Skip to main content

Schrems I

TL;DR

Schrems I foi um caso que chegou ao Tribunal de Justiça Europeu. Com o nome de Max Schrems, foi baseado na afirmação de que, no contexto do programa PRISM da NSA, revelado ao público por Edward Snowden, as empresas norte-americanas não podiam garantir a protecção adequada dos dados pessoais. Por conseguinte, foi decidido que, ao abrigo da Directiva Europeia de Protecção de Dados, não era legal fazer qualquer transferência de dados pessoais entre a UE e os EUA. Isto levou à invalidação do acordo de Safe Harbor e teve sérias repercussões nas actividades de várias empresas.

O que significa "Schrems I"?

Schrems I é o nome genérico de um processo judicial de privacidade de dados no TJE. O seu nome vem de Max Schrems, um activista austríaco que apresentou uma queixa contra o Facebook, argumentando que a empresa não podia garantir medidas de protecção adequadas para os seus dados pessoais, uma vez que estes estavam a ser transferidos da UE para os EUA.

O caso começou em 2013 na Irlanda, sede europeia do Facebook, com uma queixa ao Comissário irlandês para a Protecção de Dados. A situação agravou-se e chegou ao TJE em 2015, pois Max Schrems ficou insatisfeito com a resposta que recebeu e apresentou uma queixa contra o próprio Comissário para a Protecção de Dados. O Tribunal Europeu decidiu a favor daSchrems em Outubro de 2015.

Quais foram as consequências de Schrems I?

Isto significou que todo um acordo transnacional entre a UE e os EUA, chamado Safe Harbor, foi automaticamente invalidado. Na prática, já não era possível transferir os dados dos cidadãos europeus para os EUA, uma vez que se verificou que estes últimos não eram capazes de garantir normas de privacidade adequadas. Isto foi no contexto do escândalo PRISM da NSA, que mostrou que a agência norte-americana estava a aceder a dados privados sem qualquer consentimento.

Portanto, todas as empresas que faziam negócios envolvendo dados de cidadãos da UE já não estavam protegidas pelo Safe Harbor e, durante algum tempo, era ilegal para elas processar dados pessoais. Isto teria um grande impacto em várias empresas. Qualquer empresa agora tinha que considerar se processos simples como o acesso do usuário aos seus sites poderia levar a que seus dados pessoais (IP, localização, outros dados armazenados em cookies) fossem ilegalmente transferidos para os Estados Unidos. Este era o caso se tais sites usassem aplicativos de terceiros dos EUA, como o Google Analytics.

Embora a UE e os EUA tenham trabalhado em um acordo posterior, chamado Privacy Shield, este também foi invalidado em 2020, após outra reclamação do mesmo homem ter levado ao caso Schrems II.