2015/12/01

Safe Harbor | Perguntas e respostas

1. O QUE É O SAFE HARBOR?

O Safe Harbor em matéria de proteção de dados respeitam a um processo de autocertificação e cooperação entre o Departamento de Comércio dos EUA e a Comissão Europeia, reconhecido através de uma Decisão da Comissão Europeia. Assim, as entidades com sede nos EUA declaram cumprir com as regras relativa à proteção dos dados pessoais, estabelecidas através da legislação comunitária, fundamentando as operações de entidades que operam nas duas jurisdições e que tratam dados pessoais dos seus clientes e/ou utilizadores.

2. O QUE ACONTECEU?

Na sequência de um reenvio para o Tribunal de Justiça da União Europeia (Tribunal), no âmbito de um processo que opôs Maximillian Schrems contra a Comissão de Proteção de Dados da Irlanda, veio o Tribunal declarar a invalidade do Safe Harbor nas operações de transferências de dados entre a União Europeia e os EUA.

3. COMO SE APLICA À NOSSA ATIVIDADE?

Eventualmente muitas empresas estão envolvidas em processos de transferências de dados, mesmo sem se darem conta, porque contratam serviços a empresas com sede nos EUA, porque utilizam serviços cloud com servidores nos EUA, porque pertencem a grupos de empresas e trocam informação entre as várias filiais, etc.

4. MAS PORQUE É QUE O SAFE HARBOR É INVÁLIDO?

De acordo com o Acórdão o regime é inválido uma vez que:

a) Não existe uma lei geral sobre proteção de dados nos EUA, ou outras medidas de igual natureza que demonstrem que os EUA oferecem um nível adequado de proteção, semelhante ao europeu;

b) As autoridades de aplicação da lei norte-americanas não estão vinculadas ao Safe Harbor, podendo aceder aos dados sem qualquer fundamento legal e sem oferecerem garantias aos cidadãos europeus; e,

c) Os dados pessoais seriam objeto de tratamentos incompatíveis e desproporcionais por parte destas autoridades.


5. E AGORA?

Em reunião do Grupo de Trabalho que junta as Autoridades Nacionais de Proteção (APD) de Dados dos 28 Estados Membros, definiu-se um período de graça até final de Janeiro de 2016 para que as empresas possam encontrar soluções e adaptar-se à situação.

6. E QUAL A SITUAÇÃO EM PORTUGAL?

Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) deliberou que:

a) Os responsáveis pelos tratamentos em Portugal devem suspender desde já os fluxos de dados pessoais para os EUA;

b) Apenas emitirá autorizações provisórias de transferências de dados para os EUA, sujeitas a eventual revisão num futuro próximo;

c) As autorizações de transferências de dados para os EUA, emitidas pela CNPD desde 2000 ao abrigo da Decisão da Comissão Europeia, serão formalmente revistas.

7. VÃO SER APLICADAS SANÇÕES?

De acordo com a posição da maioria das APD da UE, é improvável que haja uma execução imediata durante o período de graça (final de Janeiro de 2016). Porém, é expectável que no final desse período as APD comecem a executar a decisão, nomeadamente, através de ações coordenadas a nível comunitário.

8. O QUE FAZER DE IMEDIATO?

a) Identificar as transferências de dados (que terá que ter em conta também as categorias de dados) que decorrem internamente, quer sejam intragrupo ou com prestadores de serviços;

b) Esta identificação deverá ser realizada através de uma auditoria;
c) Determinar-se quais as transferências fundamentais para os processos internos e/ou serviços;

d) Identificar quais os mecanismos disponíveis mais apropriados para regularizar a situação junto à CNPD.


