Ec - Europa.eu Justice Article 29 Documentation Opinion Recommendation Files 2006 wp128 - PT

Grupo de Trabalho do artigo 29.
01935/06/PT
WP128
Parecer 10/2006
sobre o tratamento de dados pessoais pela Sociedade das Telecomunicações
Financeiras Interbancárias no Mundo (Worldwide Interbank Financial
Telecommunication - SWIFT)
Adoptado em 22 de Novembro de 2006
Este grupo de trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu
independente em matéria de protecção de dados e privacidade. As suas atribuições são descritas no artigo 30.º da
Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE.
O secretariado é assegurado pela Direcção C (Justiça Civil, Direitos Fundamentais e Cidadania) da Direcção-Geral
Justiça, Liberdade e Segurança da Comissão Europeia (B-1049 Bruxelas, Bélgica, Gabinete N.º LX46 -46/43).
Sítio Web: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

Síntese
O presente parecer do Grupo de Trabalho do artigo 29.° apresenta as conclusões sobre o
tratamento de dados pessoais pela Sociedade das Telecomunicações Financeiras
Interbancárias no Mundo (SWIFT).
Neste contexto, o Grupo de Trabalho do artigo 29.° sublinha que até mesmo na luta contra o
terrorismo e a criminalidade os direitos fundamentais devem continuar a ser respeitados.
Insiste, portanto, no respeito pelos princípios de protecção dos dados a nível mundial.
A SWIFT é um serviço mundial de mensagens financeiras que facilita as transferências
internacionais de dinheiro. A SWIFT armazena todas as mensagens por um período de 124
dias em dois centros operacionais, um na UE e outro nos EUA, uma forma de tratamento de
dados designada no presente documento por "cópia integral". As mensagens contêm dados
pessoais, como os nomes do pagador e do beneficiário. Após os atentados terroristas de
Setembro de 2001, o Departamento do Tesouro dos Estados Unidos ("UST") emitiu
intimações (subpoenas) que requerem que a SWIFT faculte o acesso às informações
constantes das mensagens conservadas nos EUA. A SWIFT respeitou as intimações, embora
tenham sido negociadas limitações de acesso do UST. A questão veio a público dada a sua
cobertura na imprensa entre finais de Junho e princípios de Julho de 2006.
Sendo uma cooperativa com sede na Bélgica, a SWIFT está sujeita à legislação belga de
protecção dos dados que implementa a Directiva 95/46/CE da UE de protecção dos dados, a
seguir denominada "Directiva". As instituições financeiras da UE que recorrem ao serviço
SWIFT estão sujeitas às legislações nacionais de protecção dos dados que implementam a
directiva no Estado-Membro em que estão estabelecidas.
O Grupo de Trabalho conclui que
- A SWIFT e as instituições financeiras que transmitem as ordens partilham, embora em
graus diferentes, a responsabilidade pelo tratamento de dados pessoais na sua qualidade
de "responsáveis pelo tratamento de dados", na acepção da alínea d) do artigo 2.° da
directiva.
- O tratamento permanente dos dados pessoais, tendo em conta as vastas implicações das
intimações do UST, constitui mais uma finalidade incompatível com a finalidade
comercial inicial para a qual os dados pessoais foram recolhidos, na acepção do n.º 1,
alínea b), do artigo 6.° da Directiva.
- Nem a SWIFT nem as instituições financeiras na UE informaram as pessoas em causa
sobre o tratamento dos seus dados pessoais, designadamente no que se refere à sua
transferência para os EUA, tal como requerido pelos artigos 10.° e 11.° da Directiva.
- As medidas de controlo aplicadas pela SWIFT, designadamente no que respeita ao
acesso aos dados por parte do UST, não se substituem de forma alguma à análise
independente que poderia ter sido efectuada pelas autoridades de controlo instituídas
pelo artigo 28.° da Directiva.
- No tocante à transferência para o centro operacional dos EUA, a SWIFT não pode
invocar o artigo 25.° da Directiva para legitimar o tratamento.
- Nenhuma das derrogações previstas no n.º 1 do artigo 26.° da Directiva se aplica ao
tratamento de dados nos EUA.
- A SWIFT não utilizou os mecanismos previstos no n.º 2 do artigo 26.° da Directiva para
obter a autorização da autoridade belga de controlo da protecção de dados para as
operações de tratamento.
- O Grupo de Trabalho do artigo 29.° apela a que a SWIFT e as instituições financeiras
adoptem medidas para corrigir imediatamente a actual situação de ilegalidade.
- Além disso, o Grupo de Trabalho do artigo 29.° apela à clarificação do controlo da SWIFT.
O Grupo de Trabalho do artigo 29.° acompanhará e seguirá tudo o que foi acima referido.
3
ÍNDICE
1. CONTEXTO................................................................................................................ 6
1.1. Cronologia ......................................................................................................... 6
1.2. Factos 8
1.2.1. Dados quantitativos sobre as actividades de tratamento de
dados da SWIFT .................................................................................. 8
1.2.2. Categorias de dados tratados ............................................................... 9
1.2.3. Intimações pelo UST ........................................................................... 9
2. ENQUADRAMENTO APLICÁVEL EM MATÉRIA DE PROTECÇÃO DE
DADOS ..................................................................................................................... 10
2.1. Aplicabilidade da Directiva 95/46/CE ............................................................ 10
2.2. Legislação aplicável à SWIFT......................................................................... 10
2.3. Legislação aplicável às instituições financeiras .............................................. 11
3. PAPEL DA SWIFT E DAS INSTITUIÇÕES FINANCEIRAS ............................... 11
3.1. Papel da SWIFT .............................................................................................. 11
3.2. Papel das instituições financeiras .................................................................... 13
3.3. Papel dos bancos centrais ................................................................................ 15
4. AVALIAÇÃO DA COMPATIBILIDADE COM AS REGRAS DE
PROTECÇÃO DE DADOS ...................................................................................... 16
4.1. Aplicação dos princípios da qualidade e da proporcionalidade dos
dados (artigo 6.° da Directiva) ........................................................................ 16
4.1.1. Finalidade comercial ......................................................................... 17
4.1.2. Tratamento posterior para fins incompatíveis ................................... 17
4.2. Legitimidade (artigo 7.° da Directiva) ............................................................ 19
4.2.1. Necessidade para a execução de um contrato (alínea b) do
artigo 7.° da Directiva) ...................................................................... 19
4.2.2. Necessidade para cumprir uma obrigação legal à qual o
responsável pelo tratamento esteja sujeito (alínea c) do artigo
7.° da Directiva) ................................................................................ 20
4.2.3. Necessidade para prosseguir interesses legítimos do
responsável pelo tratamento (alínea f) do artigo 7.° da
Directiva)........................................................................................... 20
4.3. Prestação de informações claras e exaustivas sobre o regime (artigos
10.º e 11.º da Directiva)................................................................................... 21
4.4. Cumprimento da obrigação de notificação (artigos 18.° a 20.° da
Directiva)......................................................................................................... 21
4.5. Mecanismos de controlo.................................................................................. 22
4.6. Fluxos de dados transfronteiriços (artigos 25.° e 26.° da Directiva)............... 23
4
4.6.1. Protecção de dados adequada (n.º 1 do artigo 25.° da
Directiva)........................................................................................... 24
4.6.2. Garantias adequadas apresentadas pelo receptor (n.º 2 do
artigo 26.° da Directiva) .................................................................... 24
4.6.3. Derrogações (artigo 26.° da Directiva).............................................. 25
4.6.3.1. Consentimento da pessoa em causa (n.º 1, alínea
a), do artigo 26.° da Directiva)......................................... 25
4.6.3.2. Transferência necessária para a execução de um
contrato entre a pessoa em causa e o responsável
pelo tratamento ou de diligências prévias à
formação do contrato decididas a pedido da pessoa
em causa (n.º 1, alínea b), do artigo 26.º da
Directiva)........................................................................... 26
4.6.3.3. Transferência necessária para a execução ou
celebração de um contrato celebrado ou a celebrar,
no interesse da pessoa em causa, entre o
responsável pelo tratamento e um terceiro (n.º 1,
alínea c), do artigo 26.º da Directiva) .............................. 26
4.6.3.4. Transferência necessária ou legalmente exigida
para a protecção de um interesse público
importante, ou para a declaração, o exercício ou a
defesa de um direito num processo judicial (n.º 1,
alínea d), do artigo 26.º da Directiva) .............................. 26
4.6.3.5. Transferência necessária para proteger os
interesses vitais da pessoa em causa (n.º 1, alínea
e), do artigo 26.º da Directiva) ......................................... 28
4.6.4. Dados apurados ................................................................................. 28
5. CONCLUSÕES......................................................................................................... 28
6. MEDIDAS IMEDIATAS A TOMAR PARA MELHORAR A SITUAÇÃO

ACTUAL................................................................................................................... 30
5
O GRUPO DE PROTECÇÃO DAS PESSOAS SINGULARES NO QUE DIZ
RESPEITO AO TRATAMENTO DE DADOS PESSOAIS
Instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de

Outubro de 19951,
Tendo em conta o artigo 29.º, bem como o n.º 1, alínea a), e o n.º 3 do artigo 30.º da
mesma directiva,
Tendo em conta o seu regulamento interno, nomeadamente os artigos 12.º e 14.º,
Adoptou o seguinte parecer:
1. CONTEXTO
As autoridades independentes de controlo da protecção de dados na União Europeia2

estão a avaliar uma questão importante referente à transferência em larga escala de dados
financeiros de uma empresa sediada na União Europeia (SWIFT) para as autoridades dos
EUA. Os pormenores e as condições de tais transferências, nomeadamente o tratamento
de dados pessoais referentes a pessoas singulares da Europa, suscitaram a preocupação
das autoridades de protecção de dados (APD) que conjugaram esforços na investigação
do fluxo de dados e na análise da sua compatibilidade com os princípios europeus em
matéria de vida privada, nomeadamente com a Directiva relativa à protecção de dados (a
seguir denominada "Directiva").
1.1. Cronologia
Em finais de Junho e princípios de Julho de 2006, a imprensa europeia e americana

questionou o papel e as responsabilidades da Sociedade das Telecomunicações
Financeiras Interbancárias no Mundo (SWIFT) no que respeita à transferência de dados
pessoais para o Serviço de Controlo de Activos Estrangeiros (OFAC) do Departamento
do Tesouro dos Estados Unidos (a seguir denominado "UST"). A SWIFT é uma
cooperativa com sede na Bélgica que desenvolve a sua actividade no tratamento de
mensagens financeiras. Apurou-se que desde finais de 2001 foram fornecidos ao UST
dados pessoais obtidos e tratados por intermédio da rede SWIFT com vista a
1
Jornal Oficial L 281 de 23.11.1995, p. 31, disponível em
http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm
2
Para além das autoridades da UE, também outras autoridades de controlo da protecção de dados
lançaram investigações sobre esta questão na Austrália, no Canadá, na Nova Zelândia, na Suíça e na
Islândia.
6
transferências internacionais de dinheiro que utilizam o código de identificação bancária
(a seguir denominado "BIC") ou o código "SWIFT", na sequência de intimações ao
abrigo da legislação americana relativa à investigação do terrorismo.
A SWIFT divulgou uma primeira declaração3, em 23 de Junho de 2006, na sequência

destas notícias. De acordo com a sua comunicação à imprensa, a SWIFT é "uma empresa
cooperativa que fornece serviços e interfaces de software de mensagens seguras e
normalizadas a mais de 7 800 instituições financeiras em todo o mundo."
A Comissão Europeia decidiu acompanhar de perto este caso e solicitou, em Julho de

