PROPOSTA DE RESOLUÇÃO sobre a proteção adequada dos dados pessoais pelo Reino Unido

B9‑0268/2021

Resolução do Parlamento Europeu sobre a proteção adequada dos dados pessoais pelo Reino Unido

(2021/2594(RSP))

O Parlamento Europeu,

– Tendo em conta a Carta dos Direitos Fundamentais da União Europeia, nomeadamente os seus artigos 6.º, 7.º, 8.º, 16.º, 47.º e 52.º,

– Tendo em conta o Acordo de Comércio e Cooperação, de 31 de dezembro de 2020, entre a União Europeia e a Comunidade Europeia da Energia Atómica, por um lado, e o Reino Unido da Grã-Bretanha e da Irlanda do Norte, por outro[1],

– Tendo em conta a sua Resolução, de 28 de abril de 2021, sobre o resultado das negociações entre a UE e o Reino Unido[2],

– Tendo em conta o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) («RGPD»)[3], nomeadamente o artigo 45.º, n.º 3.

– Tendo em conta a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (Diretiva sobre a proteção de dados na aplicação da lei)[4], nomeadamente o seu artigo 36.º, n.º 3, 

–  Tendo em conta a Convenção Europeia dos Direitos Humanos (CEDH) e a Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal do Conselho da Europa, bem como o respetivo protocolo adicional («Convenção 108 +»), de que o Reino Unido é parte,

– Tendo em conta o Parecer 14/2021 do Comité Europeu para a Proteção de Dados (CEPD), de 13 de abril de 2021, sobre o projeto de decisão de execução da Comissão Europeia nos termos do Regulamento (UE) 2016/679 quanto à adequação do nível de proteção de dados pessoais no Reino Unido,

– Tendo em conta o Parecer 15/2021 do CEPD, de 13 de abril de 2021, sobre o projeto de decisão de execução da Comissão Europeia nos termos da Diretiva (UE) 2016/680 quanto à adequação do nível de proteção de dados pessoais no Reino Unido,

– Tendo em conta o artigo 132.º, n.º 2, do Regimento,

A. Considerando que a capacidade de transferir dados pessoais além fronteiras é um propulsor essencial da inovação, da produtividade e da competitividade económica e facilita os contactos interpessoais e as relações culturais; que essa capacidade se reveste, além disso, de importância crucial para garantir uma cooperação eficaz na luta contra a criminalidade grave e organizada transfronteiras, bem como na luta contra o terrorismo, que depende cada vez mais do intercâmbio de dados pessoais;

B. Considerando que as empresas europeias necessitam de clareza e segurança jurídicas, uma vez que a capacidade de transferir dados pessoais além fronteiras se tornou cada vez mais importante para todos os tipos de empresas que fornecem bens e prestam serviços à escala internacional; que a não adoção de um quadro de adequação sólido no âmbito do RGPD comportaria o risco de gerar perturbações nas transferências transfronteiras de dados pessoais, bem como elevados custos de conformidade para as empresas europeias que efetuam trocas comerciais através do Canal da Mancha;

C. Considerando que o Reino Unido foi Estado-Membro da UE até 31 de janeiro de 2020 e continuou a estar vinculado pela legislação da UE, incluindo o acervo da União em matéria de proteção de dados, bem como os mecanismos jurídicos da União em matéria de supervisão e execução, durante o período de transição que terminou em 31 de dezembro de 2020;

D. Considerando que o Reino Unido integrou as disposições do RGPD no seu direito nacional e que, além disso, previu que toda a legislação nacional derivada da UE, incluindo a legislação que transpõe a Diretiva sobre a proteção de dados na aplicação da lei, continuará a ser aplicável após o termo do período de transição; que o direito interno do Reino Unido prevê, por conseguinte, salvaguardas, direitos individuais, obrigações para os responsáveis pelo tratamento de dados e os subcontratantes, normas sobre transferências internacionais, sistemas de supervisão e vias de recurso semelhantes às previstas no direito da UE;

E. Considerando que as negociações relativas ao fluxo de dados pessoais decorreram paralelamente às negociações sobre o Acordo de Comércio e Cooperação (ACC), mas não foram concluídas antes do final do período de transição; que foi incluída  uma «cláusula-ponte» no ACC a título de solução provisória, subordinada ao compromisso do Reino Unido de não alterar o seu atual regime de proteção de dados, para garantir a continuação dos fluxos de dados entre o Reino Unido e a UE até à adoção de uma decisão de adequação; que o período inicial de quatro meses foi prorrogado e expirará no final de junho de 2021;

