Brexit e o RGPD: “Can't we give ourselves one more chance?”

No filme com  a melhor banda sonora deste ano - Bohemian Rapsody -, perdoem-nos os fãs de Lady Gaga e Bradley Cooper, há um momento em podemos ouvir “Under Pressure” e as míticas palavras de Freddie Mercury “Can't we give ourselves one more chance?”.

Ao analisar as consequências do Brexit em termos do Regulamento Geral sobre a Proteção de Dados (RGPD), as palavras de Mercury poderão servir como música ambiente para enquadrar a situação das empresas que têm relações comerciais com o Reino Unido.

Antes de mais, refira-se que este artigo foi escrito no dia 24 de março de 2019 e, como sabemos, qualquer escrito sobre o tema, em linha com todo o processo, pode sofrer reviravoltas last minute.

A letra de “Under Pressure” é simples e eficaz.  Resulta, aliás, de uma parceria de excelência entre os Queen e David Bowie. Se pensarmos em perseverança, resiliência e capacidade de reinvenção, ambos terão lugar cativo na primeira fila daqueles que conseguiram ter sucesso no seu tempo e permanecer mesmo após o seu desaparecimento (no caso dos Queen, referimo-nos, claro ao seu vocalista).

Na realidade, as empresas terão de possuir essas qualidades para enfrentar a pressão e o impacto que a atual incógnita sobre a saída do Reino Unido da União Europeia (UE), a 22 de maio (ou 12 de abril), pode ter no seu negócio e, em particular, nas questões associadas à transferência de dados. As consequências podem ser tão simples como a suspensão da partilha de dados de potenciais candidatos a emprego no Reino Unido, ou até mais complexas associadas à atividade de entidades financeiras, seguradoras, call centers, clínicas, empresas de tecnologia, do setor automóvel, de plataformas online do setor do turismo, sites de venda de bilhetes, apps de mobilidade e um conjunto infindável de empresas que trabalham diariamente com dados pessoais que são regularmente transferidos.

As questões que se colocam são simples: Qual o impacto do Brexit na sua atividade, principalmente se o cenário for a sua versão hard (ou seja sem acordo de transição e modelo de relação futura)? Que dados poderá transferir sem correr riscos? Acontecerá o Brexit a curto prazo (o que quer que isso signifique hoje a 24 de marco….)? Uma versão light do Brexit (isto é, com acordo de transição) será a solução? Existe algum risco de não poder vender, prestar, comprar ou receber bens ou serviços?

Então, talvez seja útil perceber um pouco o impacto do Brexit em termos de RGPD, para poder continuar a apreciar a música “Under Pressure” para a finalidade com que ela foi inicialmente incluída neste artigo.

Para compreendermos melhor importa analisar aquela que poderá ser a situação com maior impacto, um No-Deal Brexit (the hard way). Sobre essa possibilidade o Comité Europeu para a Proteção de Dados (em inglês, EDPB) - organismo da UE encarregue da aplicação do RGPD - emitiu recentemente um comunicado no qual indicava que a ausência de um acordo entre o Espaço Económico Europeu (EEE) e o Reino Unido, torna o Reino Unido num terceiro país para efeitos do RGPD.

A EDPB indica que as empresas e entidades públicas deverão respeitar cinco passos para se prepararem para um No-Deal Brexit, quando transferirem dados para a o Reino Unido:

  1. Identificar os dados pessoais que são transferidos para o Reino Unido;

  2. Avaliar e determinar em que termos e qual a fundamentação para a transferência de dados do EEE para o Reino Unido, ou seja, qual o melhor instrumento de transferência de dados;

  3. Testar e preparar o instrumento de transferência de dados escolhido, de forma a que o mesmo esteja pronto com a entrada em vigor do Brexit;

  4. Proceder à indicação no registo de tratamento de dados das transferências realizadas para o Reino Unido;

  5. Atualizar a política de privacidade em conformidade.

Analisemos então os instrumentos de transferência que as empresas poderão utilizar para fundamentar a transferência de dados. Em primeiro lugar, deverá ser confirmado se a UE já emitiu uma decisão de adequação, com base no artigo 45.º do RGPD. Ou seja, se a UE criou um conjunto de regras complementares que conciliam divergências entre dois sistemas de proteção de dados, como sucedeu recentemente, com a decisão de adequação relativa ao Japão adotada pela Comissão em 23 de janeiro de 2019. Atualmente, além do Japão, existem as seguintes decisões de adequação em vigor: Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Suíça, Uruguai e Estados Unidos da América (limitado ao Privacy Shield).