2006, informações às autoridades belgas sobre as condições em que a SWIFT trata dados
pessoais e sobre se observa a legislação belga de protecção de dados que implementa a
Directiva. A Comissão está igualmente a verificar em colaboração com os
Estados-Membros se os bancos que recorrem à SWIFT para a execução de ordens de
pagamento cumprem as respectivas legislações nacionais sobre a protecção de dados no
que respeita ao tratamento que fazem dos dados pessoais referentes a tais pagamentos.
Por resolução de 6 de Julho de 20064, o Parlamento Europeu solicitou aos Estados-

Membros que assegurem e verifiquem que não haja qualquer lacuna jurídica a nível
nacional e que a legislação da Comunidade em matéria de protecção de dados também
abranja os bancos centrais. Nesta resolução, o Parlamento Europeu manifestou
igualmente forte preocupação em relação à finalidade da transferência de dados para o
UST. Censurou também energicamente "quaisquer operações secretas no território da
UE" que afectem a vida privada dos cidadãos da UE. Manifestou ainda a sua profunda
preocupação pelo facto de estas operações se realizarem sem que os cidadãos da Europa
e a sua representação parlamentar tenham sido informados. Por último, instou os Estados
Unidos e os seus serviços de informações e de segurança a agirem num espírito de boa
cooperação e a notificarem aos seus aliados quaisquer operações de segurança que
pretendam desenvolver no território da UE. Foi ventilada a possibilidade de
transferências ligadas a "actividades ilegais", mas também a de transferências de
"informações relativas às actividades económicas dos indivíduos e dos países em causa"
poderem conduzir a "formas de espionagem económica e industrial em larga escala". A
resolução solicitou aos Estados-Membros que transmitam os resultados da sua
investigação à Comissão Europeia, ao Conselho e ao Parlamento Europeu.
Em 27 de Julho de 2006, o Presidente do Grupo de Trabalho do artigo 29.° anunciou que

as autoridades europeias de protecção de dados tinham decidido coordenar as suas
actividades. Numa reunião subsequente, efectuada em 26 e 27 de Setembro de 2006, o
Grupo de Trabalho do artigo 29.° realizou um primeiro debate plenário5.
3
"Declaração SWIFT sobre a política de observância", publicada em
http://www.swift.com/index.cfm?item_id=59897
4
Resolução do Parlamento Europeu sobre a intercepção dos dados relativos às transferências bancárias
do sistema SWIFT pelos serviços secretos dos EUA (P6_TA-PROV(2006)0317)
5
Comunicados à imprensa do Grupo de Trabalho do artigo 29.°: Comunicado à imprensa do Grupo de
Trabalho do artigo 29.° no processo Swift, de 28/7/2006:
http://ec.europa.eu/justice_home/fsj/privacy/news/docs/PR_SWIFT_Affair_28_07_06_en.pdf;
Comunicado à imprensa sobre o processo SWIFT, de 27/9/2006;
http://ec.europa.eu/justice_home/fsj/privacy/news/docs/PR_Swift_Affair_26_09_06_en.pdf.
7
Em 4 de Outubro de 2006, numa audição pública efectuada pelas Comissões
Parlamentares das Liberdades Cívicas e dos Assuntos Económicos e Monetários do
Parlamento Europeu, a questão foi debatida com a participação, entre outros, do Director
Financeiro da SWIFT e do Banco Central Europeu6.
A Autoridade Europeia para a Protecção de Dados apresentou alguns comentários

preliminares em relação à sua investigação do papel do Banco Central Europeu (BCE),
nos termos do disposto no Regulamento (CE) 45/20017.
A nível nacional, as autoridades para a protecção dos dados contactaram os organismos

bancários relevantes.
A Autoridade para a Protecção dos Dados da Bélgica efectuou um inquérito sobre a

legalidade do processamento de dados por parte da SWIFT. Durante este inquérito, a
APD belga contactou directamente a SWIFT a fim de determinar o âmbito e escala do
controlo e das transferências de dados. Na sua decisão de 27 de Setembro de 2006, a
APD belga estabeleceu que a transferência pela SWIFT de dados pessoais para a sucursal
da mesma nos EUA infringiu a lei belga de 8 de Dezembro de 1992 relativa à protecção
da vida privada no que se refere ao tratamento de dados de carácter pessoal8. A APD
belga apurou designadamente que a SWIFT infringiu disposições fundamentais
referentes às obrigações de informação, limitação da finalidade das actividades de
tratamento de dados e de transferência de dados pessoais a países terceiros. A APD belga
estabeleceu que a SWIFT procedeu a "uma violação oculta, sistemática, maciça e a
longo prazo dos princípios fundamentais europeus em matéria de protecção de dados".
Com base nas informações obtidas durante estas investigações, o Grupo de Trabalho
pretende analisar o cumprimento por parte da SWIFT dos princípios de protecção de
dados constantes da Directiva e aplicados em todos os Estados-Membros por intermédio
das legislações nacionais de protecção de dados de âmbito muito vasto.
A SWIFT enviou ao Presidente do Grupo de Trabalho do artigo 29.° uma cópia das suas
respostas às APD belga, espanhola e francesa9.
1.2. Factos
1.2.1. Dados quantitativos sobre as actividades de tratamento de dados da

SWIFT
A SWIFT trata em média 12 milhões de mensagens por dia10. A título de exemplo, em

2005 o volume total de mensagens tratadas ascendeu a 2,5 mil milhões de mensagens,
das quais 1,6 mil milhões destinadas à Europa e 467 milhões enviadas para o continente
americano. As informações tratadas pela SWIFT envolvem mensagens sobre as
6
O texto integral da audição pública pode ser consultado em
http://www.europarl.europa.eu/news/expert/infopress_page/017-11292-275-10-40-902-
20061002IPR11291-02-10-2006-2006-false/default_en.htm
7
http://www.edps.europa.eu/Press/EDPS-2006-10-EN%20swift.pdf
8
http://www.privacycommission.be/communiqu%E9s/AV37-2006.pdf
9
Carta da SWIFT à atenção do Presidente do Grupo de Trabalho do artigo 29.°, de 31 de Julho de
2006.
10
Relatório anual de 2005 da SWIFT; disponível em http://www.swift.com/index.cfm?item_id=59684.
8
transacções financeiras de centenas de milhares de cidadãos da UE. As instituições
financeiras europeias (e não apenas os bancos) utilizam o serviço SWIFTNet FIN para a
transferência para todo o mundo de mensagens relativas a transferências financeiras entre
instituições financeiras. Esta transferência ocorre independentemente de as mensagens
serem ou não tratadas na União Europeia (UE), no Espaço Económico Europeu (EEE) ou
num país terceiro.
1.2.2. Categorias de dados tratados
As mensagens transmitidas através do serviço SWIFTNet FIN contêm dados pessoais,

como os nomes do beneficiário e do cliente que emite a ordem. As mensagens relativas a
pagamentos podem, porém, incluir outras informações, como um número de referência
para que o pagador e o beneficiário possam comparar o pagamento com os respectivos
documentos contabilísticos. Além disso, certos tipos de mensagem permitem a
introdução de informações não estruturadas de carácter textual.
Para além de serviços de venda em vários países, a SWIFT dispõe de dois centros
operacionais em sucursais SWIFT, uma num Estado-Membro da UE e outra nos Estados
Unidos. Nestes centros operacionais, como parte integrante do serviço SWIFTNet FIN,
todas as mensagens processadas pela SWIFT são armazenadas e copiadas por 124 dias, o
que constitui uma "ferramenta de recuperação de segurança" para os clientes em caso de
litígio entre as instituições financeiras ou de perda de dados. Após este período os dados
são apagados.
1.2.3. Intimações pelo UST
Após os ataques terroristas de Setembro de 2001, o UST enviou múltiplas intimações

administrativas ao centro operacional da SWIFT nos EUA. Inquirida, a SWIFT indicou
que até à altura tinha recebido e respeitado 64 intimações do UST.
Ao abrigo da legislação americana, uma intimação administrativa é uma ordem de um

funcionário do Governo destinada a um terceiro a quem é ordenada a apresentação de
determinadas informações11. O âmbito das intimações do UST é, neste caso, material,
territorial e temporalmente muito lato, tal como definido nas próprias intimações e na
correspondência sobre as negociações entre o UST e a SWIFT. Estas intimações são
emitidas em relação a quaisquer transacções relacionadas ou susceptíveis de estarem
ligadas ao terrorismo, referem-se a um número x de países e jurisdições, numa data y, ou
num período "de… a…" que pode ser de uma a várias semanas, dentro e fora dos EUA.
Dizem respeito a mensagens de transacções interbancárias nos EUA, com destino ou
origem nos EUA, assim como a mensagens de fora dos EUA, como mensagens no
interior da UE12.
11
Audição da Subcomisão Terrorismo, Tecnologia e Segurança Nacional da Comissão Judicial do
Senado dos Estados Unidos: "Instrumentos da luta contra o terrorismo: Autoridade de Intimação e
Detenção Anterior ao Julgamento de Terroristas". Depoimento de Rachel Brand, Assistente Adjunta
Principal do Procurador-Geral , Serviço de Política Jurídica, Departamento de Justiça dos EUA, 22
de Junho de 2004; http://kyl.senate.gov/legis_center/subdocs/062204_brand.pdf
12
Cf. parecer da APD belga, B.2 (tradução inglesa não oficial), nota de rodapé 8.
9
A SWIFT negociou confidencialmente com o UST um acordo sobre o cumprimento das
intimações. Durante deste processo, a SWIFT alega ter recebido "garantias significativas
em relação à finalidade, confidencialidade, supervisão e controlo do volume limitado de
dados apresentados na sequência das intimações"13.
De acordo com os dados apurados pela APD belga, na prática a comunicação de dados
pessoais ao UST pelo centro operacional SWIFT dos EUA processa-se em várias etapas.
Não se verifica uma extracção directa de dados individuais copiados da base de dados
SWIFT e, pelo contrário, a SWIFT negociou com o UST o estabelecimento de uma
"caixa negra" que permitiu a transferência de dados da base de dados SWIFT copiada
para a " caixa negra". Quando os dados já se encontram na "caixa negra", que é detida
pelos EUA, o UST procede a pesquisas orientadas.
Foram divulgados à APD na Bélgica e reflectidos no seu parecer mais pormenores sobre
a comunicação de dados pessoais ao UST14.
2. ENQUADRAMENTO APLICÁVEL EM MATÉRIA DE PROTECÇÃO DE DADOS
2.1. Aplicabilidade da Directiva 95/46/CE
Uma vez que as mensagens que são transmitidas através do serviço SWIFTNet FIN
incluem dados pessoais, o Grupo de Trabalho considera que a Directiva é aplicável ao
tratamento de dados pessoais por intermédio desse serviço.
O Grupo de Trabalho sublinha que o facto de o tratamento de dados pessoais estar ligado
à prestação de um serviço não é relevante para a determinação do estatuto de uma
organização como responsável pelo tratamento de dados. As definições de "tratamento de
dados pessoais" e de "dados pessoais" constam claramente do artigo 2.° da Directiva.
Nos casos em que as actividades efectuadas por uma entidade estiverem abrangidas por
estas definições, a Directiva aplica-se e, por conseguinte, as actividades de tratamento de
dados devem respeitá-la plenamente.
2.2. Legislação aplicável à SWIFT
O n.º 1, alínea a), do artigo 4.° da Directiva indica que cada Estado-Membro aplicará as
disposições nacionais adoptadas por força da Directiva ao tratamento de dados pessoais
quando "(…) o tratamento for efectuado no contexto das actividades de um
estabelecimento do responsável pelo tratamento situado no território desse Estado-
Membro".
A sede da SWIFT está situada em La Hulpe, na Bélgica. A SWIFT dispõe igualmente de

