COMISSÃO EUROPEIA

Bruxelas, 24.6.2020

SWD(2020) 115 final

This document corrects document SWD(2020) 115 final of 24.06.2020
Concerns the EN language version.
Footnote 3 completed.
The text shall read as follows:

DOCUMENTO DE TRABALHO DOS SERVIÇOS DA COMISSÃO

[…]

que acompanha o documento

COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

A proteção de dados enquanto pilar da capacitação dos cidadãos e a abordagem da UE para a transição digital - dois anos de aplicação do Regulamento Geral sobre a Proteção de Dados

{COM(2020) 264 final}

Índice

1    Contexto    

2    Aplicação do RGPD e funcionamento dos procedimentos de cooperação e de controlo da coerência    

2.1    Exercício de poderes reforçados pelas autoridades de proteção de dados    

Questões específicas para o setor público    

Cooperação com outros reguladores    

2.2    Procedimentos de cooperação e de controlo da coerência    

Balcão único    

Assistência mútua    

Procedimento de controlo da coerência    

Desafios a enfrentar    

2.3    Aconselhamento e orientações    

Sensibilização e aconselhamento por parte das autoridades de proteção de dados    

Orientações do Comité Europeu para a Proteção de Dados    

2.4    Recursos das autoridades de proteção de dados    

3    Regras harmonizadas, mas persistindo ainda um certo grau de fragmentação e abordagens divergentes    

3.1    Aplicação do RGPD pelos Estados-Membros    

Principais questões relacionadas com a aplicação nacional    

Conciliação do direito à proteção de dados pessoais com a liberdade de expressão e de informação    

3.2    Cláusulas de especificação facultativa e respetivos limites    

Fragmentação associada à utilização de cláusulas de especificação facultativa    

4    Capacitar os cidadãos no sentido de controlarem os seus dados    

5    Oportunidades e desafios para as organizações, em especial as pequenas e médias empresas    

Caixa de ferramentas para empresas    

6    Aplicação do RGPD às novas tecnologias    

7    Transferências internacionais e cooperação global    

7.1    Privacidade: uma questão global    

7.2    Conjunto de instrumentos de transferência previsto no RGPD    

Decisões de adequação    

Garantias adequadas    

Derrogações    

Decisões de tribunais ou autoridades estrangeiras: não constituem motivos para transferências    

7.3    Cooperação internacional no domínio da proteção de dados    

A dimensão bilateral    

A dimensão multilateral    

Anexo I: Cláusulas de especificações facultativas da legislação nacional

Anexo II: Panorâmica dos recursos das autoridades de proteção de dados

1Contexto

O Regulamento Geral sobre a Proteção de Dados 1 (a seguir designado por «RGPD») é o resultado de oito anos de preparação, redação e negociações interinstitucionais, tendo começado a ser aplicado em 25 de maio de 2018, após um período de transição de dois anos (maio de 2016 - maio de 2018). O artigo 97.º do RGPD exige que a Comissão apresente um relatório sobre a avaliação e revisão do regulamento, o primeiro após dois anos da sua aplicação e, subsequentemente, de quatro em quatro anos.

A avaliação faz igualmente parte de uma abordagem multifacetada já seguida pela Comissão antes de o RGPD começar a ser aplicado e que a Comissão continuou a prosseguir ativamente desde então. Como parte desta abordagem, a Comissão participou nos diálogos bilaterais em curso com Estados-Membros sobre a conformidade da legislação nacional com o RGPD, contribuiu ativamente para o trabalho do Comité Europeu para a Proteção de Dados (a seguir designado por «Comité»), através da disponibilização da sua experiência e dos seus conhecimentos especializados, apoiou as autoridades de proteção de dados e manteve contactos estreitos com um vasto leque de partes interessadas sobre a aplicação prática do referido regulamento.

A avaliação tem por base o exercício de balanço realizado pela Comissão no primeiro ano de aplicação do RGPD que foi resumido na comunicação emitida em julho de 2019 2 . Dá igualmente seguimento à Comunicação sobre a aplicação do RGPD, emitida em janeiro de 2018 3 . A Comissão adotou igualmente Orientações sobre a utilização de dados pessoais no contexto eleitoral, publicadas em setembro de 2018, e Orientações respeitantes a aplicações móveis de apoio à luta contra a pandemia de COVID-19, publicadas em abril de 2020.

Embora se concentre nas duas questões salientadas no artigo 97.º, n.º 2, do RGPD, nomeadamente as transferências internacionais e os procedimentos de cooperação e de controlo da coerência, esta avaliação adota uma abordagem mais ampla a fim de examinar questões suscitadas por vários intervenientes durante os últimos dois anos.