F. Considerando que, em 19 de fevereiro de 2021, a Comissão lançou o procedimento tendo em vista a adoção de duas decisões de adequação para as transferências de dados pessoais para o Reino Unido ao abrigo do RGPD e da  Diretiva sobre a proteção de dados na aplicação da lei, na sequência de uma avaliação exaustiva da legislação e das práticas do Reino Unido em matéria de proteção de dados pessoais, nomeadamente as normas relativas ao acesso aos dados pelas autoridades públicas; que a Comissão concluiu que o Reino Unido garantia um nível de proteção essencialmente equivalente ao propiciado pelo RGPD e pela Diretiva sobre a proteção de dados na aplicação da lei;

G. Considerando que a estratégia nacional do Reino Unido de 2020 em matéria de dados poderia representar uma mudança de uma abordagem assente na proteção de dados pessoais para uma abordagem assente numa utilização e partilha mais vastas de dados, embora vise a manutenção de padrões elevados no que diz respeito à proteção de dados; que as decisões de adequação incluem uma cláusula de caducidade, o que significa que, após um período de quatro anos, as decisões serão automaticamente revogadas, a menos que sejam renovadas na sequência de uma reavaliação pela Comissão;

H. Considerando que atualmente a Comissão considera que Andorra, a Argentina, o Canadá (organizações comerciais), as Ilhas Faroé, Guernsey, Israel, a Ilha de Man, o Japão, Jersey, a Nova Zelândia, a Suíça e o Uruguai oferecem uma proteção adequada ao abrigo do RGPD; que, em 30 de março de 2021, foram levadas a bom termo conversações em matéria de adequação com a República da Coreia e que a Comissão lançará a breve trecho o procedimento conducente à adoção de uma decisão de adequação; que o Reino Unido seria o primeiro país relativamente ao qual a Comissão propõe conceder uma adequação ao abrigo da Diretiva sobre a proteção de dados na aplicação da lei; que o ACC comporta um conjunto de salvaguardas e condições adicionais relativamente ao intercâmbio de dados relevantes no contexto da aplicação da lei;

1. Sublinha que os fluxos transfronteiriços de dados se revestem de importância crucial para o desenvolvimento económico e a inovação; salienta que esta constatação assume uma pertinência ainda maior no contexto da frágil recuperação na sequência da pandemia de COVID-19 e da concentração dos fundos de recuperação nacionais e da UE na transição digital; frisa, além disso, que o Reino Unido é um parceiro fundamental na luta contra a criminalidade transfronteiras, bem como na luta contra o terrorismo, e que a partilha de informações é de importância crucial neste domínio da cooperação internacional;

2. Regista que o Reino Unido integrou todas as disposições do RGPD no seu direito interno e que a legislação nacional que transpõe a Diretiva da União sobre a proteção de dados na aplicação da lei continua a ser aplicada; salienta, além disso, que o Reino Unido é signatário da CEDH e da Convenção 108 +; espera que o Reino Unido cumpra integralmente as suas obrigações ao abrigo destes Tratados internacionais;

3. Recorda a avaliação do CEPD, que reconhece que o Reino Unido integrou, em larga medida, o RGPD no seu quadro de proteção de dados e que o CEPD considerou que muitos aspetos são essencialmente equivalentes;

4. Regista o compromisso do Reino Unido de respeitar a democracia e o Estado de direito, bem como de proteger e defender os direitos fundamentais a nível nacional, nomeadamente os consagrados na CEDH, incluindo um nível elevado de proteção de dados;

5. Toma nota das declarações públicas do primeiro-ministro britânico, que afirmou que o Reino Unido estabelecerá os seus próprios controlos «soberanos» no domínio da proteção de dados; salienta, porém, que, até à data, não foi adotada qualquer medida legislativa na sequência destas declarações políticas;

6. Observa que a estratégia nacional de 2020 em matéria de dados realça o compromisso do Reino Unido de obter uma decisão de adequação da UE, bem como de garantir que o livre fluxo de dados de e para o Reino Unido seja devidamente protegido; salienta que é importante supervisionar quaisquer alterações legislativas com base na estratégia em referência e avaliar a sua compatibilidade com o RGPD;