Caso não exista uma decisão de adequação, a empresa terá de optar por um dos seguintes instrumentos:

Cláusulas-tipo ou ad hoc de proteção de dados – A empresa e o parceiro comercial no Reino Unido podem concordar com o uso das Cláusulas Standard de Proteção de Dados aprovadas pela Comissão Europeia. Estes contratos oferecem as garantias adicionais adequadas em matéria de proteção de dados necessárias em caso de transferência de dados pessoais para qualquer país terceiro.

Regras Corporativas Vinculativas (RCV) – A adoção de políticas comuns de proteção de dados pessoais aceites por um grupo de empresas, a fim de regular e salvaguardar as transferências de dados pessoais dentro do grupo, incluindo para fora do EEE. Se o grupo a que a empresa pertencer já tiver RCV, deverá atualizá-las em conformidade. Se não dispuser, as mesmas deverão ser preparadas e aprovadas pela Comissão Nacional de Proteção de Dados (CNPD).

Códigos de Conduta e Mecanismos de Certificação – Este instrumento poderá oferecer garantias adequadas para as transferências de dados pessoais, se incluírem compromissos obrigatórios e vinculativos por parte da empresa ou organização no país terceiro, em benefício das pessoas singulares. Trata-se no entanto de um mecanismo novo e a EDPB está a trabalhar no sentido de clarificar os termos da sua aplicação.

Derrogações – Em situações excecionais é possível a transferência para países terceiros, quando, não sendo possível por outro meio:

  • O titular dos dados tiver explicitamente dado o seu consentimento à transferência prevista, após ter sido informado dos possíveis riscos de tais transferências para si próprio devido à falta de uma decisão de adequação e das garantias adequadas;

  • A transferência for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento, ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;

  • A transferência for necessária para a celebração ou execução de um contrato, celebrado no interesse do titular dos dados, entre o responsável pelo seu tratamento e outra pessoa singular ou coletiva.

É importante sublinhar que as derrogações permitem as transferências de dados em determinadas condições e constituem exceções à regra de estabelecer salvaguardas adequadas, ou de transferir os dados com base numa decisão de adequação. Devem, por conseguinte, ser interpretadas de forma restritiva e principalmente dizer respeito a atividades de tratamento ocasionais e não repetitivas.

Há ainda regras específicas aplicáveis a entidades públicas, que poderão manter a transferência de dados através de (i) um acordo administrativo, um acordo internacional bilateral ou multilateral; ou (ii) memorandos de entendimento, que, embora não sejam juridicamente vinculativos, devem, prever a sua aplicabilidade e o seu carácter vinculativo. Estes últimos, sujeitos a uma autorização da CNPD, na sequência de parecer do EDPB.

Na realidade, apesar das opções implicarem investimento e custos, a impossibilidade ou suspensão da atividade poderá ter um impacto substancialmente maior na organização. É nesse sentido que surge o alerta para a importância das empresas se preparem para uma situação que está a chegar a passos largos e que, de acordo com as últimas notícias poderá ter o seu fim ainda no primeiro semestre de 2019.

E se a situação já é complexa no que respeita à transferência de dados do EEE para o Reino Unido, há que ter em consideração que irão existir igualmente regras no sentido inverso. Ou seja, as regras que são estabelecidas pelo Information Commissioner's Office (ICO), Autoridade de Controlo de Proteção de Dados do Reino Unido, que igualmente estabeleceu um conjunto de orientações que deverão ser cumpridas pelas empresas que operem no Reino Unido ou que processem dados para empresas do Reino Unido.

O Brexit acrescenta complexidade à implementação e adequação das empresas ao RGPD. É um processo que tem uma multiplicidade de riscos para as empresas internacionais parceiras, que deverão acautelar a manutenção das suas operações, apesar dos constrangimentos que se avizinham.

Assim, urge a adequação e implementação de um plano para o Brexit nas empresas que têm relações comerciais com o Reino Unido e que deverão ter em consideração o impacto do RGPD no seu negócio, como procurámos demonstrar.

“Pressure, pushing down on me
Pressing down on you, no man ask for
Under pressure that burns a building down
Splits a family in two
Puts people on streets”

Tiago Silva Abade, Associado Principal Coordenador de Direito Público e Proteção de Dados da CCR Legal

“(...) se a situação já é complexa no que respeita à transferência de dados do EEE para o Reino Unido, há que ter em consideração que irão existir igualmente regras no sentido inverso”

Tiago Silva Abade, Associado Principal Coordenador de Direito Público e Proteção de Dados da CCR Legal

Contacte-nos

Marketing

Comunicação, PwC Portugal

Tel: +351 213 599 651

Siga-nos