A saga Schrems

Nos últimos dois anos, o mainstream mediático e empresarial passou a acompanhar, com interesse crescente, a aspiração da União Europeia (UE) de ser um farol na afirmação da proteção jurídica do indivíduo na economia digital. A regulação dos tratamentos de dados pessoais tem sido tema de destaque na comunicação social, seja por causa do direito ao esquecimento, da validade das chamadas corona apps, ou do potencial intrusivo da tecnologia em vários domínios. Por estes dias, o tema voltou à ribalta a propósito de uma decisão do Tribunal de Justiça da UE (TJUE) conhecida como Schrems II, publicada a 16 de Julho.

Esta decisão é o segundo episódio de uma saga desencadeada por um antigo estudante de direito austríaco (Max Schrems), atualmente ativista de privacidade e principal promotor da ONG NOYB – None of Your Business. Como o próprio nos relatou há três anos, na Faculdade de Direito da Universidade Nova de Lisboa, aquando do lançamento do Anuário de Proteção de Dados, tudo começou a ser planeado, sem grandes ambições, durante um serão à volta de uma garrafa de bom vinho. Nesse jantar, Schrems partilhou com um amigo a estupefação que sentiu quando assistiu a uma palestra de um executivo do Facebook, durante a qual este terá ironizado sobre o verdadeiro alcance da proteção de dados pessoais, em especial, das regras promovidas pela UE. Esta palestra e a postura jocosa exibida pelo Facebook terão sido os elementos de motivação que levaram Schrems a iniciar uma litigância que o tornou famoso nos meios da privacy.

Todos os que trabalham com a proteção de dados de alguma forma já sentiram, como Schrems, a carga negativa que existe em relação à sua importância ou eficácia; não sou excepção e na minha atividade profissional e académica tenho várias vezes sentido os normais entraves que bebem neste ceticismo sobre o potencial de um direito em fase de afirmação. Não sendo uma defensora acrítica deste regime (como acontece em relação a outros processos de inovação, há muitas arestas por limar e decisões por tomar, até se consolidar o edifício normativo que está em construção), a verdade é que decisões como as que assistimos com o caso Schrems II, depois do debate em redor das corona apps, são provas de vida e elementos de motivação para os que, diariamente, trilham o difícil caminho da afirmação de um direito fundamental, particularmente relevante, pois será este “o” direito fundamental da era digital.

Implicações jurídicas, políticas e económicas

A decisão do TJUE tem uma dimensão estritamente jurídica, uma política e outra económica. No plano jurídico, tanto nas decisões Schrems I (2015) como Schrems II (2020), os juízes europeus avaliam as condições em que operam os fluxos de dados pessoais da União para os EUA. Em termos simples, a UE só permite a exportação de dados pessoais se o país de destino onde se encontra o importador garantir o mesmo nível de proteção dos dados que o regime da UE. As leis europeias exigem uma verificação da adequação que pode ser feita através de uma decisão da Comissão Europeia: ora, foi o que ocorreu em 2000 (Safe Harbour) e em 2016 (Privacy Shield), quando a Comissão Europeia concluiu pela adequação dos EUA para efeitos de transferências de dados pessoais a partir da UE.

Tanto no caso Schrems I como em Schrems II, o ativista austríaco invocou que os EUA não estariam a garantir o mesmo nível de proteção dos dados que o regime da UE, pelo que o Facebook não poderia enviar os seus dados pessoais para os seus servidores situados naquele país. Para chegar a essa conclusão, Schrems invoca, entre outros aspetos, a desconformidade que resulta da promoção, pelos EUA, de programas de vigilância em larga escala e não dirigidos, que incidem sobre cidadãos não americanos, exigindo a empresas da economia digital o acesso e a transmissão dos dados desses mesmos cidadãos. O que os juízes do TJUE vieram confirmar foi precisamente a pretensão do cidadão Max Schrems. Esta decisão, que vem dar emoção à saga em curso, e mostra que a proteção de dados na UE está bem viva, reforça ainda mais a dúvida que é, há muito, um dos elefantes no meio da sala diplomática onde se negoceiam as relações entre a UE e os EUA: na economia digital qual é o âmbito da vigilância que um país terceiro pode fazer a cidadãos que não são seus nacionais? E a decisão judicial, que, por um lado, exibe uma enorme força, ao colocar de novo o tema da vigilância na agenda, apontando sem reservas para o tamanho do mamífero que muitos procuram ignorar, sinaliza ao mesmo tempo uma grande fragilidade, que há muito se pronunciava: uma decisão da Comissão Europeia, por mais negociada que seja, não vai responder àquela questão nem resolver o problema que lhe subjaz.

