Bruxelas, 15 de janeiro — O CEPD e a AEPD adotaram pareceres conjuntos sobre duas novas séries de cláusulas contratuais-tipo (CCT): um parecer sobre as CCT concluídas entre os responsáveis pelo tratamento e os subcontratantes e um parecer sobre as CCT para a transferência de dados pessoais para países terceiros.
As CCT responsáveis pelo tratamento/subcontratantes terão efeito a nível de toda a UE e visam garantir uma harmonização total e a segurança jurídica, em todo o seu território, no que diz respeito aos contratos entre os responsáveis pelo tratamento e os respetivos subcontratantes.
Andrea Jelinek, Presidente do CEPD, afirmou o seguinte: «O CEPD e a AEPD congratulam-se com as CCT responsáveis pelo tratamento/subcontratantes enquanto instrumento de responsabilização único, sólido e à escala da UE, que facilitará o cumprimento das disposições do Regulamento Geral sobre a Proteção de Dados (RGPD) e do Regulamento da UE sobre a proteção de dados. O CEPD e a AEPD solicitam, nomeadamente, que as partes sejam suficientemente elucidadas quanto às situações em que podem recorrer a estas CCT e salientam que não devem ser excluídas as situações que envolvem transferências para fora da UE.»
Foram solicitadas várias alterações a fim de tornar o texto mais claro e assegurar a sua utilidade prática no decurso das operações quotidianas dos responsáveis pelo tratamento e dos subcontratantes. As alterações incluem a interação entre os dois documentos, a chamada «cláusula de atracagem», que permite a novas entidades aderir às CCT, e outros aspetos relacionados com as obrigações dos subcontratantes. Além disso, o CEPD e a AEPD sugerem que os anexos das CCT clarifiquem, tanto quanto possível, as funções e responsabilidades de cada uma das partes no que respeita a cada atividade de tratamento — qualquer ambiguidade dificultaria o cumprimento das obrigações dos responsáveis pelo tratamento ou dos subcontratantes ao abrigo do princípio da responsabilidade.
Wojciech Wiewiórowski, da AEPD, acrescentou: «Estamos convictos de que estas CCT podem facilitar o cumprimento, por parte dos responsáveis pelo tratamento e dos subcontratantes, das obrigações que lhes incumbem, tanto ao abrigo do RGPD como no âmbito do quadro jurídico das instituições e organismos da UE. Esperamos, além disso, que estas CCT garantam uma maior harmonização e uma maior segurança jurídica às pessoas singulares e aos seus dados pessoais. É neste contexto que pretendemos fazer com que estes documentos sejam tão perenes quanto possível.»
Os projetos de CCT para a transferência de dados pessoais para países terceiros em conformidade com o artigo 46.º, n.º2, alínea c), do RGPD substituirão as CCT existentes no que respeita às transferências internacionais que foram adotadas com base na Diretiva 95/46 e tiveram de ser atualizadas a fim de as harmonizar com os requisitos do RGPD e ter em conta o acórdão do TJUE «Schrems II», bem como de melhor refletir o recurso generalizado a novas operações de tratamento mais complexas que, frequentemente, envolvem múltiplos importadores e exportadores de dados. Em especial, as novas CCT incluem salvaguardas mais específicas nos casos em que a legislação do país de destino tem um impacto sobre o cumprimento das cláusulas, nomeadamente em caso de pedidos vinculativos por parte das autoridades públicas, tendo em vista a divulgação de dados pessoais.
Wojciech Wiewiórowski, da AEPD, acrescentou: «Tendo em conta a nossa experiência prática, formulámos estas observações com o objetivo de melhorar estas CCT e garantir plenamente que os dados pessoais dos cidadãos da UE beneficiem de um nível de proteção essencialmente equivalente aquando de transferências para países terceiros. Pensamos que estas sugestões e alterações são essenciais para a realização prática destes objetivos.»
De um modo geral, o CEPD e a AEPD consideram que os projetos de CCT apresentam um nível reforçado de proteção das pessoas em causa. O CEPD e a AEPD congratulam-se, especialmente, com as disposições específicas destinadas a dar resposta a alguns dos principais problemas identificados no acórdão Schrems II. Consideram, no entanto, que várias disposições podem ser melhoradas ou clarificadas, tais como o âmbito de aplicação das CCT; certos direitos de terceiros beneficiários; determinadas obrigações no que respeita a transferências ulteriores; aspetos da avaliação da legislação de países terceiros em matéria de acesso aos dados públicos por parte das autoridades públicas; e a notificação à autoridade de controlo.
A presidente do CEPD, Andrea Jelinek, acrescentou: «As condições em que as CCT podem ser utilizadas devem ser claras para as organizações e as pessoas em causa devem poder dispor de direitos e vias de recurso eficazes. Além disso, as CCT devem prever uma distribuição clara dos papéis e do regime de responsabilidade entre as partes. No que respeita à necessidade de, em certos casos, adotar medidas suplementares ad-hoc a fim de garantir que as pessoas em causa beneficiem de um nível de proteção essencialmente equivalente ao que lhes é garantido na UE, as novas CCT deverão ser utilizadas juntamente com as recomendações do CEPD sobre medidas suplementares.»
O CEPD e a AEPD convidam a Comissão a consultar a versão final das recomendações do CEPD sobre medidas suplementares, caso esta seja adotada antes da decisão da Comissão sobre as CCT. Este documento foi apresentado para consulta pública até 21 de dezembro de 2020 e poderá ser sujeito a eventuais alterações com base nos resultados dessa consulta.
Nota aos editores:
Convém assinalar que todos os documentos adotados durante a sessão plenária do CEPD serão objeto das verificações jurídicas, linguísticas e de formatação necessárias, após o que serão publicados no sítio web do CEPD.
EDPB_Press Release_statement_2021_01