No seguimento de algumas queixas sobre as condições de recolha de dados do Censos através da internet, a CNPD terá procedido a uma investigação, na sequência da qual emitiu, no dia 27 de Abril de 2021, uma deliberação dirigida ao INE para que esta entidade suspendesse, no prazo de 12 horas, qualquer transferência internacional de dados pessoais para os EUA ou outros países terceiros sem nível de proteção adequado. A decisão da CNPD terá como fundamentos a decisão do Tribunal de Justiça da União Europeia (“TJUE”), de 16 de Julho de 2020, expressa no acórdão Schrems II, bem como a natureza dos dados pessoais tratados pelo Censos 2021, alguns deles sensíveis, de um universo quase total dos cidadãos residentes em território nacional. Em concreto, a CNPD manifestou ter dúvidas sobre os termos em que estarão a ser prestados os serviços de suporte da empresa norte-americana Cloudfare, designadamente se os mesmos se traduzirão numa transferência de dados para os EUA.
A deliberação da CNPD teve um grande impacto mediático, não apenas em Portugal, tendo aberto uma discussão, nem sempre informada, sobre os riscos associados ao Censos 2021, o sentido da deliberação, os seus pressupostos, e a natureza da decisão que suporta o famoso acórdão Schrems II.
Por razões profissionais (há vários anos que me dedico à gestão do risco, à cibersegurança e à proteção de dados pessoais, tendo fundado – perdoem a publicidade – a FUTURA – Law & Tech, à gestão da qual dedico boa parte do meu tempo) e pessoais (a minha mulher concluiu,, em 2019 a sua tese de doutoramento em Direito, precisamente, sobre “A extraterritorialidade do regime geral de proteção de dados pessoais da União Europeia: manifestações e limites”), tenho o tema das transferências de dados pessoais para países terceiros mais dissecado do que algum dia imaginei, ao ponto de sentir, face ao que tenho lido nos últimos dias, poder ser útil partilhar a minha posição nesta coluna de opinião, habitualmente mais dada a outras polémicas do nosso quotidiano.
Quem é Max Schrems?
Como podemos ler na página da Wikipédia, Max Schrems é um jovem ativista austríaco que, nos últimos anos, se tem dedicado à promoção e defesa da proteção de dados pessoais. Fundador da ONG, “NOYB – European Center for Digital Rights”, as suas campanhas mais visíveis têm sido dirigidas ao Facebook e às violações das leis de privacidade europeias associadas às revelações de Snowden que, em 2013, denunciou o programa de vigilância sistemática “PRISM” levado a cabo por agências federais norte-americanas.
A 30 de Abril de 2018 tive a sorte de moderar, em conjunto com o Luís Neto Galvão, uma intervenção do Max Schrems, na Faculdade de Direito da Universidade Nova de Lisboa, por ocasião do lançamento do Anuário da Proteção de Dados 2018 (que, aliás, vai já para a 4.ª edição). Como nos contou a Graça Canto Moniz, aqui nas páginas do Observador, e segundo o relato que nos foi feito pelo próprio, num simpático restaurante da baixa de Lisboa, “(…) toda a sua ação começou a ser planeada, sem grandes ambições, durante um serão à volta de uma garrafa de bom vinho. Nesse jantar, Schrems partilhou com um amigo a estupefação que sentiu quando assistiu a uma palestra de um executivo do Facebook, durante a qual este terá ironizado sobre o verdadeiro alcance da proteção de dados pessoais, em especial, das regras promovidas pela UE. Esta palestra e a postura jocosa exibida pelo Facebook terão sido os elementos de motivação que levaram Schrems a iniciar uma litigância que o tornou famoso nos meios da privacy (…)”.
Na sua litigância junto do TJUE, Schrems alegou que os EUA não estariam a garantir o mesmo nível de proteção dos dados que o regime da UE, invocando, entre outros aspetos, a desconformidade que resulta da promoção, pelos americanos, de programas de vigilância em larga escala e não dirigidos, que incidem sobre cidadãos não americanos, exigindo a empresas da economia digital o acesso e a transmissão desses dados. Ora, tanto nas decisões Schrems I (2015) como Schrems II (2020), o TJUE deu provimento às pretensões do ativista austríaco, com consequências imediatas e diretas sobre as exigências que as empresas e organizações europeias passam a ter de colocar no momento de efetuar operações de tratamento de dados que, de alguma forma, possam configurar “transferências para países terceiros”.
Quais as consequências das decisões Schrems I e Schrems II?
As decisões do TJUE Schrems I e Schrems II tiveram como consequência imediata a invalidação das decisões de adequação emitidas pela Comissão Europeia, Safe Harbour (de 2000), e Privacy Shield (de 2016). Tal significa, desde logo, que as exportações de dados pessoais a efetuar da Europa para os EUA deixaram de beneficiar das decisões de adequação, passando a ter de estar sujeitas a um dever de diligência adicional por parte das entidades que tratam os respetivos dados pessoais. Na decisão Schrems II, publicada a 16 de Julho de 2020, o TJUE foi mais claro que na decisão anterior na sinalização da exigência das alternativas às referidas decisões de adequação invalidadas, cujos critérios foram entretanto clarificados pelo Comité Europeu de Proteção de Dados (“European Data Protection Board” ou “EDPB”).
Quais são as diretrizes do EDPB para análise da regularidade das transferências?
