As transferências de dados pessoais para países fora do Espaço Económico Europeu (EEE) são muitas vezes essenciais para o comércio ou a cooperação internacionais. A sua PME poderá ter de transferir dados pessoais para um país fora do EEE no decurso das suas atividades, por exemplo, quando necessita de partilhar dados pessoais com os seus parceiros comerciais ou com os seus fornecedores estabelecidos fora do EEE.
O RGPD contém disposições específicas para essas transferências. Com estas disposições, o RGPD visa garantir aos dados pessoais transferidos um nível equivalente de proteção ao que gozam no EEE.
Quando ocorre uma transferência de dados pessoais para fora do EEE?
O RGPD não fornece uma definição de tais transferências. No entanto, o CEPD identificou os seguintes três critérios cumulativos para identificar uma transferência para fora do EEE:
- um responsável pelo tratamento ou um subcontratante está sujeito ao RGPD para o tratamentoem causa;
- este responsável pelo tratamento ou subcontratante divulga por transmissão ou disponibiliza dados pessoais a outra organização (responsável pelo tratamento dos dados ou subcontratante);
- esta outra organização está situada num país fora do EEE ou é uma organização internacional.
Como transferir dados pessoais para fora do EEE?
Em resumo, o RGPD impõe restrições à transferência de dados pessoais para fora do EEE, para países não pertencentes ao EEE ou organizações internacionais, a fim de assegurar que o nível de proteção dos indivíduos concedido pelo RGPD permaneça o mesmo.
Os dados pessoais só podem ser transferidos para fora do EEE em conformidade com as condições para tais transferências estabelecidas no capítulo V do RGPD.
As condições para as transferências têm de ser respeitadas além da conformidade geral com outras regras do RGPD. Por exemplo, estas condições constituem um requisito adicional aos princípios básicos de tratamento, que também devem ser respeitados no contexto das transferências internacionais. Ao transferir dados pessoais, deve certificar-se de que dispõe de uma base legal adequada para o tratamento; que sejam aplicadas as medidas de segurança necessárias; que apenas trate os dados pessoais necessários para esta atividade de tratamento específica (princípio da minimização dos dados), etc. Se o destinatário dos dados pessoais agir como subcontratante, continua a ser legalmente obrigado a estabelecer um contrato. Tal como faria com um subcontratante no EEE.
Nos termos do RGPD, existem, em princípio, duas formas principais de transferir dados pessoais para um país não pertencente ao EEE ou para uma organização internacional. As transferências podem ser efetuadas com base numa decisão de adequação ou, na falta de tal decisão, com base em garantias adequadas, incluindo direitos oponíveis e vias de recurso para as pessoas singulares. Na ausência de uma decisão de adequação ou de salvaguardas adequadas, o RGPD permite algumas derrogações em determinadas situações.
Encontrará mais informações sobre as diferentes opções abaixo.
Transferências de dados com base numa decisão de adequação
A Comissão Europeia tem a possibilidade de adotar decisões de adequação para confirmar formalmente, com efeitos vinculativos para os países do EEE, que o nível de proteção de dados num país não pertencente ao EEE ou numa organização internacional é essencialmente equivalente ao nível de proteção no Espaço Económico Europeu.
Ao avaliar a adequação do nível de proteção, a Comissão Europeia tem em conta elementos como o Estado de direito, o respeito pelos direitos humanos e pelas liberdades fundamentais, bem como o facto de os direitos dos titulares dos dados serem ou não efetivos e terem força de execução, a existência e o funcionamento eficaz de uma autoridade independente de proteção de dados no país não pertencente ao EEE e os compromissos internacionais assumidos pelo país ou organização internacional.
Se a Comissão Europeia decidir que o país oferece um nível de proteção adequado e for adotada uma decisão de adequação, os dados pessoais podem ser transferidos para outra empresa ou organização desse país não pertencente ao EEE sem que o exportador de dados, ou seja, a entidade que transfere os dados, seja obrigado a fornecer garantias adicionais ou sujeito a condições adicionais relacionadas com transferências internacionais. Por outras palavras, as transferências para um país «adequado» não pertencente ao EEE serão comparáveis a uma transferência de dados dentro do EEE. No entanto, a sua organização terá ainda de cumprir os outros princípios básicos do RGPD, tal como explicado acima.
