Autoria: Efigénia Espírito Santo
Legal
O Regulamento Geral da Protecção de Dados entrou em vigor a 25 de Maio de 2018. A fiscalização rígida da aplicação deste normativo resultou na aplicação de diversas coimas sobre variadas organizações. Mas quando é a própria União Europeia que viola essas disposições?
Um cidadão alemão acusa a Comissão Europeia de violação do direito à protecção dos seus dados pessoais. Este cidadão, entre 2021 e 2022, consultou um site gerido por esta instituição europeia, relativo à “Conferência sobre o Futuro da Europa”- um conjunto de debates decorridos neste período, abertos aos cidadãos europeus, de modo a partilhar ideias e a definir um futuro comum para o projecto europeu. Estas visitas ao site tinham como objectivo inscrever-se num evento específico, o “GoGreen”, pelo que procedeu à autenticação através de ligação à sua conta pessoal do Facebook.
Sucede que, ao aceder ao site, foram transferidos dados pessoais seus, como o endereço IP, informações sobre o seu navegador e o aparelho através do qual se autenticou, para destinatários estabelecidos nos Estados Unidos da América, gerando o risco de os mesmos serem utilizados por serviços americanos de segurança e de informação.
Em 01 de Abril de 2022, dirigiu à Comissão Europeia um pedido de informação, solicitando as informações constantes no artigo 17.º n.ºs 1 e 2 do Regulamento (UE) 2018/1725, entre as quais as finalidades do tratamento dos dados; as categorias dos dados pessoais em questão; os destinatários ou categorias de destinatários para os quais os dados pessoais foram ou serão divulgados; o prazo previsto de conservação dos dados pessoais; a existência do direito de solicitar ao responsável pelo tratamento a rectificação, o apagamento ou a limitação do tratamento dos dados ou do direito de se opor a esse tratamento; o direito de apresentar uma reclamação à Autoridade Europeia para a Protecção de Dados e as garantias adequadas no caso de transferência de dados pessoais para países terceiros. Não obteve resposta.
Inconformado, intentou uma acção junto do Tribunal de Justiça da União Europeia- a autoridade judiciária responsável por assegurar a aplicação e interpretação uniformes do direito da União. O interessado pediu a anulação da transferência dos seus dados pessoais, que se declare que a Comissão absteve-se ilegalmente de dar seguimento ao seu pedido de informações e o pagamento de 800 euros, a título de reparação do dano moral pela transmissão não controlada dos seus dados pessoais a destinatários estabelecidos no Estados Unidos.
Este órgão jurisdicional confirmou a transferência dos dados, para a empresa americana Meta Platforms, quando acedeu à sua conta pessoal do Facebook para se inscrever no evento. Deste modo, atendeu parcialmente ao pedido, condenado a Comissão Europeia ao pagamento de 400 euros a título de indemnização por danos patrimoniais, uma vez que esta não respeitou a legislação comunitária no que tange à transferência de dados pessoais para países terceiros. Contudo, o tribunal declarou inadmissível o pedido de anulação de transferência dos dados pessoais e não se pronunciou sobre o pedido de declaração de omissão sobre o pedido de informações. Trata-se de uma decisão inédita.
Não obstante, o interessado poderá apresentar queixa à Autoridade Europeia para a Protecção de Dados, organismo criado em 2004 e sediado em Bruxelas. Este tem como principais atribuições o controlo da aplicação do Regulamento (UE) 2018/1725 pelas instituições e órgãos da União; promover a sensibilização do público e a sua compreensão dos riscos, regras, garantias e direitos associados ao tratamento; promover a sensibilização dos responsáveis pelo tratamento para as suas obrigações; prestar informações aos titulares dos dados sobre o exercício dos seus direitos; tratar de reclamações apresentadas pelos titulares dos dados; realização de investigações sobre a aplicação dos regulamentos pertinentes; prestar aconselhamento a todas as instituições e órgãos da União sobre medidas legislativas e administrativas relacionadas com a protecção dos direitos e das liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais; acompanhar factos novos relevantes, nomeadamente a evolução a nível das tecnologias da informação e das comunicações, na medida em que tenham incidência na protecção de dados pessoais; participar nas actividades do Comité Europeu para a Protecção de Dados e executar outras tarefas relacionadas com a protecção de dados pessoais.