dois centros operacionais (um na Europa e outro nos EUA, que funciona como cópia
integral). Além disso, a SWIFT tem diversos serviços de venda no Reino Unido, na
França, na Alemanha, em Itália, em Espanha, etc. As decisões críticas sobre o tratamento
de dados pessoais e a transferência de dados para o UST foram tomadas pela sede situada
na Bélgica.
13
"Declaração SWIFT sobre a política de observância", publicada em
http://www.swift.com/index.cfm?item_id=59897
14
Ver nota de rodapé 8.
10
Consequentemente, o tratamento de dados pessoais pela SWIFT está sujeito à legislação
belga que implementa a Directiva, independentemente do local em que se processe.
2.3. Legislação aplicável às instituições financeiras
No que se refere às operações de tratamento em que as instituições financeiras que

utilizam o serviço da SWIFT para as suas ordens internacionais de pagamento podem ser
consideradas como responsáveis pelo tratamento, é aplicável a legislação nacional por
força do n.º 1, alínea a), do artigo 4.° da Directiva e, no que se refere às instituições e
organismos comunitários, o artigo 3.° do Regulamento (CE) n.º 45/200115. Tal facto
significa que, no caso das instituições financeiras, são aplicáveis legislações diferentes -
embora harmonizadas.
O Grupo de Trabalho sublinha que, uma vez que há dados pessoais que estão a ser
tratados em transacções financeiras relativas a centenas de milhares de cidadãos por
intermédio de instituições estabelecidas na UE (a cooperativa SWIFT e instituições
financeiras que utilizam o serviço SWIFTNet FIN), são aplicáveis as legislações
nacionais relativas à protecção de dados - adoptadas em aplicação da Directiva – dos
vários Estados-Membros em causa.
3. PAPEL DA SWIFT E DAS INSTITUIÇÕES FINANCEIRAS
De acordo com a Directiva, o responsável pelo tratamento deve assegurar o cumprimento

das obrigações relativas ao tratamento de dados pessoais.
Trata-se de determinar se a SWIFT e/ou as instituições financeiras devem ser

consideradas responsáveis pelo tratamento de dados ou como subcontratantes.
De acordo com as definições da Directiva, entende-se por "responsável pelo tratamento",

"a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro
organismo que, individualmente ou em conjunto com outrem, determine as finalidades e
os meios de tratamento dos dados pessoais" (alínea d) do artigo 2.º) e por
"subcontratante", "a pessoa singular ou colectiva, a autoridade pública, o serviço ou
qualquer outro organismo que trata os dados pessoais por conta do responsável pelo
tratamento" (alínea e do artigo 2.°).
3.1. Papel da SWIFT
A SWIFT apresentou-se sempre como sendo "um mero intermediário de mensagens para
a transmissão de mensagens financeiras seguras e confidenciais entre instituições
financeiras. A SWIFT não é um banco nem detém contas de quaisquer clientes." Esta
posição constituiu igualmente a base em que assentaram as avaliações efectuadas por
algumas APD dos Estados-Membros quando autorizaram actividades de tratamento de
dados dos respectivos bancos.
15
Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000,
relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
instituições e pelos órgãos comunitários e à livre circulação desses dados ( JO L 8 de 12.1.2001, p. 1).
11
A estrutura do serviço internacional da SWIFT e as disposições contratuais entre a
SWIFT e as instituições financeiras são bastante complexas. O Grupo de Trabalho
sublinha, contudo, que este tipo de estrutura que prevê um prestador dos serviços que
colabora com outros intervenientes não é inédito. A estrutura SWIFT parece constituir
um exemplo de uma rede de cooperação formal. A SWIFT foi organizada em 1973 por
um grupo de bancos europeus que pretenderam desenvolver um novo método de envio
normalizado de ordens de pagamento a bancos correspondentes. Para o efeito, foi
estabelecida ao abrigo do direito belga uma empresa cooperativa de responsabilidade
limitada.
O Grupo de Trabalho recorda casos análogos de redes de cooperação, como as

Terminated Merchant Databases utilizadas pelo VISA e pelo Mastercard em cooperação
com instituições financeiras para analisar os riscos ligados à subscrição do sistema VISA
ou Mastercard por um dado comerciante16. O Grupo de Trabalho recorda igualmente os
casos de sistemas de compensação e execução de transacções e de sistemas de reserva de
bilhetes em que as agências de viagens e empresas de linhas aéreas, por um lado, e os
gestores desses sistemas (como o sistema Galileu), por outro, repartem as
responsabilidades.
Independentemente da relação contratual entre a SWIFT e as instituições financeiras no

âmbito do direito civil ou comercial, que pode envolver o termo "subcontratante", do
ponto de vista da protecção dos dados, a SWIFT não é um simples "subcontratante", na
acepção do artigo 2.° da Directiva, no que respeita ao tratamento normal de dados
pessoais para as suas finalidades comerciais habituais. Os factos indicam que a SWIFT
evoluiu nas últimas décadas e não se limita a agir em nome dos seus clientes. Mesmo que
se admitisse por um só instante que a SWIFT actuou como "subcontratante", esta
empresa assumiu responsabilidades específicas que vão além do conjunto de instruções e
deveres de um subcontratante e não podem ser consideradas compatíveis com o seu
alegado estatuto de mero "subcontratante"17. A Direcção da SWIFT opera no contexto de
uma rede de cooperação formal que determina as finalidades e os meios de tratamento de
dados no âmbito do serviço SWIFTNet e quais os dados pessoais que são tratados nesse
âmbito. A Direcção da SWIFT decide autonomamente o grau de informação fornecido às
instituições financeiras no que respeita ao tratamento. A Direcção da SWIFT pode
determinar as finalidades e os meios do tratamento mediante o desenvolvimento,
comercialização e alteração dos serviços SWIFT novos ou existentes e do processamento
de dados, por exemplo ao determinar normas aplicáveis aos seus clientes relativamente à
forma e conteúdo das ordens de pagamento, sem que seja necessário o consentimento das
instituições financeiras. A SWIFT também cria valor acrescentado em relação ao
tratamento de dados pessoais, como sucede com o armazenamento e a validação de dados
pessoais e a protecção de dados pessoais com um elevado nível de segurança. A Direcção
da SWIFT pode tomar decisões críticas no que diz respeito ao tratamento, como sucede
em relação às normas de segurança e ao local dos seus centros operacionais. Por último,
a Direcção da SWIFT negocia e conclui com autonomia plena os seus acordos de
16
Ver, por exemplo, "Orientações relativas às Terminated Merchant Databases " do Grupo de Trabalho
do artigo 29.°: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2005-01-11-
fraudprevention_en.pdf.
17
Os subcontratantes de dados devem em todo o caso respeitar a Directiva: ver, por exemplo, o n.º 3 do
artigo. 17.º relativo a medidas de segurança.
12
serviços e elabora e altera os seus vários documentos e políticas contratuais18. O que
acaba de ser exposto refere-se aos meios práticos e legais de tratamento.
No que respeita à transferência de dados pessoais para o UST, a SWIFT decidiu cumprir
as intimações dos EUA. Tomou igualmente a iniciativa de negociar de forma não
transparente, através de correspondência e de um ofício de arquivamento com o UST, as
condições de transmissão dos dados pessoais ao UST. Decidiu deliberadamente não
informar sobre esta negociação as instituições financeiras em causa. Na realidade, os
mecanismos de controlo obtidos e utilizados pela SWIFT desvirtuaram a finalidade e o
âmbito da transferência de dados para o UST. Estas acções excedem de longe as
capacidades normais de um subcontratante de dados, em virtude da sua pressuposta falta
de autonomia em relação às instruções do responsável pelo tratamento dos dados.
Embora a SWIFT se apresente como um subcontratante de dados, e alguns elementos

possam sugerir que, no passado, a SWIFT agiu em determinados casos como
subcontratante em nome das instituições financeiras, o Grupo de Trabalho, tendo em
conta a margem eficaz de manobra de que a empresa dispõe nas situações descritas
anteriormente, considera que a SWIFT é um responsável pelo tratamento, tal como
definido na alínea d) do artigo 2.° da Directiva, quer no que respeita ao tratamento
normal de dados pessoais no âmbito do seu serviço SWIFTNet, quer em relação ao
tratamento subsequente que envolve a transferência de dados pessoais para o UST.
3.2. Papel das instituições financeiras
É necessário avaliar o papel das instituições financeiras no âmbito da utilização do

serviço SWIFTNet FIN. Algumas instituições financeiras não foram plenamente
informadas pela SWIFT sobre o volume e as características exactas do tratamento e cópia
integral dos dados pessoais, incluindo a transferência subsequente dos dados pessoais
copiados para o UST. Contudo, após a divulgação destes factos a partir de 23 de Junho
de 2006, todas as instituições financeiras têm conhecimento desta situação quando
enviavam dados pessoais através do serviço SWIFTNet FIN para transferências
internacionais de dinheiro.
Pressupõe-se e espera-se que as instituições financeiras que recorrem à SWIFT

continuem a exercer alguma influência na política desta cooperativa. Algumas das
instituições financeiras estão representadas no Conselho de Administração da SWIFT e a
estrutura directiva actual desta empresa foi inicialmente concebida para permitir que os
bancos e as instituições financeiras exerçam influência nos processos decisórios da
SWIFT. Estas instituições devem, portanto, ser consideradas participantes na
determinação da finalidade e dos meios do tratamento, juntamente com a cooperativa de
que são membros. Têm igualmente contacto directo com as pessoas singulares
interessadas e desempenham um papel essencial na execução das ordens de pagamento
internacionais dos respectivos clientes.
18
A cláusula 4.5.3 dos termos e condições gerais específica: "pressupõe-se que o cliente aprovou um tal
tratamento…".
13
Importa igualmente recordar que as instituições financeiras são autónomas e que podem
ter objectivos próprios a nível interbancário. O Grupo de Trabalho observa que, no
tráfego interbancário, as instituições financeiras tomam frequentemente decisões cruciais
em relação à transmissão de dados pessoais à SWIFT, frequentemente sem o
conhecimento dos seus clientes, o que é comprovado pelos seguintes elementos:
• A nível interbancário, as instituições financeiras decidem frequentemente de

