Escolar Documentos
Profissional Documentos
Cultura Documentos
01935/06/PT
WP128
Parecer 10/2006
sobre o tratamento de dados pessoais pela Sociedade das Telecomunicações
Financeiras Interbancárias no Mundo (Worldwide Interbank Financial
Telecommunication - SWIFT)
Este grupo de trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu
independente em matéria de protecção de dados e privacidade. As suas atribuições são descritas no artigo 30.º da
Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE.
O secretariado é assegurado pela Direcção C (Justiça Civil, Direitos Fundamentais e Cidadania) da Direcção-Geral
Justiça, Liberdade e Segurança da Comissão Europeia (B-1049 Bruxelas, Bélgica, Gabinete N.º LX46 -46/43).
3
ÍNDICE
1. CONTEXTO................................................................................................................ 6
1.1. Cronologia ......................................................................................................... 6
1.2. Factos 8
1.2.1. Dados quantitativos sobre as actividades de tratamento de
dados da SWIFT .................................................................................. 8
1.2.2. Categorias de dados tratados ............................................................... 9
1.2.3. Intimações pelo UST ........................................................................... 9
2. ENQUADRAMENTO APLICÁVEL EM MATÉRIA DE PROTECÇÃO DE
DADOS ..................................................................................................................... 10
2.1. Aplicabilidade da Directiva 95/46/CE ............................................................ 10
2.2. Legislação aplicável à SWIFT......................................................................... 10
2.3. Legislação aplicável às instituições financeiras .............................................. 11
3. PAPEL DA SWIFT E DAS INSTITUIÇÕES FINANCEIRAS ............................... 11
3.1. Papel da SWIFT .............................................................................................. 11
3.2. Papel das instituições financeiras .................................................................... 13
3.3. Papel dos bancos centrais ................................................................................ 15
4. AVALIAÇÃO DA COMPATIBILIDADE COM AS REGRAS DE
PROTECÇÃO DE DADOS ...................................................................................... 16
4.1. Aplicação dos princípios da qualidade e da proporcionalidade dos
dados (artigo 6.° da Directiva) ........................................................................ 16
4.1.1. Finalidade comercial ......................................................................... 17
4.1.2. Tratamento posterior para fins incompatíveis ................................... 17
4.2. Legitimidade (artigo 7.° da Directiva) ............................................................ 19
4.2.1. Necessidade para a execução de um contrato (alínea b) do
artigo 7.° da Directiva) ...................................................................... 19
4.2.2. Necessidade para cumprir uma obrigação legal à qual o
responsável pelo tratamento esteja sujeito (alínea c) do artigo
7.° da Directiva) ................................................................................ 20
4.2.3. Necessidade para prosseguir interesses legítimos do
responsável pelo tratamento (alínea f) do artigo 7.° da
Directiva)........................................................................................... 20
4.3. Prestação de informações claras e exaustivas sobre o regime (artigos
10.º e 11.º da Directiva)................................................................................... 21
4.4. Cumprimento da obrigação de notificação (artigos 18.° a 20.° da
Directiva)......................................................................................................... 21
4.5. Mecanismos de controlo.................................................................................. 22
4.6. Fluxos de dados transfronteiriços (artigos 25.° e 26.° da Directiva)............... 23
4
4.6.1. Protecção de dados adequada (n.º 1 do artigo 25.° da
Directiva)........................................................................................... 24
4.6.2. Garantias adequadas apresentadas pelo receptor (n.º 2 do
artigo 26.° da Directiva) .................................................................... 24
4.6.3. Derrogações (artigo 26.° da Directiva).............................................. 25
4.6.3.1. Consentimento da pessoa em causa (n.º 1, alínea
a), do artigo 26.° da Directiva)......................................... 25
4.6.3.2. Transferência necessária para a execução de um
contrato entre a pessoa em causa e o responsável
pelo tratamento ou de diligências prévias à
formação do contrato decididas a pedido da pessoa
em causa (n.º 1, alínea b), do artigo 26.º da
Directiva)........................................................................... 26
4.6.3.3. Transferência necessária para a execução ou
celebração de um contrato celebrado ou a celebrar,
no interesse da pessoa em causa, entre o
responsável pelo tratamento e um terceiro (n.º 1,
alínea c), do artigo 26.º da Directiva) .............................. 26
4.6.3.4. Transferência necessária ou legalmente exigida
para a protecção de um interesse público
importante, ou para a declaração, o exercício ou a
defesa de um direito num processo judicial (n.º 1,
alínea d), do artigo 26.º da Directiva) .............................. 26
4.6.3.5. Transferência necessária para proteger os
interesses vitais da pessoa em causa (n.º 1, alínea
e), do artigo 26.º da Directiva) ......................................... 28
4.6.4. Dados apurados ................................................................................. 28
5. CONCLUSÕES......................................................................................................... 28
5
O GRUPO DE PROTECÇÃO DAS PESSOAS SINGULARES NO QUE DIZ
RESPEITO AO TRATAMENTO DE DADOS PESSOAIS
Tendo em conta o artigo 29.º, bem como o n.º 1, alínea a), e o n.º 3 do artigo 30.º da
mesma directiva,
1. CONTEXTO
1.1. Cronologia
1
Jornal Oficial L 281 de 23.11.1995, p. 31, disponível em
http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm
2
Para além das autoridades da UE, também outras autoridades de controlo da protecção de dados
lançaram investigações sobre esta questão na Austrália, no Canadá, na Nova Zelândia, na Suíça e na
Islândia.
6
transferências internacionais de dinheiro que utilizam o código de identificação bancária
(a seguir denominado "BIC") ou o código "SWIFT", na sequência de intimações ao
abrigo da legislação americana relativa à investigação do terrorismo.
