Avançar para o conteúdo
Blog_Guidelines 07_2022on certification as a tool for transfers

A certificação como uma ferramenta para transferências dados pessoais

A equipa MyDataPrivacy gostaria de partilhar a Diretriz 07/2022 da EDPB,  sobre a certificação como uma ferramenta para transferências dados pessoais.

O RGPD exige no seu artigo 46.º que os responsáveis de tratamento de dados implementem garantias adequadas para transferências de dados pessoais para países terceiros ou organizações internacionais. Para o efeito, o RGPD diversifica as garantias adequadas que podem ser utilizadas pelos responsáveis de tratamento de dados ao abrigo do artigo 46.º para enquadrar as transferências para países terceiros, introduzindo, entre outros, a certificação como um novo mecanismo de transferência (artigos 42.º, n.º 2, e 46.º, n.º 2) ( f) RGPD).

Esta diretriz fornece orientação quanto à aplicação do artigo 46.º (2) (f) do RGPD sobre transferências de dados pessoais para países terceiros ou para organizações internacionais com base em certificação.

O documento está estruturado em quatro seções com um Anexo.

A primeira parte deste documento, denominada GERAL, esclarece que as informações que complementam as informações detalhadas na Diretriz 1/2018 sobre a certificação e que abordam os requisitos específicos do Capítulo V do RGPD quando a certificação é usada como uma ferramenta de transferência.

De acordo com o artigo 44.º do RGPD, qualquer transferência de dados pessoais para países terceiros ou organizações internacionais, deve cumprir as condições dos outros disposições do RGPD, para além de cumprir o Capítulo V do RGPD. Assim, como primeiro passo, deve ser assegurado o cumprimento das disposições gerais do RGPD e, como segundo passo, deve ser cumprido o disposto no Capítulo V do RGPD. Descrevem-se os intervenientes e os seus papéis neste contexto, com especial destaque para o papel do responsável de tratamento de dados a quem será atribuída a certificação e do responsável de tratamento de dados que a utilizará como ferramenta para enquadrar as suas transferências (considerando que a responsabilidade pela conformidade do processamento de dados permanece com o exportador de dados). Neste contexto, a certificação também pode incluir medidas que complementam as ferramentas de transferência para garantir a conformidade com o nível de proteção de dados pessoais da UE. A primeira parte da diretriz contém informações sobre o processo de obtenção de uma certificação para ser usada como ferramenta para transferências.

A segunda parte define a: ORIENTAÇÃO DE IMPLEMENTAÇÃO DOS REQUISITOS DE ACREDITAÇÃO reforça que os requisitos para a acreditação de um organismo de certificação se encontram na norma ISO 17065 e na interpretação da Diretriz 4/2018 sobre a acreditação de organismos de certificação nos termos do artigo 43.º do RGPD e seu Anexo no contexto do Capítulo V. No entanto, no contexto de uma transferência, essas diretrizes detalham alguns dos requisitos de acreditação aplicáveis ao organismo de certificação.

A terceira parte desta diretriz refere os CRITÉRIOS ESPECÍFICOS DE CERTIFICAÇÃO, fornece a orientação sobre os critérios de certificação já listados na Diretriz 1/2018 e estabelece os critérios adicionais específicos que devem ser incluídos num mecanismo de certificação a ser usado como uma ferramenta para transferências para terceiros países.

Esses critérios abrangem a avaliação da legislação do país terceiro, as obrigações gerais dos exportadores e importadores, regras sobre transferências posteriores, reparação e execução, processo e ações para situações em que a legislação e práticas nacionais impeçam o cumprimento dos compromissos assumidos no âmbito da certificação e solicitações para acesso a dados por autoridades de países terceiros.

A quarta parte dessa diretriz refere os COMPROMISSOS VINCULATIVOS E EXECUTIVOS A SEREM IMPLEMENTADOS, em que se detalha os elementos que devem ser abordados nos compromissos vinculativos e executáveis, que os controladores ou processadores não sujeitos ao RGPD, devem assumir com o objetivo de fornecer salvaguardas adequadas aos dados transferidos para países terceiros. Esses compromissos, que podem constar de diferentes instrumentos, incluindo os contratos, devem incluir, em particular, uma garantia de que o importador não tem motivos para acreditar que as leis e práticas do país terceiro aplicáveis ao tratamento em causa, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por parte de autoridades públicas, impeçam-na de cumprir os seus compromissos decorrentes da certificação.

O ANEXO desta diretriz inclui alguns exemplos de medidas complementares com o objetivo de chamar a atenção para situações críticas.

Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Este curso combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/ e Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog Blog MyDataPrivacy sobre Proteção de Dados (RGPD)

error: Content is protected !!