Bruxelas, 21 de junho - Na sua 41.ª reunião plenária, o CEPD adotou a versão final das Recomendações sobre medidas suplementares após consulta pública. As Recomendações foram adotadas pela primeira vez em novembro de 2020, na sequência do acórdão Schrems II do TJUE. Visam ajudar os responsáveis pelo tratamento e os subcontratantes que atuam como exportadores de dados a cumprirem a sua obrigação de identificar e aplicar medidas suplementares adequadas, sempre que estas sejam necessárias para assegurar aos dados que transferem para países terceiros um nível de proteção essencialmente equivalente.
A versão final das Recomendações inclui várias alterações para responder aos comentários e às observações recebidas durante a consulta pública e coloca um enfoque especial nas práticas das autoridades públicas de um país terceiro.
Entre as principais modificações estão: a ênfase na importância de examinar as práticas das autoridades públicas de países terceiros na avaliação jurídica dos exportadores para determinar se a legislação e/ou as práticas do país terceiro colidem, na prática, com a eficácia do instrumento de transferência do artigo 46.º do RGPD; a possibilidade de que o exportador considere na sua avaliação a experiência prática do importador, entre outros elementos e com certas reservas; e a clarificação de que a legislação do país terceiro de destino que permite às suas autoridades aceder aos dados transferidos, mesmo sem a intervenção do importador, pode também afetar a eficácia do instrumento de transferência.
Relativamente às novas cláusulas contratuais-tipo para transferências internacionais recentemente publicadas pela Comissão Europeia, as Recomendações revelam-se úteis para verificar «Leis e práticas locais que afetam o cumprimento das cláusulas» (Cláusula 14 das novas CCT) e a eventual necessidade de implementar medidas suplementares.
A presidente do CEPD, Andrea Jelinek, afirmou: «O impacto do Schrems II não pode ser subestimado: os fluxos de dados internacionais já estão sujeitos a um escrutínio muito mais rigoroso por parte das autoridades de controlo que conduzem as investigações aos seus respetivos níveis. O objetivo das Recomendações do CEPD é orientar os exportadores na transferência lícita de dados pessoais para países terceiros, garantindo ao mesmo tempo que os dados transferidos tenham um nível de proteção essencialmente equivalente ao garantido no Espaço Económico Europeu. Ao esclarecer algumas dúvidas expressas pelos interessados, e em particular a importância de examinar as práticas das autoridades públicas em países terceiros, pretendemos facilitar aos exportadores de dados o conhecimento de como avaliar as suas transferências para países terceiros e identificar e implementar medidas suplementares eficazes sempre que estas sejam necessárias. O CEPD continuará a considerar os efeitos do acórdão Schrems II e os comentários recebidos das partes interessadas na sua orientação futura.»
O texto integral das Recomendações está disponível aqui: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_pt
O CEPD adotou uma carta dirigida às instituições da UE sobre os aspetos relativos à privacidade e à proteção de dados de um possível euro digital. Na carta, o CEPD salienta que um padrão muito elevado de privacidade e proteção de dados é crucial para reforçar a confiança dos utilizadores finais e que deve ser considerado um elemento distintivo na oferta de um euro digital, representando um fator-chave de sucesso. Tais preocupações devem ser tidas em conta desde a fase de conceção. Além disso, o CEPD recomenda a realização de uma avaliação de impacto da proteção de dados de alto nível da parte do organismo da UE responsável pela conceção do projeto. O CEPD indica ainda que está pronto a prestar aconselhamento ao BCE e a outras instituições da UE.
Por fim, o CEPD designou três representantes para o Conselho de Orientação para os Direitos Fundamentais do Sistema Europeu de Informação e Autorização de Viagens (ETIAS), que tem a tarefa de avaliar o impacto do processamento dos pedidos e que desempenhará um papel importante na garantia do cumprimento dos direitos fundamentais do sistema, em particular no que diz respeito à privacidade e à proteção dos dados pessoais. A Direção será composta por representantes da FRONTEX, da AEPD, do CEPD e da Agência dos Direitos Fundamentais (FRA).
Durante a reunião plenária, o CEPD adotou também um parecer conjunto CEPD-AEPD sobre o projeto de Regulamento IA. Um comunicado de imprensa separado será publicado ainda hoje sobre este tema.
Notas aos editores:
Todos os documentos adotados em sessão plenária pelo Comité CEPD estão sujeitos aos controlos jurídicos, linguísticos e de formatação necessários, e serão publicados no sítio Web do CEPD uma vez concluídos esses controlos.
EDPB_Press Release_2021_05