7. Observa que a legislação do Reino Unido, nomeadamente a Lei relativa à economia digital de 2017 («Digital Economy Act») e a Lei relativa à criminalidade e aos tribunais («Crime and Courts Act») permite explicitamente a «partilha ulterior» de dados pessoais entre as autoridades públicas e com a «National Crime Agency» (agência nacional de luta contra a criminalidade), respetivamente, para vários fins específicos; sublinha que a partilha ulterior com base nestes diplomas deve respeitar os direitos e os princípios definidos na Lei de Proteção de Dados do Reino Unido («UK Data Protection Act»; partilha da opinião do CEPD de que a Comissão deve avaliar de forma regular o possível impacto das restrições do nível de proteção dos dados pessoais e tomar as medidas que forem necessárias;

8. Recorda a avaliação do CEPD sobre a existência e o funcionamento eficaz de uma autoridade de supervisão independente no Reino Unido; salienta que a autoridade britânica para a proteção de dados (Information Commissioner’s Office, ICO) é uma autoridade de proteção de dados bem equipada e ativa, que já dispunha de competências de execução antes de o RGPD entrar em vigor e que impôs sanções significativas ao abrigo do RGPD quando o Reino Unido ainda era membro da UE; insiste em que a ICO exerça corretamente as suas competências de execução e salienta que o Reino Unido deve velar por que esta autoridade mantenha um elevado nível de competência técnica e de recursos para poder executar as missões que lhe foram confiadas;

9. Manifesta preocupação com o facto de a legislação do Reino Unido em matéria de proteção de dados conter uma derrogação de alguns direitos de proteção de dados, como o direito de acesso e o direito de o titular dos dados saber com quem os seus dados foram partilhados, caso essa proteção prejudique um «controlo eficaz da imigração»[5]; reconhece que essa derrogação, que é acessível a todos os responsáveis pelo tratamento de dados no Reino Unido, foi aprovada pela ICO e por um tribunal, podendo apenas ser invocada caso a caso e aplicada de forma necessária e proporcionada; recorda as informações recentemente reveladas, segundo as quais foram apresentados 17 780 pedidos de acesso em relação a dados tratados relativos a 146,75 milhões de titulares de dados e que a derrogação relativa à imigração foi utilizada em 2020 em mais de 70 % dos pedidos dos titulares de dados junto do Ministério da Administração Interna do Reino Unido[6]; salienta que, mesmo nos casos em que o Ministério da Administração Interna do Reino Unido fez uso da derrogação, o acesso à informação não foi totalmente negado, mas foi limitado a documentos em versões rasuradas;

10. Observa que essa derrogação, que pode ser contestada perante a ICO e os tribunais do Reino Unido, pode ser invocada em relação aos cidadãos da UE que residem ou pretendam residir no Reino Unido; exorta a Comissão a acompanhar de perto a aplicação desta derrogação para garantir que não circunscreve a obrigação de prestação de contas e não restringe as vias de recurso; insta a Comissão a requerer salvaguardas a fim de proteger os cidadãos da UE contra a eventual utilização desta derrogação no futuro, bem como a defender os direitos e as vias de recurso de que beneficiam os cidadãos da UE ao abrigo do RGPD;

11. Recorda as revelações do denunciante Edward Snowden sobre a vigilância em larga escala por parte dos EUA e do Reino Unido; relembra que, em 2018, o Tribunal Europeu dos Direitos Humanos (TEDH) considerou ilegais os programas de interceção e conservação de dados em larga escala do Reino Unido, nomeadamente o programa «Tempora», gerido pelo centro nacional de comunicações (GCHQ) e utilizado para intercetar comunicações em tempo real e gravar os dados de forma a poder tratá-los e consultá-los posteriormente;

12. Reconhece que, desde então, o Reino Unido reformou significativamente a sua legislação em matéria de vigilância e introduziu salvaguardas que vão além das condições definidas pelo Tribunal de Justiça da União Europeia (TJUE) no seu acórdão Schrems II[7] e das salvaguardas previstas na legislação em matéria de vigilância da maioria dos Estados-Membros; congratula-se, em particular, com a disposição que prevê o pleno acesso a vias de recurso judicial eficazes; recorda que o relator especial das Nações Unidas sobre o direito à privacidade saudou as salvaguardas sólidas introduzidas pela «Investigatory Powers Act 2016» (Lei de 2016 relativa à regulamentação das competências de investigação) em termos de necessidade, proporcionalidade e autorização independente por um órgão judicial;

