Consulte aqui o documento original
I. Introdução
As transferências de dados pessoais para fora da União Europeia (UE) têm aumentado de forma expressiva, acompanhando os novos modelos de negócio e o dinamismo das relações comerciais numa economia crescentemente globalizada. Esta tendência tem sido visível nas notificações submetidas à Comissão Nacional de Protecção de Dados (CNPD).
A operação de transferência de dados pessoais de um Estado Membro da UE para um país terceiro constitui, em si mesma, um tratamento de dados pessoais[1]Cf. Ponto 45 do Acórdão do Tribunal de Justiça da União Europeia, de 6 de outubro de 2015 (Processo C-362/14, Maximillian Schrems v Data Protection Commissioner) , na aceção da alínea b) do artigo 3.º da Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto – Lei de Proteção de Dados Pessoais (LPD).
As transferências internacionais de dados podem realizar-se através de vários mecanismos, em particular tendo em conta se o país de destino dos dados assegura ou não um nível de proteção adequada, conforme resulta dos artigos 19.º e 20.º da LPD. Um dos instrumentos cada vez mais utilizados como sustentáculo para os fluxos de dados é o Acordo Intragrupo[2]IntraGroup Agreement (IGA), em Inglês. Não nos referimos aqui a declarações unilaterais autovinculativas por parte das empresas, mas sim a contratos. (IGA), um contrato multilateral entre várias empresas do mesmo grupo empresarial, nos termos do qual as partes se vinculam a cumprir um conjunto de normas de garantia dos direitos de proteção dos dados pessoais e da privacidade dos titulares dos dados.
Este tipo de contrato, pela sua própria natureza, abrange empresas localizadas em vários países terceiros, a maioria dos quais não possui um nível de proteção adequado, na aceção do n.º 2 do artigo 19.º da LPD[3]E em conformidade com o n.º 2 do artigo 25.º da Diretiva 95/46/CE (Diretiva de Proteção de Dados). .
Assim sendo, a apreciação das transferências internacionais de dados ao abrigo de cada IGA faz-se nos termos do n.º 2 do artigo 20.º da LPD, que dispõe que «a CNPD pode autorizar uma transferência ou um conjunto de transferências de dados pessoais para um Estado que não assegure um nível de proteção adequado (…), desde que o responsável pelo tratamento assegure mecanismos suficientes de garantia de proteção da vida privada e dos direitos e liberdades fundamentais das pessoas, bem como do seu exercício, mediante cláusulas contratuais adequadas».
Cabe, pois, à CNPD avaliar se o clausulado de cada IGA contém as garantias consideradas suficientes e ajustadas para que os dados pessoais continuem a gozar da proteção existente na UE, mesmo depois de serem transferidos do seu território para um país terceiro, salvaguardando assim os direitos dos cidadãos. Esta análise é feita de forma casuística e implica um exame detalhado do contrato, bem como de toda a documentação de suporte, o que tem naturalmente um impacto significativo no tempo decisório.
A CNPD está ciente que muitos dos contratos IGA são totalmente baseados nas cláusulas contratuais-tipo aprovadas pela Comissão Europeia (CE)[4]Decisão 2004/915/CE (JO L 385, de 29.12.2004), Decisão 2001/497/CE (JO L 181 de 4.7.2001) e Decisão 2010/87/UE (JO L 39, de 12.2.2010), , as quais, por oferecerem as garantias suficientes referidas no n.º 2 do artigo 20.º da LPD, são consideradas adequadas.
Neste caso, o que tem impedido os responsáveis pelos tratamentos de usar as cláusulas contratuais tipo como fundamento de legitimidade para a transferência internacional de dados é o facto de as Decisões da CE apenas oferecerem enquadramento para contratos bilaterais, o que não se ajusta à circulação de dados entre várias ou todas as empresas do Grupo, pois obrigaria à assinatura de várias centenas ou milhares de contratos bilaterais.
Em muitos casos, há claramente um alinhamento do clausulado de um IGA pelo clausulado das Decisões da CE, com a diferença de que se trata de um contrato multilateral em que pode haver vários importadores de dados.
