O Tribunal de Justiça da União Europeia (TJUE) tem tido um papel ativo na regulação da internet e de empresas de tecnologia nos últimos anos, julgando diversos casos relacionados a temas-chave, como proteção de dados pessoais, privacidade e economia de compartilhamento.
Explicando de forma breve, o TJUE é a autoridade judicial da União Europeia cujo objetivo é garantir a interpretação e aplicação uniforme do direito europeu em parceria com os tribunais dos Estados-Membros. Ele é composto por três tribunais: o Tribunal de Justiça, instância superior; o Tribunal Geral, instância inferior; e o Tribunal da Função Pública [1]. O Tribunal decide sobre a validade do direito da União Europeia, dos tratados entre esses países, ou sobre legislação secundária, ficando a decisão sobre o caso em si a cargo dos tribunais nacionais [2].
Por ser frequentemente acionado para julgar temas envolvendo a internet, surgem questionamentos sobre quais devem ser os limites de atuação do tribunal.

Críticas ao Tribunal

Questiona-se se o TJUE não estaria excedendo sua competência ao influenciar fortemente na regulação das políticas públicas de tecnologia europeias, que deveriam ser prerrogativa dos poderes legislativo e executivo. Outra crítica, levantada pelo responsável global em questões de privacidade da Intel, David Hoffman, é que as decisões do TJUE não levam suficientemente em conta quais seriam as consequências práticas dos julgados [3]. Aponta-se também o fato de o TJUE raramente chamar especialistas para auxiliar suas decisões [4], o que tiraria parte da legitimidade dos julgados.

Argumentos em favor do Tribunal

A favor do TJUE pode-se argumentar que ele só age quando requisitado, em questões difíceis, com as quais os outros tribunais não conseguiram lidar. Além disso, ele atua preenchendo lacunas que foram deixadas pelo legislativo e executivo. A liberal Sophie in’t Veld, do Parlamento Europeu, afirma que, em questões de segurança e proteção de dados, há uma tendência de os legisladores evitarem tomar decisões, ou fazerem escolhas que não possuem força legal expressiva, deixando assim que TJUE supra essas deficiências [5].

Casos

O TJUE começou a julgar grandes casos envolvendo tecnologia e internet em 2014, principalmente com base na proteção dos direitos fundamentais. Em 2009, a Carta dos Direitos Fundamentais da União Europeia tornou-se legalmente vinculante a todos os Estados-Membros e instituições da UE. Abaixo citamos brevemente 6 casos importantes que envolveram o tribunal:

• Anulação da Diretiva de Retenção de Dados [6] Abril de 2014

Nesse caso, o TJUE invalidou a Diretiva de Retenção de Dados 2006/24/EC, por considerá-la incompatível com o direito à privacidade, artigo 4º, e à proteção de dados pessoais, artigo 8º,  garantidos pela Carta Fundamental. Essa Diretiva exigia, desproporcionalmente, a retenção de dados pessoais por empresas por um período de até dois anos, expondo a risco de violação diversos cidadãos europeus.

• Direito ao esquecimento [7] Maio de 2014

Nesse já conhecido caso, um cidadão espanhol ganhou o direito de ser desindexado pelo Google. Ele reclamava que, ao pesquisarem seu nome no Google, os primeiros resultados faziam referência a um leilão de sua casa que não mais ocorreria. O tribunal decidiu que, para o caso de informações imprecisas, inadequadas, irrelevantes ou excessivas, há direito de remoção de links do buscador. Deve-se então analisar caso a caso se há necessidade da remoção, equilibrando esse direito com outros, como liberdade de expressão e de informação.

• Anulação do Acordo Safe Harbor entre EUA e UE [8] Outubro de 2015

O ativista de privacidade Max Schrems acionou o TJUE quanto à proteção insuficiente à privacidade garantida aos cidadãos europeus pelo antigo tratado. Principalmente em relação a como as autoridades de segurança americanas obtinham acesso à dados pessoais com as empresas sediadas nos EUA. As revelações de Snowden sobre a espionagem em massa realizada pelo governo estadunidense contribuíram para aumentar a desconfiança em relação a eficácia do tratado . O julgamento levou à anulação do tratado e a um limbo jurídico até a criação do acordo Privacy Shield, em fevereiro de 2016. Esse acordo determina maiores obrigações para o governo americano e para as empresas em relação à privacidade dos europeus. Um exemplo é a adoção do mecanismo de Ombudsperson, que é um representante da empresa que lidará com reclamações de usuários europeus sobre eventuais acessos por agências de inteligência americanas a seus dados pessoais [9].

• Partido Pirata e IP como dado pessoal [10] Outubro 2016

O ponto central desse caso era determinar se IPs armazenados por sites poderiam ser considerados como dados pessoais. Patrick Breyer, membro do Partido Pirata Alemão, processou o Governo Federal da Alemanha, alegando que sites governamentais deveriam pedir consentimento dos indivíduos antes de armazenar seus dados de IP. Como o artigo 2º da Diretiva 95/46 afirma que dado pessoal é “qualquer informação relativa a uma pessoa singular identificada ou identificável”, IPs podem sim ser considerados como dado pessoal. No caso de IPs dinâmicos, o TJUE considerou que se o agente tiver meios de usar essa informação com outras para identificar a pessoa eles também serão considerados dados pessoais [11].