3
"Declaração SWIFT sobre a política de observância", publicada em
http://www.swift.com/index.cfm?item_id=59897
4
Resolução do Parlamento Europeu sobre a intercepção dos dados relativos às transferências bancárias
do sistema SWIFT pelos serviços secretos dos EUA (P6_TA-PROV(2006)0317)
5
Comunicados à imprensa do Grupo de Trabalho do artigo 29.°: Comunicado à imprensa do Grupo de
Trabalho do artigo 29.° no processo Swift, de 28/7/2006:
http://ec.europa.eu/justice_home/fsj/privacy/news/docs/PR_SWIFT_Affair_28_07_06_en.pdf;
Comunicado à imprensa sobre o processo SWIFT, de 27/9/2006;
http://ec.europa.eu/justice_home/fsj/privacy/news/docs/PR_Swift_Affair_26_09_06_en.pdf.
7
Em 4 de Outubro de 2006, numa audição pública efectuada pelas Comissões
Parlamentares das Liberdades Cívicas e dos Assuntos Económicos e Monetários do
Parlamento Europeu, a questão foi debatida com a participação, entre outros, do Director
Financeiro da SWIFT e do Banco Central Europeu6.
Com base nas informações obtidas durante estas investigações, o Grupo de Trabalho
pretende analisar o cumprimento por parte da SWIFT dos princípios de protecção de
dados constantes da Directiva e aplicados em todos os Estados-Membros por intermédio
das legislações nacionais de protecção de dados de âmbito muito vasto.
A SWIFT enviou ao Presidente do Grupo de Trabalho do artigo 29.° uma cópia das suas
respostas às APD belga, espanhola e francesa9.
1.2. Factos
6
O texto integral da audição pública pode ser consultado em
http://www.europarl.europa.eu/news/expert/infopress_page/017-11292-275-10-40-902-
20061002IPR11291-02-10-2006-2006-false/default_en.htm
7
http://www.edps.europa.eu/Press/EDPS-2006-10-EN%20swift.pdf
8
http://www.privacycommission.be/communiqu%E9s/AV37-2006.pdf
9
Carta da SWIFT à atenção do Presidente do Grupo de Trabalho do artigo 29.°, de 31 de Julho de
2006.
10
Relatório anual de 2005 da SWIFT; disponível em http://www.swift.com/index.cfm?item_id=59684.
8
transacções financeiras de centenas de milhares de cidadãos da UE. As instituições
financeiras europeias (e não apenas os bancos) utilizam o serviço SWIFTNet FIN para a
transferência para todo o mundo de mensagens relativas a transferências financeiras entre
instituições financeiras. Esta transferência ocorre independentemente de as mensagens
serem ou não tratadas na União Europeia (UE), no Espaço Económico Europeu (EEE) ou
num país terceiro.
Para além de serviços de venda em vários países, a SWIFT dispõe de dois centros
operacionais em sucursais SWIFT, uma num Estado-Membro da UE e outra nos Estados
Unidos. Nestes centros operacionais, como parte integrante do serviço SWIFTNet FIN,
todas as mensagens processadas pela SWIFT são armazenadas e copiadas por 124 dias, o
que constitui uma "ferramenta de recuperação de segurança" para os clientes em caso de
litígio entre as instituições financeiras ou de perda de dados. Após este período os dados
são apagados.
11
Audição da Subcomisão Terrorismo, Tecnologia e Segurança Nacional da Comissão Judicial do
Senado dos Estados Unidos: "Instrumentos da luta contra o terrorismo: Autoridade de Intimação e
Detenção Anterior ao Julgamento de Terroristas". Depoimento de Rachel Brand, Assistente Adjunta
Principal do Procurador-Geral , Serviço de Política Jurídica, Departamento de Justiça dos EUA, 22
de Junho de 2004; http://kyl.senate.gov/legis_center/subdocs/062204_brand.pdf
12
Cf. parecer da APD belga, B.2 (tradução inglesa não oficial), nota de rodapé 8.
9
A SWIFT negociou confidencialmente com o UST um acordo sobre o cumprimento das
intimações. Durante deste processo, a SWIFT alega ter recebido "garantias significativas
em relação à finalidade, confidencialidade, supervisão e controlo do volume limitado de
dados apresentados na sequência das intimações"13.
De acordo com os dados apurados pela APD belga, na prática a comunicação de dados
pessoais ao UST pelo centro operacional SWIFT dos EUA processa-se em várias etapas.
Não se verifica uma extracção directa de dados individuais copiados da base de dados
SWIFT e, pelo contrário, a SWIFT negociou com o UST o estabelecimento de uma
"caixa negra" que permitiu a transferência de dados da base de dados SWIFT copiada
para a " caixa negra". Quando os dados já se encontram na "caixa negra", que é detida
pelos EUA, o UST procede a pesquisas orientadas.
Foram divulgados à APD na Bélgica e reflectidos no seu parecer mais pormenores sobre
a comunicação de dados pessoais ao UST14.
Uma vez que as mensagens que são transmitidas através do serviço SWIFTNet FIN
incluem dados pessoais, o Grupo de Trabalho considera que a Directiva é aplicável ao
tratamento de dados pessoais por intermédio desse serviço.
O Grupo de Trabalho sublinha que o facto de o tratamento de dados pessoais estar ligado
à prestação de um serviço não é relevante para a determinação do estatuto de uma
organização como responsável pelo tratamento de dados. As definições de "tratamento de
dados pessoais" e de "dados pessoais" constam claramente do artigo 2.° da Directiva.
Nos casos em que as actividades efectuadas por uma entidade estiverem abrangidas por
estas definições, a Directiva aplica-se e, por conseguinte, as actividades de tratamento de
dados devem respeitá-la plenamente.
O n.º 1, alínea a), do artigo 4.° da Directiva indica que cada Estado-Membro aplicará as
disposições nacionais adoptadas por força da Directiva ao tratamento de dados pessoais
quando "(…) o tratamento for efectuado no contexto das actividades de um
estabelecimento do responsável pelo tratamento situado no território desse Estado-
Membro".
13
"Declaração SWIFT sobre a política de observância", publicada em
http://www.swift.com/index.cfm?item_id=59897
14
Ver nota de rodapé 8.
10
Consequentemente, o tratamento de dados pessoais pela SWIFT está sujeito à legislação
belga que implementa a Directiva, independentemente do local em que se processe.
