Que regras se aplicam se a minha organização transferir dados para fora da UE?

Resposta

No mundo globalizado de hoje, existem grandes quantidades de transferências transfronteiriças de dados pessoais, que, por vezes, são armazenados em servidores situados em vários países diferentes. A proteção concedida pelo Regulamento Geral sobre a Proteção de Dados (RGPD) viaja com os dados, o que significa que as regras que protegem os dados pessoais continuam a aplicar-se independentemente da localização dos dados. Tal aplica-se também quando os dados são transferidos para um país que não seja membro da UE («país terceiro»).

O RGPD proporciona diferentes instrumentos para enquadrar as transferências de dados de um país da UE para um país terceiro:

• em certos casos, pode declarar-se que um país terceiro oferece um nível adequado de proteção através de uma decisão da Comissão Europeia («decisão de adequação»), o que significa que é possível transferir dados para uma empresa situada no país terceiro sem que o exportador dos dados tenha de apresentar garantias suplementares e sem que esteja sujeito a condições adicionais. Por outras palavras, as transferências para um país terceiro «adequado» serão semelhantes a uma transmissão de dados no interior da UE.

• na falta de uma decisão de adequação, a transferência pode ser efetuada mediante a apresentação de garantias adequadas e na condição de as pessoas gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes. Estas garantias adequadas incluem, nomeadamente, as seguintes:

• no caso de um grupo de empresas ou de grupos de empresas envolvidos numa atividade económica conjunta, as empresas podem transferir dados pessoais com base nas chamadas regras vinculativas aplicáveis às empresas;
• disposições contratuais com o destinatário dos dados pessoais, utilizando, por exemplo, as cláusulas-tipo de proteção de dados adotadas pela Comissão Europeia;
• adesão a um código de conduta ou um procedimento de certificação, acompanhado de compromissos vinculativos e com força executiva assumidos pelos destinatários no sentido de aplicarem as garantias adequadas para proteger os dados transferidos.

• por último, se estiver prevista uma transferência de dados pessoais para um país terceiro que não esteja sujeito a uma decisão de adequação e na ausência de garantias adequadas, a transferência pode ser efetuada com base num conjunto de derrogações aplicáveis em situações específicas, por exemplo se uma pessoa tiver consentido expressamente na transferência proposta após ter recebido todas as informações necessárias sobre os riscos associados à mesma.

Exemplo

Uma empresa francesa tenciona expandir os seus serviços à América do Sul, nomeadamente à Argentina, ao Uruguai e ao Brasil. O primeiro passo seria o de verificar se tais países terceiros são objeto de uma decisão de adequação. Neste caso, tanto a Argentina como o Uruguai foram declarados adequados. A empresa poderia transferir dados pessoais para estes dois países não pertencentes à UE sem garantias adicionais, ao passo que as transferências para o Brasil, que não é objeto de uma decisão de adequação, terão de ser efetuadas mediante a apresentação de garantias adequadas.

Referências

• Capítulo V (artigos 44.º-50.º); considerandos 101-116 do RGP
• Orientações  mais recentes do CEPD sobre transferências internacionais
  • Documento de referência do CEPD relativo à adequação
  • Documento de trabalho do CEPD que cria uma tabela com os elementos e os princípios que constam das regras vinculativas para as empresas
  • Documento de trabalho do CEPD que cria uma tabela com os elementos e os princípios que constam das regras vinculativas para as empresas destinadas aos subcontratantes
• Ver também, para efeitos de referência, a Comunicação da Comissão Europeia – Intercâmbio e proteção de dados pessoais num mundo globalizado, 10 de janeiro de 2017

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.

• Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
• EDPB's latest guidelines on International transfers:
  • EDPB guidelines on Adequacy Referential
  • EDPB guidelines on Binding Corporate Rules for Controllers
  • EDPB guidelines on Binding Corporate Rules for Processors
• See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017

1 COM(2017)7 final