forma autónoma quais os meios a utilizar na execução das ordens de pagamento.
Podem utilizar ou desenvolver serviços alternativos ou serviços concorrentes para
a transmissão destas mensagens financeiras no âmbito do sistema interbancário
(por exemplo, correio electrónico, fax ou telefone). As decisões a este nível
determinam as características globais de confidencialidade no que respeita às
ordens de pagamento executadas pelas instituições financeiras. Dada a
diversidade dos serviços a nível interbancário, ao seleccionar um serviço
interbancário as instituições financeiras são livres de se nortear por elementos que
não se limitem à segurança da informação - a qual naturalmente constitui sempre
um requisito -, como a política de confidencialidade do prestador de serviços
profissional. As instituições financeiras podem aplicar a política de
confidencialidade restrita de um dado fornecedor ou recorrer como garantia a
uma solução do tipo de uma rede privada virtual para preservar o mais possível a
confiança dos seus clientes e nos seus serviços.
• As instituições financeiras subscrevem e aceitam o quadro contratual do serviço
SWIFTNet FIN19. A documentação contratual (política de consulta de dados20) e
a política de observância da SWIFT informam os seus clientes sobre o princípio
geral da transferência de dados pessoais na sequência de intimações dirigidas aos
próprios ou à SWIFT. De acordo com o parecer da APD belga, a SWIFT alegou
que o número de intimações às instituições financeiras podia ascender aos
milhares, ou até mesmo às dezenas de milhares, por ano. É, portanto, duvidoso
que as instituições financeiras que desenvolvem a sua actividade no mercado dos
pagamentos internacionais não tenham conhecimento do princípio geral das
intimações.
• As instituições financeiras devem avaliar as possíveis implicações e riscos para a
vida privada, incluindo os riscos para a vida privada dos seus clientes, no que
respeita ao serviço SWIFTNet FIN que subscrevem na sua qualidade de
prestadores de serviços profissionais. É, por conseguinte, importante verificar se a
política de confidencialidade da instituição que emite a ordem prevê cláusulas
referentes a estes riscos.
• Dado o facto de estarem a agir em nome dos seus clientes que enviam ordens de
pagamento, as instituições financeiras não estão autorizadas a transmitir os dados
necessários para finalidades diferentes da simples transferência de pagamentos.
19
Uma parte da documentação contratual é o "Manual do utilizador SWIFT" que inclui os tipos de
mensagens normalizadas a utilizar.
20
Esta política estabelece: "Para evitar quaisquer dúvidas, esta política e, de uma forma mais geral, as
obrigações de confidência da SWIFT para com os seus clientes, não devem ser de forma alguma
interpretadas como um impedimento para a SWIFT da consulta, utilização ou divulgação de dados de
tráfego ou de mensagens a fim de cumprir adequadamente intimações bona fide ou quaisquer outros
processos jurídicos desencadeados por um tribunal ou uma outra autoridade competente". Cf. parecer
da APD belga, D.2, nota de rodapé 8.
14
Se uma instituição financeira tiver conhecimento de que a SWIFT também utiliza
dados que lhe foram confiados para efeitos que não se limitem à simples
transferência de pagamentos e continuar não obstante a utilizar os serviços desta
empresa, levanta-se a questão da base jurídica de tal transferência e utilização: a
menos que haja um acordo especial entre a instituição financeira e os seus
clientes, não se afigura adequado confiar dados bancários à SWIFT para
finalidades que não sejam o simples serviço acordado.
Por conseguinte, as instituições financeiras são não só responsáveis pelo tratamento, na
acepção da alínea d) do artigo 2.° da Directiva, no que respeita às suas próprias
actividades de tratamento de dados, como também são parcialmente responsáveis pelas
actividades de tratamento de dados da SWIFT. O facto de a estrutura directiva da
cooperativa SWIFT parecer ter evoluído ao longo do tempo, a ponto de a Direcção da
SWIFT se ter tornado mais independente do que se pretendia inicialmente, não obsta a
que os seus fundadores, ou seja, as instituições financeiras, mantenham a sua qualidade
de responsáveis pelo tratamento de dados na acepção da directiva.
Com base nos elementos acima referidos, o Grupo de Trabalho considera existirem
elementos suficientes de apoio ao seu parecer de que há uma responsabilidade partilhada
entre as instituições financeiras e a cooperativa SWIFT, em que estão representadas, no
que respeita ao tratamento de dados pessoais por intermédio do serviço SWIFTNet FIN.
No entanto, responsabilidade conjunta não significa necessariamente responsabilidade
igual. Embora incumba à SWIFT a principal responsabilidade pelo tratamento de dados
pessoais no âmbito do serviço SWIFTNet FIN, cabe igualmente às instituições
financeiras alguma responsabilidade pelo tratamento de dados pessoais dos seus clientes
no âmbito deste serviço.
3.3. Papel dos bancos centrais
Há que a analisar o envolvimento dos bancos centrais, tomando em consideração os

vários papéis que desempenham no que respeita à SWIFT e à supervisão dos pagamentos
financeiros. Em primeiro lugar, a SWIFT está sujeita à supervisão múltipla dos bancos
centrais do Grupo dos Dez Países (G-10)21. A supervisão destina-se essencialmente a
garantir que a SWIFT dispõe de controlos e processos eficazes para gerir os riscos para a
estabilidade financeira e a solidez das infra-estruturas financeiras. Além disso, os
"supervisores analisam a identificação e limitação dos riscos operacionais por parte da
SWIFT, podendo analisar igualmente riscos jurídicos, a transparência das disposições e
as políticas em matéria de acesso dos clientes. A direcção estratégica da SWIFT pode
também ser debatida com o Conselho de Administração e os quadros superiores"22. O
principal instrumento de supervisão da SWIFT é a influência e a pressão que podem ser
exercidas pela autoridade de supervisão ("persuasão moral"). Os supervisores podem
formular recomendações à SWIFT; no entanto, é também claro que a supervisão da
21
O G-10 integra o Banco Nacional da Bélgica, o Banco do Canadá, a Deutsche Bundesbank, o Banco
Central Europeu, a Banque de France, a Banca d' Italia, o Banco do Japão, o Nederlandsche Bank, o
Sveriges Riksbank, o Banco Nacional Suíço, o Banco de Inglaterra e o Sistema de Reserva Federal
(EUA), representado pelo Banco da Reserva Federal de Nova Iorque e pelo Conselho Superior do
Sistema de Reserva Federal.
22
Análise da estabilidade financeira 2005, publicada pelo Banco Nacional da Bélgica e disponível no
seu sítio Web: www.nbb.be.
15
SWIFT não confere a esta cooperativa qualquer espécie de certificação, aprovação ou
autorização por parte dos bancos centrais.
As disposições relativas ao tratamento confidencial da informação não pública constam

dos memorandos de entendimento entre a SWIFT e os bancos centrais.
O G-10 foi informado em 2002 sobre as transferências de dados para as autoridades dos
EUA. O Grupo considerou, porém, que esta questão ultrapassa o âmbito do seu papel de
supervisão. Além disso, muitos bancos centrais interpretaram os memorandos de
entendimento relativos à confidencialidade como um impeditivo à submissão desta
questão às autoridades competentes a nível nacional e europeu. Por conseguinte, o G-10
não só não abordou as consequências para a protecção dos dados das transferências para
as autoridades dos EUA, como também não informou as autoridades competentes nem
requereu que a SWIFT o fizesse.
Além disso, o Presidente do Banco Central Europeu (BCE) declarou na audição pública
no Parlamento Europeu que os bancos centrais do G-10 "não deram qualquer
beneplácito à SWIFT em relação ao seu cumprimento destas intimações. De facto, não
poderíamos ter dado tal autorização ainda que o quiséssemos, dado tratar-se de uma
questão que não é da nossa competência. Por conseguinte, a SWIFT é a única
responsável pelas suas decisões". 23
Em segundo lugar, importa sublinhar que o limitado papel actualmente desempenhado
pelos bancos centrais na supervisão da SWIFT não exclui que um banco central também
seja considerado - como qualquer outra instituição financeira que utiliza o serviço
SWIFTNet - responsável (conjunto) pelo tratamento sempre que aja como cliente da
SWIFT (ver ponto 3.2), se forem tratados dados pessoais para efeitos de transacções
interbancárias. Nesta perspectiva, o facto de alguns dos bancos centrais terem sido
informados das transferências de dados para as autoridades dos EUA poderá ser
considerado relevante para determinar a sua responsabilidade como utilizadores do
sistema SWIFT.
4. AVALIAÇÃO DA COMPATIBILIDADE COM AS REGRAS DE PROTECÇÃO DE DADOS
4.1. Aplicação dos princípios da qualidade e da proporcionalidade dos dados

(artigo 6.° da Directiva)
Em conformidade com o artigo 6.º da Directiva, os dados pessoais devem ser objecto de
um tratamento leal e lícito24, devem ser recolhidos para finalidades determinadas,
explícitas e legítimas25 e não devem ser tratados de forma incompatível com a finalidade
para que foram recolhidos. Além disso, os dados tratados devem ser adequados,
pertinentes e não excessivos relativamente às finalidades para que são recolhidos e/ou
23
Jean-Claude Trichet: Declaração do Presidente do BCE na audição pública no Parlamento Europeu
sobre a intercepção de dados de transferência bancárias do sistema SWIFT pelos serviços secretos dos
EUA.
24
Nº 1, alínea a), do artigo 6º da Directiva.
25
Nº 1, alínea b), do artigo 6º da Directiva.
16
tratados posteriormente26. Em conjunto, estas últimas regras são denominadas "princípio
da proporcionalidade". Por último, devem ser tomadas todas as medidas razoáveis para
assegurar que os dados inexactos ou incompletos sejam apagados ou rectificados27.
4.1.1. Finalidade comercial
Os dados pessoais foram recolhidos pelas instituições financeiras apenas para efeitos de
tratamento das ordens de pagamento dos seus clientes e subsequentemente pela SWIFT
para a execução do serviço SWIFTNet FIN (finalidade comercial). Esta finalidade
comercial do tratamento de dados pessoais pode ser, portanto, considerada a única
finalidade específica, explícita e legítima.
Relativamente à transferência de dados pessoais para países terceiros, consultar a secção

4.6.
4.1.2. Tratamento posterior para fins incompatíveis
aa) Os dados pessoais não podem ser tratados para fins incompatíveis com a finalidade
original. Ao decidir copiar integralmente todo o tratamento de dados para o centro
operacional dos EUA, a SWIFT colocou-se numa situação previsível, estando sujeita a
intimações ao abrigo da legislação americana.
No caso em apreço, a SWIFT recebeu intimações emitidas pelo UST com vista a
alegadas investigações de casos de terrorismo. Esta nova finalidade é completamente
diferente da finalidade inicial e do correspondente tratamento de dados pessoais em
causa, podendo ter consequências directas para os indivíduos cujos dados pessoais estão
a ser tratados. Esta nova finalidade também não é compatível com a finalidade inicial,
exclusivamente comercial, para que os dados pessoais foram recolhidos.
A SWIFT estava consciente desta nova finalidade. A Direcção da SWIFT aprovou-a e

cooperou. A SWIFT não divulgou esta finalidade aos utilizadores dos seus serviços nem
a nenhuma autoridade de controlo da protecção de dados.
bb) Foi igualmente confirmada a transferência maciça de dados entre a SWIFT e o UST,
sem que fosse efectivamente possível verificar o carácter individualizado dos dados
solicitados. De acordo com a SWIFT, todas as mensagens financeiras podiam ser
analisadas pelo UST através do sistema de "caixa negra". Este sistema permite ao UST
aceder por intermédio desta caixa a todas as mensagens – e aos dados pessoais nelas
contidos – que entenda serem necessários.
O Grupo de Trabalho sublinha que, mesmo para efeitos das alegadas investigações de
casos de terrorismo, a SWIFT, para observar plenamente os princípios da protecção de
dados, apenas deve transferir caso a caso dados específicos e individualizados. Como
26
Nº 1, alínea c), do artigo 6º da Directiva.
27
Nº 1, alínea d), do artigo 6º da Directiva.
17
isso não sucede, a prática actual não é proporcional e viola, portanto, o n.º 1, alínea c), do
artigo 6.° da Directiva.
cc) O artigo 13.° estabelece que "Os Estados-Membros podem tomar medidas
legislativas destinadas a restringir o alcance das obrigações e direitos referidos no nº 1 do
artigo 6º [princípio da limitação da finalidade], no artigo 10º, no nº 1 do artigo 11º [dever
de informar a pessoa em causa], e nos artigos 12º [direito de acesso] e 21º [publicidade
dos tratamentos], sempre que tal restrição constitua uma medida necessária à protecção
[dos interesses públicos importantes que enumera em seguida], como (c) da segurança
pública; d) da prevenção, investigação, detecção e repressão de infracções penais [...]; f)
de missões de controlo, de inspecção ou de regulamentação associadas, ainda que
ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d)
e e);".
O Tribunal de Justiça das Comunidades Europeias (TJCE) interpretou estas disposições.