As decisões de adequação podem abranger um país no seu conjunto ou limitar-se a uma parte do mesmo (ou seja, a uma região). As decisões de adequação podem abranger todas as transferências de dados para um país ou limitar-se a alguns tipos de transferências (por exemplo, num setor).
Até à data, a Comissão Europeia adotou decisões de adequação para:
- Andorra,
- Argentina,
- Canadá (organizações comerciais),
- Ilhas Faroé,
- Guernsey,
- Israel,
- Ilha de Man,
- Japão,
- Jersey,
- Nova Zelândia,
- República da Coreia,
- Suíça,
- Reino Unido,
- Estados Unidos (organizações comerciais que participam no Quadro de Privacidade de Dados UE-EUA),
- e o Uruguai.
A Comissão Europeia publica a lista das suas decisões de adequação no seu sítio Web.
Os exportadores de dados são responsáveis por verificar se as decisões de adequação relevantes para as suas transferências ainda estão em vigor e não estão em processo de revogação ou anulação.
Note-se que as decisões de adequação não impedem as pessoas de apresentar uma queixa. Também não impedem as autoridades de proteção de dados (APD) de exercerem os seus poderes ao abrigo do RGPD.
Transferências de dados com base em garantias adequadas
Na ausência de uma decisão de adequação, as organizações podem também transferir dados pessoais sempre que possam ser fornecidas garantias adequadas em relação à organização que recebe os dados pessoais. Além disso, os particulares devem poder exercer os seus direitos e dispor de vias de recurso eficazes.
O artigo 46.º do RGPD enumera uma série de ferramentas de transferência que contêm «garantias adequadas», que pode utilizar para transferir dados pessoais para países não pertencentes ao EEE, na ausência de decisões de adequação. Os principais mecanismos de transferência do artigo 46.º do RGPD, relevantes para as organizações privadas, são:
- Cláusulas-tipo de proteção de dados;
- Regras vinculativas aplicáveis às empresas (BCR);
- Códigos de conduta;
- Mecanismos de certificação;
- Cláusulas contratuais ad hoc.
Cláusulas contratuais-tipo (CCT)
As cláusulas contratuais-tipo são um conjunto de contratos padronizados que permitem aos exportadores de dados fornecer salvaguardas adequadas. É uma ferramenta comumente utilizada por muitas organizações. A Comissão Europeia tem o poder de adotar as CCT como uma salvaguarda adequada para as transferências de dados pessoais para países não pertencentes ao EEE, nos termos do artigo 46.º, n.º 2, alínea c), do RGPD.
Em 4 de junho de 2021, a Comissão Europeia adotou uma decisão de execução relativa às CCT para a transferência de dados pessoais para países não pertencentes ao EEE, ao abrigo do RGPD. A Comissão Europeia também disponibiliza um conjunto de cláusulas contratuais-tipo no seu sítio Web. Saiba mais sobre as cláusulas contratuais-tipo.
As CCT abordam vários cenários de transferência e a complexidade das cadeias modernas de tratamento de dados. Os responsáveis pelo tratamento de dados e os subcontratantes podem utilizar várias opções, dependendo das circunstâncias específicas da transferência, que incluem:
- responsável para responsável (C2C);
- responsável para subcontratante (C2P);
- subcontratate para subcontratante (P2P);
- subcontratante para responsável pelo tratamento (P2C), sendo o subcontratante na UE e o responsável pelo tratamento num país terceiro.