Ora, a decisão judicial Schrems II vem, por isso, reabrir dificuldades a nível político. No plano das relações externas, parece hoje claro que uma nova decisão da Comissão Europeia, tal como aquela que foi agora invalidada, servirá, caso venha a ser adotada, como um mero paliativo, um passe de mágica ao estilo David Copperfield para esconder o enorme embaraço existente, ou, seguindo uma linha de apreciação pragmática, uma ficção política para sustentar o comércio transatlântico. A decisão judicial do tribunal tem ainda o condão de nos fazer pensar se outras decisões de adequação, em relação a países como o Canadá e Israel, onde as regras sobre vigilância não são muito distintas das que são praticadas nos EUA, não nos deveriam suscitar as mesmas reservas. Mas, acima de tudo, não é possível ignorar que a grande interrogação se coloca, agora, na relação com o Reino Unido, que no quadro do Brexit aspira seguramente a uma decisão de adequação que fica agora posta em causa.

Do ponto de vista económico, as decisões de adequação invalidadas pelo Tribunal poderão ter consequências num comércio transatlântico avaliado em cerca de 7.1 triliões de dólares. Em especial, o Privacy Shield invalidado pelo tribunal empurra para uma zona de incerteza milhares de empresas, sendo cerca de 65% PME’s ou startups. A decisão judicial, de grande complexidade, levanta inúmeras questões para o estudo académico e jurídico, mas há que dizer que tem, na prática, impacto imediato para muitas empresas, que terão agora de procurar alternativas, nomeadamente contratuais, para suportar as suas transferências de dados, solução processualmente exigente e de efetividade duvidosa, ou soluções técnicas robustas que dificultem os acessos abusivos aos dados pessoais, algo que tenho defendido nos meus estudos como sendo a solução preferencial. Na verdade, e num mundo cada vez mais integrado, mais digital, e com fronteiras digitais mais fluídas, os avanços da técnica e da ciência abrem soluções para que as empresas e o mercado possam, elas próprias, construir soluções que ajudam a concretizar o Direito, sem necessidade de aguardar, apenas, pelas diligências dos atores políticos.

Conclusões

Logo após o 11 de Setembro de 2001, evento que marcou decisivamente a opção securitária que na prática está a dificultar a adequação do regime de proteção de dados pessoais dos EUA, numa perspetiva europeia, Robert Kagan afirmou, no seu livro “Of Paradise and Power – America and Europe in the New World Order”, numa síntese que ainda hoje resume bem o ponto da divergência, que “os Americanos são de Marte, os Europeus, de Vénus” (“Americans are from Mars, europeans from Venus”). Durante vários anos, as decisões de adequação da Comissão Europeia de alguma forma davam corpo a esta ideia, esvaziando as aspirações do legislador europeu na hora de negociar com a realpolitik americana. A postura exigente do tribunal, porém, vem exibir, por um lado, a existência de efetivos checks and balances nas instituições europeias, e uma persistência na afirmação efetiva dos direitos fundamentais, que eventualmente não seria de esperar de uma Europa que em muitos temas, sejamos justos, segue, na verdade, a linha romântica da deusa grega. Sempre se pode dizer que a UE estará aqui a procurar atuar como uma espécie de “regulador transnacional”, e que esta saga jurisprudencial, complementada pela ação da Comissão Europeia, cria um canal de negociações e de pressão junto dos países terceiros, que torna efetiva a aspiração do Velho Continente. Será ainda importante perceber como vão as autoridades de controlo, em cada um dos países da UE (em Portugal, a Comissão Nacional de Proteção de Dados), agir em função da decisão judicial. É, porém, ainda prematuro tirar conclusões definitivas. Há muitos aspetos em aberto e um longo caminho a percorrer. Os derradeiros episódios estão ainda por escrever e só o tempo dirá que espaço de liberdade nos reserva o futuro.