Bruxelas, 11 de novembro — Na sua 41.ª reunião plenária, o CEPD adotou recomendações sobre medidas que complementam os instrumentos de transferência, com vista a assegurar o cumprimento do nível de proteção de dados pessoais da UE, bem como recomendações sobre as garantias essenciais europeias para medidas de vigilância.
Ambos os documentos foram adotados no seguimento do acórdão do TJUE no processo «Schrems II». Na sequência do acórdão de 16 de julho, os responsáveis pelo tratamento que se baseiem em cláusulas contratuais-tipo (CCC) são obrigados a verificar, caso a caso e, se for caso disso, em colaboração com o destinatário dos dados no país terceiro, se a legislação do país terceiro assegura um nível de proteção dos dados pessoais transferidos essencialmente equivalente ao garantido no Espaço Económico Europeu (EEE). O TJUE permitiu que os exportadores de dados apliquem medidas adicionais às CCC para garantir o cumprimento efetivo desse nível de proteção, quando as salvaguardas previstas nas CCC não sejam suficientes.
As recomendações visam ajudar os responsáveis pelo tratamento e os subcontratantes que atuam como exportadores de dados a cumprirem a sua obrigação de identificar e aplicar medidas suplementares adequadas, sempre que estas sejam necessárias para assegurar aos dados que transferem para países terceiros um nível de proteção essencialmente equivalente. O CEPD procura, desse modo, assegurar uma aplicação coerente do RGPD e do acórdão do Tribunal em todo o EEE.
A presidente da CEPD, Andrea Jelinek, declarou: «O CEPD está bem ciente do impacto do acórdão Schrems II em milhares de empresas da UE, bem como da grande responsabilidade que atribui aos exportadores de dados. O CEPD espera que estas recomendações possam ajudar os exportadores de dados a identificar e aplicar medidas suplementares eficazes, caso sejam necessárias. O nosso objetivo é permitir transferências lícitas de dados pessoais para países terceiros, garantindo simultaneamente que os dados transferidos beneficiem de um nível de proteção essencialmente equivalente ao garantido no EEE.»
As recomendações contêm um roteiro dos procedimentos a seguir pelos exportadores de dados para verificarem se precisam de adotar medidas suplementares para poderem transferir dados para fora do EEE em conformidade com o direito da UE e ajudam-nos a identificar medidas que podem ser eficazes. Para ajudar os exportadores de dados, as recomendações também contêm uma lista não exaustiva de exemplos de medidas suplementares e de algumas das condições necessárias à sua eficácia.
No entanto, cabe aos exportadores de dados, em última instância, a responsabilidade de realizar a avaliação concreta no contexto da transferência, da legislação do país terceiro e do instrumento de transferência que utilizam. Os exportadores de dados devem proceder com a devida diligência e documentar pormenorizadamente o seu procedimento, uma vez que serão responsabilizados pelas decisões que tomarem nessa base, em conformidade com o princípio da responsabilidade previsto no RGPD. Além disso, os exportadores de dados devem estar cientes de que pode não ser possível aplicar medidas suplementares suficientes em todos os casos.
As recomendações sobre as medidas suplementares serão submetidas a consulta pública e aplicáveis imediatamente após a sua publicação.
Além disso, o CEPD adotou recomendações sobre as garantias essenciais europeias para medidas de vigilância. As recomendações relativas às garantias essenciais europeias são complementares às recomendações sobre medidas suplementares. As recomendações relativas às garantias essenciais europeias fornecem aos exportadores de dados elementos para determinar se o quadro jurídico que rege o acesso das autoridades públicas aos dados para efeitos de vigilância em países terceiros pode ser considerado como uma interferência justificável nos direitos à privacidade e à proteção dos dados pessoais e, portanto, não colide com os compromissos relativos ao instrumento de transferência previsto no artigo 46.º do RGPD que o exportador e o importador de dados utilizam.
A Presidente acrescentou: «As implicações do acórdão Schrems II abrangem todas as transferências para países terceiros. Por conseguinte, não existem soluções rápidas, nem uma solução universal para todas as transferências, o que seria ignorar a grande diversidade de situações com que os exportadores de dados se deparam. Os exportadores de dados terão de avaliar as suas operações de tratamento de dados e transferências e tomar medidas eficazes, tendo em conta a ordem jurídica dos países terceiros para os quais transferem ou tencionam transferir dados.»
As autoridades de controlo em matéria de proteção de dados do EEE continuarão a coordenar as suas ações no CEPD, a fim de assegurar a coerência na aplicação do direito da UE em matéria de proteção de dados.
Notas aos editores
Todos os documentos adotados em sessão plenária pelo Comité Europeu para a Proteção de Dados estão sujeitos aos controlos jurídicos, linguísticos e de formatação necessários, e serão publicados no sítio Web do CEPD uma vez concluídos esses controlos.
EDPB_Press Release_2020_18