Projetos de decisões de adequação do Reino Unido: CEPD adota pareceres

Bruxelas, 20 de outubro - Durante a sua última sessão plenária, o CEPD adotou dois pareceres sobre os projetos de decisão da Comissão Europeia relativos à prorrogação da validade das decisões de adequação do Reino Unido ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD) e da Diretiva sobre a Proteção de Dados na Aplicação da Lei (Diretiva Proteção de Dados na Aplicação da Lei) até dezembro de 2031.*

Os pareceres do CEPD, solicitados pela Comissão nos termos do artigo 70.o, n.o 1, alínea s), do RGPD e do artigo 51.o, n.o 1, alínea g), da Diretiva PDAL, abordam a proposta de prorrogação por seis anos das duas decisões de adequação do Reino Unido, que expiram em dezembro de 2025.

A prorrogação da validade das decisões de adequação do Reino Unido permitirá que as organizações e as autoridades competentes sediadas na Europa continuem a transferir dados para organizações e autoridades sediadas no Reino Unido sem implementar garantias adicionais**.

«OCEPD congratula-se com o alinhamento contínuo entre o quadro de proteção de dados do Reino Unido e da Europa, apesar das recentes alterações do quadro jurídico do Reino Unido.

Apelo à Comissão Europeia para que aborde os pontos destacados pelo Comité e assegure um acompanhamento eficaz após a adoção das decisões. Tal aumentará a solidez da adequação do Reino Unido e garantirá uma maior segurança jurídica para as organizações e as autoridades competentes que transferem dados pessoais da Europa para o Reino Unido.»

Anu Talus, presidente do CEPD

Sobre o parecer do RGPD

De acordo com o Comité, a maioria das alterações introduzidas no quadro de proteção de dados do Reino Unido visa clarificar e facilitar o cumprimento da lei.

Alguns aspetos do projeto de decisão poderiam ser clarificados.

O CEPD convida a Comissão Europeia a analisar e acompanhar mais aprofundadamente as alterações à Lei de 2023 relativa à manutenção do direito da UE (revogação e reforma), também conhecida por Lei REUL, em especial a supressão do princípio do primado do direito da UE e a supressão da aplicação direta dos princípios do direito da UE.

O CEPD observa que foram conferidos ao ministro dos Negócios Estrangeiros novos poderes para introduzir alterações ao novo quadro de proteção de dados, através de regulamentos secundários que exigem menos controlo parlamentar. É o caso das transferências internacionais, da tomada de decisões automatizada e da governação do Gabinete do Comissário para a Informação (ICO). O CEPD convida a Comissão a abordar eventuais riscos de divergência, salientando, na decisão final de adequação, os domínios que tenciona acompanhar atentamente.

O CEPD incentiva igualmente a Comissão a aprofundar a sua avaliação e a acompanhar as regras relativas às transferências do Reino Unido para países terceiros. O novo teste de adequação, introduzido pela Lei de 2025 relativa aos dados (utilização e acesso), exige que o nível de proteção do país terceiro não seja substancialmente inferior ao previsto para os titulares dos dados pelo quadro do Reino Unido, mas este teste não se refere ao risco de acesso governamental, à existência de vias de recurso para as pessoas singulares e à necessidade de uma autoridade de controlo independente.

A Comissão deve também continuar a avaliar e acompanhar a alegada utilização pelo Governo do Reino Unido de avisos sobre capacidades técnicas («TCN») que exigem que as empresas contornem a cifragem, uma vez que tal criaria vulnerabilidades sistémicas e representaria um risco para a integridade e a confidencialidade das comunicações eletrónicas.

Por último, o CEPD insta a Comissão a continuar a avaliar e a acompanhar as alterações à estrutura do ICO e o exercício dos seus poderes de correção. Neste contexto, o CEPD regista com agrado a política de transparência do ICO e a disponibilidade dos dados estatísticos e analíticos das suas atividades de execução.

As novas decisões de adequação complementarão as decisões de 2021, que continuarão a aplicar-se a domínios não abrangidos pelos projetos de decisão de 2025. O CEPD baseia-se nos seus pareceres de 2021 (14/2021 e 15/2021). Em especial, o estreito alinhamento entre o quadro do RGPD e o quadro jurídico do Reino Unido sobre as principais disposições, salientado em 2021, continua a ser válido atualmente (incluindo, por exemplo, a transparência, os direitos dos titulares dos dados e as categorias especiais de dados).

Opinião sobre a Diretiva Proteção de Dados na Aplicação da Lei

O CEPD congratula-se com o alinhamento contínuo entre o quadro de proteção de dados na Europa e no Reino Unido e incentiva a Comissão a complementar a sua avaliação sobre os aspetos relacionados com as isenções de segurança nacional. Tais isenções podem dispensar as autoridades responsáveis pela aplicação da lei da maioria dos princípios de proteção de dados e de algumas regras de transferência internacional,bem como limitar os poderes de execução e inspeção da OIC.

O CEPD convida a Comissão a analisar as regras do Reino Unido em matéria de transferências de dados pessoais para países terceiros, em especial o novo teste de adequação, da mesma forma que no parecer do RGPD.

O Conselho salienta igualmente a abordagem mais permissiva para a tomada de decisões automatizada e os novos poderes conferidos ao Secretário de Estado nesta matéria. Recorda a importância de uma análise humana significativa e insta a Comissão a clarificar e acompanhar eventuais isenções do direito das pessoas a obter intervenção humana.

Por último, o CEPD reconhece que o sistema de supervisão dos serviços responsáveis pela aplicação do direito penal, bem como os mecanismos de recurso, permanecem, em grande medida, inalterados e reitera a necessidade de a Comissão acompanhar de perto a aplicação dos poderes de correção e das vias de recurso para as pessoas singulares no quadro da proteção de dados do Reino Unido.

Nota aos editores:

* Em 22 de julho de 2025, a Comissão Europeia emitiu dois projetos de decisões de execução que alteram a proteção adequada dos dados pessoais pelo Reino Unido nos termos do artigo 45.o, n.o 3, do RGPD e do artigo 36.o, n.o 3, da Diretiva Proteção de Dados na Aplicação da Lei. Estes projetos de decisão visam prorrogar a validade das anteriores decisões de adequação adotadas em 28 de junho de 2021. 
Em maio de 2025, a Comissão adotou uma decisão para prorrogar a validade da decisão de adequação do Reino Unido por mais seis meses, de junho a dezembro de 2025. O CEPD adotou um parecer sobre esta prorrogação em maio de 2025.

** Uma decisão de adequação é um mecanismo fundamental na legislação da UE em matéria de proteção de dados que permite à Comissão Europeia determinar se um país terceiro ou uma organização internacional oferece um nível adequado de proteção de dados. A Comissão Europeia tem o poder de determinar, com base no artigo 45.o do Regulamento (UE) 2016/679, se um país fora da UE oferece um nível adequado de proteção de dados.

A adoção de uma decisão de adequação implica: 1) uma proposta da Comissão Europeia; 2) um parecer do Comité Europeu para a Proteção de Dados; 3) a aprovação dos representantes dos países da UE; 4) Adoção da decisão pela Comissão Europeia.