Bruxelas, 9 de outubro – Durante a sua última sessão plenária, o Comité Europeu para a Proteção de Dados (CEPD) adotou um parecer sobre determinadas obrigações decorrentes do recurso a subcontratantes e subcontratantes ulteriores, orientações sobre o interesse legítimo, uma declaração sobre o estabelecimento de regras processuais adicionais para a aplicação do RGPD e o programa de trabalho do CEPD para 2024-2025.
Em primeiro lugar, o CEPD adotou um parecer sobre determinadas obrigações decorrentes do recurso ao(s) subcontratante(s) e ao(s) subcontratante(s) ulterior(es), na sequência de um pedido apresentado ao Comité pela Autoridade Dinamarquesa para a Proteção de Dados (APD) ao abrigo do artigo 64.o, n.o 2, do RGPD. O artigo 64.o, n.o 2, do RGPD prevê que qualquer APD pode solicitar ao Comité que emita um parecer sobre questões de aplicação geral ou que produzam efeitos em mais do que um Estado-Membro.
O parecer diz respeito a situações em que os responsáveis pelo tratamento dependem de um ou mais subcontratantes e subcontratantes ulteriores. Em especial, aborda oito questões sobre a interpretação de determinadas obrigações dos responsáveis pelo tratamento que dependem de subcontratantes e subcontratantes ulteriores, bem como a redação dos contratos entre responsáveis pelo tratamento e subcontratantes, decorrentes, em especial, do artigo 28.o do RGPD.
O parecer explica que os responsáveis pelo tratamento devem ter as informações sobre a identidade (ou seja, nome, endereço, pessoa de contacto) de todos os subcontratantes, subcontratantes ulteriores, etc., prontamente disponíveis em qualquer momento, para que possam cumprir da melhor forma as obrigações que lhes incumbem por força do artigo 28.o do RGPD. Além disso, a obrigação do responsável pelo tratamento de verificar se os (sub)subcontratantes apresentam «garantias suficientes» deve aplicar-se independentemente do risco para os direitos e liberdades dos titulares dos dados, embora o alcance dessa verificação possa variar, nomeadamente com base nos riscos associados ao tratamento.
O parecer afirma igualmente que, embora o subcontratante inicial deva assegurar que propõe subcontratantes ulteriores com garantias suficientes, a decisão final e a responsabilidade pela contratação de um subcontratante ulterior específico continuam a caber ao responsável pelo tratamento.
O CEPD considera que, nos termos do RGPD, o responsável pelo tratamento não tem o dever de solicitar sistematicamente que os contratos de subcontratação ulterior verifiquem se as obrigações em matéria de proteção de dados foram transmitidas ao longo da cadeia de tratamento. O responsável pelo tratamento deve avaliar se é necessário solicitar uma cópia desses contratos ou analisá-los para poder demonstrar a conformidade com o RGPD.
Além disso, sempre que sejam efetuadas transferências de dados pessoais para fora do Espaço Económico Europeu entre dois (sub)subcontratantes, o subcontratante, enquanto exportador de dados, deve preparar a documentação pertinente, nomeadamente relativa ao motivo da transferência utilizado, à avaliação de impacto da transferência e às eventuais medidas suplementares. No entanto, uma vez que o responsável pelo tratamento continua sujeito às obrigações decorrentes do artigo 28.o, n.o 1, do RGPD em matéria de «garantias suficientes», para além das previstas no artigo 44.o para assegurar que o nível de proteção não é comprometido pelas transferências de dados pessoais, deve avaliar esta documentação e poder mostrá-la à autoridade de proteção de dados competente.
Em seguida, o Comité adotou orientações sobre o tratamento de dados pessoais com base no interesse legítimo.
Os responsáveis pelo tratamento de dados necessitam de uma base jurídica para tratar os dados pessoais de forma lícita. O interesse legítimo é uma das seis bases jurídicas possíveis.
As presentes orientações analisam os critérios estabelecidos no artigo 6.o, n.o 1, alínea f), do RGPD que os responsáveis pelo tratamento devem cumprir para tratar legalmente os dados pessoais com base no interesse legítimo. Tem igualmente em conta o recente acórdão do TJUE sobre esta matéria (C-621/22, 4 de outubro de 2024).
Para poder invocar um interesse legítimo, o responsável pelo tratamento tem de preencher três condições cumulativas:
-
A prossecução de um interesse legítimo pelo responsável pelo tratamento ou por um terceiro;
-
A necessidade de tratar dados pessoais para efeitos de prossecução do interesse legítimo;
-
Os interesses ou liberdades e direitos fundamentais das pessoas singulares não prevalecem sobre o(s) interesse(s) legítimo(s) do responsável pelo tratamento ou de um terceiro (exercício de ponderação).