Outros aspetos importantes das CCT incluem:
- possibilidade de mais de duas partes aderirem às cláusulas;
- a possibilidade, com algumas exceções, de utilizar CCT aquando da transferência de dados pessoais para um subcontratante ulterior num país não pertencente ao EEE;
- a possibilidade, com algumas exceções, de os particulares invocarem as cláusulas como terceiros beneficiários;
- regras em matéria de responsabilidade entre as partes em caso de violação dos direitos dos particulares;
- O direito das pessoas singulares à reparação dos danos sofridos em caso de violação dos seus direitos enquanto terceiro beneficiário;
- a obrigação de realizar uma «avaliação de impacto da transferência» que documente as circunstâncias específicas da transferência, a legislação do país de destino e as garantias adicionais estabelecidas para proteger os dados pessoais;
- obrigações em caso de acesso por parte das autoridades públicas aos dados transferidos, por exemplo, a obrigação de fornecer informações aos exportadores de dados e de contestar pedidos ilegais.
Regras vinculativas aplicáveis às empresas (BCR)
As regras vinculativas para as empresas (BCR) ajudam a garantir um nível adequado de proteção para os dados intercambiados dentro de um grupo de empresas localizadas dentro e fora do EEE e são mais adequadas para um grupo multinacional de empresas que efetua um grande número de transferências de dados.
As BCR são regras internas adotadas por um grupo de empresas, que definem a sua política global em matéria de transferência de dados pessoais. Estas regras devem ser vinculativas e respeitadas por todas as entidades do grupo, independentemente dos países onde estão estabelecidas. Além disso, devem conferir expressamente direitos oponíveis às pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais.
As condições que devem ser respeitadas para obter a aprovação de uma BCR pela APD competente são enumeradas no artigo 47.º do RGPD e explicadas de forma mais pormenorizada nas recomendações adotadas pelo Grupo de Trabalho do Artigo 29.º e ratificadas pelo CEPD. Há dois tipos de BCR: para os responsáveis pelo tratamento e para os subcontratantes.
As condições que devem ser respeitadas para obter a aprovação de uma BCR pela APD competente são enumeradas no artigo 47.º do RGPD e explicadas de forma mais pormenorizada nas recomendações adotadas pelo Grupo de Trabalho do Artigo 29.º e ratificadas pelo CEPD. Há dois tipos de BCR: para os responsáveis pelo tratamento e para os subcontratantes.
Leia mais
Códigos de conduta
O RGPD introduz esta nova ferramenta para transferências de dados. Contrariamente às BCR, que podem ser preparadas diretamente por grupos individuais de empresas, os códigos de conduta são setoriais e elaborados por associações representativas de categorias de organizações. Deve ser criado um sistema de organismos acreditados que monitorizem o cumprimento do código de conduta. O CEPD tomou a iniciativa de clarificar as condições em que os códigos de conduta podem ser utilizados e aprovados pelas autoridades competentes. Além disso, o CEPD é também responsável por assegurar a coerência das condições em que os organismos de controlo podem ser acreditados.
Certificação
O RGPD introduz esta nova ferramenta para transferências de dados para organizações certificadas por organismos de certificação ou por APD do EEE.
O CEPD aprovou directrizes para clarificar as condições em que pode ser criado um mecanismo de certificação. Esta ferramenta ainda está em desenvolvimento.
O CEPD está igualmente encarregado de assegurar a coerência das condições de acreditação dos organismos de certificação.
Cláusulas contratuais ad-hoc
Se os responsáveis pelo tratamento de dados ou os subcontratantes decidirem não utilizar as cláusulas contratuais-tipo da Comissão Europeia, podem elaborar as suas próprias cláusulas contratuais (cláusulas ad-hoc) que ofereçam garantias suficientes em matéria de proteção de dados. Antes de qualquer transferência de dados, essas cláusulas contratuais ad-hoc devem ser autorizadas pela APD nacional competente, em conformidade com o artigo 46.º, n.º 3, alínea a), do RGPD, na sequência de um parecer do CEPD.
Leia mais
Medidas complementares após o acórdão Schrems II
No seu acórdão de 2020 C-311/18 (Schrems II), o Tribunal de Justiça da União Europeia (TJUE) salientou a eventual necessidade de as organizações preverem medidas suplementares, a acrescer às garantias adequadas, aquando da transferência de dados pessoais para fora do EEE.