Para preparar a avaliação, a Comissão teve em conta os contributos:

·do Conselho 4 ;

·do Parlamento Europeu (Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos) 5 ;

·do Comité 6 e das autoridades de proteção de dados individuais 7 , com base num questionário enviado pela Comissão;

·dos membros do grupo multilateral de peritos sobre a aplicação do RGPD 8 , também com base num questionário enviado pela Comissão;

·e das partes interessadas.

2Aplicação do RGPD e funcionamento dos procedimentos de cooperação e de controlo da coerência

O RGPD criou um sistema de governação inovador e estabeleceu as bases de uma cultura de proteção de dados verdadeiramente europeia que visa assegurar não só uma interpretação harmonizada, mas também uma aplicação e execução harmonizadas das regras de proteção de dados. Os seus pilares são as autoridades nacionais de proteção de dados independentes e o recém-criado Comité.

Atendendo a que as autoridades de proteção de dados são fundamentais para o funcionamento de todo o sistema de proteção de dados da UE, a Comissão está a acompanhar atentamente a sua independência efetiva, nomeadamente no que diz respeito aos recursos financeiros, humanos e técnicos adequados.

Ainda é demasiado prematuro avaliar plenamente o funcionamento dos procedimentos de cooperação e de controlo da coerência, dada a curta experiência adquirida até à data 9 . Além disso, as autoridades de proteção de dados ainda não utilizaram todo o leque de instrumentos previstos pelo RGPD para reforçar ainda mais a sua cooperação.

2.1Exercício de poderes reforçados pelas autoridades de proteção de dados

O RGPD institui autoridades de proteção de dados independentes e confere-lhes poderes de execução reforçados e harmonizados. Desde a aplicação do RGPD, essas autoridades têm exercido um vasto leque de poderes de correção previstos no RGPD, como coimas (22 autoridades da UE/do EEE) 10 , advertências e repreensões (23), ordens para que os pedidos apresentados pelo titular dos dados sejam satisfeitos (26), ordens para que sejam tomadas medidas para que as operações de tratamento cumpram o RGPD (27) e ordens para retificar, apagar ou limitar o tratamento (17). Cerca de metade das autoridades de proteção de dados (13) impuseram limitações temporárias ou definitivas ao tratamento de dados, ou mesmo proibições. Tal demonstra uma utilização consciente de todas as medidas de correção previstas no RGPD; as autoridades de proteção de dados não se coibiram de impor coimas em complemento ou em substituição de outras medidas de correção, consoante as circunstâncias de cada caso.

O êxito do RGPD não deve ser medido pelo número de coimas aplicadas, uma vez que o RGPD prevê um leque mais vasto de poderes de correção. Consoante as circunstâncias, por exemplo, o efeito dissuasor da proibição do tratamento ou da suspensão de fluxos de dados pode ser muito mais forte.

Questões específicas para o setor público

O RGPD permite aos Estados-Membros determinar se, e em que medida, as coimas podem ser aplicadas às autoridades e organismos públicos. Quando os Estados-Membros recorrem a esta possibilidade, tal não priva as autoridades de proteção de dados de exercerem todos os outros poderes de correção em relação às autoridades e organismos públicos 12 .

Outra questão específica é a supervisão dos tribunais: embora o RGPD também se aplique às atividades dos tribunais, estes estão isentos da supervisão pelas autoridades de proteção de dados no exercício da sua função jurisdicional. No entanto, a Carta e o TFUE obrigam os Estados-Membros a confiar o controlo de tais operações de tratamento a um organismo independente no âmbito dos seus sistemas judiciais 13 .

Cooperação com outros reguladores

Tal como anunciado na sua comunicação de julho de 2019, a Comissão apoia a interação com outros reguladores, respeitando integralmente as respetivas competências. Entre as áreas de cooperação promissoras incluem-se a defesa dos consumidores e a concorrência. O Comité manifestou a sua vontade de colaborar com outros reguladores, em particular em relação à concentração dos mercados digitais 14 . A Comissão reconheceu a importância da proteção da privacidade e dos dados enquanto parâmetro qualitativo para a concorrência 15 . Os membros do Comité participaram em ateliês conjuntos com a Rede de Cooperação no domínio da Defesa do Consumidor sobre cooperação para uma melhor aplicação da legislação da UE em matéria de defesa dos consumidores e de proteção de dados. Esta abordagem será prosseguida para promover um entendimento comum e desenvolver formas práticas de abordar problemas concretos sentidos pelos consumidores, em particular na economia digital.

A fim de assegurar uma abordagem coerente da privacidade e da proteção de dados, e enquanto se aguarda a adoção do Regulamento Privacidade Eletrónica, é indispensável uma estreita cooperação com as autoridades competentes para a aplicação da Diretiva Privacidade Eletrónica 16 , a lex specialis no domínio das comunicações eletrónicas. Uma cooperação mais estreita com as autoridades competentes nos termos da Diretiva Segurança das Redes e da Informação (SRI) 17 e com o Grupo de Cooperação SRI seria mutuamente benéfica para essas autoridades e para as autoridades de proteção de dados.

