A Comissão de Protecção de Dados da Irlanda aplicou uma coima de 1200 milhões de euros à multinacional Meta (dona do Facebook) por violação das regras europeias de protecção de dados pessoais pelo facto de a empresa ter transferido dados de utilizadores do espaço da União Europeia para os Estados Unidos sem garantias adequadas.

A decisão foi anunciada nesta segunda-feira depois de a autoridade irlandesa ter terminado um inquérito que durou quase três anos. A comissão concluiu que a Meta Platforms Ireland Limited, sediada em Dublin, violou o artigo 46.º do regulamento europeu relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados e à livre circulação dessas informações (RGPD), segundo o qual “os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas correctivas eficazes”.

Neste caso, a Meta transferiu dados com base em cláusulas contratuais-tipo que, segundo a autoridade irlandesa, não respondia aos “riscos para os direitos e liberdades fundamentais dos titulares dos dados”.

A 16 de Julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) emitiu uma decisão prejudicial – respondeu a um pedido de esclarecimento da interpretação do direito europeu a um Tribunal superior irlandês no âmbito de um litígio entre a autoridade irlandesa e o Facebook – e, nesse acórdão, considerou que, quando os dados pessoais são transferidos para um país fora da UE com base em cláusulas‑tipo de protecção de dados, “as garantias adequadas, os direitos oponíveis e as medidas jurídicas correctivas” devem salvaguardar que, nesse processo, os dados “beneficiam de um nível de protecção substancialmente equivalente ao garantido na União Europeia” pelo regulamento europeu, “lido à luz da Carta dos Direitos Fundamentais da União Europeia”.

Para isso, a avaliação do grau de protecção deve ter em consideração “tanto as estipulações contratuais acordadas entre o responsável pelo tratamento ou o seu subcontratante estabelecidos na União Europeia e o destinatário da transferência estabelecido no país terceiro em causa como, no que respeita a um eventual acesso das autoridades públicas desse país terceiro aos dados pessoais assim transferidos, os elementos pertinentes do sistema jurídico deste país terceiro”.

Só que, mesmo depois desse acórdão, a Meta continuou a transferir dados sem assegurar essas garantias. “Embora a Meta Ireland tenha efectuado essas transferências com base em cláusulas contratuais-tipo actualizadas que foram adoptadas pela Comissão Europeia em 2021” e tenha tomado medidas, as disposições acordadas “não abordavam os riscos” identificados pelo TJUE no acórdão, justifica a comissão de protecção de dados.

A contra-ordenação “é a maior coima de sempre” por violação do regulamento europeu, reagiu o Comité Europeu para a Protecção de Dados (CEPD), o organismo da UE onde têm assento quer as comissões nacionais, quer a Autoridade Europeia para a Protecção de Dados (AEPD).

Além de aplicar a coima, a comissão nacional ordenou à Meta que suspenda a transferência de dados, mas não obriga a multinacional a tomar medidas para resolver os dados pessoais já “transferidos ilegalmente para os Estados Unidos” desde Julho de 2020 até ao momento. A comissão fundamenta que, se ordenasse esta última medida correctiva, estaria a exorbitar os seus poderes, pois estes devem ser lidos como “apropriados, proporcionais e necessários”.

A decisão de punir a dona do Facebook foi coordenada com o comité europeu, que, em Abril, ao dar um parecer ao projecto de decisão da comissão irlandesa, instruiu-a a avançar com uma contra-ordenação. E, “dada a gravidade da infracção, “considerou que o ponto de partida para o cálculo da coima deveria situar-se entre 20% e 100% do máximo legal aplicável”. Ao mesmo tempo, explica o comité num comunicado, deu instruções à comissão irlandesa para ordenar à Meta “que pusesse as operações de tratamento em conformidade com o capítulo V do RGPD, cessando o tratamento ilegal, incluindo o armazenamento, nos Estados Unidos da América, de dados pessoais de utilizadores europeus transferidos em violação do RGPD, no prazo de 6 meses após a notificação” desta decisão final.

A presidente do CEPD, Andrea Jelinek, afirma em comunicado que a infracção praticada pela Meta “é muito grave, uma vez que diz respeito a transferências sistemáticas, repetitivas e contínuas”. Tendo o Facebook “milhões de utilizadores na Europa”, o volume de dados transferidos de forma irregular “é enorme”. Por isso, vinca, “a coima sem precedentes é um sinal forte para as organizações de que as infracções graves têm consequências de grande alcance”.