Nesse sentido, tendo em conta a opção de muitas empresas em redigir os seus contratos à semelhança das cláusulas contratuais-tipo, a CNPD considera haver condições para tornar mais célere a emissão de autorizações para a transferência internacional de dados através de IGA, sempre que o responsável pelo tratamento, aquando da notificação à CNPD, declare que o contrato em causa é idêntico e está conforme as cláusulas contratuais-tipo aprovadas pela CE
II. Apreciação
Em conformidade com a LPD e considerando igualmente a Deliberação Interpretativa respeitante aos artigos 19.º e 20.º da Lei 67/98, aprovada pela CNPD em 29 de novembro de 2004, a transferência de dados pessoais ao abrigo de um IGA carece sempre de autorização da CNPD, independentemente do tratamento de dados no seu conjunto estar ou não sujeito a controlo prévio, nos termos do artigo 28.º da LPD.
Todavia, o que se pretende aqui é agilizar o procedimento de análise dos Acordos Intragrupo, apenas e tão só quando estes respeitarem os termos das cláusulas contratuais-tipo aprovadas pela CE, as quais já foram objeto de uma decisão de adequação. Nessa medida, é possível desde logo, considerar-se que o responsável pelo tratamento, com base na sua declaração, assegura com o contrato em causa mecanismos suficientes de garantia, tal como é exigível pelo n.º 2 do artigo 20.º da LPD.
Isto sem prejuízo, naturalmente, de a CNPD verificar sempre, antes de emitir a autorização, se estão cumpridas outras disposições da LPD, designadamente as previstas no Capítulo II da lei, e de poder exigir ao responsável pelo tratamento, em qualquer momento, cópia do contrato para a transferência de dados, ou exercer os poderes e competências que lhe estão legalmente atribuídos.
É imprescindível, no entanto, estabelecer com maior precisão que requisitos têm de estar reunidos para que a CNPD possa considerar que o responsável pelo tratamento assegura mecanismos suficientes de garantia da proteção dos direitos fundamentais dos cidadãos através da utilização de cláusulas contratuais adequadas, autorizando assim a transferência internacional de dados. Antes de mais, o IGA tem de revestir a forma de contrato e tem de estar em conformidade com as cláusulas contratuais-tipo aprovadas pela CE.
A CNPD indica, de seguida, o que se entende por “estar em conformidade” e quais as modificações ao contrato admissíveis[5]Para a sua análise, a CNPD teve em consideração o previsto nas Decisões da CE relativamente às cláusulas contratuais-tipo, as FAQs publicadas pela CE e os vários Documentos do Grupo do Artigo … Continue reading , rejeitando-se desde logo qualquer alteração que contradiga direta ou indiretamente o clausulado aprovado pela CE ou que prejudique os direitos fundamentais e as liberdades dos titulares:
Cláusulas contratuais idênticas às cláusulas contratuais-tipo aprovadas pela CE, em que a única alteração diz respeito à natureza multilateral do contrato, identificando para o efeito todas as partes e sua respetiva função, e sendo devidamente assinado por todos os contraentes;
Cláusulas contratuais marginalmente modificadas, em aspetos superficiais como pontuação ou tradução, sem alterar o significado dos termos usados nas cláusulas contratuais-tipo;
Cláusulas adicionais, de natureza comercial, desde que não conflituem, de qualquer modo, com as cláusulas contratuais-tipo;
Cláusulas contratuais relativas à jurisdição de conflitos de negócio entre as partes, indemnizações entre as partes, direito de regresso, desde que essas cláusulas não toquem no direito de queixa e de recurso do titular dos dados;
Atendendo ainda que há duas situações distintas abrangidas pelas Decisões da CE, por um lado, as transferências de dados, a partir de um responsável estabelecido no território da UE, para um responsável estabelecido num país terceiro, e, por outro, as transferências de dados a partir de um responsável estabelecido no território da UE para um subcontratante estabelecido num país terceiro, importa ainda clarificar, neste último caso, o que é exigível para que possa ser adicionalmente entendido como conforme à
Decisão 2010/87/UE, relativamente à sub-subcontratação:
Cláusulas contratuais que, em complemento da cláusula 11, contenham a obrigação de prestar informação prévia ao responsável pelo tratamento sobre qualquer modificação de sub-subcontratante, sempre que as partes concordem que a requerida autorização do responsável pelo tratamento para atividades de sub-subcontratação tem uma natureza geral[6]Ver Documento do Grupo do Artigo 29.º, de 12 de julho de 2010, com FAQ sobre a entrada em vigor da Decisão 2010/87/UE (WP 176) e Parecer 5/2012 do Grupo do Artigo 29.º, de 1 de julho de 2012, … Continue reading em vez de específica (autorização para cada nova atividade de sub-subcontratação), a fim de que o responsável possa objetar.
