We have a deal!

Tendo-se concretizado a aprovação pelo Conselho Europeu do Acordo de Saída do Reino Unido da União Europeia (UE), a partir das 23h do dia 31 de janeiro de 2020, o Reino Unido passou a ser considerado um "país terceiro" para efeitos do Regulamento Geral de Proteção de Dados (RGPD). A aprovação do Acordo de Saída pelo Conselho Europeu, veio permitir uma soft exit do Reino Unido da UE, estabelecendo-se um período de transição que durará até dia 31 de dezembro de 2020. Durante aquele período, mantêm-se todas as obrigações do Reino Unido ao abrigo da legislação europeia.

So, what now?

Ainda que as consequências da saída do Reino Unido da UE não sejam imediatas, revela-se imprescindível às organizações (nesta fase transitória) realizarem um ‘assessment’ para identificarem as operações de tratamento sujeitas a transferências de dados para o Reino Unido e implementarem mecanismos que permitam a manutenção dessas transferências de dados, sem riscos. 

Como passarão então as entidades a partilhar dados pessoais com o Reino Unido de forma lícita? O RGPD responde a esta questão quando prevê as condições que devem ser observadas pelas organizações caso pretendam transferir dados para os chamados "países terceiros".

A primeira solução passa pela existência de uma decisão de adequação emitida pela Comissão Europeia. Conforme já referido pela própria Comissão, não é expectável, pelo menos para já, a adoção de uma decisão de adequação relativamente ao Reino Unido (ainda que se anteveja que este será um dos acordos que o Reino Unido tentará negociar até 31 de dezembro, já que facilitará a troca de dados com os países da UE).  

Relembra-se que, até à data, apenas treze países e territórios se encontram abrangidos por decisões de adequação: Andorra, Argentina, Canadá (apenas organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilhas Man, Japão, Jersey, Nova Zelândia, Suíça, Uruguai e Estados Unidos (limitado ao instituto do Privacy Shield).

Na falta de uma decisão de adequação quanto ao Reino Unido até 31 de dezembro, restará às organizações recorrerem a instrumentos alternativos para demonstração de que as transferências de dados estão sujeitas a garantias adequadas.

Destacamos aqui as Cláusulas Contratuais Gerais (tipo ou ad hoc). Estão atualmente disponíveis três conjuntos de cláusulas contratuais-tipo (todas elas anteriores ao RGPD) - 2001/497/EC, 2004/915/EC e 2010/87/EU. No passado dia 10 de dezembro foram publicadas as primeiras cláusulas contratuais gerais tipo já emitidas ao abrigo do RGPD, da autoria da Autoridade de Controlo Dinamarquesa, tendo as mesmas sido registadas pelo Comité Europeu para a Proteção de Dados. Aguardamos que muito em breve a Comissão Europeia aprove ou atualize as anteriores cláusulas contratuais-tipo (isto porque não se antevê, pelo menos para já, que a Comissão Nacional de Proteção de Dados (CNPD) adote cláusulas-tipo que legitimem este tipo de partilha).

Outra solução que pode ser adotada por grupos empresariais que incluam países terceiros, passa pela adoção de Regras Corporativas Vinculativas, nos termos das quais as empresas (nomeadamente as localizadas em países terceiros) se obrigam a respeitar os direitos e obrigações previstos no RGPD. Infelizmente, até hoje, a CNPD não aprovou ainda este tipo de regras.

Na falta de outros instrumentos, o RGPD admite excecionalmente algumas derrogações que permitem a transferência de dados para países terceiros, devendo, contudo, as mesmas ser encaradas como exceções aos instrumentos supra descritos. Destacamos aqui o consentimento dos titulares, desde que o mesmo seja explícito para este tipo de partilha e os titulares devem ser informados dos possíveis riscos inerentes a essa transferência de dados, bem como as situações em que a transferência seja necessária para execução de contrato entre o titular dos dados e o responsável pelo tratamento (ou mesmo de diligências prévias à formação do contrato decididas a pedido do titular dos dados).

Em suma, e não obstante os efeitos do Brexit não serem sentidos por agora no seio das organizações, as mesmas não poderão aguardar serenamente pelo dia 31 de dezembro (na esperança de ser alcançado um acordo que salvaguarde, designadamente o tema do partilha de dados pessoais). Caso o modelo de negócio das organizações implique uma partilha de dados pessoais com entidades estabelecidas no Reino Unido, impõe-se que iniciem desde já o trabalho de análise e de preparação de instrumentos que legitime essa transferência a partir de 2021.