O Grupo de Trabalho sublinha que, uma vez que há dados pessoais que estão a ser
tratados em transacções financeiras relativas a centenas de milhares de cidadãos por
intermédio de instituições estabelecidas na UE (a cooperativa SWIFT e instituições
financeiras que utilizam o serviço SWIFTNet FIN), são aplicáveis as legislações
nacionais relativas à protecção de dados - adoptadas em aplicação da Directiva – dos
vários Estados-Membros em causa.
A SWIFT apresentou-se sempre como sendo "um mero intermediário de mensagens para
a transmissão de mensagens financeiras seguras e confidenciais entre instituições
financeiras. A SWIFT não é um banco nem detém contas de quaisquer clientes." Esta
posição constituiu igualmente a base em que assentaram as avaliações efectuadas por
algumas APD dos Estados-Membros quando autorizaram actividades de tratamento de
dados dos respectivos bancos.
15
Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000,
relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
instituições e pelos órgãos comunitários e à livre circulação desses dados ( JO L 8 de 12.1.2001, p. 1).
11
A estrutura do serviço internacional da SWIFT e as disposições contratuais entre a
SWIFT e as instituições financeiras são bastante complexas. O Grupo de Trabalho
sublinha, contudo, que este tipo de estrutura que prevê um prestador dos serviços que
colabora com outros intervenientes não é inédito. A estrutura SWIFT parece constituir
um exemplo de uma rede de cooperação formal. A SWIFT foi organizada em 1973 por
um grupo de bancos europeus que pretenderam desenvolver um novo método de envio
normalizado de ordens de pagamento a bancos correspondentes. Para o efeito, foi
estabelecida ao abrigo do direito belga uma empresa cooperativa de responsabilidade
limitada.
16
Ver, por exemplo, "Orientações relativas às Terminated Merchant Databases " do Grupo de Trabalho
do artigo 29.°: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2005-01-11-
fraudprevention_en.pdf.
17
Os subcontratantes de dados devem em todo o caso respeitar a Directiva: ver, por exemplo, o n.º 3 do
artigo. 17.º relativo a medidas de segurança.
12
serviços e elabora e altera os seus vários documentos e políticas contratuais18. O que
acaba de ser exposto refere-se aos meios práticos e legais de tratamento.
No que respeita à transferência de dados pessoais para o UST, a SWIFT decidiu cumprir
as intimações dos EUA. Tomou igualmente a iniciativa de negociar de forma não
transparente, através de correspondência e de um ofício de arquivamento com o UST, as
condições de transmissão dos dados pessoais ao UST. Decidiu deliberadamente não
informar sobre esta negociação as instituições financeiras em causa. Na realidade, os
mecanismos de controlo obtidos e utilizados pela SWIFT desvirtuaram a finalidade e o
âmbito da transferência de dados para o UST. Estas acções excedem de longe as
capacidades normais de um subcontratante de dados, em virtude da sua pressuposta falta
de autonomia em relação às instruções do responsável pelo tratamento dos dados.
18
A cláusula 4.5.3 dos termos e condições gerais específica: "pressupõe-se que o cliente aprovou um tal
tratamento…".
13
Importa igualmente recordar que as instituições financeiras são autónomas e que podem
ter objectivos próprios a nível interbancário. O Grupo de Trabalho observa que, no
tráfego interbancário, as instituições financeiras tomam frequentemente decisões cruciais
em relação à transmissão de dados pessoais à SWIFT, frequentemente sem o
conhecimento dos seus clientes, o que é comprovado pelos seguintes elementos:
19
Uma parte da documentação contratual é o "Manual do utilizador SWIFT" que inclui os tipos de
mensagens normalizadas a utilizar.
20
Esta política estabelece: "Para evitar quaisquer dúvidas, esta política e, de uma forma mais geral, as
obrigações de confidência da SWIFT para com os seus clientes, não devem ser de forma alguma
interpretadas como um impedimento para a SWIFT da consulta, utilização ou divulgação de dados de
tráfego ou de mensagens a fim de cumprir adequadamente intimações bona fide ou quaisquer outros
processos jurídicos desencadeados por um tribunal ou uma outra autoridade competente". Cf. parecer
da APD belga, D.2, nota de rodapé 8.
14
Se uma instituição financeira tiver conhecimento de que a SWIFT também utiliza
dados que lhe foram confiados para efeitos que não se limitem à simples
transferência de pagamentos e continuar não obstante a utilizar os serviços desta
empresa, levanta-se a questão da base jurídica de tal transferência e utilização: a
menos que haja um acordo especial entre a instituição financeira e os seus
clientes, não se afigura adequado confiar dados bancários à SWIFT para
finalidades que não sejam o simples serviço acordado.
Por conseguinte, as instituições financeiras são não só responsáveis pelo tratamento, na
acepção da alínea d) do artigo 2.° da Directiva, no que respeita às suas próprias
actividades de tratamento de dados, como também são parcialmente responsáveis pelas
actividades de tratamento de dados da SWIFT. O facto de a estrutura directiva da
cooperativa SWIFT parecer ter evoluído ao longo do tempo, a ponto de a Direcção da
SWIFT se ter tornado mais independente do que se pretendia inicialmente, não obsta a
que os seus fundadores, ou seja, as instituições financeiras, mantenham a sua qualidade
de responsáveis pelo tratamento de dados na acepção da directiva.
Com base nos elementos acima referidos, o Grupo de Trabalho considera existirem
elementos suficientes de apoio ao seu parecer de que há uma responsabilidade partilhada
entre as instituições financeiras e a cooperativa SWIFT, em que estão representadas, no
que respeita ao tratamento de dados pessoais por intermédio do serviço SWIFTNet FIN.
No entanto, responsabilidade conjunta não significa necessariamente responsabilidade
igual. Embora incumba à SWIFT a principal responsabilidade pelo tratamento de dados
pessoais no âmbito do serviço SWIFTNet FIN, cabe igualmente às instituições
financeiras alguma responsabilidade pelo tratamento de dados pessoais dos seus clientes
no âmbito deste serviço.