Nos processos apensos C-465/00, C-138/01 e C-139/01 ("Rechnungshof") de 20 de Maio
de 2003, o Tribunal esclareceu que a comunicação a terceiros, incluindo às
administrações públicas, de dados obtidos inicialmente para fins "económicos",
"constitui uma ingerência, na acepção do artigo 8.° da Convenção Europeia dos Direitos
do Homem". Além disso, as derrogações ao princípio da limitação da finalidade
estabelecido na Directiva Protecção de Dados devem respeitar o artigo 13.° dessa mesma
directiva e, para o efeito, é necessário que se justifiquem à luz do artigo 8.° da CEDH
(Rechnungshof, C-465/00, ponto 68 e seguintes).
De acordo com a Convenção, para que se justifique uma ingerência no direito à vida
privada, é necessário que esteja "prevista na lei" e constitua uma providência que, "numa
sociedade democrática, seja necessária" para um objectivo de interesse público. A
jurisprudência de Estrasburgo sublinhou repetidamente que a lei que estabelece a
ingerência "deve indicar o âmbito dos poderes conferidos às autoridades competentes e
indicar de modo suficientemente claro a forma de os exercer, tendo em conta o objectivo
legítimo da medida em questão, para facultar uma protecção individual adequada em
relação a ingerências arbitrárias."
Contudo, estas disposições não podem ser invocadas, uma vez que a SWIFT não
observou a legislação belga em relação a estas questões28.
dd) O Grupo de Trabalho sublinha além disso que existem estruturas legais a nível
governamental e que os sistemas devem ser utilizados em conformidade com o princípio
do segredo bancário. Remete a este propósito para as 40+9 recomendações do Grupo de
Trabalho Acção Financeira (FATF/GAFI), um organismo intergovernamental instituído
em 1989 a fim de desenvolver e promover políticas nacionais e internacionais de luta
contra o branqueamento de capitais e o financiamento do terrorismo. O Grupo de
Trabalho recorda igualmente o sistema de intercâmbio de informações financeiras
instituído entre as células nacionais de informações financeiras de 96 países (Egmont
Secure Web, ESW), coordenado pelo FinCEN nos Estados Unidos. Neste quadro, é
28
Cf. parecer da APD belga, nota de rodapé 8.
18
possível fornecer informações financeiras à parte requerente em conformidade com as
regras nacionais do país que transmite as informações.
O Grupo de Trabalho lembra igualmente a existência de mecanismos de cooperação

instituídos ou desenvolvidos no âmbito do terceiro pilar (cooperação judicial e policial),
nomeadamente os acordos internacionais assinados em 25 de Junho de 2003 entre os
EUA e a UE sobre a assistência jurídica mútua29 e, ainda que sem uma ligação tão directa
a esta questão, o Acordo Internacional sobre a Extradição. Embora estes Tratados não
tenham sido ainda ratificados, em conformidade com o artigo 18.° da Convenção de
Viena sobre o Direito dos Tratados30, um Estado deve abster-se de actos que privem um
tratado do seu objecto ou do seu fim quando assinou o tratado ou trocou os instrumentos
constitutivos do tratado sob reserva de ratificação, aceitação ou aprovação, enquanto não
manifestar a sua intenção de não se tornar Parte no tratado.
Por conseguinte, ao decidir copiar integralmente todas as operações de tratamento de

dados num centro operacional nos EUA, a SWIFT colocou-se numa situação previsível
em que está sujeita a intimações ao abrigo da legislação dos EUA e em que o tratamento
de dados pessoais foi organizado de uma forma que parece contornar as estruturas e os
acordos internacionais já em vigor.
Em termos gerais, o Grupo de Trabalho considera que não são respeitados os princípios
da limitação e compatibilidade da finalidade, da proporcionalidade e da necessidade dos
dados pessoais tratados.
4.2. Legitimidade (artigo 7.° da Directiva)
Para que o tratamento de dados pessoais seja legal, é necessário que seja legítimo e
satisfaça uma das condições estabelecidas no artigo 7.° da Directiva.
4.2.1. Necessidade para a execução de um contrato (alínea b) do artigo 7.°

da Directiva)
A SWIFT trata os dados pessoais constantes das mensagens do serviço SWIFTNet Fin
por forma a executar ordens de pagamento que recebe apenas das instituições financeiras.
Contudo, mesmo que neste contexto tal tratamento com esta finalidade comercial
pudesse ser considerado necessário para a execução do acordo entre a SWIFT e as
instituições financeiras em causa, a forma como foi efectuado, copiando os dados
pessoais para o centro operacional dos EUA, não é aceitável por outros motivos,
analisados no ponto 4.6.
29
"Acordo entre a União Europeia e os Estados Unidos da América sobre extradição"e "Acordo entre a
União Europeia e os Estados Unidos da América sobre auxílio judiciário mútuo".
http://eur-lex.europa.eu/LexUriServ/site/pt/oj/2003/l_181/l_18120030719pt00270033.pdf e
http://europa.eu.int/eur-
lex/pri/pt/oj/dat/2003/l_181/l_18120030719pt00340042.pdf#search=%22Agreement%20on%20mutua
l%20legal%20assistance%20between%20the%20european%20union%22
30
Convenção de Viena sobre o Direito dos Tratados, de 23 de Maio de 1969. Os Estados Unidos
assinaram esta Convenção.
19
4.2.2. Necessidade para cumprir uma obrigação legal à qual o
responsável pelo tratamento esteja sujeito (alínea c) do artigo 7.° da
Directiva)
O tratamento e cópia integral podem ter sido necessários para o cumprimento de uma
obrigação legal à qual o responsável pelo tratamento está sujeito.
A SWIFT, com sede na Bélgica, não invocou formalmente uma base jurídica no âmbito
do direito belga ou europeu para este tratamento específico. O Grupo de Trabalho
sublinha além disso que o direito belga ou europeu não impõe quaisquer obrigações
legais em relação a esta actividade específica de tratamento de dados. O Grupo de
Trabalho também já referiu no seu "Parecer SOX"31 que "a obrigação imposta por um
estatuto ou regulamento legal estrangeiro (…) não pode ser considerada uma obrigação
legal que legitime o tratamento de dados na UE. Qualquer outra interpretação
permitiria à legislação de países terceiros contornar o disposto nas regras da UE
estabelecidas na Directiva". O Grupo de Trabalho considera que este raciocínio se aplica
também integralmente a este caso.
A alínea c) do artigo 7.° da Directiva não pode ser, portanto, utilizada para justificar o
tratamento e cópia integral de dados pessoais no caso em apreço.
4.2.3. Necessidade para prosseguir interesses legítimos do responsável

pelo tratamento (alínea f) do artigo 7.° da Directiva)
Nos termos da alínea f) do artigo 7.º da Directiva, o tratamento ou a cópia integral podem
ser necessários para prosseguir interesses legítimos do responsável pelo tratamento ou do
terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os
interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao
abrigo do n.º 1 do artigo 1º.
Coloca-se a questão de saber se a alínea f) do artigo 7.° da Directiva pode ser invocada
para justificar o tratamento e a cópia integral, resultando desse facto que as operações de
tratamento no seu centro operacional dos EUA fiquem sujeitas a intimações dos EUA.
É inegável que a SWIFT tem um interesse legítimo em cumprir intimações ao abrigo da

legislação dos EUA. Caso contrário, correria o risco de sanções ao abrigo dessa mesma
legislação. Por outro lado, é igualmente essencial encontrar e respeitar "um equilíbrio
adequado" entre o risco de a SWIFT ser objecto de sanções dos EUA por eventual
incumprimento de intimações e a protecção dos direitos individuais.
A alínea f) do artigo 7.º da Directiva requer que seja estabelecido um equilíbrio entre o
interesse legítimo que se pretende prosseguir com o tratamento dos dados pessoais e os
direitos fundamentais das pessoas em causa. Este equilíbrio de interesses deve atender a
questões de proporcionalidade, de subsidiariedade e de gravidade das alegadas infracções
31
Parecer 1/2006 sobre a aplicação das regras europeias em matéria de protecção de dados aos sistemas
internos de denúncia de infracções nos domínios da contabilidade, dos controlos contabilísticos
internos, da auditoria, da luta contra a corrupção e do crime bancário e financeiro.
20
que podem ser notificadas, bem como às consequências para as pessoas em causa. Neste
contexto de estabelecimento de um equilíbrio de interesses, impõe-se a instituição de
salvaguardas adequadas. Mais especificamente, o artigo 14.º da Directiva determina que,
quando o tratamento dos dados se justifica pela alínea f) do artigo 7.º, em qualquer altura
as pessoas poderão exercer o direito de se opor ao tratamento dos seus dados.
A SWIFT efectuou o tratamento e a cópia integral dos seus dados de forma "oculta,
sistemática, maciça e a longo prazo"32, sem ter especificado a finalidade incompatível
adicional aquando do tratamento de dados e sem indicar esta última finalidade aos
utilizadores dos seus serviços. Este tratamento e cópia integral adicional com vista a uma
finalidade incompatível poderia ter consequências muito importantes para qualquer
pessoa.
O Grupo de Trabalho considera, portanto, que os interesses das muitas pessoas em causa
em termos de direitos e liberdades fundamentais prevalecem em relação ao interesse da
SWIFT em não ser sancionada pelos EUA por eventual incumprimento das intimações.
4.3. Prestação de informações claras e exaustivas sobre o regime (artigos

10.º e 11.º da Directiva)
Em conformidade com os artigos 10.° e 11.° da Directiva, o responsável pelo tratamento

é obrigado a informar as pessoas em causa sobre a existência, objectivo e funcionamento
do respectivo tratamento de dados, os destinatários dos dados pessoais e o direito de
acesso, rectificação e supressão pela pessoa em causa. Todos os clientes das instituições
financeiras, independentemente da sua nacionalidade ou país de residência, têm o direito
de saber o que sucede aos seus dados "confidenciais".
O Grupo de Trabalho observa que estas informações referentes ao tratamento e cópia

integral no centro operacional dos EUA não foram fornecidas pela SWIFT nem pelas
instituições financeiras em causa.
Em conformidade com o artigo 13.° da Directiva, os Estados-Membros da UE podem

adoptar medidas legislativas destinadas a restringir o alcance de algumas das obrigações
e direitos previstos na directiva. Tal restrição deve constituir uma medida necessária de
salvaguarda, por exemplo com vista à prevenção, investigação, detecção e repressão de
infracções penais ou de infracções à deontologia de profissões regulamentadas, numa
base casuística e apenas se essa ingerência se justificar na perspectiva do artigo 8.° da
Convenção Europeia dos Direitos do Homem. No entanto, uma operação como esta,
geral, longa e em larga escala, sem que tenham sido apresentadas quaisquer informações,
não está em conformidade com o artigo 13.°.
4.4. Cumprimento da obrigação de notificação (artigos 18.° a 20.° da

Directiva)
Os responsáveis pelo tratamento de dados devem cumprir os requisitos dos artigos 18.° a
20.° da Directiva Protecção de Dados no que respeita à notificação das suas actividades
32
21
de tratamento de dados às autoridades nacionais de protecção de dados ou ao seu
controlo prévio por estas mesmas autoridades.
Nos Estados-Membros em que tais procedimentos estão previstos, as operações de

tratamento podem ser sujeitas ao controlo prévio das autoridades nacionais de protecção
de dados, uma vez que podem comportar riscos para os direitos e liberdades das pessoas
em causa. A avaliação das operações de tratamento para determinar se são abrangidas
pelo requisito do controlo prévio varia consoante a legislação nacional e a prática da
autoridade nacional competente.
O Grupo de Trabalho sublinha que a SWIFT notificou de facto alguns tipos de

tratamento à APD belga33, mas não notificou o tratamento e cópia integral no centro
operacional dos EUA no que respeita à execução das ordens internacionais de pagamento
nem à finalidade adicional.
4.5. Mecanismos de controlo
A criação nos Estados-Membros da UE de autoridades de controlo da protecção de dados

que exerçam as suas funções com total independência constitui um elemento essencial da
protecção das pessoas no que respeita ao tratamento de dados pessoais. Este princípio da
independência total da autoridade de controlo está consignado no artigo 28.° da
Directiva.
Devido à falta de informação da autoridade nacional de controlo de dados por parte da

