As transferências internacionais nos Censos 2021

No passado dia 27 de Abril, a Comissão Nacional de Protecção de Dados (CNPD) ordenou ao Instituto Nacional de Estatística (INE) a “suspensão do envio de dados pessoais do Censos 2021 para os EUA e para outros países terceiros sem um nível de protecção adequado” no prazo máximo de 12 horas.

Face a esta deliberação, o INE suspendeu o contrato de prestação de serviços com a Cloudflare Inc., empresa estadunidense que presta serviços informáticos.

Em termos práticos, o INE estava a utilizar a Content Delivery Network (CDN) fornecida pela Cloudflare com o objectivo de melhorar a performance e os níveis de segurança da plataforma Censos 2021. Com efeito, ao aceder à plataforma, o utilizador seria encaminhado para um dos servidores do Subcontratante que posteriormente comunicava com o servidor do Responsável pelo Tratamento, diminuindo-se assim o período de latência no acesso à plataforma.

Sucede que os servidores da Cloudflare se encontram distribuídos por mais de 100 países (entre os quais os Estados Unidos) que, na sua maioria não detêm um nível de protecção de dados adequado, tal como é exigido pelo RGPD. Apesar de as comunicações estarem encriptadas, apenas o Subcontratante está na posse da chave pública e da chave privada, podendo efectuar a decifragem dos dados em trânsito, o que aumenta o risco para os direitos, liberdades e garantias dos cidadãos portugueses que acedem à plataforma.

Com efeito, a ordem de suspensão da CNPD trouxe a debate um dos temas mais intrincados em matéria de protecção de dados pessoais, reflectindo a decisão do TJUE conhecida por Schrems II que declarou inválida a decisão de adequação conhecida por Privacy Shield.

Sinteticamente, o TJUE assinalou que a vinculação das empresas à legislação europeia de protecção de dados mediante a adesão ao Privacy Shield, não impedia que as mesmas tivessem de cumprir a legislação norte-americana que é manifestamente mais intrusiva do ponto de vista dos direitos fundamentais dos titulares dos dados e, por conseguinte, contrária ao RGPD.

Refira-se que a decisão do TJUE não obsta à utilização das derrogações previstas no artigo 49.º do RGPD, tendo este Tribunal declarado a válida a Decisão 2010/87 da Comissão que estabelece as cláusulas-tipo aplicáveis à transferência de dados pessoais para países terceiros.

No entanto, como refere a CNPD, o facto de a relação de subcontratação em análise ser regulada por referência a essas cláusulas contratuais-tipo, não isenta o INE da obrigação de avaliar a existência de um nível de protecção ao equivalente na UE no país de destino dos dados.

Significa isto que o INE deveria ter efectuado essa avaliação, por forma a equacionar e mitigar os riscos inerentes à operação de tratamento correspondente ao trânsito da informação para e dos servidores da Cloudflare. Nesta senda, a CNPD ressalta que o INE não cumpriu com a sua obrigação legal de efectuar uma Avaliação de Impacto sobre a Protecção de Dados, conforme previsto no n.º 1 e na alínea b) do n.º 3 do artigo 35.º do RGPD.

Em sentido semelhante, a autoridade de controlo nacional denota ainda que a obrigação de avaliar os níveis de protecção de dados existente no país exportador decorre do princípio da responsabilidade previsto no n.º 2 do artigo 5.º do Regulamento.

Atendendo às considerações expostas pela CNPD na deliberação, é expectável que se venha a desencadear um processo contra-ordenacional. Efectivamente, o incumprimento da obrigação legal de efectuar uma AIPD constitui uma contra-ordenação grave susceptível de ser punida com coimas de montante variável. Acresce que a violação dos princípios gerais em matéria de protecção de dados, onde se inclui o princípio da responsabilidade, constitui uma contra-ordenação muito grave.

No que concerne ao regime contra-ordenacional, cumpre destacar que a CNPD já se pronunciou pela não aplicação de algumas normas do quadro sancionatório previsto na legislação nacional, por considerar que tal viola o previsto no RGPD quanto a este tema.

Em sentido semelhante, o legislador nacional exclui a possibilidade de sancionar o incumprimento dos princípios gerais em matéria de protecção de dados a título de negligência, tendo a CNPD pugnado também pela inaplicabilidade desta disposição legal, por considerar que o Regulamento não concede aos Estados-Membros a possibilidade de diminuir/restringir os ilícitos susceptíveis de sanção.

Além das implicações em matéria contra-ordenacional, a transferência de dados para países que não detêm um nível de protecção adequado, poderá também, em abstracto, desencadear pedidos de indemnização civil por parte dos titulares dos dados pessoais, conforme previsto no artigo 82.º do Regulamento e artigo 33.º da Lei n.º 58/2019. Isto é especialmente importante dado que, à data da suspensão do serviço, já quase sete milhões de cidadãos portugueses tinham acedido à plataforma, existindo, portanto, um risco considerável de os seus dados pessoais poderem ser acedidos ilicitamente por terceiros.

Da deliberação da CNPD podemos destacar três pontos essenciais:

  1. Determinante para a ordem de suspensão da autoridade de controlo nacional não foi a existência transferência de dados pessoais para os EUA (nem para outro país terceiro); mas sim o risco de essa transferência poder ocorrer tendo em conta a relação de subcontratação existente e o próprio funcionamento da CDN;
  2. O Schrems II implica um esforço acrescido em matéria de compliance com o RGPD, impondo especiais cautelas no que respeita à transferência de dados pessoais não só para os EUA, como também para outros países que não detenham um nível de protecção equivalente ao que é conferido no espaço europeu.
  3. A hétero-regulação e o princípio da responsabilidade que lhe está subjacente exigem de todas as organizações um cumprimento estrito do RGPD e a demonstração clara desse cumprimento.

Esta decisão da CNPD reveste-se de particular importância, na medida em que demonstra uma aplicação prática da decisão Schrems II no ordenamento jurídico nacional. Resta-nos aguardar pelos desenvolvimentos deste tema, sendo certo que as eventuais decisões da autoridade de controlo no âmbito contra-ordenacional não estarão isentas de controvérsia.

Os autores escrevem de acordo com a antiga ortografia.