Schrems 2 para o Reino Unido? Decisão do CJEU ameaça futuras negociações de adequação

0
45

10 de outubro de 2020 por Rafe Jennings

Processo C-623/17

O CJEU decidiu na terça-feira que a Diretiva 2002/58 / EC (“a Diretiva”) impede a legislação nacional de ordenar que as empresas de telecomunicações transfiram dados de forma “geral e indiscriminada” para as agências de segurança, mesmo para fins de segurança nacional. Isso ocorre depois de um desafio da Privacy International às agências de segurança do Reino Unido sobre suas práticas de coleta de dados de comunicações em massa (BCD).

A decisão pode criar obstáculos a um acordo de “adequação” pós-Brexit sobre o regime de proteção de dados do Reino Unido. A adequação é concedida aos regimes de proteção de dados para confirmar que eles estão em conformidade com os padrões de proteção de dados do RGPD e, portanto, que as empresas podem transferir dados sobre titulares de dados da UE fora da UE para esses regimes. Recentemente, a classificação de adequação do “Privacy Shield” dos EUA foi invalidada pelo Schrems II julgamento. Esta decisão pode revelar-se uma questão análoga para a classificação de adequação do Reino Unido no final do período de transição.

O governo do Reino Unido argumentou que, como as questões de segurança nacional estão além das competências da UE, os esquemas de coleta de BCD estavam, como resultado, além do âmbito da regulamentação da UE sobre privacidade de dados. O TJUE decidiu que, embora as práticas constituíssem medidas de segurança nacional, não deixavam de ser abrangidas pelo âmbito de aplicação da diretiva e, portanto, sujeitas às limitações nela estabelecidas.

A disputa concentra-se nos poderes conferidos ao Secretário de Estado pela Lei das Telecomunicações de 1984. A Seção 94 dá ao Secretário amplos poderes discricionários para ordenar às operadoras de telecomunicações que retenham e entreguem dados para serviços de segurança se isso for considerado no interesse da segurança nacional. Além disso, o Secretário de Estado não tem de divulgar o uso desses poderes ao parlamento se a divulgação for considerada como tornando os poderes ineficazes.

Em 2015 foi revelado que isso vem acontecendo desde o início dos anos 2000. Vários serviços de segurança do Reino Unido têm ordenado às empresas de telecomunicações que retenham metadados caso desejem acessá-los.

Metadados referem-se a dados sobre dados; ou seja, não é o conteúdo dos dados em si, mas contém informações sobre eles. Por exemplo, se João enviasse uma mensagem a Claude, os metadados não conteriam o conteúdo da mensagem (o que foi escrito nela), mas conteriam informações sobre ela, como a hora em que foi enviada, o tamanho do mensagem, o dispositivo do qual foi enviada, o endereço IP (basicamente um número que identifica exclusivamente um dispositivo específico, como um telefone ou computador) do remetente e do destinatário e a localização do remetente e do destinatário.

O Secretário de Estado tinha poderes para ordenar aos provedores de telecomunicações que retivessem grandes quantidades de metadados e entregassem esses metadados se isso fosse considerado no interesse da segurança nacional. Os serviços de segurança poderiam então analisar os dados em massa na tentativa de encontrar a “agulha” no “palheiro” do BCD: quanto maior o “palheiro”, mais agulhas haveria para encontrar.

A Diretiva que a Lei de Telecomunicações de 1984 violou, Diretiva 2002/58 / EC, visa implementar os artigos 7.º e 8.º da Carta dos Direitos Fundamentais, nomeadamente o Respeito pela Privacidade e a Vida Familiar e a Protecção dos Dados Pessoais. Para o efeito, o artigo 3.º da directiva estabelece que “os Estados-Membros devem assegurar a confidencialidade das comunicações” através da legislação nacional. Ele proíbe a coleta e armazenamento de dados sem consentimento, exceto para fins de gerenciamento de tráfego (ou seja, considerações técnicas e questões de faturamento para empresas de telecomunicações).

No que se refere ao âmbito de aplicação, a diretiva é um pouco confusa e um tanto contraditória. O artigo 1.º, n.º 3, da Diretiva afirma que “A presente diretiva não se aplica a atividades que não se enquadrem no [the TFEU]… Atividades de segurança pública, defesa, segurança do Estado ”. O Artigo 15 (1) afirma que

“Os Estados-Membros podem adotar medidas legislativas para restringir o âmbito dos direitos e obrigações … quando tal restrição constituir uma medida necessária, apropriada e proporcionada numa sociedade democrática para salvaguardar a segurança nacional”

Isso está sujeito à condição de que as medidas legislativas “devem estar de acordo com os princípios gerais de [EU] direito ”, nomeadamente necessidade, adequação e proporcionalidade. Tanto o artigo 1.º, n.º 3 como o artigo 15.º, n.º 1, inspiram-se no artigo 4.º, n.º 2, do Tratado da União Europeia, que afirma que “a segurança nacional continua a ser da exclusiva responsabilidade de cada Estado-Membro”.