21
O G-10 integra o Banco Nacional da Bélgica, o Banco do Canadá, a Deutsche Bundesbank, o Banco
Central Europeu, a Banque de France, a Banca d' Italia, o Banco do Japão, o Nederlandsche Bank, o
Sveriges Riksbank, o Banco Nacional Suíço, o Banco de Inglaterra e o Sistema de Reserva Federal
(EUA), representado pelo Banco da Reserva Federal de Nova Iorque e pelo Conselho Superior do
Sistema de Reserva Federal.
22
Análise da estabilidade financeira 2005, publicada pelo Banco Nacional da Bélgica e disponível no
seu sítio Web: www.nbb.be.
15
SWIFT não confere a esta cooperativa qualquer espécie de certificação, aprovação ou
autorização por parte dos bancos centrais.
O G-10 foi informado em 2002 sobre as transferências de dados para as autoridades dos
EUA. O Grupo considerou, porém, que esta questão ultrapassa o âmbito do seu papel de
supervisão. Além disso, muitos bancos centrais interpretaram os memorandos de
entendimento relativos à confidencialidade como um impeditivo à submissão desta
questão às autoridades competentes a nível nacional e europeu. Por conseguinte, o G-10
não só não abordou as consequências para a protecção dos dados das transferências para
as autoridades dos EUA, como também não informou as autoridades competentes nem
requereu que a SWIFT o fizesse.
Além disso, o Presidente do Banco Central Europeu (BCE) declarou na audição pública
no Parlamento Europeu que os bancos centrais do G-10 "não deram qualquer
beneplácito à SWIFT em relação ao seu cumprimento destas intimações. De facto, não
poderíamos ter dado tal autorização ainda que o quiséssemos, dado tratar-se de uma
questão que não é da nossa competência. Por conseguinte, a SWIFT é a única
responsável pelas suas decisões". 23
Em segundo lugar, importa sublinhar que o limitado papel actualmente desempenhado
pelos bancos centrais na supervisão da SWIFT não exclui que um banco central também
seja considerado - como qualquer outra instituição financeira que utiliza o serviço
SWIFTNet - responsável (conjunto) pelo tratamento sempre que aja como cliente da
SWIFT (ver ponto 3.2), se forem tratados dados pessoais para efeitos de transacções
interbancárias. Nesta perspectiva, o facto de alguns dos bancos centrais terem sido
informados das transferências de dados para as autoridades dos EUA poderá ser
considerado relevante para determinar a sua responsabilidade como utilizadores do
sistema SWIFT.
Em conformidade com o artigo 6.º da Directiva, os dados pessoais devem ser objecto de
um tratamento leal e lícito24, devem ser recolhidos para finalidades determinadas,
explícitas e legítimas25 e não devem ser tratados de forma incompatível com a finalidade
para que foram recolhidos. Além disso, os dados tratados devem ser adequados,
pertinentes e não excessivos relativamente às finalidades para que são recolhidos e/ou
23
Jean-Claude Trichet: Declaração do Presidente do BCE na audição pública no Parlamento Europeu
sobre a intercepção de dados de transferência bancárias do sistema SWIFT pelos serviços secretos dos
EUA.
24
Nº 1, alínea a), do artigo 6º da Directiva.
25
Nº 1, alínea b), do artigo 6º da Directiva.
16
tratados posteriormente26. Em conjunto, estas últimas regras são denominadas "princípio
da proporcionalidade". Por último, devem ser tomadas todas as medidas razoáveis para
assegurar que os dados inexactos ou incompletos sejam apagados ou rectificados27.
Os dados pessoais foram recolhidos pelas instituições financeiras apenas para efeitos de
tratamento das ordens de pagamento dos seus clientes e subsequentemente pela SWIFT
para a execução do serviço SWIFTNet FIN (finalidade comercial). Esta finalidade
comercial do tratamento de dados pessoais pode ser, portanto, considerada a única
finalidade específica, explícita e legítima.
aa) Os dados pessoais não podem ser tratados para fins incompatíveis com a finalidade
original. Ao decidir copiar integralmente todo o tratamento de dados para o centro
operacional dos EUA, a SWIFT colocou-se numa situação previsível, estando sujeita a
intimações ao abrigo da legislação americana.
No caso em apreço, a SWIFT recebeu intimações emitidas pelo UST com vista a
alegadas investigações de casos de terrorismo. Esta nova finalidade é completamente
diferente da finalidade inicial e do correspondente tratamento de dados pessoais em
causa, podendo ter consequências directas para os indivíduos cujos dados pessoais estão
a ser tratados. Esta nova finalidade também não é compatível com a finalidade inicial,
exclusivamente comercial, para que os dados pessoais foram recolhidos.
bb) Foi igualmente confirmada a transferência maciça de dados entre a SWIFT e o UST,
sem que fosse efectivamente possível verificar o carácter individualizado dos dados
solicitados. De acordo com a SWIFT, todas as mensagens financeiras podiam ser
analisadas pelo UST através do sistema de "caixa negra". Este sistema permite ao UST
aceder por intermédio desta caixa a todas as mensagens – e aos dados pessoais nelas
contidos – que entenda serem necessários.
O Grupo de Trabalho sublinha que, mesmo para efeitos das alegadas investigações de
casos de terrorismo, a SWIFT, para observar plenamente os princípios da protecção de
dados, apenas deve transferir caso a caso dados específicos e individualizados. Como
26
Nº 1, alínea c), do artigo 6º da Directiva.
27
Nº 1, alínea d), do artigo 6º da Directiva.
17
isso não sucede, a prática actual não é proporcional e viola, portanto, o n.º 1, alínea c), do
artigo 6.° da Directiva.
cc) O artigo 13.° estabelece que "Os Estados-Membros podem tomar medidas
legislativas destinadas a restringir o alcance das obrigações e direitos referidos no nº 1 do
artigo 6º [princípio da limitação da finalidade], no artigo 10º, no nº 1 do artigo 11º [dever
de informar a pessoa em causa], e nos artigos 12º [direito de acesso] e 21º [publicidade
dos tratamentos], sempre que tal restrição constitua uma medida necessária à protecção
[dos interesses públicos importantes que enumera em seguida], como (c) da segurança
pública; d) da prevenção, investigação, detecção e repressão de infracções penais [...]; f)
de missões de controlo, de inspecção ou de regulamentação associadas, ainda que
ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d)
e e);".