SWIFT, das instituições financeiras e dos controladores, os mecanismos existentes de
controlo da protecção de dados previstos na Directiva não puderam ser aplicados com
eficácia. O Grupo de Trabalho lamenta que a SWIFT e as instituições financeiras não
tenham efectuado nenhuma consulta prévia, formal ou informal, das autoridades de
protecção dos dados em relação ao tratamento e cópia integral dos dados pessoais no
centro operacional dos EUA.
Os controlos efectuados pelas autoridades nacionais indicam que, no que respeita à

transferência de dados da SWIFT para o UST destinada à finalidade adicional, as
medidas de controlo aplicadas pela SWIFT consistiram sobretudo em controlos de
auditorias privadas efectuados por uma empresa de consultoria e em análises efectuadas
por empregados da SWIFT ("inspectores") que, por motivos de segurança, não foram
autorizados a notificar internamente pormenores dos resultados. A SWIFT referiu
igualmente que é controlada por um Comité Superior em que participam elementos
provenientes dos bancos centrais do G-10 e que a SWIFT informou os controladores em
relação a esta matéria.
Embora as medidas de controlo aplicadas pela SWIFT possam contribuir para aumentar a
segurança das actividades de tratamento de dados, o Grupo de Trabalho reafirma com
firmeza que nenhum mecanismo previsto pelos responsáveis pelo tratamento de dados
pode substituir o controlo das actividades de tratamento de dados por uma autoridade de
controlo pública e independente, tal como requerido pelo artigo 28.° da Directiva. Em
33
22
todo o caso, o grupo de controlo instituído pelos bancos centrais do G-10 declarou-se
incompetente para analisar quaisquer questões referentes à protecção de dados pessoais.
Por conseguinte, o Grupo de Trabalho condena o facto de os mecanismos existentes de

controlo independente pelas autoridades públicas de controlo do tratamento de dados
pessoais terem sido contornados no que respeita aos dados pessoais tratados por
intermédio do serviço SWIFTNet FIN.
4.6. Fluxos de dados transfronteiriços (artigos 25.° e 26.° da Directiva)
Aplicam-se os artigos 25.º e 26.º da Directiva 95/46/CE quando os dados pessoais são
transferidos para um país terceiro. Qualquer transferência de dados gerados no território
da UE destinados a ser utilizados fora do seu território deve ser objecto de uma avaliação
de adequação por força do disposto na Directiva. Além disso, as disposições da Directiva
ligadas à transferência de dados pessoais para países terceiros não podem ser aplicadas
separadamente de outras disposições da mesma. Como se menciona explicitamente no n.º
1 do artigo 25.º, estas disposições aplicam-se “sob reserva da observância das
disposições nacionais adoptadas nos termos das outras disposições da presente
directiva”. Significa isto que, independentemente das disposições existentes em matéria
de transferência de dados para países terceiros, é necessário respeitar as outras
disposições relevantes da Directiva34.
O funcionamento normal do serviço SWIFTNet FIN envolve um fluxo de dados
transfronteiriço contínuo e maciço, devido à localização dos centros operacionais da
SWIFT. Os centros operacionais da SWIFT não são entidades jurídicas distintas, mas sim
sucursais ("succursales") da empresa cooperativa estabelecida ao abrigo do direito belga.
As actividades de armazenamento e transmissão dos dois centros operacionais da SWIFT
na Europa e nos EUA processam-se nos seguintes moldes: as mensagens são decifradas
automaticamente nos centros operacionais para que a informação seja armazenada e
transmitida em poucos milissegundos. Este processo de "armazenagem e transmissão"
destina-se a validar (controlar a correcção ou a presença de letras/números nos campos
obrigatórios da mensagem) a informação (como garantir que está correctamente
preenchido o código de divisa da transferência, por exemplo o código "EUR") com base
em conteúdos normalizados. Durante este processo, por motivos de segurança (cópia de
segurança), a informação é igualmente armazenada durante 124 dias em ambos os
centros operacionais, que funcionam, portanto, como "cópias integrais" perfeitas, o que
assegura que a armazenagem de dados seja paralela e os dados sejam idênticos.
Para que a SWIFT possa tratar e copiar legalmente dados pessoais nos EUA necessita
primeiro que estes dados sejam transferidos da UE, nos termos da legislação belga
adoptada em conformidade com a Directiva, nomeadamente dos artigos 25.° e 26.°
relativos à transferência de dados pessoais para países terceiros. As transferências pela
SWIFT para os Estados Unidos devem, por conseguinte, ser analisadas tendo em conta
dois elementos: em primeiro lugar, o tratamento e cópia comercial de dados pessoais pela
SWIFT Belgium para o seu centro operacional nos EUA e, em segundo lugar, o
tratamento dos dados pelo UST para a finalidade adicional, tal como acordado pela
SWIFT.
34
Grupo de Trabalho do artigo 29.º: Documento de trabalho sobre uma interpretação comum do n.º 1 do
artigo 26.º da Directiva 95/46/CE, de 24 de Outubro de 1995. WP 114.
23
4.6.1. Protecção de dados adequada (n.º 1 do artigo 25.° da Directiva)
De acordo com o n.º ##2 do artigo 25.º da Directiva, a adequação do nível de protecção
oferecido por um país terceiro "será apreciada em função de todas as circunstâncias que
rodeiem a transferência ou o conjunto de transferências de dados; em especial, serão
tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou
tratamentos projectados, os países de origem e de destino final, as regras de direito,
gerais ou sectoriais, em vigor no país terceiro em causa, bem como as regras
profissionais e as medidas de segurança que são respeitadas nesse país."
Tendo em conta os critérios acima indicados e aplicando os princípios definidos no

documento de trabalho WP1235, o Grupo de Trabalho conclui que, actualmente, nos
EUA, só o "regime do porto seguro" prevê um nível de protecção adequado para as
transferências de dados da UE para organizações dos EUA que aderiram a este regime.
Todavia, ele não abrange os serviços financeiros36.
Por conseguinte, na sua qualidade de entidade jurídica belga, a SWIFT não podia invocar
o artigo 25.° da Directiva para o tratamento e cópia no centro operacional dos EUA.
4.6.2. Garantias adequadas apresentadas pelo receptor (n.º 2 do artigo

26.° da Directiva)
Ao abrigo do n.º 2 do artigo 26.º da Directiva, um Estado-Membro também pode

autorizar uma transferência ou um conjunto de transferências de dados pessoais para um
país terceiro que não assegure um nível de protecção adequado, desde que o responsável
pelo tratamento apresente “garantias suficientes de protecção da vida privada e dos
direitos e liberdades fundamentais das pessoas, assim como do exercício dos respectivos
direitos”. O n.º 2 do artigo 26.º também estabelece, na sua parte final, que essas garantias
“podem, designadamente, resultar de cláusulas contratuais adequadas”. Para facilitar a
utilização de cláusulas contratuais, a Comissão Europeia emitiu três decisões sobre este
tipo de cláusulas, duas das quais regulam as transferências entre responsáveis pelo
tratamento e a terceira regula essas transferências entre estes e os subcontratantes37.
Acresce que, para além da possibilidade de utilizar cláusulas contratuais para obter
garantias suficientes, o Grupo de Trabalho do artigo 29.º tem vindo a trabalhar
activamente desde 2003 na possibilidade de as empresas multinacionais utilizarem
“regras empresariais obrigatórias” para esse mesmo efeito38.
35
"Transferência de dados pessoais para países terceiros: aplicação dos artigos 25.° e 26.° da Directiva
comunitária relativa à protecção dos dados", adoptado pelo Grupo de Trabalho em 24 de Julho de
1998; http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/1998/wp12_pt.pdf.
36
Cf. http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm
37
No que respeita às transferências entre responsáveis pelo tratamento de dados, a Comissão emitiu um
primeiro conjunto de cláusulas contratuais-tipo em 15 de Junho de 2001. Subsequentemente, alterou
esta decisão para anexar um novo conjunto de cláusulas alternativas (Decisão de 27 de Dezembro de
2004). No tocante às transferências entre responsáveis pelo tratamento de dados e subcontratantes, a
Comissão emitiu um primeiro conjunto de cláusulas contratuais-tipo em 27 de Dezembro de 2001.
Todas estas cláusulas se podem consultar em:
http://ec.europa.eu/justice_home/fsj/privacy/modelcontracts/index_en.htm.
38
Cf. documento de trabalho WP74, “Transferência de dados pessoais para países terceiros: aplicação do
n.º 2 do artigo 26.º da Directiva comunitária relativa à protecção de dados às regras empresariais
24
Contudo, neste caso, a SWIFT não recorreu a estas possibilidades para o tratamento e
cópia integral que efectuou no centro operacional dos EUA39.
4.6.3. Derrogações (artigo 26.° da Directiva)
O n.º 1 do artigo 26.º da Directiva refere que as transferências internacionais de dados

pessoais para um país terceiro que não assegurem um nível de protecção adequado
podem realizar-se se for cumprida uma das condições enumeradas nas alíneas a) a f).
Como foi já indicado pelo Grupo no documento de trabalho WP1240 acima referido, a
interpretação do n.º 1 do artigo 26.º deve ser necessariamente estrita.
A este propósito, o Grupo de Trabalho sublinha que esta lógica é a mesma que preside ao
Protocolo adicional à Convenção 108 do Conselho da Europa. No relatório sobre este
protocolo pode ler-se que “cabe às partes determinar as derrogações ao princípio de um
nível adequado de protecção. As disposições nacionais devem, contudo, respeitar o
princípio inerente à legislação europeia de que as cláusulas relativas a excepções sejam
interpretadas de forma restritiva a fim de que a excepção não se transforme em regra”41.
As derrogações possíveis são, neste caso, as seguintes:
4.6.3.1. Consentimento da pessoa em causa (n.º 1, alínea a), do artigo 26.°

da Directiva)
Para que esta derrogação possa ser legalmente invocada, a pessoa em causa deve dar o
seu consentimento inequívoco à transferência proposta. Como já indicado pelo Grupo
num documento de trabalho anterior (WP 12), este consentimento, quaisquer que sejam
as circunstâncias em que é concedido, deve ser uma manifestação de vontade, livre,
específica e informada, tal como definida na alínea h) do artigo 2.º da Directiva42. A
pessoa em causa deve ser informada da transferência para um país terceiro sem um nível
de protecção adequado ou sem que tenham sido criadas salvaguardas apropriadas e pode
então decidir correr ou não o risco inerente.
A SWIFT não obteve o consentimento inequívoco das pessoas em causa para o

tratamento e cópia integral no centro operacional dos EUA e, por conseguinte, não pode
invocar o n.º 1, alínea a), do artigo 26.° da Directiva.
obrigatórias para as transferências internacionais de dados", adoptado pelo Grupo de Trabalho em 3 de