Como tal, coloca-se a questão de interpretação quanto a saber se as questões de segurança nacional, e a Lei das Telecomunicações de 1984, estão isentas do regulamento pelo artigo 1 (3), ou se estão dentro do âmbito do regulamento por 15 (1), e, portanto, sujeito aos “princípios gerais” da legislação da UE.

O tribunal examinou duas questões: os poderes conferidos pela Lei das Telecomunicações de 1984 são abrangidos pelo âmbito de aplicação da diretiva e, em caso afirmativo, foram utilizados ilegalmente em consequência? O tribunal respondeu a ambas as questões afirmativamente.

Quanto à primeira questão, o Tribunal rejeitou os argumentos dos governos de que 1 (3) coloca a legislação em matéria de segurança nacional para além do âmbito da diretiva. Os governos argumentaram que a frase em 1 (3) que “exclui do seu âmbito ‘atividades do Estado’” refletia os princípios do TUE 4 (2) que excluem a política de segurança nacional da competência da UE.

O tribunal considerou que, como a Lei das Telecomunicações de 1984 conferia poderes ao Secretário de Estado para ordenar às empresas de telecomunicações que coletassem dados em massa, a legislação preocupa-se tanto com a atividade dos provedores comerciais de telecomunicações quanto com a segurança nacional. As directivas expressam a sua preocupação, nomeadamente, em regulamentar os fornecedores de telecomunicações. A este respeito, essas atividades são reguladas pela diretiva.

Além disso, se se lesse o artigo 1. °, n. ° 3, de modo a excluir do âmbito de aplicação da diretiva legislação como o Telecommunications Act 1984, o artigo 1. °, n. ° 1, seria privado de qualquer significado material. Se qualquer medida relacionada com a segurança nacional estivesse imediatamente fora do âmbito do regulamento, 15 (1) não regulamentaria nada. Como tal, o tribunal não interpretou o artigo 1.o, n.o 3, como excluindo todas as questões de segurança nacional por definição como estando fora do âmbito do regulamento.

Os poderes resultantes da Lei das Telecomunicações de 1984 foram, portanto, considerados como estando no âmbito da Diretiva e, como resultado, eram legais apenas dentro dos “princípios gerais de [EU] lei ”, porque, como o tribunal concluiu, a Diretiva deve ser lida de modo que legislação como a Lei de 1984“ caia no âmbito de aplicação dessa diretiva ”.

Como tal, colocava-se a segunda questão, a respeito das imposições que os regulamentos impõem ao Secretary of State no uso dos poderes decorrentes da Lei de 1984. O tribunal considerou que os princípios gerais do direito da UE a aplicar são a proporcionalidade, a necessidade e a adequação, lidos à luz dos artigos 7.º e 8.º da Carta dos Direitos Fundamentais.

O tribunal considerou que, para cumprir os requisitos de proporcionalidade e necessidade, “a legislação deve estabelecer regras claras e precisas que regem o âmbito e aplicação da medida em questão e imponham salvaguardas mínimas” que são vinculativas no direito interno. O acesso geral e indiscriminado aos serviços de segurança do Reino Unido concedidos pela legislação de 1984 não atendia a esses padrões.

Além disso, em derrogação ao princípio da confidencialidade

de uma forma geral e indiscriminada, [the 1984 legislation] tem por efeito tornar a exceção à obrigação de princípio de garantir a confidencialidade dos dados a regra, ao passo que o sistema instituído pela Diretiva 2002/58 exige que essa exceção continue a ser uma exceção.

Permitir que os serviços de segurança derrogassem o princípio em geral, em vez de de maneira direcionada com um objetivo específico em mente, tornou a exceção ao regulamento a regra. Essa questão foi agravada pelo fato de que a legislação de 1984 confere ao Secretário de Estado o poder de ordenar que os dados acessados ​​sejam enviados a terceiros países.

Como o requisito de retenção de dados era “geral e indiscriminado”, com o objetivo declarado de construir um palheiro no qual encontrar uma agulha, o programa de retenção de dados não poderia ser considerado proporcional ou necessário, especialmente à luz dos Artigos 7 e 8 da Carta.

O tribunal concluiu, portanto, que a Diretiva

deve ser interpretada como impeditiva da legislação nacional que permite a uma autoridade estatal exigir que os provedores de serviços de comunicações eletrônicas realizem a transmissão geral e indiscriminada de dados de tráfego e de localização para as agências de segurança e inteligência com o objetivo de salvaguardar a segurança nacional

Esta decisão pode ter impactos significativos sobre se o regime de proteção de dados do Reino Unido que entra em vigor após o final do período de transição é concedido “adequação”. Adequação é a certificação de que o regime de proteção de dados de um país é de um padrão suficiente para que as empresas da UE possam transferir dados livremente para esse país.

Mais recentemente, a importância da adequação foi destacada por um caso conhecido como Schrems II. No Schrems II, o CJEU julgou que o chamado “Privacy Shield”, mecanismo pelo qual as empresas nos Estados Unidos podiam assumir certas responsabilidades para obter a adequação, era inválido como medida de adequação. Como tal, as transferências de dados da UE para os EUA não são mais legais sob esse regime.

Veja a postagem de David Hart sobre os desafios Schrems aqui.



Fonte:
ukhumanrightsblog.com

Deixe uma resposta