de Dados (CNPD) decidiu suspender a migração de dados para o outro lado do Atlântico na sequência da recente decisão do Tribunal de Justiça da UE (TJUE), que considerou «inválido» o acordo de partilha de dados entre UE e EUA, por não respeitar alguns dos direitos fundamentais dos cidadãos europeus.
«Na sequência do acórdão, a Decisão da Comissão Europeia deixou de constituir um fundamento de legitimidade para transferir dados para os EUA, pelo que a CNPD está obrigada a proibir as transferências de dados ao abrigo do Safe Harbour, tendo já deliberado nesse sentido na passada semana», refere a CNPD num comunicado enviado para a Exame Informática.
Nos tempos mais próximos, a CNPD vai notificar todas as empresas abrangidas a fim de alertar para o facto de que as autorizações atribuídas no âmbito do Safe Harbour deixaram de ser válidas. Ao que a Exame Informática apurou junto de fonte bem colocada, serão «na ordem dos milhares» as empresas que serão notificadas nos tempos mais próximos.
As empresas que têm vindo a ser abrangidas pelo tratado de partilha de dados entre EUA e UE poderão ainda enveredar por mecanismos alternativos ao Safe Harbour, mas também esta opção poderá ter os dias contados. Em sessão de plenário, a CNPD deliberou ontem que estes mecanismos alternativos (contratos entre empresas, que foram assinados fora do âmbito do Safe Harbour) apenas podem beneficiar de autorizações temporárias, que também estão a ser alvo de revisão com o objetivo de apurar se respeitam as boas práticas no que toca à privacidade dos cidadãos.
«Havendo o risco de se vir a concluir que, devido à atual legislação norte-americana, os outros instrumentos que podem legitimar a transferência de dados pessoais para aquele país não são suficientes para garantir um nível de proteção de dados adequado, sendo por isso os fluxos violadores dos direitos fundamentais dos cidadãos europeus, a CNPD apenas emitirá autorizações provisórias para a transferência de dados para os EUA, sujeitas a eventual revisão num futuro próximo», refere a comissão, numa alusão às autorizações que passarão a ser éxigidas para as entidades que procuram soluções alternativas ao Safe Harbour.
A CNPD recorda que o atual cenário é complexo e só poderá ser desbloqueado depois de negociações entre estados membros, órgãos decisores da UE e autoridades dos EUA. À primeira vista, serão empresas como a Facebook, Google, Apple, Microsoft, Visa e outras empresas que têm bases de dados alocadas no outro lado do Atlântico, que serão mais afetadas por esta deliberação – e que terão de solicitar as autorizações temporárias para o envio de dados para os EUA. Para as empresas que têm sido abrangidas pelo Safe Harbour, restam apenas duas alternativas: ou mantêm os dados em servidores alojados na UE; ou recorrem aos mecanismos alternativos que ainda estão disponíveis, apesar de sujeitos a autorizações provisórias.
A CNPD explica que está a analisar, juntamente com as congéneres europeias, o impacto do acórdão do TJUE «noutros instrumentos utilizados para as transferências internacionais, como sejam as cláusulas contratuais-tipo, contratos entre empresas do mesmo grupo ou outros contratos ad-hoc, na medida em que a análise do TJUE se baseia na existência de legislação nacional dos EUA, prevalecente sobre quaisquer acordos ou contratos previamente estabelecidos, e que impõe às empresas a obrigação de fornecer dados a autoridades policiais e de informações, de forma massiva e indiscriminada para além do que é estritamente necessário numa sociedade democrática».
No início de outubro, o TJUE publicou um acórdão que considerou «inválido» o tratado Safe Harbour, que desde 2000, tem facilitado a migração de dados da UE para os EUA. O acórdão TJUE é o capítulo final de uma batalha legal iniciada em 2008 por um cidadão austríaco que pretendia impedir o Facebook de enviar dados para os EUA. O TJUE justificou a sua decisão com o facto de as empresas norte-americanas não disporem dos meios necessários para respeitar os requisitos técnicos e legais em vigor na UE, permitindo mesmo o acesso indiscriminado de entidades policiais e de espionagem às bases de dados recolhidas com propósitos comerciais.
Não é a primeira vez que a CNPD se pronuncia contra a partilha de dados com os EUA: em 2011, a comissão emitiu um parecer negativo contra a partilha automatizada de dados pessoais prevista por um acordo entre Portugal e EUA. O acordo previa a partilha de dados relativos à impressão digital e ao ADN de cidadão portugueses.