De acordo com a Convenção, para que se justifique uma ingerência no direito à vida
privada, é necessário que esteja "prevista na lei" e constitua uma providência que, "numa
sociedade democrática, seja necessária" para um objectivo de interesse público. A
jurisprudência de Estrasburgo sublinhou repetidamente que a lei que estabelece a
ingerência "deve indicar o âmbito dos poderes conferidos às autoridades competentes e
indicar de modo suficientemente claro a forma de os exercer, tendo em conta o objectivo
legítimo da medida em questão, para facultar uma protecção individual adequada em
relação a ingerências arbitrárias."
Contudo, estas disposições não podem ser invocadas, uma vez que a SWIFT não
observou a legislação belga em relação a estas questões28.
dd) O Grupo de Trabalho sublinha além disso que existem estruturas legais a nível
governamental e que os sistemas devem ser utilizados em conformidade com o princípio
do segredo bancário. Remete a este propósito para as 40+9 recomendações do Grupo de
Trabalho Acção Financeira (FATF/GAFI), um organismo intergovernamental instituído
em 1989 a fim de desenvolver e promover políticas nacionais e internacionais de luta
contra o branqueamento de capitais e o financiamento do terrorismo. O Grupo de
Trabalho recorda igualmente o sistema de intercâmbio de informações financeiras
instituído entre as células nacionais de informações financeiras de 96 países (Egmont
Secure Web, ESW), coordenado pelo FinCEN nos Estados Unidos. Neste quadro, é
28
Cf. parecer da APD belga, nota de rodapé 8.
18
possível fornecer informações financeiras à parte requerente em conformidade com as
regras nacionais do país que transmite as informações.
Em termos gerais, o Grupo de Trabalho considera que não são respeitados os princípios
da limitação e compatibilidade da finalidade, da proporcionalidade e da necessidade dos
dados pessoais tratados.
Para que o tratamento de dados pessoais seja legal, é necessário que seja legítimo e
satisfaça uma das condições estabelecidas no artigo 7.° da Directiva.
A SWIFT trata os dados pessoais constantes das mensagens do serviço SWIFTNet Fin
por forma a executar ordens de pagamento que recebe apenas das instituições financeiras.
Contudo, mesmo que neste contexto tal tratamento com esta finalidade comercial
pudesse ser considerado necessário para a execução do acordo entre a SWIFT e as
instituições financeiras em causa, a forma como foi efectuado, copiando os dados
pessoais para o centro operacional dos EUA, não é aceitável por outros motivos,
analisados no ponto 4.6.
29
"Acordo entre a União Europeia e os Estados Unidos da América sobre extradição"e "Acordo entre a
União Europeia e os Estados Unidos da América sobre auxílio judiciário mútuo".
http://eur-lex.europa.eu/LexUriServ/site/pt/oj/2003/l_181/l_18120030719pt00270033.pdf e
http://europa.eu.int/eur-
lex/pri/pt/oj/dat/2003/l_181/l_18120030719pt00340042.pdf#search=%22Agreement%20on%20mutua
l%20legal%20assistance%20between%20the%20european%20union%22
30
Convenção de Viena sobre o Direito dos Tratados, de 23 de Maio de 1969. Os Estados Unidos
assinaram esta Convenção.
19
4.2.2. Necessidade para cumprir uma obrigação legal à qual o
responsável pelo tratamento esteja sujeito (alínea c) do artigo 7.° da
Directiva)
O tratamento e cópia integral podem ter sido necessários para o cumprimento de uma
obrigação legal à qual o responsável pelo tratamento está sujeito.
A SWIFT, com sede na Bélgica, não invocou formalmente uma base jurídica no âmbito
do direito belga ou europeu para este tratamento específico. O Grupo de Trabalho
sublinha além disso que o direito belga ou europeu não impõe quaisquer obrigações
legais em relação a esta actividade específica de tratamento de dados. O Grupo de
Trabalho também já referiu no seu "Parecer SOX"31 que "a obrigação imposta por um
estatuto ou regulamento legal estrangeiro (…) não pode ser considerada uma obrigação
legal que legitime o tratamento de dados na UE. Qualquer outra interpretação
permitiria à legislação de países terceiros contornar o disposto nas regras da UE
estabelecidas na Directiva". O Grupo de Trabalho considera que este raciocínio se aplica
também integralmente a este caso.
A alínea c) do artigo 7.° da Directiva não pode ser, portanto, utilizada para justificar o
tratamento e cópia integral de dados pessoais no caso em apreço.
Nos termos da alínea f) do artigo 7.º da Directiva, o tratamento ou a cópia integral podem
ser necessários para prosseguir interesses legítimos do responsável pelo tratamento ou do
terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os
interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao
abrigo do n.º 1 do artigo 1º.
Coloca-se a questão de saber se a alínea f) do artigo 7.° da Directiva pode ser invocada
para justificar o tratamento e a cópia integral, resultando desse facto que as operações de
tratamento no seu centro operacional dos EUA fiquem sujeitas a intimações dos EUA.
A alínea f) do artigo 7.º da Directiva requer que seja estabelecido um equilíbrio entre o
interesse legítimo que se pretende prosseguir com o tratamento dos dados pessoais e os
direitos fundamentais das pessoas em causa. Este equilíbrio de interesses deve atender a
questões de proporcionalidade, de subsidiariedade e de gravidade das alegadas infracções
31
Parecer 1/2006 sobre a aplicação das regras europeias em matéria de protecção de dados aos sistemas
internos de denúncia de infracções nos domínios da contabilidade, dos controlos contabilísticos
internos, da auditoria, da luta contra a corrupção e do crime bancário e financeiro.