13. Assinala que a continuação da partilha de dados pessoais com serviços de informação de países terceiros está sujeita a salvaguardas específicas definidas na Lei de Proteção de Dados de 2019 e na Lei de 2016 relativa à regulamentação das competências de investigação («Investigatory Powers Act 2016»); destaca a necessidade de velar por que estas salvaguardas protejam suficientemente os cidadãos ou residentes da UE cujos dados possam ser objeto de transferência ulterior e de partilha com a agência para a segurança nacional (National Security Agency, NSA);

 Congratula-se com o facto de a Lei de 2018 sobre a (Retirada da) União Europeia (European Union (Withdrawal) Act 2018) prever que a jurisprudência do TJUE criada antes do termo do período de transição será mantida no direito interno e, por conseguinte, será juridicamente vinculativa para o Reino Unido; salienta que o Reino Unido está vinculado pelos princípios e pelas condições definidos no acórdão Schrems II do TJUE quando avalia a adequação de outros países terceiros; considera que se trata de uma salvaguarda importante para garantir a legalidade de transferências ulteriores;

15. Salienta que as normas do Reino Unido que regem as transferências de dados pessoais para países terceiros são idênticas às normas previstas no RGPD; considera, no entanto, que a Comissão deve supervisionar a aplicação destas normas na prática, uma vez que a concessão pelo Reino Unido do estatuto de adequação a países ou territórios que não sejam considerados adequados ao abrigo do direito da UE poderia dar azo a que as normas da UE em matéria de transferências fossem contornadas;

16. Toma nota do acordo de acesso transfronteiriço a dados negociado entre o Reino Unido e os EUA[8], ao abrigo da «Crime (Overseas Production Orders) Act» do Reino Unido (OPO Act) de 2019 e da «Clarifying Lawful Overseas Use of Data Act» (CLOUD Act) dos EUA, que se destina a facilitar as transferências para fins de aplicação da lei; regista que o acordo ainda não entrou em vigor, uma vez que o Reino Unido está a procurar obter salvaguardas adicionais dos EUA e se comprometeu a informar a Comissão dessas salvaguardas adicionais antes da entrada em vigor do acordo; espera que essas salvaguardas impeçam as autoridades dos EUA de acederem indevidamente a dados pessoais dos cidadãos e residentes da UE e exorta a Comissão a controlar a aplicação do acordo neste sentido;

17. Recorda que o TJUE, no seu acórdão C-623/17, indicou claramente que a Diretiva Privacidade Eletrónica, interpretada à luz das disposições relevantes da Carta, não se opõe a regulamentação nacional que permita a uma autoridade estatal impor aos prestadores de serviços de comunicações eletrónicas a transmissão generalizada e indiferenciada de dados de tráfego e de dados de localização aos serviços de segurança e de informação em caso de ameaça grave à segurança nacional, desde que sejam respeitadas condições rigorosas;

18. Observa que, neste caso, o TJUE considerou ilegal a recolha de dados em larga escala realizada no Reino Unido nos termos da «Regulation of Investigatory Powers Act 2000» (Lei de 2000 relativa à regulamentação das competências de investigação); sublinha que, quando o acórdão foi proferido, essa lei tinha sido há muito substituída pela Lei de 2016 relativa à regulamentação das competências de investigação, que reforçou consideravelmente os princípios da necessidade e da proporcionalidade; sublinha que a Lei de 2016 relativa à regulamentação das competências de investigação subordina a interceção à aprovação e ao controlo judiciais prévios e habilita os particulares a aceder aos seus dados e a apresentar reclamações junto tribunal de instrução do Reino Unido (Investigatory Powers Tribunal); salienta que estas salvaguardas foram acolhidas favoravelmente pelo relator especial das Nações Unidas sobre o direito à privacidade e que o CEPD considerou-as uma melhoria significativa do regime do Reino Unido;

19. Toma nota das lacunas constatadas na forma como o Reino Unido aplicou a legislação em matéria de proteção de dados, quando ainda era membro da UE; regista que o Reino Unido gravava e conservava uma cópia do Sistema de Informação Schengen (SIS); espera que os serviços responsáveis pela aplicação da lei do Reino Unido cumpram integralmente as regras aplicáveis no quadro do intercâmbio futuro de dados pessoais; relembra que o Reino Unido mantém o acesso a algumas bases de dados dos serviços de aplicação da lei da UE apenas com base num sistema de respostas positivas/negativas e está legalmente impedido de aceder ao SIS;