Em primeiro lugar, só podem ser considerados legítimos os interesses lícitos, articulados de forma clara e precisa, reais e presentes. Por exemplo, esses interesses legítimos podem existir numa situação em que a pessoa singular seja um cliente ou esteja ao serviço do responsável pelo tratamento.
Em segundo lugar, se existirem alternativas razoáveis, igualmente eficazes, mas menos intrusivas para alcançar os interesses prosseguidos, o tratamento pode não ser considerado necessário. A necessidade de um tratamento deve também ser examinada com base no princípio da minimização dos dados.
Em terceiro lugar, o responsável pelo tratamento deve assegurar que o seu interesse legítimo não prevalece sobre os interesses individuais, ou seja, os direitos fundamentais das liberdades. Neste exercício de ponderação, o responsável pelo tratamento deve ter em conta os interesses das pessoas singulares, o impacto do tratamento e as suas expectativas razoáveis, bem como a existência de garantias adicionais que possam limitar o impacto sobre a pessoa singular.
Além disso, as presentes orientações explicam a forma como esta avaliação deve ser realizada na prática, incluindo numa série de contextos específicos, como a prevenção da fraude, o marketing direto e a segurança da informação. O documento explica igualmente a relação entre esta base jurídica e uma série de direitos dos titulares dos dados ao abrigo do RGPD.
As orientações serão objeto de consulta pública até 20 de novembro de 2024.
Em seguida, o Comité adotou uma declaração na sequência das alterações introduzidas pelo Parlamento Europeu e pelo Conselho à proposta de regulamento da Comissão Europeia que estabelece regras processuais adicionais relativas à aplicação do RGPD.
De um modo geral, a declaração congratula-se com as alterações introduzidas pelo Parlamento Europeu e pelo Conselho e recomenda que se continue a abordar elementos específicos para que o novo regulamento atinja os objetivos de racionalizar a cooperação entre as autoridades e melhorar a aplicação do RGPD.
A declaração formula recomendações práticas que podem ser utilizadas no contexto dos próximos trílogos. Em especial, o CEPD reitera a necessidade de uma base jurídica e de um procedimento harmonizado para os acordos amigáveis e formula recomendações com vista a assegurar que o consenso sobre a síntese das questões fundamentais seja alcançado da forma mais eficiente. O Comité congratula-se igualmente com a inclusão de prazos adicionais, recordando simultaneamente que estes devem ser realistas, e insta os colegisladores a suprimirem as disposições relativas às objeções pertinentes e fundamentadas e à «exposição de motivos» no procedimento de resolução de litígios.
Embora a declaração se congratule com o objetivo de alcançar uma maior transparência, a introdução de um processo conjunto, tal como proposto pelo Parlamento Europeu, exigiria alterações complexas aos sistemas de gestão de documentos e de comunicação utilizados a nível europeu e nacional. As soluções técnicas para a sua aplicação devem ser cuidadosamente avaliadas e as modalidades de concessão de acesso devem ser clarificadas.
O CEPD congratula-se com a alteração do Conselho que permite à APD principal autoexcluir-se da chamada cooperação reforçada em casos simples e simples, mas salienta a necessidade de clarificar melhor o âmbito desta autoexclusão.
O presidente do CEPD, Anu Talus, declarou: «O projeto de regulamento tem potencial para simplificar consideravelmente a aplicação do RGPD, aumentando a eficiência do tratamento dos processos. É necessária uma maior harmonização a nível da UE, a fim de maximizar a plena eficácia dos mecanismos de cooperação e coerência do RGPD.»
Na sua última sessão plenária, o Comité adotou o seu programa de trabalho para 2024-2025. Este é o primeiro de dois programas de trabalho que aplicarão a estratégia do CEPD para 2024-2027, adotada em abril de 2024. Baseia-se nas prioridades estabelecidas na estratégia do CEPD e tem igualmente em conta as necessidades identificadas como mais importantes para as partes interessadas.
Por último, os membros do CEPD concordaram em conceder o estatuto de observador às atividades do CEPD à Agência do Kosovo para a Informação e a Privacidade (APD do Kosovo), em conformidade com o artigo 8.o do Regulamento Interno do CEPD.
O comunicado de imprensa aqui publicado foi traduzido automaticamente do inglês. O CEPD não garante a exatidão da tradução. Queira consultar o texto oficial na sua versão inglesa em caso de dúvida.