20
que podem ser notificadas, bem como às consequências para as pessoas em causa. Neste
contexto de estabelecimento de um equilíbrio de interesses, impõe-se a instituição de
salvaguardas adequadas. Mais especificamente, o artigo 14.º da Directiva determina que,
quando o tratamento dos dados se justifica pela alínea f) do artigo 7.º, em qualquer altura
as pessoas poderão exercer o direito de se opor ao tratamento dos seus dados.
A SWIFT efectuou o tratamento e a cópia integral dos seus dados de forma "oculta,
sistemática, maciça e a longo prazo"32, sem ter especificado a finalidade incompatível
adicional aquando do tratamento de dados e sem indicar esta última finalidade aos
utilizadores dos seus serviços. Este tratamento e cópia integral adicional com vista a uma
finalidade incompatível poderia ter consequências muito importantes para qualquer
pessoa.
O Grupo de Trabalho considera, portanto, que os interesses das muitas pessoas em causa
em termos de direitos e liberdades fundamentais prevalecem em relação ao interesse da
SWIFT em não ser sancionada pelos EUA por eventual incumprimento das intimações.
Os responsáveis pelo tratamento de dados devem cumprir os requisitos dos artigos 18.° a
20.° da Directiva Protecção de Dados no que respeita à notificação das suas actividades
32
Cf. parecer da APD belga, nota de rodapé 8.
21
de tratamento de dados às autoridades nacionais de protecção de dados ou ao seu
controlo prévio por estas mesmas autoridades.
Embora as medidas de controlo aplicadas pela SWIFT possam contribuir para aumentar a
segurança das actividades de tratamento de dados, o Grupo de Trabalho reafirma com
firmeza que nenhum mecanismo previsto pelos responsáveis pelo tratamento de dados
pode substituir o controlo das actividades de tratamento de dados por uma autoridade de
controlo pública e independente, tal como requerido pelo artigo 28.° da Directiva. Em
33
Cf. parecer da APD belga, nota de rodapé 8.
22
todo o caso, o grupo de controlo instituído pelos bancos centrais do G-10 declarou-se
incompetente para analisar quaisquer questões referentes à protecção de dados pessoais.
Aplicam-se os artigos 25.º e 26.º da Directiva 95/46/CE quando os dados pessoais são
transferidos para um país terceiro. Qualquer transferência de dados gerados no território
da UE destinados a ser utilizados fora do seu território deve ser objecto de uma avaliação
de adequação por força do disposto na Directiva. Além disso, as disposições da Directiva
ligadas à transferência de dados pessoais para países terceiros não podem ser aplicadas
separadamente de outras disposições da mesma. Como se menciona explicitamente no n.º
1 do artigo 25.º, estas disposições aplicam-se “sob reserva da observância das
disposições nacionais adoptadas nos termos das outras disposições da presente
directiva”. Significa isto que, independentemente das disposições existentes em matéria
de transferência de dados para países terceiros, é necessário respeitar as outras
disposições relevantes da Directiva34.
O funcionamento normal do serviço SWIFTNet FIN envolve um fluxo de dados
transfronteiriço contínuo e maciço, devido à localização dos centros operacionais da
SWIFT. Os centros operacionais da SWIFT não são entidades jurídicas distintas, mas sim
sucursais ("succursales") da empresa cooperativa estabelecida ao abrigo do direito belga.
As actividades de armazenamento e transmissão dos dois centros operacionais da SWIFT
na Europa e nos EUA processam-se nos seguintes moldes: as mensagens são decifradas
automaticamente nos centros operacionais para que a informação seja armazenada e
transmitida em poucos milissegundos. Este processo de "armazenagem e transmissão"
destina-se a validar (controlar a correcção ou a presença de letras/números nos campos
obrigatórios da mensagem) a informação (como garantir que está correctamente
preenchido o código de divisa da transferência, por exemplo o código "EUR") com base
em conteúdos normalizados. Durante este processo, por motivos de segurança (cópia de
segurança), a informação é igualmente armazenada durante 124 dias em ambos os
centros operacionais, que funcionam, portanto, como "cópias integrais" perfeitas, o que
assegura que a armazenagem de dados seja paralela e os dados sejam idênticos.
Para que a SWIFT possa tratar e copiar legalmente dados pessoais nos EUA necessita
primeiro que estes dados sejam transferidos da UE, nos termos da legislação belga
adoptada em conformidade com a Directiva, nomeadamente dos artigos 25.° e 26.°
relativos à transferência de dados pessoais para países terceiros. As transferências pela
SWIFT para os Estados Unidos devem, por conseguinte, ser analisadas tendo em conta
dois elementos: em primeiro lugar, o tratamento e cópia comercial de dados pessoais pela
SWIFT Belgium para o seu centro operacional nos EUA e, em segundo lugar, o
tratamento dos dados pelo UST para a finalidade adicional, tal como acordado pela
SWIFT.
34
Grupo de Trabalho do artigo 29.º: Documento de trabalho sobre uma interpretação comum do n.º 1 do
artigo 26.º da Directiva 95/46/CE, de 24 de Outubro de 1995. WP 114.
23
4.6.1. Protecção de dados adequada (n.º 1 do artigo 25.° da Directiva)
De acordo com o n.º ##2 do artigo 25.º da Directiva, a adequação do nível de protecção
oferecido por um país terceiro "será apreciada em função de todas as circunstâncias que
rodeiem a transferência ou o conjunto de transferências de dados; em especial, serão
tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou
tratamentos projectados, os países de origem e de destino final, as regras de direito,
gerais ou sectoriais, em vigor no país terceiro em causa, bem como as regras
profissionais e as medidas de segurança que são respeitadas nesse país."
Por conseguinte, na sua qualidade de entidade jurídica belga, a SWIFT não podia invocar
o artigo 25.° da Directiva para o tratamento e cópia no centro operacional dos EUA.
35
"Transferência de dados pessoais para países terceiros: aplicação dos artigos 25.° e 26.° da Directiva
comunitária relativa à protecção dos dados", adoptado pelo Grupo de Trabalho em 24 de Julho de
1998; http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/1998/wp12_pt.pdf.