20. Observa que o projeto de decisão de adequação avalia exaustivamente os direitos de cada autoridade do Reino Unido habilitada pelo direito nacional a intercetar e a conservar dados pessoais para fins de segurança nacional; congratula-se, além disso, com o facto de os relatórios de supervisão detalhados relativos às autoridades responsáveis pela comunidade de informações de segurança fornecerem informações sobre as práticas efetivas de vigilância do Reino Unido; exorta a Comissão a continuar a avaliar e a controlar os tipos de dados de comunicações que são abrangidos pelas competências do Reino Unido no domínio da conservação de dados e de interceção legal;

21. Salienta que o ACC entre a UE e o Reino Unido inclui títulos sobre o intercâmbio de dados relativos ao ADN, a impressões digitais e ao registo de veículos, à transferência e ao tratamento de dados do registo de identificação dos passageiros (PNR), à cooperação em matéria de informações operacionais e à cooperação com a Europol e a Eurojust, mas que não constitui per se uma base jurídica para as transferências; salienta que estas disposições podem ser suspensas caso o Reino Unido apresente graves lacunas no que diz respeito à proteção de dados pessoais, nomeadamente se a decisão de adequação deixar de se aplicar em virtude dessas lacunas; congratula-se com o facto de o tratamento de categorias especiais de dados continuar a ser proibido; observa que as disposições do ACC relativas aos dados Prüm estão, em geral, em conformidade com as regras internas da UE, mas foram adaptadas no que diz respeito às avaliações, à suspensão e à exclusão do âmbito de aplicação;

22. Insta a Comissão a garantir às empresas da UE que a decisão de adequação será capaz de proporcionar uma base jurídica sólida no que diz respeito às transferências de dados, na medida em que os regimes de proteção de dados do Reino Unido e da UE permaneçam convergentes na lei e na prática; sublinha a importância de velar por que esta decisão de adequação seja considerada aceitável se for apreciada pelo TJUE e salienta que todas as recomendações formuladas no parecer do CEPD devem, por conseguinte, ser tomadas em consideração de forma diligente;

23. Espera que a Comissão, sempre que as informações disponíveis revelem que o Reino Unido já não garante um nível de proteção adequado e, na medida do necessário, recorra à possibilidade de alterar, suspender ou revogar a decisão de adequação em qualquer momento, incluindo através do procedimento de urgência previsto no projeto de decisão de adequação; espera que a Comissão tente primeiro alterar a decisão antes de a suspender ou de a revogar, a fim de evitar perturbações desnecessárias ou elevados custos de conformidade;

24. Congratula-se com o facto de as decisões de adequação se aplicarem apenas durante quatro anos, uma vez que o Reino Unido, agora que já não é um Estado-Membro da UE, pode optar por alterar a legislação sujeita à avaliação de adequação da Comissão; solicita à Comissão que, entretanto, continue a supervisionar o nível de proteção de dados no Reino Unido, tanto em termos de legislação, como na prática, e que realize uma avaliação exaustiva na matéria antes de renovar a decisão de adequação em 2025;

25. Exorta a Comissão a manter o Parlamento informado sobre quaisquer alterações futuras relevantes do regime de proteção de dados no Reino Unido, bem como sobre os debates na matéria realizados no seio de organismos relevantes, como o Comité Especializado da Aplicação da Lei e Cooperação Judiciária, e a ter em consideração a posição do Parlamento sobre estas temáticas;

26. Considera, com base nas informações disponíveis, que o nível de proteção atualmente concedido aos dados pessoais ao abrigo da legislação e da prática do Reino Unido é essencialmente equivalente ao da UE; manifesta, por conseguinte, o seu apoio aos dois projetos de decisões de execução da Comissão sobre a proteção adequada dos dados pessoais pelo Reino Unido, ao abrigo do RGPD e da Diretiva sobre a proteção de dados na aplicação da lei, respetivamente;

27. Exorta a Comissão a adotar as decisões de adequação atempadamente, ou seja, antes do final do período intercalar, a fim de evitar perturbações para as empresas europeias ou transferências para efeitos de aplicação da lei;

28. Encarrega o seu Presidente de transmitir a presente resolução ao Conselho, à Comissão, aos governos e parlamentos dos Estados-Membros e ao governo e parlamento do Reino Unido.