Depois da Áustria, também a autoridade francesa para a proteção de dados, a Commission Nationale de l'Informatique et des Libertés (CNIL), proferiu agora um acórdão contra o Google Analytics. A transferência de dados pessoais para os EUA não está atualmente suficientemente regulamentada. Na ausência de uma decisão de adequação para as transferências para os EUA, a transferência de dados só pode ser efectuada se forem previstas garantias adequadas, em especial para este fluxo de dados.
Segundo a CNIL, as medidas adoptadas pelo Google Analytics não são suficientes para proteger os dados pessoais dos serviços secretos americanos.
O austríaco e utilizador do Facebook, Sr. Schrems, era da opinião, devido às revelações de Edward Snowden na altura, que os EUA não ofereciam uma proteção suficiente dos seus dados pessoais transmitidos contra as actividades de vigilância das autoridades locais. A filial irlandesa do Facebook transferiu os dados pessoais recolhidos nos países da UE para servidores nos EUA e processou-os aí. Com base nas suas preocupações, Schrems apresentou uma queixa à autoridade de controlo irlandesa, que a rejeitou com base no "Regulamento Porto Seguro" da Comissão Europeia, de 26 de julho de 2000. Este regulamento contém um conjunto de princípios sobre a proteção de dados pessoais a que as empresas americanas se podem submeter voluntariamente.
O Tribunal de Justiça das Comunidades Europeias (TJCE) declarou inválida a "regra do porto seguro" no acórdão Schrems - I. Aplica-se apenas às empresas americanas, mas não às autoridades dos Estados Unidos. Os requisitos de segurança nacional, de interesse público e de aplicação da legislação dos Estados Unidos prevalecem sobre a regra de "porto seguro". As autoridades americanas podem aceder aos dados pessoais e tratá-los de uma forma incompatível com os objectivos da sua transferência. Além disso, seria impossível às pessoas em causa aceder aos seus dados transferidos, ou seja, questionar a legalidade do tratamento legítimo ou obter a sua eliminação.
O TJCE invalida a Decisão do Escudo de Proteção da Privacidade 2016/1250 da Comissão Europeia, de 12 de julho de 2016.
O acesso das autoridades americanas aos dados pessoais transferidos da UE não cumpre os requisitos do direito da União, uma vez que os programas de vigilância baseados na legislação americana não se limitam ao estritamente necessário. O acesso não é equivalente ao princípio da proporcionalidade aplicável na União.
Além disso, de acordo com o acórdão do TJCE, o mecanismo do provedor de justiça previsto no Escudo de Proteção da Privacidade não oferece às pessoas em causa as possibilidades previstas no direito da União, ou seja, a independência do provedor de justiça e o poder de este emitir decisões vinculativas em relação aos serviços de informações dos EUA.
Muitas empresas da UE utilizam software de fornecedores dos EUA. As decisões dizem respeito a software que processa dados pessoais. Recomendamos que mantenha a calma e aguarde para ver que acordos são alcançados nesta matéria.
