
A certificação como uma ferramenta para transferências dados pessoais
A equipa MyDataPrivacy gostaria de partilhar a Diretriz 05/2021 da EDPB, sobre a aplicação do Artigo 3 – Âmbito de Aplicação Territorial e as disposições sobre Transferências de dados pessoais para países terceiros ou organizações internacionais de acordo com o Capítulo V do RGPD.
O RGPD não fornece uma definição jurídica da definição de “transferência de dados pessoais para um país terceiro ou para uma organização internacional”. Assim, a EDPB fornece as seguintes orientações para clarificar os cenários a que se devem aplicar os requisitos do Capítulo V e, para o efeito, identificou três critérios cumulativos para qualificar se uma operação de tratamento é considerada transferência:
1) Um responsável de tratamento (“exportador”) que está sujeito ao RGPD para o processamento
2)O responsável de tratamento (“exportador”) transmite, por transferência ou de outra forma, os dados pessoais, sujeitos a este tratamento, à disposição de outro responsável pelo tratamento, co-responsável ou processador (“importador”).
3) O importador que se encontre num país terceiro, independentemente de estar ou não sujeito ao RGPD para o processamento dado de acordo com o Artigo 3, ou ser uma organização internacional.
Se os três critérios identificados pelo EDPB forem cumpridos, há uma transferência e é aplicável o Capítulo V do RGPD. Isso significa que a transferência só pode ocorrer sob certas condições, como no contexto de uma decisão de adequação da Comissão Europeia (artigo 45.º) ou através da disponibilização de salvaguardas adequadas (artigo 46.º). As disposições do Capítulo V visam assegurar a continuidade da proteção dos dados pessoais após a sua transferência para um país terceiro ou para uma organização internacional.
Por outro lado, se os três critérios não forem cumpridos, não há transferência e o Capítulo V do RGPD não se aplica. Neste contexto, importa, contudo, recordar que o responsável pelo tratamento deve, no entanto, cumprir as restantes disposições do RGPD e manter-se totalmente responsável pelas suas atividades de tratamento, independentemente do local onde ocorram. De fato, embora uma determinada transmissão de dados possa não ser qualificada como uma transferência de acordo com o Capítulo V, esse processamento ainda pode estar associado a riscos maiores, pois ocorre fora da UE, por exemplo, devido a leis nacionais conflitantes ou acesso desproporcional do governo no país terceiro. Esses riscos precisam ser considerados ao tomar medidas sob inter alia, Artigo 5 (“Princípios relativos ao processamento de dados pessoais”), Artigo 24 (“Responsabilidade do controlador”) e Artigo 32 (“Segurança do processamento”) – em para que tal operação de processamento seja legal sob o RGPD.
Essas diretrizes incluem vários exemplos de fluxos de dados para países terceiros, que também são ilustrados em um anexo para fornecer mais orientações práticas.
Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Este curso combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/ e Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog Blog MyDataPrivacy sobre Proteção de Dados (RGPD)