A sociedade portuguesa foi recentemente interpelada por uma Deliberação da Comissão Nacional de Proteção de Dados (CNPD) – Deliberação 2021/533, de 27 de abril – que decidiu ordenar ao Instituto Nacional de Estatística (INE) a suspensão do envio de dados pessoais do Censos 2021 para os Estados Unidos e para outros Estados que não garantam uma proteção adequada de dados pessoais seja através da empresa Cloudflare Inc., seja através de outra que preste serviços similares.

A decisão da Autoridade de Controlo portuguesa cita e segue de uma forma próxima o Acórdão do Tribunal de Justiça da União Europeia (TJUE) relativo ao Processo C-311/18, de 15 de julho de 2020 (Schrems II), que tem sido um dos grandes temas da proteção de dados na União Europeia a par, por exemplo, da Inteligência Artificial e dos mecanismos de governação de dados.

Pode afirmar-se que a deliberação da CNPD se filia dentro das decisões originárias do "Acórdão Schrems II", pelas razões que passaremos a expor:

(i) Em 2016, a Comissão Europeia aprovou a Decisão de Execução [UE] 2016/1250, vulgarmente designada como "Privacy Shield" através da qual era possível às grandes empresas norte americanas autovincularem-se ao cumprimento da legislação europeia sobre proteção de dados;

(ii) "Schrems II" baseia-se numa queixa apresentada por Maximilliam Schrems, em 2013, na Irlanda para que suspendesse ou proibisse a transferência dos seus dados pessoais para os EUA, da Facebook Ireland para a Facebook Inc.;

(iii) A Decisão "Privacy Shield" não impedia a aplicação da legislação norte-americana que impõe programas de vigilância baseados na secção 702 da FISA (Foreign Intelligence Surveillance Act), no PRISM e no UPSTREAM,  não sendo, portanto, suscetível de assegurar um nível de proteção substancialmente equivalente ao garantido pela Carta de Direitos Fundamentais da União Europeia e o Regulamento Geral de Proteção de Dados (RGPD), conforme interpretados pela jurisprudência do TJUE;

(iv) A secção 702 da FISA permite que se visem pessoas que se acredite estarem localizadas fora dos Estados Unidos a fim de obter informações no estrangeiro. Esta seleção da pessoa visada é realizada pela NSA (National Security Agency) em duas fases: em primeiro lugar, os analistas da NSA identificaram os cidadãos de países terceiros localizados no estrangeiro cuja vigilância conduzirá, com base na avaliação do analista, às informações externas relevantes especificadas na certificação. Em segundo lugar, após a identificação destas pessoas e a sua aprovação como objetivos por um amplo mecanismo de análise no âmbito da NSA.

Neste quadro, o TJUE declarou inválida a Decisão "Privacy Shield" com produção imediata de efeitos, podendo ser aplicadas as derrogações do artigo 49.º do RGPD, embora com parcimónia e não constituindo fundamento para estabelecer uma regra capaz de contornar a decisão "Schrems-II".

No entanto, no que toca às Standard Contractual Clauses (SCC), o TJUE considerou que podiam ser interpretadas de acordo com a Carta de Carta de Direitos Fundamentais da União Europeia e com o RGPD.

Assim, segundo "Schrems-II", na ausência de decisão de adequação tomada pela Comissão Europeia, o artigo 46.º, n.º 1, do RGPD prevê que os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.

A natureza contratual das cláusulas-tipo aprovadas pela Comissão ao abrigo do artigo 46.º, n.º 2, alínea c) do RGPD  pode fazer com que responsáveis ou subcontratantes necessitem, em função da situação existente em determinado Estado terceiro, da adoção de medidas adicionais para assegurar o respeito desse nível de proteção.

Na Deliberação da CNPD explicita-se que nome censos2021.ine.pt está associado a um lP localizado nos Estados Unidos, dispondo a Cloudflare da chave privada e pública de cifragem e decifragem dos dados dos cidadãos de todos os cidadãos que acedem aos servidores do INE.

Assim, a CNPD cita o "Acórdão Schrems –II"  para indicar que os tratamentos relativos aos Censos 2021 podem ser objeto da aplicação de programas de vigilância em massa, como o FISA, que não foi realizada uma avaliação de impacto, obrigatória pela regulamentação da CNPD e pelo próprio RGOPD e que não se conhecem clásulas de proteção adicional de proteção de dados, no instrumento contratual celebrado.

É muito importante notar que a deliberação da CNPD, que tem inegáveis efeitos sobre o processo de realização dos Censo 2021, é uma manifestação do RGPD e do Acórdão "Schrems-II".

No futuro, muito mais haverá a debater sobre o tema.