Desde julho de 2020, que o tribunal de justiça da União Europeia (UE) declarou o fim do “Privacy Shield” – acordo entre a UE e Estados Unidos da América (EUA) sobre a transferência de dados pessoais. Desta forma, devem ser tidas em conta as “Standard Contractual Clauses”, que podem ser descarregadas no site oficial da UE e preenchidas pelo importador e exportador de dados.
Mas será que estas são a solução e subsituem o “Privacy Shield”? Na teoria sim, mas necessitamos de ter em conta alguns aspetos.
As empresas que efetuem transferências de dados para países como os EUA, China, Rússia e Índia, são agora obrigadas a validar e determinar os riscos por si próprias. O tribunal de justiça da União Europeia (UE) e o Comité Europeu para a Proteção de Dados responsabilizam as empresas pela utilização legal das “Standard Contractual Clauses”.
Desta forma, este é um grande desafio para muitas empresas. Por isso, devem ser tidos em conta os seguintes pontos, especialmente quando os seus dados são transferidos para os EUA:
- Stocktaking
Em que situações exporta dados pessoais e com que prestadores ou sub prestadores de serviços trabalha? Empresas como o Google ou o Facebook são conhecidas por processar dados de cidadãos da UE nos EUA. Mas, as empresas sedeadas na UE também armazenam frequentemente dados pessoais nos EUA por razões financeiras. Isto significa que as autoridades dos EUA podem ter acesso livre a estes dados. Consulte as “Standard Contractual Clauses”.
- Atualizar a Política de Privacidade de Dados
Remova qualquer informação sobre o “Privacy Shield” na Política de Privacidade de Dados e atualize a informação sobre o tipo de transferência de dados. Os titulares dos dados devem ser informados de forma transparente.
- Validar a base legal
As “Standard Contractual Clauses” entre o responsável pelo tratamento e o destinatário têm sido a principal base legal para as transferências de dados dos EUA desde o fim do “Privacy Shield”. Contudo, cada transferência de dados deve ser avaliada caso a caso e devem ser contempladas medidas adicionais se o nível de proteção de dados não for equivalente. Estas podem ser legais, técnicas ou organizacionais. Deve também verificar se são implementadas e cumpridas.
- Medidas de proteção adicionais
Uma possibilidade é a encriptação de todos os seus dados. Pode ser efetuada durante a transmissão, mas também quando os dados estão disponíveis para o destinatário no país terceiro. No entanto, a chave de para decifrar deve permanecer irreversivelmente na UE. A pseudonimização dos seus dados também poderá ser uma alternativa. Neste caso, a chave de pseudonimização deve também permanecer na UE.
IMPORTANTE: Complemente as “Standard Contractual Clauses” e obrigue o destinatário dos dados a cessar imediatamente todas as transferências de dados ou a apagar os dados, quando solicitado pelas autoridades de controlo.
- Avalie alternativas dentro da UE
As transferências de dados para países terceiros podem ser evitadas? Existem fornecedores na UE com funções semelhantes a custos comparáveis?
- Consequências
Em caso de verificação negativa das transferências de dados, cada empresa deve ponderar por si própria se deve parar o processamento, procurar uma alternativa ou assumir o risco. Não é possível dizer, nesta fase, quais as medidas que as autoridades de supervisão tomarão. Um bloqueio das transferências dos EUA poderia ter consequências económicas e políticas de grande alcance. Por conseguinte, resta saber se as multas serão impostas diretamente ou se por enquanto serão proibidas.