Transferências de Dados Internacionais: Decisão de Adequação EU-UK e Novas Cláusulas Contratuais-Tipo

Quando entram em vigor as novas CCT?

As novas Cláusulas Contratuais-Tipo (doravante “CCT”) entram em vigor a 27 de junho de 2021. Não obstante, as mais recentes CCT preveem a possibilidade de as anteriores continuarem a ser utilizadas para novas transferências de dados durante um período de transição, que se estende até ao dia 27 de setembro de 2021, por forma a garantir um período de adaptação aos operadores económicos envolvidos.

Ademais, as antigas CCT permanecerão válidas até 27 de dezembro de 2022, criando um período de transição de 15 meses após a repristinação dos anteriores diplomas, contanto que as operações de tratamento que são objeto do contrato permaneçam inalteradas e que o recurso a essas cláusulas garanta que a transferência de dados pessoais esteja sujeita a salvaguardas adequadas.

Qual o âmbito de aplicação das CCT?

O âmbito de aplicação das novas CCT abrange as entidades estabelecidas no Espaço Económico Europeu (doravante ”EEE”), que assumam o papel de responsável pelo tratamento ou subcontratante. Adicionalmente, estão ainda abrangidas as entidades não sediadas no EEE, mas sujeitas por outra forma (nomeadamente as previstas no Artigo 3.º RGPD), ao âmbito de aplicação do RGPD, que transferem dados pessoais para terceiros estabelecidos em países em relação aos quais não existe qualquer decisão de adequação nos termos do Artigo 45.º do RGPD.

Neste contexto, importa ainda notar que uma entidade que não seja Parte nas cláusulas pode, com o acordo das Partes, aderir às mesmas em qualquer altura, quer como exportador de dados, quer como importador de dados.

Sem prejuízo, é importante mencionar que nem todas as transferências de dados internacionais terão de recorrer a CCT, sendo estas apenas um dos mecanismos disponíveis para prestar as devidas garantias adequadas, ao abrigo do Artigo 46.º do RGPD, caso não exista uma decisão de adequação, nos termos do Artigo 45.º do RGPD, em relação ao país terceiro para o qual se pretende transferir dados pessoais. Assim, outros dos mecanismos disponíveis são as regras vinculativas aplicáveis às empresas, as CCT adotadas por uma autoridade de controlo ou autorizadas por esta autoridade, os instrumentos juridicamente vinculativos e com força executiva entre autoridades ou organismos públicos, os códigos de conduta e os procedimentos de certificação, acompanhados de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro

Que novos deveres são impostos pelas mais recentes CCT?

Uma das maiores novidades das mais recentes CCT é o facto de passar a ser imposto às partes que desenvolvam uma avaliação de impacto que tenha em consideração as circunstâncias da transferência, as leis e práticas do país terceiro de destino, assim como quaisquer garantias contratuais, técnicas ou organizacionais relevantes postas em prática, devendo esta avaliação ser documentada e disponibilizada às autoridades competentes em matéria de proteção de dados, mediante pedido.

Em resposta direta às questões levantadas pelo Acórdão Schrems II já referido, decorre da Cláusula n.º 15 das novas CCT, que o importador tem uma obrigação de notificação e de revisão da legalidade e minimização de dados sobre o incumprimento das cláusulas, em caso de acesso por parte das autoridades públicas, para com o exportador dos dados e, se possível, o titular dos mesmos.

Adicionalmente, o importador de dados deve informar imediatamente o exportador de dados se, por qualquer razão, não for capaz de cumprir as CCT. Assim, se o importador de dados violar as CCT ou não as puder cumprir, o exportador de dados é obrigado a suspender a transferência para esse importador de dados até que o cumprimento seja novamente assegurado ou até que o contrato seja rescindido.

Quais as principais novidades?

