Comité Europeu para a Proteção de Dados

Comité Europeu para a Proteção de Dados – 34.ª sessão plenária: Schrems II, interação entre Diretiva Serviços de Pagamento 2 e RGPD e carta à deputada ao Parlamento Europeu Ďuriš Nicholsonová sobre o rastreio de contactos, interoperabilidade das aplicaçõe

Monday, 20 July, 2020

Bruxelas, 20 de julho – Na sua 34.ª sessão plenária, o CEPD adotou uma declaração sobre o acórdão proferido pelo TJUE no processo Data Protection Commissioner contra Facebook Ireland Ltd e Maximillian Schrems. O Comité adotou orientações sobre a interação entre a Diretiva Serviços de Pagamento 2 (DSP2) e o RGPD, bem como uma carta de resposta à deputada ao Parlamento Europeu Ďuriš Nicholsonová sobre o rastreio de contactos e a interoperabilidade das aplicações e avaliações de impacto sobre a proteção de dados (AIPD).

O CEPD adotou uma declaração sobre o acórdão do Tribunal de Justiça da União Europeia no processo C-311/18 — Data Protection Commissioner contra Facebook Ireland Ltd e Maximillian Schrems—, que invalida a Decisão 2016/1250 relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE‑EUA e considera válida a Decisão 2010/87 da Comissão relativa a cláusulas contratuais‑tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros.

No que diz respeito ao Escudo de Proteção da Privacidade, o CEPD salienta que a UE e os EUA devem estabelecer um quadro completo e eficaz que garanta que o nível de proteção facultado aos dados pessoais nos EUA seja essencialmente equivalente ao garantido na UE, em consonância com o acórdão. O CEPD tenciona continuar a desempenhar um papel construtivo no sentido de assegurar uma transferência transatlântica de dados pessoais que beneficie os cidadãos e as organizações do EEE, estando disponível para fornecer à Comissão Europeia assistência e orientações para a ajudar a criar, juntamente com os EUA, um novo quadro que esteja em plena conformidade com o direito da UE em matéria de proteção de dados.

No que se refere às cláusulas contratuais‑tipo, o CEPD regista que, quando ponderam a possibilidade de celebrar cláusulas contratuais‑tipo, o exportador e o importador têm como missão primordial garantir que estas mantêm um nível de proteção essencialmente equivalente ao garantido pelo RGPD à luz da Carta dos Direitos Fundamentais da União Europeia. Ao realizar essa avaliação prévia, o exportador (se necessário, com o auxílio do importador) deve ter em conta o conteúdo das cláusulas contratuais-tipo, as circunstâncias específicas da transferência e o regime jurídico aplicável no país do importador. O Tribunal salienta que o exportador pode ter de ponderar a aplicação de medidas adicionais às incluídas nas cláusulas contratuais‑tipo. O CEPD irá analisar, de forma mais aprofundada, em que poderão consistir essas medidas adicionais.

O CEPD toma igualmente nota dos deveres que incumbem às autoridades de controlo competentes de suspenderem ou proibirem a transferência de dados para um país terceiro em conformidade com as cláusulas contratuais‑tipo se, no entender da autoridade de controlo competente e à luz de todas as circunstâncias dessa transferência, essas cláusulas não forem ou não puderem ser respeitadas nesse país terceiro e se a proteção dos dados transferidos não puder ser assegurada por outros meios, em particular se o responsável pelo tratamento ou o subcontratante não tiver ele próprio suspendido ou posto termo à transferência.

O CEPD recorda que adotou orientações sobre o artigo 49.º do RGPD e que essas derrogações devem ser aplicadas caso a caso.

O CEPD avaliará a decisão de forma mais pormenorizada e fornecerá mais esclarecimentos às partes interessadas e orientações sobre a utilização de instrumentos para a transferência de dados pessoais para países terceiros, em conformidade com o acórdão. O CEPD e as autoridades de controlo europeias também estão disponíveis, tal como indicado pelo TJUE, para assegurar a coerência no EEE.

A declaração completa está disponível no seguinte endereço: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_pt

O CEPD adotou orientações sobre a Diretiva Serviços de Pagamento 2 (DSP2). A DSP2 moderniza o quadro jurídico do mercado dos serviços de pagamento. Mais importante ainda, a DSP2 introduz um quadro jurídico para os novos serviços de iniciação de pagamentos e os serviços de informação sobre contas. Os utilizadores podem solicitar que estes novos prestadores de serviços de pagamento tenham acesso às suas contas de pagamento. Na sequência de um seminário, em fevereiro de 2019, em que participaram as partes interessadas, o CEPD elaborou orientações sobre a aplicação do RGPD a estes novos serviços de pagamento.

Essas orientações salientam que, no contexto em apreço, o tratamento de categorias especiais de dados pessoais é alvo de proibição geral (em conformidade com o artigo 9.º, n.º 1, do RGPD), salvo se o titular dos dados tiver dado o seu consentimento explícito (artigo 9.º, n.º 2, alínea a), do RGPD) ou se o tratamento for necessário por motivos de interesse público importante (artigo 9.º, n.º 2, alínea g), do RGPD).

As orientações abordam também as condições em que os prestadores de serviços de pagamento que gerem as contas concedem acesso a informações sobre a conta de pagamento aos prestadores de serviços de iniciação de pagamentos e aos prestadores de serviços de informação sobre contas, em particular, o acesso granular a contas de pagamento.

As orientações esclarecem que nem o artigo 66.º, n.º 3, alínea g), nem o artigo 67.º, n.º 2, alínea f), da DSP2 permitem o tratamento posterior, a menos que o titular dos dados tenha dado o seu consentimento nos termos do artigo 6.º, n.º 1, alínea a), do RGPD ou que o tratamento esteja previsto pelo direito da União ou do Estado-Membro. As orientações serão submetidas a consulta pública.

Por último, o Conselho de Administração adotou uma carta em resposta às questões colocadas pela deputada ao Parlamento Europeu Ďuriš Nicholsonová relativamente à proteção de dados no contexto da luta contra a COVID-19. A carta aborda questões sobre a harmonização e a interoperabilidade das aplicações de rastreio de contactos, a necessidade de uma AIPD para esse tratamento e a duração do tratamento.

EDPB_Press Release_2020_12