SWIFT é a sigla conhecida da Society for Worldwide Interbank Financial Telecommunication que conhecemos das transferências bancárias (o código SWIFT).
O SWIFT é uma empresa privada com sede na Bélgica que estabelece a comunicação entre entidades bancárias operando a transferência de valores (entre indivíduos, empresas, bancos, metais preciosos e ordens de encomenda no mercado internacional). Estima-se que 80% das transferências eletrónicas entre bancos no mundo inteiro são operadas pela SWIFT que conecta mais de 10.000 instituições financeiras de mais de 200 países diferentes.
Até 3 de outubro de 2007 o SWIFT guardava durante 124 dias (aproximadamente 5 meses) todos os registos de transferências em 2 centros: um na Holanda e outro nos Estados Unidos. Os dois centros eram, por razões de segurança, espelhos um do outro, isto é funcionavam como back-up recíproco o que garantia que se algo acontecesse a um deles os dados estariam a salvo no outro.
A seguir ao 11 de setembro e com o argumento da luta contra o terrorismo as autoridades americanas obrigaram o centro SWIFT que se encontra nos Estados Unidos a fornecer os dados para serem analisados no âmbito do TFTP (Terrorist Finance Tracking Programme). Ou seja 80 % dos dados mundiais de transferências financeiras (entre pessoas, bancos e empresas) estavam a ser analisados por serviços americanos sem o consentimento e a informação dos aliados europeus.
Foram levantadas suspeitas de utilização indevida desses dados penalizando empresas europeias na competição nos mercados internacionais. A operação foi conhecida graças à imprensa americana (New York Times) em junho de 2006 ao que o Parlamento Europeu reagiu de imediato aprovando uma resolução em 6 de julho de 2006 e organizando uma audição especial sobre o SWIFT que ocorreu em 4 de outubro de 2006.
Em setembro de 2006 depois de apurada análise jurídica, o Governo belga concluiu e declarou que o acesso que o SWIFT tinha dado às autoridades americanas relativamente a transferências bancárias europeias que não tinham natureza transatlântica representava uma violação grave das leis europeias em matéria de proteção de dados privados.?A 22 de novembro de 2006 o Comité do Artigo 29.º aprovou um Parecer que confirmou que o SWIFT e os bancos se encontram em situação de violação da lei relativa à Proteção de Dados.
A 20 de dezembro de 2006 a Autoridade belga da Proteção de Dados reiterou que a sociedade SWIFT tinha de respeitar o ordenamento jurídico belga.
Em 22 de dezembro de 2006 o então Vice-Presidente da Comissão Europeia Franco Frattini (italiano) anunciou que iria iniciar contactos com os Estados Unidos em janeiro de 2007. A 26 de março de 2007, em nova audição, os Membros do Parlamento Europeu tornaram clara a sua preferência pela mudança da arquitetura do SWIFT que retirasse dos Estados Unidos os arquivos das transferências europeias.
Durante as conversações entre a UE e a Administração norte-americana esta assumiu unilateralmente um conjunto de compromissos conhecidos como "TFTP Representations” que os vinculam a regras suscetíveis de serem fiscalizadas por uma "Eminent European Person” (função para que foi designado um antigo magistrado francês especializado em contraterrorismo, Jean-Louis Bruguière).
A 3 de outubro de 2007 a Administração do SWIFT decidiu alterar a sua arquitetura das Bases de Dados, separando a zona europeia da zona transatlântica. As mensagens da zona europeia passam a ser armazenadas na Holanda (e em parte do seu centro na Suíça) e a zona transatlântica nos EUA (e em parte na Suíça em área distinta da zona europeia).
Estas medidas foram aplicadas a partir de 1 de janeiro de 2010.
Em setembro de 2009, o Parlamento Europeu aprovou uma Resolução em que expressa as suas preocupações com a possível utilização abusiva para espionagem económica e industrial e estabelece uma série de condições que entende deverem ser respeitadas num Acordo com os EUA.
O Acordo negociado foi submetido ao PE e recusado em fevereiro de 2010 por expressiva maioria, o que obrigou a Comissão e o Conselho a reabrirem negociações com os EUA.
O novo Acordo viria a ser viabilizado em 8 de julho de 2010 com evidentes melhorias ao nível da precisão dos dados requeridos, do período de conservação dos dados, da necessidade de haver uma autorização prévia, condicionando a transferência para países terceiros, reforçando a proteção de dados e assegurando uma fiscalização e controlo permanentes exercidos em solo americano por um responsável europeu designado pela Comissão Europeia.
O Acordo prevê que a Administração norte-americana peça os dados agora já não diretamente ao SWIFT mas a uma autoridade pública que deverá analisar o pedido e aceitá-lo ou recusá-lo.
Controversa foi a decisão de escolher a Europol como esta autoridade pública (a Resolução do PE e o mandato negocial faziam alusão a uma autoridade judicial). Para o cumprimento da sua missão a Europol coleta, trata e analisa dados. Ao fazê-lo está sujeita a obrigações em matéria de proteção de dados e ao controlo da Instância Comum – criada pelo artigo 34.º da Decisão Europol e que é composta por membros das autoridades nacionais de proteção de dados que são independentes. Ou seja, por definição e em matéria de proteção de dados a Europol é «controlada» e não «controladora».