O Tribunal de Justiça Europeu considerou inválido o acordo Safe Harbour que permite a milhares de empresas – entre as quais o Facebook, a Amazon, a Apple e o Google – enviarem dados pessoais de clientes e utilizadores da União Europeia para os EUA. O tribunal considerou que não estará assegurado um “nível de protecção adequado dos dados pessoais transferidos”, numa posição tornada pública esta terça-feira.

Em causa está um acordo estabelecido há 15 anos entre a União Europeia (UE) e os EUA, sob direcção da Comissão Europeia, destinado a criar uma forma simplificada e de baixo custo para as empresas norte-americanas acederem a dados europeus sem violar as leis dos respectivos países.

Para facilitar o trabalho às empresas dos EUA, incluindo aos gigantes tecnológicos, foi criado o acordo Safe Harbour, ou "porto seguro". Trata-se de um processo de auto-certificação, em que as empresas aderem a uma série de práticas para o tratamento de informação dos utilizadores. Actualmente, mais de cinco mil empresas utilizam o acordo para agilizar a transferência de dados. Os EUA têm um acordo semelhante com a Suíça.

O Facebook já reagiu à decisão. "É imperativo que os governos da UE e dos EUA assegurem que continuam a disponibilizar métodos fiáveis para transferências de dados e que resolvem qualquer questão relacionada com a segurança nacional", afirmou a empresa.

As empresas poderão continuar a transferir os dados para servidores nos EUA, mas terão de garantir que estão em conformidade com as regras europeias, através de um processo mais complexo do que o Safe Harbor (algumas das grandes empresas já têm esta opção em vigor, mas o trabalho burocrático poderá pesar no caso das empresas mais pequenas). Se não puderem transferir dados para servidores nos EUA, as companhias terão de os armazenar no território da União, onde têm muito menos capacidade de armazenamento de informação. Foi só em 2013 que o Facebook abriu, na Suécia, o seu primeiro centro de dados europeu. Por outro lado, empresas de menor dimensão poderão não ter capacidade para manter servidores nos dois lados do Atlântico.

A Associação da Indústria dos Computadores e Comunicações, um grupo que inclui empresas como o Google, a Amazon e o eBay, disse ao jornal Financial Times que a decisão será um problema para o sector. "Antecipamos que a suspensão do Safe Harbour vai afectar negativamente a economia europeia, prejudicando sobretudo pequenas e médias empresas e os consumidores que usam os seus serviços".

A decisão do Tribunal de Justiça Europeu é a consequência de uma queixa de um cidadão austríaco. Maximillian Schrems, cujos dados são transferidos a partir da filial irlandesa do Facebook para servidores nos EUA, considerou que, com base nas revelações feitas pelo antigo analista informático Edward Snowden sobre actividades de espionagem por parte dos serviços de informação norte-americanos, nomeadamente a Agência de Segurança Nacional (NSA, na sigla em inglês), os Estados Unidos não oferecem protecção de segurança à privacidade dos utilizadores. Nesse sentido, Schrems apresentou uma queixa junto da comissão irlandesa de protecção de dados. A queixa foi rejeitada, por ter sido concluído que “no âmbito do regime dito de 'porto seguro', os EUA asseguram um nível adequado de protecção dos dados pessoais transferidos”, relembra o Tribunal de Justiça Europeu.

Schrems recorreu ao Supremo Tribunal de Justiça da Irlanda, que por sua vez pediu ao Tribunal de Justiça Europeu um parecer sobre se a decisão tomada em primeira instância tem como “efeito impedir uma autoridade nacional de controlo de investigar acerca de uma queixa em que se alega que um país terceiro não assegura um nível de protecção adequado e, se for caso disso, suspender a transferência de dados contestada”. O Tribunal de Justiça Europeu considerou válido que, “mesmo perante uma decisão da Comissão [Europeia]”, um país examine se a transferência dos dados de uma pessoa para um outro país “respeita as exigências da legislação da União relativa à protecção desses dados", e acrescentou ser possível o recurso aos tribunais nacionais.

Tendo o Tribunal de Justiça a “competência exclusiva para declarar a invalidade de um acto da UE, como uma decisão da Comissão”, cabe ao mesmo “decidir se uma decisão da Comissão é válida ou não”. Com base neste pressuposto, o tribunal averiguou até que ponto a Comissão verificou se os EUA asseguravam um nível de protecção dos direitos fundamentais, respeitando o estabelecido pelo acordo Safe Harbour em 2000. “O Tribunal de Justiça salienta que a Comissão não efectuou essa constatação, mas que se limitou a examinar o regime do 'porto seguro'”.

Considerando que os “EUA não garantiram uma protecção suficiente dos dados transferidos para o país", o tribunal pede à Comissão Europeia que invalide o acordo, dado que considerava o país território seguro para a privacidade dos cidadãos europeus há 15 anos.

Assim, a União Europeia deve proibir que dados pessoais sejam transferidos e processados em países que não garantam a protecção adequada de privacidade, permitindo que qualquer Estado-membro possa, a partir de agora, bloquear o envio de dados pessoais para os EUA.

O acórdão determina ainda que a comissão irlandesa de protecção de dados examine a queixa de Schrems para decidir se deve ser suspensa a transferência dos dados dos assinantes europeus do Facebook para os Estados Unidos pelo motivo de que esse país não oferece um nível de protecção adequado dos dados pessoais. com João Pedro Pereira