• Cláusulas Contratuais Facebook [12] Previsão de julgamento Fev/2017

A autoridade de proteção de dados da Irlanda está questionando a validade das chamadas “cláusulas modelo”. Essas são cláusulas contratuais padrão, aprovadas pela Comissão Europeia para contratos de transferência internacional de dados pessoais para países que não garantem o mesmo nível de proteção europeu [13]. A autoridade irlandesa questiona seu uso pelo Facebook na High Court irlandesa. Desse modo, pede que o TJUE julgue se as cláusulas-modelo aprovadas pela Comissão Europeia são compatíveis como a Diretiva 95/46/EC, e com o artigo 47 da Carta de Direitos Fundamentais sobre o direito de acesso à justiça. Essa decisão poderá impactar diversas empresas nos EUA e Europa, as obrigando a rever os contratos de transferência de dados caso às cláusulas modelos sejam consideradas inválidas.

• Uber como empresa de transporte ou intermediário? [14] Julgamento em curso

O principal ponto deste caso é determinar se a empresa Uber corresponde a uma companhia de transporte, devendo se submeter a certas regulações, ou se é somente um serviço digital. Espera-se que essa decisão tenha um grande impacto sobre outras empresas ligadas à economia de compartilhamento. como Airbnb e o aplicativo de entrega de comida Deliveroo. Essas novas empresas serão submetidas a maiores regulamentações caso sejam equiparadas aos modelos de negócio tradicionais.
Por fim, percebe-se que o TJUE tem se apresentado como ator importante na regulação da internet, não apenas na União Europeia. Suas decisões têm influenciado diversos países em um processo de extensão extraterritorial da jurisdição europeia. É importante que os setores envolvidos na regulação da internet acompanhem as futuras jurisprudências criadas pelo tribunal de modo a prestar atenção em como elas afetam a regulação em seus respectivos países.

[1] UNIÃO EUROPEIA. Jurisprudência da UE. Disponível em: <https://e-justice.europa.eu/content_eu_case_law-12-pt.do>. Acessado em: 01/02/2017.
[2] UNIÃO EUROPEIA. The reference for a preliminary ruling. Disponível em: <http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=URISERV:l14552>. Acessado em: 01/02/2017
[3] HIRST, NIcolas; CERULUS, Laurens. Europe’s gavel comes down hard on tech. POLITICO Magazine. 2016. Disponível em: <http://www.politico.eu/article/european-court-of-justice-tech-cases-uber-airbnb/>. Acessado em: 01/02/2017
[4] Ibid.
[5] Ibid.
[6] UNIÃO EUROPEIA. Tribunal de Justiça da União Europeia. C-293/12 – Digital Rights Ireland Ltd v Minister for Communications, Marine and Natural Resources and Others and Kärntner. Disponível em: <https://goo.gl/ffrJDi>. Acessado em: 01/02/2017.
[7] UNIÃO EUROPEIA. Factsheet on the “Right to be  Forgotten” ruling (C-131/12).Disponível em: <https://goo.gl/hCtJ21>. Acessado em: 01/02/2017
[8] UNIÃO EUROPEIA. Tribunal de Justiça da União Europeia. C‑362/14 – Maximillian Schrems v Data Protection Commissioner.. Disponível em: <https://goo.gl/8K2ICA>. Acessado em: 01/02/2017.
[9] UNIÃO EUROPEIA. European Commission – Fact Sheet EU-U.S. Privacy Shield: Frequently Asked Questions. Disponível em: <https://goo.gl/mrCiUb>. Acessado em: 01/02/2017.
[10] UNIÃO EUROPEIA.Tribunal de Justiça da União Europeia. Case 582/14 – Patrick Breyer v Germany. Disponível em: <https://goo.gl/ucTn7H>. Acessado em: 01/02/2017.
[11] “IP address was dynamically allocated (i.e., each time he connects to the network, his device is issued with a new IP address). Ordinarily, a dynamic IP address does not provide a website operator with sufficient information to directly identify an individual user, unless additional information is also available (e.g., the user logs into the website and provides information that enables the website operator to identify that user)”. MUNZ, Martin; HICKMAN, Tim; GOETZ, Matthias. Court confirms that IP addresses are personal data in some cases. 2016. Disponível em: <https://goo.gl/uH3Abt>. Acessado em: 02/02/2017.
[12] Mason Hayes & Curran Law Firm. Behind the Headlines: DPC v Facebook and its Potential Impact on International Trade. Disponível em: <https://goo.gl/Y74Llc>. Acessado em: 02/02/2017.
[13] UNIÃO EUROPEIA. Model Contracts for the transfer of personal data to third countries. Disponível em:<https://goo.gl/4oy71J>. Acessado em: 01/02/2017.
[14] UNIÃO EUROPEIA.Tribunal de Justiça da União Europeia. Case C-434/1 –  Asociación Profesional Élite Taxi v Uber Systems Spain, S.L. . Disponivel em: <https://goo.gl/H1I8kI>. Acessado em: 02/02/2017