Bruxelas, 14 de abril - Durante a sua sessão plenária, o CEPD adotou dois Pareceres sobre os projetos de decisões de adequação do Reino Unido. O parecer n.º 14/2021, baseado no RGPD, avalia tanto os aspetos gerais da proteção de dados, como o acesso dos poderes públicos a dados pessoais transferidos do EEE para efeitos de aplicação efetiva da lei e de segurança nacional incluídos no projeto de decisão de adequação. Esta avaliação é baseada nos critérios de referência para a adequação (WP254) no que respeita ao RGPD. O parecer n.º 15/2021 é baseado na Diretiva sobre a Proteção de Dados na Aplicação da Lei e analisa o projeto de decisão de adequação à luz das Recomendações 01/2021 sobre os critérios de referência para a adequação no quadro da referida Diretiva, bem como à luz da jurisprudência pertinente, refletida nas Recomendações 02/2020 sobre as garantias essenciais europeias relativamente às medidas de vigilância. Trata-se do primeiro projeto de decisão de execução relativo à adequação de um país terceiro a título da Diretiva sobre a Proteção de Dados na Aplicação da Lei jamais apresentado pela Comissão Europeia e avaliado pelo CEPD.
O CEPD observa que em certos domínios fundamentais existe um forte alinhamento entre os quadros de proteção de dados da UE e os do Reino Unido no que respeita a determinadas disposições essenciais, tais como: Fundamento para o tratamento lícito e leal para fins legítimos; Limitação do fim; Qualidade dos dados e proporcionalidade; Conservação, segurança e confidencialidade dos dados; Transparência; Categorias especiais de dados e Adoção de decisões automatizadas e definição de perfis.
A presidente do CEPD, Andrea Jelinek, afirmou: «O quadro de proteção de dados do Reino Unido baseia-se, em grande medida, no quadro de proteção de dados da UE. A Lei do Reino Unido de 2018 sobre a Proteção de Dados precisa ainda a aplicação do RGPD no direito britânico, além da transposição da Diretiva sobre a Proteção de Dados na Aplicação da Lei, bem como a atribuição de poderes e a imposição de obrigações à autoridade nacional de controlo da proteção de dados (ICO). Por conseguinte, o CEPD reconhece que o atual quadro britânico de proteção de dados reflete, em grande parte, o RGPD e a Diretiva sobre a Proteção de Dados na Aplicação da Lei e que, na análise da legislação e das práticas do Reino Unido, o CEPD identificou um grande número de aspetos essencialmente equivalentes. No entanto, embora as leis possam evoluir, este alinhamento deve ser mantido. Por conseguinte, congratulamo-nos com a decisão da Comissão de limitar no tempo a adequação concedida, bem como a sua intenção de acompanhar de perto a evolução da situação no Reino Unido.»
O CEPD sublinha que vários elementos deverão ser objeto de uma avaliação mais aprofundada e/ou de um acompanhamento rigoroso pela Comissão Europeia na sua decisão baseada no RGPD, tais como:
- A derrogação no que respeita à imigração e as suas consequências sobre as restrições aos direitos dos titulares de dados;
- A aplicação de restrições a transferências ulteriores de dados pessoais do EEE para o Reino Unido, em conformidade, por exemplo, com futuras decisões de adequação adotadas pelo Reino Unido, com acordos internacionais celebrados entre o Reino Unido e países terceiros ou com derrogações.
No que diz respeito ao acesso das autoridades públicas, para fins de segurança nacional, a dados pessoais transferidos para o Reino Unido, o CEPD congratula-se com a criação do Investigatory Powers Tribunal (IPT), que tramita as reclamações no domínio da segurança nacional, bem como com a introdução de comissários com poderes de investigação na Investigatory Powers Act de 2016 (lei relativa à regulamentação dos poderes de investigação), a fim de assegurar um melhor controlo nesse mesmo domínio. O CEPD identifica ainda uma série de pontos que requerem esclarecimentos e/ou um acompanhamento complementares:
- Interceções em larga escala;
- Avaliação e controlo independentes da utilização das ferramentas de tratamento automatizado;
- Garantias previstas na legislação do Reino Unido em matéria de divulgação no estrangeiro, em especial à luz da aplicação de derrogações relacionadas com a segurança nacional.
O Comité adotou Orientações sobre a aplicação do artigo 65.º, n.º 1, alínea a), do RGPD para delinear as principais fases do procedimento e clarificar a competência do CEPD quando adota decisões juridicamente vinculativas com base no artigo 65.º, n.º 1, alínea a), do RGPD. As Orientações incluem igualmente uma descrição das garantias processuais e das vias de recurso aplicáveis. Estarão disponíveis para consulta pública durante um período de seis semanas.
O CEPD adotou a versão final das Orientações sobre o direcionamento de utilizadores de redes sociais (Guidelines on the targeting of social media users) na sequência de uma consulta pública. O objetivo das Orientações é clarificar os papéis e as responsabilidades dos fornecedores das redes sociais e dos indivíduos visados. A versão final inclui formulações atualizadas para dar resposta às observações e reações recebidas durante a consulta pública.
O CEPD adotou uma declaração sobre acordos internacionais, que inclui transferências. O CEPD convida os Estados-Membros da UE a avaliarem e, se necessário, a reverem os seus acordos internacionais que envolvam transferências internacionais de dados pessoais e que tenham sido celebrados antes de 24 de maio de 2016 (no caso de acordos relevantes para o RGPD) e de 6 de maio de 2016 (no caso de acordos relevantes para a Diretiva sobre a Proteção de Dados na Aplicação da Lei), a fim de, se necessário, os alinhar pela legislação da UE em matéria de proteção de dados.
Nota aos editores:
Todos os documentos adotados durante a sessão plenária do CEPD serão objeto das verificações jurídicas, linguísticas e de formatação necessárias, após o que serão publicados no sítio web do CEPD.
EDPB_Press Release_2021_03