As CCT e outros instrumentos de transferência mencionados no artigo 46.º do RGPD não funcionam no vácuo. O TJUE declarou que os responsáveis pelo tratamento de dados ou os subcontratantes, agindo na qualidade de exportadores, são responsáveis por verificar, caso a caso, se a legislação ou a prática do país não pertencente ao EEE interfere, por exemplo devido a legislação que imponha o acesso aos dados, na eficácia das garantias adequadas previstas no artigo 46.ºdo RGPD quanto aos instrumentos de transferência.
A fim de ajudar os exportadores de dados na tarefa complexa de avaliar os países que recebem os dados e identificar as medidas suplementares adequadas, quando necessário, o CEPD adotou recomendações.
Transferências de dados com base em derrogações
Além das decisões de adequação e dos instrumentos de transferência do artigo 46.º do RGPD, o RGPD contém uma terceira via que permite a transferência de dados pessoais em determinadas situações. Sob reserva de condições específicas, poderá ainda transferir dados pessoais com base numa das derrogações enumeradas no artigo 49.º do RGPD.
O artigo 49.º do RGPD tem um caráter excecional. As derrogações devem ser interpretadas de forma a não contrariar a própria natureza das derrogações, como sendo exceções à regra, segundo a qual os dados pessoais não podem ser transferidos para um país não pertencente ao EEE, a menos que esse país preveja um nível adequado de proteção dos dados ou, em alternativa, sejam estabelecidas garantias adequadas. As derrogações não podem tornar-se «regra» na prática, mas devem limitar-se a situações específicas.
Com base no artigo 49.º do RGPD, uma transferência, ou conjunto de transferências, pode ser feita quando a transferência é:
- realizada com o consentimento explícito da pessoa;
- necessária para a execução de um contrato entre a pessoa singular e a organização ou para as diligências pré-contratuais tomadas a pedido da pessoa singular;
- necessária para a execução de um contrato celebrado no interesse da pessoa em causa entre o responsável pelo tratamento e outra pessoa;
- necessária por razões importantes de interesse público;
- necessária para a declaração, o exercício ou a defesa de um direito num processo judicial;
- necessária para proteger os interesses vitais da pessoa em causa ou de outras pessoas, se a pessoa for física ou legalmente incapaz de dar o seu consentimento; ou
- efetuada a partir de um registo que, nos termos da legislação nacional de um país do EEE ou da legislação da UE, se destina a fornecer informações ao público (e que está aberto a consulta pelo público em geral, ou por aqueles que podem demonstrar um interesse legítimo em consultar o registo).
A fim de avaliar a necessidade da transferência, deve ser aplicado um «teste da necessidade». Este teste exige uma avaliação para determinar se uma transferência de dados pessoais pode ser considerada necessária para a finalidade específica da derrogação em questão.
Quando nenhuma das derrogações acima referidas é aplicável a uma situação específica, é possível transferir dados devido aos interesses legítimos imperiosos do responsável pelo tratamento dos dados.
No entanto, essas transferências só são permitidas se a transferência:
- não for repetitiva (as transferências semelhantes não são efetuadas regularmente);
- envolver dados relativos apenas a um número limitado de pessoas;
- for necessária para efeitos dos interesses legítimos imperiosos da organização (desde que sobre esses interesses não prevaleçam os interesses do indivíduo);
- estiver sujeita a garantias adequadas estabelecidas pela organização (à luz de uma avaliação de todas as circunstâncias que rodeiam a transferência) para proteger os dados pessoais; e
- não for feita por uma autoridade pública no exercício dos seus poderes públicos.
Nestes casos, as organizações são obrigadas a informar a APD respectiva da transferência e a fornecer informações adicionais às pessoas singulares.
Em geral, as derrogações só devem ser utilizadas como último recurso para enquadrar uma transferência de dados — as organizações devem, em primeiro lugar, avaliar se não é possível recorrer a uma decisão de adequação ou a uma salvaguarda adequada.
Ao invocar as derrogações do artigo 49.º do RGPD, deve ter em conta que as organizações que transferem dados também devem cumprir outras disposições do RGPD (ter uma base legal para a comunicação de dados, dar execução a medidas de segurança, minimizar os dados, assinar um contrato se o destinatário for um subcontratante, etc.).