Junho de 2003 e documentos complementares WP107 e WP108.
39
Em todo o caso, se a SWIFT recorresse a estas possibilidades, o Grupo de Trabalho do artigo 29.°
recorda que, no que respeita às transferências de dados futuras, as derrogações em relação à legislação
aplicável de protecção dos dados não podem ir além das restrições necessárias numa sociedade
democrática.
40
Ver nota de rodapé 35.
41
Cf. relatório sobre o Protocolo Adicional à Convenção 108 relativa às autoridades de controlo e às
transferências de dados entre países, n.º 2, alínea a), do artigo 2.º; o documento pode ser consultado
em:
http://conventions.coe.int/Treaty/EN/Reports/Html/181.htm
42
25
4.6.3.2. Transferência necessária para a execução de um contrato entre a
pessoa em causa e o responsável pelo tratamento ou de diligências
prévias à formação do contrato decididas a pedido da pessoa em
causa (n.º 1, alínea b), do artigo 26.º da Directiva)
Esta derrogação significa que os dados transferidos devem ser realmente necessários para
a execução do contrato ou das diligências prévias à formação do contrato. Por este
motivo, o Grupo de Trabalho considera que esta condição não se verificou nas
transferências de dados da SWIFT para o centro operacional dos EUA, uma vez que a
SWIFT não tem uma relação contratual directa com a pessoa em causa. Além disso, esta
derrogação não pode ser aplicada a transferências de informação adicional não
necessárias para a finalidade da transferência ou a transferências para uma finalidade
diferente da execução do contrato. De modo mais geral, as derrogações das alíneas b) a
e) do n.º 1 do artigo 26.º permitem que apenas os dados necessários para a finalidade da
transferência sejam transferidos com base em derrogações individuais; para dados
adicionais, terão que ser encontrados outros meios de garantir a adequação.
4.6.3.3. Transferência necessária para a execução ou celebração de um

contrato celebrado ou a celebrar, no interesse da pessoa em causa,
entre o responsável pelo tratamento e um terceiro (n.º 1, alínea c),
do artigo 26.º da Directiva)
Tal como sucede com a derrogação ao abrigo do n.º 1, alínea b), do artigo 26.º, uma
transferência de dados para um país terceiro que não garanta uma protecção adequada
não pode ser abrangida pela derrogação prevista no n.º 1, alínea c), do artigo 26.º, a
menos que possa ser considerada verdadeiramente “necessária à execução ou celebração
de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o
responsável pelo tratamento e um terceiro”, e passe o correspondente “teste da
necessidade”. Este teste obriga à existência de uma relação estreita e substancial entre o
interesse da pessoa em causa e a finalidade do contrato43.
O Grupo de Trabalho considera que esta condição não pode ser aplicada a transferências
de dados pela SWIFT para o centro operacional nos EUA.
4.6.3.4. Transferência necessária ou legalmente exigida para a protecção de

um interesse público importante, ou para a declaração, o exercício
ou a defesa de um direito num processo judicial (n.º 1, alínea d), do
artigo 26.º da Directiva)
A SWIFT declarou que a cópia de dados de tratamento para os centros operacionais é

considerada um elemento crítico para o sistema financeiro mundial, que a cópia do
tratamento tinha sido proposta pelos controladores (bancos centrais do G-10) por motivos
de segurança e fiabilidade e que as infra-estruturas SWIFT seriam consideradas
essenciais para a indústria financeira global. A SWIFT alega que este motivo justificaria
a transferência com base no n.º 1, alínea d), do artigo 26.º da Directiva.
O Grupo de Trabalho não subscreve esta interpretação. Mesmo que se estabelecesse que
a cópia integral do tratamento a nível internacional (num continente diferente da Europa)
43
26
era "necessária ou legalmente exigida para a protecção de um interesse público
importante", na acepção do n.º 1, alínea d), do artigo 26.º da Directiva, seria sempre
possível copiar tal tratamento fora da UE ou do EEE num país com um nível de
protecção adequado. O Grupo de Trabalho pensa em países como a Argentina44 ou o
Canadá45, que decisões da Comissão Europeia indicam que satisfazem os requisitos da
Directiva. A cópia num país não pertencente à UE sem um nível adequado de protecção
dos dados não é necessária e não pode justificar-se com base no n.º 1, alínea d), do artigo
26.º.
Além disso, os dados pessoais, obtidos e tratados através da rede SWIFT com vista a
transferências internacionais de dinheiro que utilizam o código BIC ou "SWIFT", e
copiados nos EUA, foram fornecidos ao UST a partir do final de 2001 com base em
intimações ao abrigo da legislação dos EUA.
A plena rastreabilidade das transferências de fundos pode constituir um instrumento

especialmente importante e valioso a nível da prevenção, investigação, detecção e sanção
do branqueamento de capitais e do financiamento do terrorismo e foi objecto de
regulamentação no âmbito da legislação da UE46.
O Grupo de Trabalho reconhece que a luta contra o terrorismo constitui um objectivo

legítimo das sociedades democráticas no interesse da segurança do Estado e que para o
efeito podem ser adoptadas medidas que interfiram com o direito fundamental à
protecção dos dados pessoais. O Grupo de Trabalho recorda o seu compromisso pleno a
este propósito. Considera igualmente que os instrumentos internacionais prevêem de
facto um quadro jurídico apropriado que possibilita a cooperação internacional. Para o
efeito, o Grupo de Trabalho considera que devem ser aproveitadas as perspectivas já
oferecidas pelas formas de cooperação internacional já instituídas em relação à luta
contra o terrorismo e à investigação do terrorismo, assegurando simultaneamente o nível
requerido de protecção dos direitos fundamentais.
O Grupo de Trabalho sublinha no entanto que o n.º 1, alínea d), do artigo 26.º da
Directiva não se aplica, uma vez que a transferência não é necessária nem legalmente
exigida para a protecção do interesse público de um Estado-Membro da UE (Bélgica).
Sobre este ponto, os autores da Directiva previram claramente que só os interesses
públicos claramente identificados como tal pela legislação nacional aplicável aos
responsáveis pelo tratamento de dados estabelecidos na UE sejam válidos nesta
perspectiva. Qualquer outra interpretação contribuiria para que as autoridades
estrangeiras facilmente contornassem o requisito da protecção adequada no país
destinatário estabelecido na Directiva.
44
Decisão da Comissão C(2003)1731, de 30.Junho de 2003, JO L 168 de 5.7.2003.
45
Decisão 2002/2/CE da Comissão, de 20 de Dezembro de 2001, relativa à adequação do nível de
protecção proporcionado pela lei canadiana sobre dados pessoais e documentos electrónicos (JO L 2
de 4.1.2002, p. 13).
46
Por exemplo, através do Regulamento do Parlamento Europeu e do Conselho relativo às informações
sobre o ordenante que acompanham as transferências de fundos, adoptado em 8 de Novembro de 2006
e não ainda publicado; e proposta inicial da Comissão COM(2005)343.
27
4.6.3.5. Transferência necessária para proteger os interesses vitais da
pessoa em causa (n.º 1, alínea e), do artigo 26.º da Directiva)
Esta derrogação aplica-se a transferências que devem relacionar-se com o interesse

individual da pessoa em causa e, se os dados a transferir forem dados de saúde, devem
ser necessárias para um diagnóstico essencial. Não pode, portanto, ser utilizada para
justificar a transferência de dados médicos pessoais para uma finalidade como a
investigação médica em geral47.
A SWIFT não reivindicou que a transferência seja necessária para proteger os interesses
vitais das pessoas em causa no que respeita ao tratamento e cópia integral no centro
operacional dos EUA. O Grupo de Trabalho considera que, em todo o caso, esta
derrogação é irrelevante no âmbito desta questão. Não pode ser invocado o n.º 1, alínea
e), do artigo 26.º da Directiva.
4.6.4. Dados apurados
A SWIFT pode ter-se apoiado no n.º 2 do artigo 26.º da Directiva para proceder a uma
transferência legal de dados pessoais para o seu centro operacional nos EUA. No entanto,
a SWIFT decidiu transferir dados pessoais sem ter obedecido aos requisitos legais ao
abrigo do direito belga aplicáveis a tais transferências internacionais de dados.
A SWIFT não pode invocar nenhuma outra derrogação do artigo 26.° da Directiva.
No que respeita ao tratamento e cópia nos EUA, nem mesmo o tratamento e cópia
comerciais se processaram legalmente. O tratamento e cópia contínuos, dada a sua
finalidade adicional incompatível e a sua grande escala, não respeitam os limites do
necessário numa sociedade democrática e constituem mais um impeditivo à transferência
de dados pessoais para os EUA pela SWIFT.
5. CONCLUSÕES
Com base no acima referido, o Grupo de Trabalho considera que:
5.1. A Directiva 95/46/CE, relativa à protecção de dados na UE, é aplicável ao

intercâmbio de dados pessoais através do serviço SWIFTNet FIN;
5.2. A SWIFT e as instituições financeiras assumem uma responsabilidade

partilhada nos termos da directiva em relação ao tratamento de dados
pessoais através do serviço SWIFTNet FIN, cabendo à SWIFT a principal
responsabilidade e às instituições financeiras alguma responsabilidade pelo
tratamento dos dados pessoais dos seus clientes.
5.3. A SWIFT e as instituições financeiras da UE não respeitaram as disposições

da Directiva:
47
Documento de trabalho sobre uma interpretação comum do n.º 1 do artigo 26.º da Directiva 95/46/CE,
de 24 de Outubro de 1995,
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp114_pt.pdf.
28
5.3.1. SWIFT: No que respeita ao tratamento e cópia dos dados pessoais no
âmbito do serviço SWIFTNet FIN, a SWIFT, na sua qualidade de
responsável pelo tratamento de dados, deve cumprir as suas
obrigações ao abrigo da Directiva, incluindo o dever de apresentar
informações, o requisito de notificar o tratamento e a obrigação de
assegurar um nível de protecção adequado para cumprir os requisitos
aplicáveis às transferências internacionais de dados pessoais;
5.3.2. Instituições financeiras: As instituições financeiras da UE, na sua

qualidade de responsáveis pelo tratamento de dados, têm a obrigação
legal de se certificar de que a SWIFT cumpre inteiramente a lei,
nomeadamente a legislação em matéria de protecção dos dados, por
forma a assegurar a protecção dos seus clientes. As instituições
financeiras devem ter conhecimento suficiente dos vários sistemas de
pagamento e das suas características e riscos técnicos e legais. Se as
instituições financeiras não procurassem (suficientemente) obter tal
conhecimento, aceitariam riscos jurídicos e para os seus clientes de
grau significativo, infringindo o seu dever fundamental de prudência.
Mais especificamente, se alguns serviços, como o serviço SWIFTNet
FIN, implicarem transferências maciças para países sem protecção
adequada dos dados em termos do disposto na Directiva ou se for
provável que tais transferências constituem motivos específicos de
preocupação ou riscos para a vida privada, o Grupo de Trabalho
considera que é essencial que os clientes individuais das instituições
financeiras sejam informados pelas mesmas, na sua qualidade de
prestadores de serviços profissionais, em conformidade com os
requisitos de transparência da Directiva.
5.4. O Grupo de Trabalho considera que a falta de transparência e de

mecanismos de controlo adequados e eficazes em todo o processo de
transferência de dados pessoais em primeiro lugar para os EUA e
subsequentemente para o UST constitui uma infracção grave do disposto na
Directiva. Além disso, as garantias em relação à transferência de dados para
um país terceiro, tal como definidas na Directiva, e os princípios da
proporcionalidade e da necessidade são violados.
No tocante à comunicação de dados pessoais ao UST, o Grupo de Trabalho

