Comité Europeu para a Proteção de Dados

Comité Europeu para a Proteção de Dados — 37.ª reunião plenária: Orientações relativas aos responsáveis pelo tratamento de dados e aos subcontratantes, orientações que visam os utilizadores de redes sociais, grupo de trabalho sobre as queixas apresentadas

Friday, 4 September, 2020

Bruxelas, 3 de setembro — O Comité adotou orientações sobre os conceitos de responsável pelo tratamento e de subcontratante no RGPD, bem como orientações que visam os utilizadores de redes sociais. Além disso, o CEPD criou um grupo de trabalho sobre as queixas na sequência do acórdão do TJUE no processo Schrems II e um grupo de trabalho dedicado a medidas suplementares que possam ser exigidas aos exportadores e importadores de dados para garantir uma proteção adequada aquando da transferência de dados à luz do acórdão do TJUE no processo Schrems II.

O Comité adotou orientações sobre os conceitos de responsável pelo tratamento e subcontratante no RGPD. Desde a entrada em vigor do RGPD, foram levantadas questões sobre até que ponto o RGPD introduz  alterações a estes conceitos, em particular no que diz respeito ao conceito de responsabilidade conjunta pelo tratamento (tal como estabelecido no artigo 26.º do RGPD e na sequência de vários acórdãos do TJUE), bem como às obrigações dos subcontratantes (em particular, o artigo 28.º do RGPD) estabelecidas no capítulo IV do RGPD.

Em março de 2019, o CEPD, juntamente com o seu secretariado, organizou um evento com as partes interessadas em que ficou clara a necessidade de orientações mais práticas e que permitiu ao Comité compreender melhor as necessidades e as preocupações no terreno. As novas orientações consistem em duas partes principais: uma que contém uma explicação dos diferentes conceitos; e outra que inclui orientações pormenorizadas sobre as principais consequências destes conceitos para os responsáveis pelo tratamento, os subcontratantes e os responsáveis conjuntos pelo tratamento. As orientações incluem um fluxograma com orientações práticas adicionais. As orientações serão submetidas a consulta pública.

O CEPD adotou orientações que visam os utilizadores de redes sociais. As orientações visam fornecer orientações práticas às partes interessadas e contêm vários exemplos de diferentes situações, para que as partes interessadas possam identificar rapidamente o «cenário» que está mais próximo da prática específica que tencionam utilizar. O principal objetivo das orientações é clarificar as funções e responsabilidades do fornecedor de redes sociais e da pessoa visada. Para o efeito, as orientações identificam, nomeadamente, os riscos potenciais para as liberdades dos indivíduos, os principais intervenientes e as suas funções, a aplicação de requisitos essenciais em matéria de proteção de dados, tais como a legalidade, a transparência e a AIPD, bem como os elementos fundamentais dos acordos entre os fornecedores de redes sociais e as pessoas visadas. Além disso, as orientações centram-se nos diferentes mecanismos de direcionamento, no tratamento de categorias especiais de dados e na obrigação de os responsáveis conjuntos pelo tratamento estabelecerem um acordo adequado nos termos do artigo 26.º do RGPD. O plenário submeterá as orientações a consulta pública.

O Comité criou um grupo de trabalho para analisar as queixas apresentadas na sequência do acórdão do TJUE no processo Schrems II. Foram apresentadas, no total, 101 queixas idênticas às autoridades de proteção de dados do EEE contra vários responsáveis pelo tratamento nos Estados-membros do EEE no que diz respeito à sua utilização de serviços Google/Facebook que implicam a transferência de dados pessoais. Especificamente, os queixosos, representados pela ONG NOYB, alegam que a Google/Facebook transferem dados pessoais para os EUA ao abrigo do Escudo de Proteção da Privacidade EUA-UE ou de cláusulas contratuais padrão sem que, à luz do recente acórdão do TJUE no processo C-311/18, o responsável pelo tratamento possa garantir uma proteção adequada dos dados pessoais dos queixosos. O grupo de trabalho analisará esta questão e assegurará uma estreita colaboração entre os membros do Comité.

Na sequência do acórdão do TJUE no processo Schrems II e adicionalmente ao documento de perguntas frequentes adotado em 23 de julho, o Comité criou um grupo de trabalho. Este grupo de trabalho formulará recomendações para assistir os responsáveis pelo tratamento e os subcontratantes na sua tarefa de identificar e implementar medidas adequadas suplementares com vista a garantir uma proteção adequada aquando da transferência de dados para países terceiros.

Andrea Jelinek, Presidente do EDPB: «O EDPD está bem ciente de que o acórdão no processo Schrems II atribui aos responsáveis pelo tratamento uma responsabilidade importante. Adicionalmente à declaração e ao documento de perguntas frequentes emitidos pouco após o acórdão, estamos a preparar recomendações para assistir os responsáveis pelo tratamento e os subcontratantes na sua tarefa de identificar e implementar medidas adequadas suplementares de natureza jurídica, técnica e organizacional com vista ao cumprimento do padrão da equivalência substancial aquando da transferência de dados pessoais para países terceiros. No entanto, sendo as implicações do acórdão vastas e os contextos das transferência de dados para países terceiros diversos, não é possível uma solução única e instantânea.  Cada organização terá de avaliar as suas próprias operações de tratamento e transferência de dados e tomar medidas adequadas.»

Notas aos editores:
Todos os documentos adotados em sessão plenária pelo Comité Europeu para a Proteção de Dados estão sujeitos aos controlos jurídicos, linguísticos e de formatação necessários, e serão publicados no sítio Web do CEPD uma vez concluídos esses controlos.

EDPB_Press Release_2020_14