36
Cf. http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm
37
No que respeita às transferências entre responsáveis pelo tratamento de dados, a Comissão emitiu um
primeiro conjunto de cláusulas contratuais-tipo em 15 de Junho de 2001. Subsequentemente, alterou
esta decisão para anexar um novo conjunto de cláusulas alternativas (Decisão de 27 de Dezembro de
2004). No tocante às transferências entre responsáveis pelo tratamento de dados e subcontratantes, a
Comissão emitiu um primeiro conjunto de cláusulas contratuais-tipo em 27 de Dezembro de 2001.
Todas estas cláusulas se podem consultar em:
http://ec.europa.eu/justice_home/fsj/privacy/modelcontracts/index_en.htm.
38
Cf. documento de trabalho WP74, “Transferência de dados pessoais para países terceiros: aplicação do
n.º 2 do artigo 26.º da Directiva comunitária relativa à protecção de dados às regras empresariais
24
Contudo, neste caso, a SWIFT não recorreu a estas possibilidades para o tratamento e
cópia integral que efectuou no centro operacional dos EUA39.
A este propósito, o Grupo de Trabalho sublinha que esta lógica é a mesma que preside ao
Protocolo adicional à Convenção 108 do Conselho da Europa. No relatório sobre este
protocolo pode ler-se que “cabe às partes determinar as derrogações ao princípio de um
nível adequado de protecção. As disposições nacionais devem, contudo, respeitar o
princípio inerente à legislação europeia de que as cláusulas relativas a excepções sejam
interpretadas de forma restritiva a fim de que a excepção não se transforme em regra”41.
Para que esta derrogação possa ser legalmente invocada, a pessoa em causa deve dar o
seu consentimento inequívoco à transferência proposta. Como já indicado pelo Grupo
num documento de trabalho anterior (WP 12), este consentimento, quaisquer que sejam
as circunstâncias em que é concedido, deve ser uma manifestação de vontade, livre,
específica e informada, tal como definida na alínea h) do artigo 2.º da Directiva42. A
pessoa em causa deve ser informada da transferência para um país terceiro sem um nível
de protecção adequado ou sem que tenham sido criadas salvaguardas apropriadas e pode
então decidir correr ou não o risco inerente.
http://conventions.coe.int/Treaty/EN/Reports/Html/181.htm
42
Grupo de Trabalho do artigo 29.º: Documento de trabalho sobre uma interpretação comum do n.º 1 do
artigo 26.º da Directiva 95/46/CE, de 24 de Outubro de 1995. WP 114.
25
4.6.3.2. Transferência necessária para a execução de um contrato entre a
pessoa em causa e o responsável pelo tratamento ou de diligências
prévias à formação do contrato decididas a pedido da pessoa em
causa (n.º 1, alínea b), do artigo 26.º da Directiva)
Esta derrogação significa que os dados transferidos devem ser realmente necessários para
a execução do contrato ou das diligências prévias à formação do contrato. Por este
motivo, o Grupo de Trabalho considera que esta condição não se verificou nas
transferências de dados da SWIFT para o centro operacional dos EUA, uma vez que a
SWIFT não tem uma relação contratual directa com a pessoa em causa. Além disso, esta
derrogação não pode ser aplicada a transferências de informação adicional não
necessárias para a finalidade da transferência ou a transferências para uma finalidade
diferente da execução do contrato. De modo mais geral, as derrogações das alíneas b) a
e) do n.º 1 do artigo 26.º permitem que apenas os dados necessários para a finalidade da
transferência sejam transferidos com base em derrogações individuais; para dados
adicionais, terão que ser encontrados outros meios de garantir a adequação.
Tal como sucede com a derrogação ao abrigo do n.º 1, alínea b), do artigo 26.º, uma
transferência de dados para um país terceiro que não garanta uma protecção adequada
não pode ser abrangida pela derrogação prevista no n.º 1, alínea c), do artigo 26.º, a
menos que possa ser considerada verdadeiramente “necessária à execução ou celebração
de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o
responsável pelo tratamento e um terceiro”, e passe o correspondente “teste da
necessidade”. Este teste obriga à existência de uma relação estreita e substancial entre o
interesse da pessoa em causa e a finalidade do contrato43.
O Grupo de Trabalho considera que esta condição não pode ser aplicada a transferências
de dados pela SWIFT para o centro operacional nos EUA.
O Grupo de Trabalho não subscreve esta interpretação. Mesmo que se estabelecesse que
a cópia integral do tratamento a nível internacional (num continente diferente da Europa)
43
Grupo de Trabalho do artigo 29.º: Documento de trabalho sobre uma interpretação comum do n.º 1 do
artigo 26.º da Directiva 95/46/CE, de 24 de Outubro de 1995. WP 114.
26
era "necessária ou legalmente exigida para a protecção de um interesse público
importante", na acepção do n.º 1, alínea d), do artigo 26.º da Directiva, seria sempre
possível copiar tal tratamento fora da UE ou do EEE num país com um nível de
protecção adequado. O Grupo de Trabalho pensa em países como a Argentina44 ou o
Canadá45, que decisões da Comissão Europeia indicam que satisfazem os requisitos da
Directiva. A cópia num país não pertencente à UE sem um nível adequado de protecção
dos dados não é necessária e não pode justificar-se com base no n.º 1, alínea d), do artigo
26.º.
Além disso, os dados pessoais, obtidos e tratados através da rede SWIFT com vista a
transferências internacionais de dinheiro que utilizam o código BIC ou "SWIFT", e
copiados nos EUA, foram fornecidos ao UST a partir do final de 2001 com base em
intimações ao abrigo da legislação dos EUA.
O Grupo de Trabalho sublinha no entanto que o n.º 1, alínea d), do artigo 26.º da
Directiva não se aplica, uma vez que a transferência não é necessária nem legalmente
exigida para a protecção do interesse público de um Estado-Membro da UE (Bélgica).