Pese embora o TJUE tenha expressamente manifestado que o seu objetivo, com a invalidação das decisões de adequação, não era criar um vazio jurídico, certo é que na sequência, sobretudo, da decisão Schrems II, uma carga considerável foi colocada sobre os ombros das organizações, que passaram a ter de reforçar a avaliação das transferências para fora do espaço económico europeu, ao abrigo das restantes alternativas previstas pelo RGPD. Em suma, o que o TJUE veio confirmar, e o EDPB clarificar, é que não é suficiente para suportar as transferências, um mero conforto legal ou contratual, sendo necessário assegurar, em concreto, que as medidas técnicas e organizativas não põem em risco os dados pessoais exportados para um país terceiro, colocando o ónus da responsabilidade desta avaliação (e respetiva demonstração) sobre a entidade exportadora. Tal avaliação tem de ser feita para cada operação de tratamento de dados pessoais, não sendo viáveis figuras contratuais ao estilo “one fits all”, ou clausulados que abstraiam das operações em concreto.
Com as recomendações do EDPB, emitidas em definitivo a 21 de Dezembro de 2020, ficaram claros quais os critérios que as organizações passam a ter de seguir para assegurar a legalidade das suas exportações de dados, tendo sido desenhadas, entretanto, ao nível do “mercado”, diversas metodologias para o efeito (que oscilam entre as excelentes e as sofríveis). O que é fundamental reter é que, ao abrigo do princípio da responsabilidade, cabe a cada organização que pretende exportar dados pessoais para um país terceiro, não apenas observar as exigências legais, como também, ser capaz de demonstrar, em tempo útil, o adequado cumprimento (em si, também, uma exigência legal). A meu ver, não basta, porém, fazer uma avaliação dos aspetos legais relacionados com a finalidade dos tratamentos e a natureza dos dados pessoais, e efetuar uma avaliação comparativa das características dos regimes regulatórios dos países envolvidos na exportação e na importação dos mesmos, bem como dos riscos existentes das autoridades terem acesso, por via administrativa e por motivos de segurança nacional (ou até outros), a dados pessoais. Considero, em linha, aliás, com o espírito do RGPD, no seu regime geral, que as respetivas operações de exportação de dados pessoais devem, em concreto, ser sujeitas a avaliações de impacto (avaliações de risco), onde a entidade exportadora aprecie – em conjunto com os seus fornecedores (ou “subcontratantes”), inclusive de tecnologia, se tal for relevante – as condições técnicas e os riscos residuais que tais tratamentos podem ter para a esfera dos interesses, direitos e liberdades fundamentais dos cidadãos.
As aprendizagens do caso “Censos 2021”
As exigências acima descritas, que emergem em consequência da decisão Schrems II, estão a colocar sob pressão muitas organizações, que têm dificuldade em alinhar os processos tecnológicos com os jurídicos, e não são capazes, em tempo útil, de desenhar as avaliações de risco que a lei exige.
Sendo arriscado qualificar os aspetos concretos da decisão da CNPD, e a forma como o INE montou a operação de recolha e tratamento de dados pessoais do Censos 2021, por falta de elementos relevantes (conheço mal os aspetos concretos da operação, e as diligências efetuadas pela CNPD), ainda assim sinto-me confortável para, desde já, projetar um conjunto de lições a retirar deste caso, aproveitando a sua mediatização para ajudar a sinalizar às empresas e organismos públicos que tratam dados pessoais, os comportamentos a adotar no futuro.
Assim, é fundamental que as entidades compreendam, de uma vez por todas, que se a economia digital nos trouxe inúmeras vantagens e oportunidades, que não podemos nem queremos desperdiçar, operar à escala global acarreta riscos e novas exigências em matéria de segurança e cumprimento de deveres legais, que não é possível – nem desejável – continuar a ignorar. Neste particular, há que ter presente que o RGPD, se por um lado reforçou os direitos para os titulares dos dados pessoais, veio, por outro, com mais clareza definir um leque de responsabilidades e obrigações para as entidades que os tratam, não sendo possível beneficiar da sociedade da informação sacrificando direitos fundamentais dos cidadãos.
O ónus de cumprir, mas também, de demonstrar esse cumprimento, cabe às organizações. Importa, todavia, compreender que uma adequada compreensão das leis, no mundo digital, implica um conhecimento e um alinhamento do Direito com a tecnologia, assente numa linguagem comum a que muita gente continua a resistir. É que as obrigações de cumprimento não se reduzem a exigências legais ou de natureza contratual (no sentido clássico), sendo fundamental suportar as operações de tratamento em sistemas e requisitos técnicos que ajudem a minimizar o risco e a demonstrar o comando e controlo efetivo sobre o ciclo de vida dos dados pessoais, mesmo quando tal opera na esfera de fornecedores e parceiros externos à organização.
Finalmente, às operações de tratamento que envolvam dados pessoais, não basta serem lícitas, devem ser transparentes para os cidadãos, não podendo haver opacidade sobre as circunstâncias em que operam, ou suscitar dúvidas sem resposta.
Assim, e em operações como a do “Censos 2021”, as organizações que as promovam deverão ser capazes de i) reconstruir e explicar em tempo útil o ciclo de vida dos dados envolvidos e o ambiente tecnológico em que tal se desenvolve, incluindo o que tramite na esfera de parceiros ou fornecedores, preferencialmente, expresso numa avaliação de impacto que aprecie o risco e as medidas técnicas e organizativas adotadas para o mitigar e reduzir até um nível considerado aceitável (“risco residual”); ii) refletir tal avaliação nos diversos contratos celebrados, incluindo, quando necessário, a avaliação das circunstâncias em que ocorrem as exportações de dados pessoais para países terceiros; e, finalmente, iii) divulgar notas informativas adequadas, para que não subsistam dúvidas sobre os tratamentos, junto das autoridades de controlo, dos titulares dos dados pessoais e dos cidadãos.