O que acontece se a minha empresa tratar dados em diferentes Estados-Membros da UE?

Resposta

O Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se em toda a UE – um conjunto de regras sobre proteção de dados para todos os Estados-Membros da UE. Tal evitará que a sua empresa/organização tenha de estar sujeita a várias legislações diferentes. Em algumas áreas, os Estados-Membros da UE podem especificar ainda mais a aplicação das regras do RGPD (por exemplo, regras em matéria de emprego ou no setor da saúde pública; regras sobre a conciliação entre a liberdade de expressão e a proteção de dados). O RGPD também introduz o chamado «mecanismo de balcão único», que garante a cooperação entre as autoridades de proteção de dados (APD)no caso do tratamento transfronteiriço.

Se a sua empresa/organização efetuar o tratamento de dados em diferentes países, a APD competente – que será a autoridade principal nas suas relações com outras APD competentes na UE – é a APD do Estado-Membro da UE onde tem o seu estabelecimento principal. O estabelecimento principal será identificado como o local onde a sua empresa/organização possui a sua administração central na UE, a não ser que as decisões sobre as finalidades e os meios de tratamento de dados pessoais sejam tomadas noutro estabelecimento e que esse estabelecimento tenha o poder de executar essas decisões.

Caso a sua empresa/organização efetue o tratamento de dados para cumprir uma obrigação jurídica à luz do direito nacional de um Estado-Membro da UE, só é competente a APD desse Estado-Membro da UE.

Exemplo

Uma empresa têxtil tem o seu estabelecimento principal (ou seja, a sua sede social) em Itália. Tem lojas satélite em países vizinhos, como Malta, Grécia, França e Áustria. Nestes países vizinhos, as suas lojas satélite elaboram bases de dados para tratar os dados pessoais dos clientes para efeitos de comercialização. No entanto, as decisões sobre «como» contactar os referidos clientes, «quando» e «porquê» são tomadas na sede em Itália. Assim, neste caso, considera-se que as decisões sobre o tratamento de dados pessoais para efeitos de comercialização são tomadas em Itália. A APD italiana é a autoridade principal da sua empresa.

Referências

• Orientações do CEPD sobre a autoridade de controlo principal e o respetivo anexo
• Artigo 4.º, n.º 23, e artigos 55.º, 56.º, 60.º-70.º; considerandos 124-140 do RGPD

A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.

• EDPB Guidelines on the Lead Supervisory Authority and its annex
• Article 4(23), Articles 55, 56 and Articles 60 to70 and Recitals (124) (140) of the GDPR