As novas CCT preveem nas suas Cláusulas n.º 3 e 10, mecanismos para assegurar o exercício dos direitos conferidos pelo RGPD ao titular dos dados, estipulando expressamente que o titular dos dados tem, ele próprio, alguns direitos perante o importador, nomeadamente de confirmação quanto ao tratamento dos seus dados, retificação e apagamento dos mesmos. Ademais, se o importador tratar os dados pessoais para fins de marketing direto, o titular dos dados tem o direito de oposição. Por fim, cumpre ainda destacar que o titular dos dados terá também direito a ver as suas perguntas e pedidos atendidos pelo importador de dados.

Em que consiste a abordagem modular adotada nas novas CCT?

Enquanto as antigas CCT apenas previam dois conjuntos de cláusulas, um deles dirigido às transferências entre dois responsáveis pelo tratamento e o outro aplicável às transferências de responsável pelo tratamento para subcontratante, as novas CCT preveem 4 módulos de cláusulas:

1º Módulo: Exportador e Importador responsáveis pelo tratamento (neste caso, o importador vê os seus direitos de tratamento subsequente limitados);

2º Módulo: Um Exportador Responsável pelo tratamento e um Importador de Subcontratante

3º Módulo: Exportador e Importador subcontratantes;

4º Módulo: Um Exportador subcontratante e um Importador de responsável pelo tratamento.

Considerando que as CCT já preveem garantias adequadas, incluindo direitos passíveis de serem exercidos pelo titular dos dados, assim como recursos legais eficazes, exigidos nos termos do Artigo 28.º do RGPD, contando que as cláusulas não são modificadas, exceto no que concerne à escolha dos módulos aplicáveis, ou para adicionar as informações que tenham que ser completadas, nos termos do anexo, não será necessário um outro contrato adicional (DPA), que regule a relação entre o responsável pelo tratamento e o subcontratante.

Como se processa a relação de responsabilidade entre as partes?

Ao abrigo das novas CCT, o importador e exportador de dados são, de acordo com as regras de responsabilidade dispostas no RGPD, responsáveis por quaisquer danos causados às pessoas em causa por uma violação das CCT.

Como se passam a proceder as transferências de dados para o Reino Unido?

O Reino Unido adotou as antigas CCT, contudo, devido ao Brexit, não ficará automaticamente vinculado pelas novas CCT. Embora pudesse optar por adotá-las, a Autoridade Supervisora do Reino Unido anunciou que vai publicar um conjunto de CCT específicas do Reino Unido para consulta este Verão.

Desde 1 de janeiro de 2021 até 28 de junho, as transferências de dados pessoais para o Reino Unido foram regidas pelo Acordo de Comércio e Cooperação UE-Reino Unido, provisoriamente aplicável, que determina que as transferências de dados da União Europeia, Islândia, Lichtenstein e Noruega para o Reino Unido, não são tratadas como transferências para um país terceiro, nos termos do RGPD, contando que sejam respeitadas as condições contratualizadas no Acordo.

Não obstante, esteve em curso neste período, um processo cuja finalidade seria a adoção de uma decisão de adequação para as transferências entre os países do EEE e o Reino Unido.

A este propósito, no passado dia 19 de fevereiro, a Comissão deu início ao procedimento para a adoção de duas decisões de adequação para as transferências de dados pessoais sob análise, através da publicação dos respetivos projetos de decisão (consultáveis aqui e aqui). No seguimento de tal procedimento, foram adotadas ao dia 28 do presente mês de junho, as duas decisões de adequação, uma relativa às transferências de dados que se regem pelo RGPD, consultável aqui, e outra relativa às transferências efetuadas ao abrigo da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, consultável aqui.

Esta decisão de adequação, está, no entanto, sujeita ao cumprimento de determinadas condições por parte do Reino Unido, entre as quais destacamos a necessidade do regime jurídico aplicável à proteção de dados do Reino Unido continuar a basear-se nas mesmas regras que seriam aplicáveis quando o Reino Unido era Estado-Membro da UE, ou seja, no fundo, a decisão de adequação só se aplicará enquanto o Reino Unido garanta o mesmo nível de proteção conferido ao abrigo do RGPD.

Ademais, importa notar que a validade desta decisão de adequação expira automaticamente a 27 de junho de 2025.