Salienta-se que não são aceitáveis, porque contrárias às cláusulas contratuais-tipo aprovadas pela CE, quaisquer cláusulas que: restrinjam o âmbito da cláusula do terceiro beneficiário ou a possibilidade de o titular dos dados obter dela uma cópia, designadamente através da introdução de regras de confidencialidade adicionais; restrinjam as regras de responsabilidade das partes em relação ao titular dos dados ou a escolha do mecanismo de recurso proposto ao titular dos dados; ou, em geral, diminuam o nível de proteção facultado pelos princípios de proteção de dados.
Em suma, a CNPD considera como cláusulas contratuais adequadas, na aceção do n.º 2 do artigo 20.º da LPD, os contratos multilaterais entre empresas do mesmo Grupo, designados por Acordos Intragrupo (IGA), desde que estes sejam idênticos e se encontrem em conformidade com as cláusulas contratuais-tipo aprovadas pela CE, tal como definido nesta Deliberação.
III. Decisão
Para fins de agilizar a tramitação do procedimento de análise dos Acordos Intragrupo (IGA), notificados à CNPD para a transferência de dados pessoais para países terceiros que não oferecem um nível de proteção adequado, nos termos do n.º 2 do artigo 19.º da LPD, visando alcançar uma maior celeridade na resposta aos responsáveis pelos tratamentos, a CNPD delibera:
Considerar como contendo cláusulas contratuais adequadas, para efeitos e nos termos do n.º 2 do artigo 20.º da LPD, o contrato multilateral entre empresas do mesmo grupo empresarial, designado por Acordo Intragrupo (IGA), notificado à CNPD por responsável pelo tratamento que declare ser o IGA idêntico e estar em conformidade com as cláusulas contratuais-tipo aprovadas pela Comissão Europeia, de acordo com as condições enunciadas na presente Deliberação.
* Aprovada na sessão plenária da Comissão Nacional de Protecção de Dados 10 de
novembro de 2015
References
↑1 | Cf. Ponto 45 do Acórdão do Tribunal de Justiça da União Europeia, de 6 de outubro de 2015 (Processo C-362/14, Maximillian Schrems v Data Protection Commissioner) |
---|---|
↑2 | IntraGroup Agreement (IGA), em Inglês. Não nos referimos aqui a declarações unilaterais autovinculativas por parte das empresas, mas sim a contratos. |
↑3 | E em conformidade com o n.º 2 do artigo 25.º da Diretiva 95/46/CE (Diretiva de Proteção de Dados). |
↑4 | Decisão 2004/915/CE (JO L 385, de 29.12.2004), Decisão 2001/497/CE (JO L 181 de 4.7.2001) e Decisão 2010/87/UE (JO L 39, de 12.2.2010), |
↑5 | Para a sua análise, a CNPD teve em consideração o previsto nas Decisões da CE relativamente às cláusulas contratuais-tipo, as FAQs publicadas pela CE e os vários Documentos do Grupo do Artigo 29.º sobre transferências internacionais de dados. |
↑6 | Ver Documento do Grupo do Artigo 29.º, de 12 de julho de 2010, com FAQ sobre a entrada em vigor da Decisão 2010/87/UE (WP 176) e Parecer 5/2012 do Grupo do Artigo 29.º, de 1 de julho de 2012, sobre Cloud Computing (WP 196). |