9. QUAIS SÃO OS MECANISMOS DISPONÍVEIS?

a) CLÁUSULAS CONTRATUAIS TIPO DA UE: são acordos entre o exportador de dados Europeu e o importador de dados nos EUA, aprovados pela Comissão Europeia. Poderão fornecer uma boa alternativa, particularmente nas relações intragrupo;

b) ACORDOS INTRAGRUPO (IGA): Os contratos multilaterais entre empresas do mesmo Grupo, e não as declarações unilaterais autovinculativas por parte das empresas;

c) DERROGAÇÕES: Em alternativa, algumas empresas podem apostar nas derrogações previstas na legislação, devendo ser analisado caso a caso.


10. TEMOS OPERAÇÕES NOS EUA E ESTAMOS NO SAFE HARBOR. DEVEMOS ATUALIZAR AS POLÍTICAS E PRÁTICAS INTERNAS DE PROTEÇÃO DE DADOS?

a) Caso o Safe Harbor seja o mecanismo que legitima as transferências de dados, devem analisar as alternativas e proceder às alterações em conformidade;

b) De seguida, terá que regularizar-se a situação junto à CNPD;


11. TEMOS CONTRATOS DE PRESTAÇÃO DE SERVIÇOS COM ENTIDADES NOS EUA QUE ESTÃO NO SAFE HARBOR. O QUE DEVEMOS FAZER?

a) Numa primeira fase é necessário rever todos os contratos existentes que contenham referências ao Safe Harbor;

b) De seguida, procurar saber se junto dessas entidades se já estão a oferecer alternativas, nomeadamente, através de contratos adequados ou das Cláusulas Contratuais Tipo;

c) Face a essa informação, avançar com a regularização da situação com o prestador de serviços e junto à CNPD.


12. AS CLAÚSULAS CONTRATUAIS TIPO JÁ ASSINADAS, QUE REFEREM O SAFE HARBOR, AINDA SÃO VÁLIDAS?

São válidas, uma vez que a legitimidade irá depender exclusivamente da adequação das Cláusulas Contratuais Tipo.

13. EXISTE O RISCO DE OS ACORDOS DE TRANSFERÊNCIA DE DADOS COM FUNDAMENTO NAS CLAÚSULAS CONTRATUAIS TIPO PARA OS EUA SEREM AFETADOS PELA DECISÃO DO TRIBUNAL?

Existe esse risco, uma vez que o motivo da invalidade foi a falta de proteção adequada no que respeita à proteção quer dos dados como dos titulares, e, esse mesmo fundamento poderá ser aplicado às Cláusula Contratuais Tipo.

14. E OS IGA, SERÃO UMA ALTERNATIVA VIÁVEL?

a) A CNPD considera como cláusulas contratuais adequadas, os contratos multilaterais entre entidades do mesmo Grupo, desde que estes sejam idênticos e se encontrem em conformidade com as cláusulas contratuais-tipo aprovadas pela Comissão Europeia.

b) Devem ser notificados à CNPD pelo responsável pelo tratamento, declarando este que o IGA é idêntico e está em conformidade com as cláusulas contratuais-tipo aprovadas pela Comissão Europeia, e estão conforme as condições enunciadas na Deliberação nº 1770/2015.


15. SE UMA EMPRESA UTILIZAR AS CLAÚSULAS CONTRATUAIS TIPO, TERÁ DE EXECUTAR UM CONTRATO SEPARADO COM CADA CLIENTE?

Sim, os prestadores de serviços serão obrigados a celebrar contratos separados com cada um dos seus clientes europeus.

16. COMO FUNCIONAM AS DERROGAÇÕES?

As derrogações previstas na Lei implicam uma análise caso a caso, mas terão que ter por fundamento um (ou mais) dos seguintes elementos:

a) O consentimento inequívoco do titular dos dados para a transferência;

b) A transferência é necessária para a execução de um contrato ou no interesse do titular dos dados;

c) A transferência é necessária para a proteção de um interesse público importante, ou, para proteger os interesses vitais do titular dos dados;

d) A transferência foi realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares.

Marcos Saias | marco.saias@pra.pt