O Comité Europeu de Proteção de Dados (CEPD) adotou um conjunto de recomendações que visam reforçar a análise da adequação dos instrumentos que permitem as transferências de dados da União Europeia (UE) para países terceiros.
As recomendações do CEPD surgem na sequência do acórdão Schrems II, que declarou inválido o Escudo de Proteção da Privacidade UE-EUA (Pricvacy Shield Framework) (sobre este acórdão, ver aqui), um dos instrumentos utilizado nas transferências de dados entre a UE e os EUA.
No referido acórdão, o TJUE reconhece que, tal como acontecia com o Escudo de Proteção da Privacidade, as cláusulas contratuais-tipo e outros instrumentos para transferência (por exemplo, as regras vinculativas aplicáveis às empresas, os códigos de conduta e os procedimentos de certificação) previstos no Regulamento Geral de Proteção de Dados (RGPD) não funcionam num vazio. Cabe, assim, aos exportadores de dados verificar de forma casuística, em colaboração com a entidade do país terceiro que importa os dados, se as regras desse país terceiro afetam a eficácia das medidas de salvaguarda previstas no RGPD. Em caso afirmativo, devem ser adotadas medidas suplementares que preencham estas lacunas por força do princípio de responsabilização (accountability) do RGPD.
O TJUE não especifica, todavia, quais são essas medidas, mas apenas que os exportadores terão de as identificar caso a caso. Por forma a concretizar as medidas, o CEPD adotou um conjunto de recomendações, enumerando seis passos a adotar (não exaustivos e que podem/devem ser complementados consoante o país terceiro) e pela seguinte ordem:
- Conhecer o país terceiro destino da transferência de dado;
- Verificar as garantias de adequação em que a transferência se baseia;
- Determinar se na legislação ou na prática do país terceiro existe algo que possa colidir ou diminuir as salvaguardas dos instrumentos de transferências em que se baseiam;
- Uma vez identificados os fatores de risco, adotar medidas suplementares, que podem ser de natureza técnica, contratual ou organizacional;
- Adotar as diligências formais e processuais para o efeito, devendo, caso necessário, consultar as autoridades de supervisão competentes; e
- Reavaliar periodicamente as práticas de transferências, com vista a uma vigilância contínua e adequação dos níveis de proteção.
Assiste-se a um reforço dos deveres de diligência dos exportadores de dados, que, para além de escolherem o instrumento ou combinação de instrumentos mais adequado(s), terão de adotar medidas de diligência acrescidas, sob pena de violação de dados com pesadas multas associadas.