considera que a transferência oculta, sistemática, maciça e a longo prazo de
dados pessoais da SWIFT para o UST de forma confidencial, não
transparente e sistemática, efectuada durante anos, sem motivos jurídicos
efectivos e sem a possibilidade de controlos independentes das autoridades
públicas de controlo da protecção de dados, constitui uma violação dos
princípios europeus fundamentais de protecção dos dados e não está em
conformidade com o direito belga e europeu. Encontra-se já disponível um
enquadramento internacional relativo à luta contra o terrorismo. As
possibilidades que proporciona deviam ter sido aproveitadas, assegurando
simultaneamente o nível requerido de protecção dos direitos fundamentais.
29
5.5. O Grupo de Trabalho recorda mais uma vez48 o compromisso das sociedades
democráticas de assegurar o respeito pelos direitos e liberdades
fundamentais das pessoas. O direito individual à protecção dos dados
pessoais constitui um destes direitos e liberdades fundamentais49. As
Directivas da Comunidade relativas à protecção dos dados pessoais
(Directivas 95/46/CE e 2002/58/CE) são parte integrante deste
compromisso50. Estas directivas destinam-se a assegurar, designadamente, o
respeito pelos direitos e liberdades fundamentais e pelo direito à vida
privada no que se refere ao tratamento dos dados pessoais e a contribuir para
o respeito dos direitos protegidos pelo artigo 8.° da Convenção Europeia dos
Direitos do Homem e pelo artigo 8.° da Carta dos Direitos Fundamentais da
União Europeia. Em todos estes instrumentos, estão previstas derrogações
para a luta contra a criminalidade, as quais devem, no entanto, respeitar
condições específicas.
6. MEDIDAS IMEDIATAS A TOMAR PARA MELHORAR A SITUAÇÃO ACTUAL
Face ao acima exposto, o Grupo de Trabalho apela, portanto, à adopção imediata

das acções que se seguem para melhorar a situação actual:
6.1. Cessação das infracções: A SWIFT e as instituições financeiras devem

cumprir as suas obrigações legais ao abrigo da legislação nacional e
europeia, o que inclui a adopção de medidas para assegurar que quaisquer
transferências de dados pessoais estejam em conformidade com a lei. Em
caso de incumprimento, os responsáveis pelo tratamento de dados devem
prever sanções impostas pelas autoridades competentes ao abrigo da
Directiva e da legislação nacional para assegurar o cumprimento.
6.2. Retorno a um tratamento de dados legal: O Grupo de Trabalho do artigo

29.° apela a que a SWIFT e as instituições financeiras adoptem
imediatamente medidas para corrigir a situação actualmente ilegal a fim de
que seja restabelecida uma situação em que as transferências internacionais
de dinheiro possam ser efectuadas cumprindo integralmente a legislação
relativa à protecção dos dados. O Grupo de Trabalho congratulou-se com o
facto de algumas autoridades de protecção dos dados estarem já a solicitar às
instituições financeiras que encontrem uma solução pronta.
6.3. Acções em relação à SWIFT: no que respeita a todas as suas actividades de

tratamento de dados, a SWIFT, na sua qualidade de responsável pelo
tratamento, deve adoptar as medidas necessárias para cumprir as suas
obrigações ao abrigo do direito belga de protecção dos dados que transpõe a
Directiva.
48
Parecer 10/2001 do Comité do artigo 29.º sobre a necessidade de adoptar uma abordagem equilibrada
na luta contra o terrorismo;
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2001_en.htm.
49
Ver, nomeadamente, o artigo 8.º Carta dos Direitos Fundamentais da União Europeia, assim como a
jurisprudência do Tribunal Europeu dos Direitos do Homem nos processos "Aman", de 16 de
Fevereiro de 2000, e "Rotaru", de 4 de Maio de 2000.
50
Ver considerandos 1, 2, 10 e 11 da Directiva 95/46/CE.
30
6.4. Acções em relação aos bancos centrais: A situação actual requer uma
clarificação do controlo da SWIFT. O Grupo de Trabalho recomenda que
sejam encontradas soluções apropriadas para que o controlo abranja
claramente o cumprimento designadamente das regras de protecção dos
dados, sem prejuízo das competências das autoridades nacionais de controlo
da protecção dos dados, assim como para assegurar que, se necessário, as
autoridades competentes sejam devida e oportunamente informadas. O
Grupo de Trabalho considera que o incumprimento da legislação de
protecção dos dados pode realmente minar a confiança dos consumidores
nos seus bancos e pode, portanto, afectar igualmente a estabilidade
financeira do sistema de pagamentos (risco de reputação). Obstáculos legais,
como a obrigação de segredo deontológico dos controladores, que possam
ser utilizados como argumento para limitar o controlo eficaz pelas
autoridades independentes de protecção dos dados, não devem ser invocados
num caso de possível violação dos direitos constitucionais ou dos direitos
humanos.
6.5. Acções no que respeita às instituições financeiras: Todas as instituições

financeiras da UE que recorrem ao serviço SWIFTNet Fin, incluindo os
bancos centrais, devem certificar-se de que, em conformidade com os artigos
10.° e 11.° da Directiva 95/46/CE, os seus clientes estejam correctamente
informados sobre a forma como os seus dados pessoais são tratados e sobre
os direitos que têm as pessoas em causa. Devem igualmente indicar que as
autoridades dos EUA poderão ter acesso a tais dados. As autoridades de
controlo da protecção dos dados devem reforçar estes requisitos para
garantir que sejam cumpridos por todas as instituições financeiras a nível
europeu e cooperar em matéria de notas informativas harmonizadas. O
Grupo de Trabalho do artigo 29.° recorda a este propósito o seu parecer
adoptado sobre disposições em relação a informações harmonizadas51.
Afigura-se igualmente adequado que as instituições financeiras e os bancos
centrais considerem soluções técnicas alternativas em relação aos
procedimentos actualmente utilizados, em conformidade com os princípios
da Directiva.
O Grupo de Trabalho sublinha igualmente o seguinte:
6.6. Preservação dos nossos valores fundamentais na luta contra a

criminalidade: O Grupo de Trabalho recorda que quaisquer medidas
tomadas na luta contra a criminalidade e o terrorismo não devem nem podem
limitar as normas de protecção dos direitos fundamentais que caracterizam
as sociedades democráticas. Um elemento fundamental na luta contra o
terrorismo é a garantia da preservação dos direitos fundamentais que estão
no cerne das sociedades democráticas e dos próprios valores que querem
destruir aqueles que advogam o recurso à violência.
51
Grupo de Trabalho do artigo 29.°, "Parecer sobre a prestação mais harmonizada da informação", de 25
de Novembro de 2004 (WP 100);
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2004/wp100_pt.pdf.
31
6.7. Princípios globais de protecção dos dados: O Grupo de Trabalho
considera essencial que os princípios de protecção dos dados pessoais,
incluindo o controlo por autoridades independentes de controlo, sejam
inteiramente respeitados em todos os enquadramentos de sistemas globais de
intercâmbio de informações.
O Grupo de Trabalho do artigo 29.° acompanhará e seguirá todas as situações

acima expostas.
Feito em Bruxelas, em 22 de Novembro de

2006
Pelo Grupo de Trabalho

O Presidente
Peter Schaar
32

Ec - Europa.eu Justice Article 29 Documentation Opinion Recommendation Files 2006 wp128 - PT

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Ec - Europa.eu Justice Article 29 Documentation Opinion Recommendation Files 2006 wp128 - PT

Enviado por

Direitos autorais:

Formatos disponíveis

Grupo de Trabalho do artigo 29.

Adoptado em 22 de Novembro de 2006

Sítio Web: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

6. MEDIDAS IMEDIATAS A TOMAR PARA MELHORAR A SITUAÇÃO

Instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de

Tendo em conta o seu regulamento interno, nomeadamente os artigos 12.º e 14.º,

Adoptou o seguinte parecer:

As autoridades independentes de controlo da protecção de dados na União Europeia2

Em finais de Junho e princípios de Julho de 2006, a imprensa europeia e americana

A SWIFT divulgou uma primeira declaração3, em 23 de Junho de 2006, na sequência

A Comissão Europeia decidiu acompanhar de perto este caso e solicitou, em Julho de

Por resolução de 6 de Julho de 20064, o Parlamento Europeu solicitou aos Estados-

Em 27 de Julho de 2006, o Presidente do Grupo de Trabalho do artigo 29.° anunciou que

A Autoridade Europeia para a Protecção de Dados apresentou alguns comentários

A nível nacional, as autoridades para a protecção dos dados contactaram os organismos

A Autoridade para a Protecção dos Dados da Bélgica efectuou um inquérito sobre a

1.2.1. Dados quantitativos sobre as actividades de tratamento de dados da

A SWIFT trata em média 12 milhões de mensagens por dia10. A título de exemplo, em

1.2.2. Categorias de dados tratados

As mensagens transmitidas através do serviço SWIFTNet FIN contêm dados pessoais,

1.2.3. Intimações pelo UST

Após os ataques terroristas de Setembro de 2001, o UST enviou múltiplas intimações

Ao abrigo da legislação americana, uma intimação administrativa é uma ordem de um

2. ENQUADRAMENTO APLICÁVEL EM MATÉRIA DE PROTECÇÃO DE DADOS

2.1. Aplicabilidade da Directiva 95/46/CE

2.2. Legislação aplicável à SWIFT

A sede da SWIFT está situada em La Hulpe, na Bélgica. A SWIFT dispõe igualmente de

2.3. Legislação aplicável às instituições financeiras

No que se refere às operações de tratamento em que as instituições financeiras que

3. PAPEL DA SWIFT E DAS INSTITUIÇÕES FINANCEIRAS

De acordo com a Directiva, o responsável pelo tratamento deve assegurar o cumprimento

Trata-se de determinar se a SWIFT e/ou as instituições financeiras devem ser

De acordo com as definições da Directiva, entende-se por "responsável pelo tratamento",

3.1. Papel da SWIFT

O Grupo de Trabalho recorda casos análogos de redes de cooperação, como as

Independentemente da relação contratual entre a SWIFT e as instituições financeiras no

Embora a SWIFT se apresente como um subcontratante de dados, e alguns elementos

3.2. Papel das instituições financeiras

É necessário avaliar o papel das instituições financeiras no âmbito da utilização do

Pressupõe-se e espera-se que as instituições financeiras que recorrem à SWIFT

• A nível interbancário, as instituições financeiras decidem frequentemente de

3.3. Papel dos bancos centrais

Há que a analisar o envolvimento dos bancos centrais, tomando em consideração os

As disposições relativas ao tratamento confidencial da informação não pública constam

4. AVALIAÇÃO DA COMPATIBILIDADE COM AS REGRAS DE PROTECÇÃO DE DADOS

4.1. Aplicação dos princípios da qualidade e da proporcionalidade dos dados

4.1.1. Finalidade comercial

Relativamente à transferência de dados pessoais para países terceiros, consultar a secção

4.1.2. Tratamento posterior para fins incompatíveis

A SWIFT estava consciente desta nova finalidade. A Direcção da SWIFT aprovou-a e

O Tribunal de Justiça das Comunidades Europeias (TJCE) interpretou estas disposições.

O Grupo de Trabalho lembra igualmente a existência de mecanismos de cooperação

Por conseguinte, ao decidir copiar integralmente todas as operações de tratamento de

4.2. Legitimidade (artigo 7.° da Directiva)

4.2.1. Necessidade para a execução de um contrato (alínea b) do artigo 7.°

4.2.3. Necessidade para prosseguir interesses legítimos do responsável

É inegável que a SWIFT tem um interesse legítimo em cumprir intimações ao abrigo da

4.3. Prestação de informações claras e exaustivas sobre o regime (artigos

Em conformidade com os artigos 10.° e 11.° da Directiva, o responsável pelo tratamento

O Grupo de Trabalho observa que estas informações referentes ao tratamento e cópia

Em conformidade com o artigo 13.° da Directiva, os Estados-Membros da UE podem

4.4. Cumprimento da obrigação de notificação (artigos 18.° a 20.° da