Sobre este ponto, os autores da Directiva previram claramente que só os interesses
públicos claramente identificados como tal pela legislação nacional aplicável aos
responsáveis pelo tratamento de dados estabelecidos na UE sejam válidos nesta
perspectiva. Qualquer outra interpretação contribuiria para que as autoridades
estrangeiras facilmente contornassem o requisito da protecção adequada no país
destinatário estabelecido na Directiva.
44
Decisão da Comissão C(2003)1731, de 30.Junho de 2003, JO L 168 de 5.7.2003.
45
Decisão 2002/2/CE da Comissão, de 20 de Dezembro de 2001, relativa à adequação do nível de
protecção proporcionado pela lei canadiana sobre dados pessoais e documentos electrónicos (JO L 2
de 4.1.2002, p. 13).
46
Por exemplo, através do Regulamento do Parlamento Europeu e do Conselho relativo às informações
sobre o ordenante que acompanham as transferências de fundos, adoptado em 8 de Novembro de 2006
e não ainda publicado; e proposta inicial da Comissão COM(2005)343.
27
4.6.3.5. Transferência necessária para proteger os interesses vitais da
pessoa em causa (n.º 1, alínea e), do artigo 26.º da Directiva)
A SWIFT não reivindicou que a transferência seja necessária para proteger os interesses
vitais das pessoas em causa no que respeita ao tratamento e cópia integral no centro
operacional dos EUA. O Grupo de Trabalho considera que, em todo o caso, esta
derrogação é irrelevante no âmbito desta questão. Não pode ser invocado o n.º 1, alínea
e), do artigo 26.º da Directiva.
A SWIFT pode ter-se apoiado no n.º 2 do artigo 26.º da Directiva para proceder a uma
transferência legal de dados pessoais para o seu centro operacional nos EUA. No entanto,
a SWIFT decidiu transferir dados pessoais sem ter obedecido aos requisitos legais ao
abrigo do direito belga aplicáveis a tais transferências internacionais de dados.
A SWIFT não pode invocar nenhuma outra derrogação do artigo 26.° da Directiva.
No que respeita ao tratamento e cópia nos EUA, nem mesmo o tratamento e cópia
comerciais se processaram legalmente. O tratamento e cópia contínuos, dada a sua
finalidade adicional incompatível e a sua grande escala, não respeitam os limites do
necessário numa sociedade democrática e constituem mais um impeditivo à transferência
de dados pessoais para os EUA pela SWIFT.
5. CONCLUSÕES
47
Documento de trabalho sobre uma interpretação comum do n.º 1 do artigo 26.º da Directiva 95/46/CE,
de 24 de Outubro de 1995,
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp114_pt.pdf.
28
5.3.1. SWIFT: No que respeita ao tratamento e cópia dos dados pessoais no
âmbito do serviço SWIFTNet FIN, a SWIFT, na sua qualidade de
responsável pelo tratamento de dados, deve cumprir as suas
obrigações ao abrigo da Directiva, incluindo o dever de apresentar
informações, o requisito de notificar o tratamento e a obrigação de
assegurar um nível de protecção adequado para cumprir os requisitos
aplicáveis às transferências internacionais de dados pessoais;
29
5.5. O Grupo de Trabalho recorda mais uma vez48 o compromisso das sociedades
democráticas de assegurar o respeito pelos direitos e liberdades
fundamentais das pessoas. O direito individual à protecção dos dados
pessoais constitui um destes direitos e liberdades fundamentais49. As
Directivas da Comunidade relativas à protecção dos dados pessoais
(Directivas 95/46/CE e 2002/58/CE) são parte integrante deste
compromisso50. Estas directivas destinam-se a assegurar, designadamente, o
respeito pelos direitos e liberdades fundamentais e pelo direito à vida
privada no que se refere ao tratamento dos dados pessoais e a contribuir para
o respeito dos direitos protegidos pelo artigo 8.° da Convenção Europeia dos
Direitos do Homem e pelo artigo 8.° da Carta dos Direitos Fundamentais da
União Europeia. Em todos estes instrumentos, estão previstas derrogações
para a luta contra a criminalidade, as quais devem, no entanto, respeitar
condições específicas.
48
Parecer 10/2001 do Comité do artigo 29.º sobre a necessidade de adoptar uma abordagem equilibrada
na luta contra o terrorismo;
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2001_en.htm.
49
Ver, nomeadamente, o artigo 8.º Carta dos Direitos Fundamentais da União Europeia, assim como a
jurisprudência do Tribunal Europeu dos Direitos do Homem nos processos "Aman", de 16 de
Fevereiro de 2000, e "Rotaru", de 4 de Maio de 2000.
50
Ver considerandos 1, 2, 10 e 11 da Directiva 95/46/CE.
30
6.4. Acções em relação aos bancos centrais: A situação actual requer uma
clarificação do controlo da SWIFT. O Grupo de Trabalho recomenda que
sejam encontradas soluções apropriadas para que o controlo abranja
claramente o cumprimento designadamente das regras de protecção dos
dados, sem prejuízo das competências das autoridades nacionais de controlo
da protecção dos dados, assim como para assegurar que, se necessário, as
autoridades competentes sejam devida e oportunamente informadas. O
Grupo de Trabalho considera que o incumprimento da legislação de
protecção dos dados pode realmente minar a confiança dos consumidores
nos seus bancos e pode, portanto, afectar igualmente a estabilidade
financeira do sistema de pagamentos (risco de reputação). Obstáculos legais,
como a obrigação de segredo deontológico dos controladores, que possam
ser utilizados como argumento para limitar o controlo eficaz pelas
autoridades independentes de protecção dos dados, não devem ser invocados
num caso de possível violação dos direitos constitucionais ou dos direitos
humanos.
51
Grupo de Trabalho do artigo 29.°, "Parecer sobre a prestação mais harmonizada da informação", de 25
de Novembro de 2004 (WP 100);
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2004/wp100_pt.pdf.
31
6.7. Princípios globais de protecção dos dados: O Grupo de Trabalho
considera essencial que os princípios de protecção dos dados pessoais,
incluindo o controlo por autoridades independentes de controlo, sejam
inteiramente respeitados em todos os enquadramentos de sistemas globais de
intercâmbio de informações.
32