A aplicação de coimas na União Europeia por más práticas relacionadas com a contratação de prestadores de serviços com acesso a dados pessoais, sem acautelar os requisitos legais, tem vindo a aumentar. Isso mesmo atesta a coima aplicada há um par de dias pela autoridade de controlo norueguesa a uma empresa de gestão e cobrança de portagens, no valor de cerca de 500 mil euros, por não ter celebrado um acordo legalmente obrigatório para tratamento de dados por subcontratante e não ter realizado uma avaliação de risco associado à transferência de dados pessoais, na sequência do Acórdão Schrems II, nem do instrumento de legitimação da transferência de cerca de 12,5 milhões de matrículas para a China.

É neste contexto que se revela essencial começar, se não o tivermos já feito, a analisar os vários prestadores de serviços com quem temos contratos e que acedem a dados pessoais da nossa responsabilidade e as eventuais transferências de dados pessoais que essa relação implica.

Revogação das Cláusulas Contratuais-Tipo anteriores e o Período Transitório

A este respeito, as novas Cláusulas Contratuais-Tipo (CCT), que são um dos instrumentos de legitimação de transferências de dados pessoais para fora da UE mais utilizados, entraram em vigor a 27 de junho de 2021 e a revogação das anteriores verificou-se no passado dia 27 de setembro.

PUB • CONTINUE A LER A SEGUIR

Não obstante, até 27 de dezembro de 2022 as entidades beneficiarão do período transitório durante o qual poderão continuar a basear as suas transferências internacionais de dados pessoais nas CCT agora revogadas. No entanto, para que tal seja possível é necessário que: os contratos que regulam estas transferências tenham sido celebrados antes de 27 de setembro de 2021; as operações de tratamento objeto dos contratos celebrados antes de 27 de Setembro de 2021 permaneçam inalteradas; e o recurso às CCT agora revogadas (e que foram celebradas antes de 27 de setembro de 2021) continue a garantir que a transferência de dados pessoais está sujeita a garantias adequadas, nos termos do artigo 46.º, n.º 1 do Regulamento Geral sobre a Proteção de Dados (RGPD).

Caso algum dos pressupostos acima não se tenha por verificado, mesmo antes de 27 de dezembro de 2022, teremos de celebrar as novas CCT para legitimar as transferências internacionais de dados.

Estrutura modular das novas CCT

As novas CCT são compostas por uma estrutura modular, em função da relação estabelecida entre o importador e o exportador.

Tal significa que os diversos módulos que se encontram disponíveis deverão ser selecionados em função do papel e responsabilidades que cada parte assume no tratamento de dados. Assim, para “compilar” os módulos das novas CCT que se adequarão às transferências internacionais de dados, deverão aferir-se as relações entre cada entidade relevante da UE e os importadores dos dados estabelecidos fora do território do EEE.

O mapeamento das transferências internacionais (incluindo a qualificação dos destinatários, países de destino e mecanismos de legitimam a transferência) é crucial para este trabalho.

Avaliação e documentação do impacto da transferência internacional

A partir do acórdão Schrems II, proferido pelo Tribunal de Justiça da União Europeia (TJUE), antes de proceder à celebração das CCT, o exportador dos dados encontra-se obrigado a, em estreita colaboração com o importador dos dados, avaliar e documentar se existem indícios ou factos que demonstrem que a legislação ou a prática no país de destino vão impedir o importador de cumprir as suas obrigações previstas nas CCT.

Esta avaliação deverá ter em consideração, entre outras: decisões do TJUE (como os acórdãos Schrems I e II) e do Tribunal Europeu dos Direitos Humanos; resoluções e relatórios de organizações intergovernamentais, como o Conselho da Europa, ou outras entidades regionais tais como o Conselho dos Direitos Humanos das Nações Unidas; e decisões judiciais ou decisões administrativas proferidas por tribunais ou por autoridades, respetivamente, competentes sobre privacidade e proteção de dados dos países de destino, e deverá dar especial atenção a legislação ou decisões que possam fixar a obrigatoriedade de divulgação de dados pessoais a autoridades públicas ou que conceda a essas autoridades públicas poderes de acesso aos dados pessoais, por exemplo, para fins de aplicação de legislação penal, supervisão regulatória ou segurança nacional.

Apenas no final desta avaliação se poderá concluir se, relativamente a cada uma das transferências internacionais que tenham sido mapeadas, a celebração das novas CCT é suficiente para cumprimento dos requisitos do RGPD ou se, ao invés, será necessário adotar medidas complementares (medidas contratuais, organizativas ou técnicas).

Na eventualidade de esta avaliação concluir que não é possível adotar medidas adicionais destinadas a garantir a proteção adequada dos dados pessoais, ou que as medidas possíveis ainda assim não são suficientes, então terá de se avaliar a cessação das respetivas transferências.

É, por isso, crucial que este trabalho seja feito de forma atempada, faseada e ponderada, para que sejam alcançadas as melhores soluções de legitimação dos tratamentos em causa, adaptadas também às especificidades e necessidades de cada negócio.