2.2Procedimentos de cooperação e de controlo da coerência

O RGPD criou o procedimento de cooperação (sistema de balcão único para operadores, operações conjuntas e assistência mútua entre autoridades de proteção de dados) e o procedimento de controlo da coerência a fim de promover uma aplicação uniforme das regras de proteção de dados, através de uma interpretação coerente e da resolução de eventuais desacordos entre autoridades pelo Comité.

O Comité, reunindo todas as autoridades de proteção de dados, foi criado enquanto organismo da UE dotado de personalidade jurídica e está plenamente operacional, sendo apoiado por um secretariado 18 . É crucial para o funcionamento dos dois procedimentos supracitados. Até ao final de 2019, o Comité tinha adotado 67 documentos, incluindo dez novas orientações 19 e 43 pareceres 20 21 .

O importante papel do Comité surgiu quando se mostrou necessário prever rapidamente uma interpretação coerente do RGPD e encontrar soluções imediatamente aplicáveis a nível da UE. Por exemplo, no contexto do surto de COVID-19, em março de 2020 o Comité adotou uma declaração sobre o tratamento de dados pessoais que aborda, entre outros aspetos, a licitude do tratamento e a utilização de dados de localização móvel nesse contexto 22 , tendo, em abril de 2020, adotado Diretrizes sobre o tratamento de dados relativos à saúde para efeitos de investigação científica no contexto do surto de COVID-19  23 e Diretrizes sobre a utilização de dados de localização e meios de rastreio de contactos no contexto do surto de COVID-19 24 . O Comité contribuiu igualmente significativamente para a conceção da abordagem da UE às aplicações de rastreio pela Comissão e pelos Estados-Membros.

A cooperação diária entre autoridades de proteção de dados, quer atuem em seu próprio nome ou enquanto membros do Comité, baseia-se em intercâmbios de informações e notificações de processos instaurados pelas autoridades. A fim de facilitar a comunicação entre as autoridades, a Comissão prestou um apoio significativo, dotando-as de um sistema de intercâmbio de informações 25 , que a maioria das autoridades considera adaptado às necessidades dos procedimentos de cooperação e de controlo da coerência, ainda que possa ser aperfeiçoado, por exemplo, tornando a sua utilização mais fácil.

Embora ainda seja cedo para tirar conclusões, já é possível identificar uma série de realizações e desafios, que são apresentados a seguir. Estes mostram que, até à data, as autoridades de proteção de dados têm utilizado eficazmente os instrumentos de cooperação, dando preferência a soluções mais flexíveis.

Balcão único

Regra geral, em casos transfronteiriços, a autoridade de proteção de dados de um Estado-Membro pode envolver-se (i) na qualidade de autoridade principal, quando o estabelecimento principal do operador se situe nesse Estado-Membro, ou (ii) na qualidade de autoridade interessada, quando o operador tenha um estabelecimento no território desse Estado-Membro, quando as pessoas desse Estado-Membro sejam substancialmente afetadas ou quando lhe tenha sido apresentada uma reclamação.

Esta cooperação estreita converteu-se numa prática corrente: desde a data de aplicação do RGPD, as autoridades de proteção de dados em todos os Estados-Membros foram, em determinada altura, identificadas como autoridades principais ou como autoridades interessadas em casos transfronteiriços, embora em diferentes graus.

Entre 25 de maio de 2018 e 31 de dezembro de 2019, foram apresentados 141 projetos de decisão através do procedimento de balcão único, 79 dos quais resultaram em decisões finais. À data de publicação do presente relatório, encontram-se pendentes várias decisões importantes com uma dimensão transfronteiriça sujeitas ao procedimento de balcão único. Entre estas decisões, algumas envolvem grandes empresas multinacionais de tecnologia 27 . Espera-se que tais decisões forneçam esclarecimentos e contribuam para uma maior harmonização na interpretação do RGPD.

Assistência mútua

As autoridades de proteção de dados recorreram de forma alargada ao instrumento de assistência mútua.

A grande maioria das autoridades considera a assistência mútua um instrumento muito útil para a cooperação e não encontrou nenhum obstáculo específico à aplicação do procedimento de assistência mútua. O intercâmbio voluntário de assistência mútua, que não está sujeito a um prazo legal nem a um dever rigoroso de resposta, tem sido utilizado com maior frequência, em 2 427 procedimentos. A autoridade de proteção de dados da Irlanda enviou e recebeu o maior número de pedidos de assistência mútua (527 pedidos enviados e 359 pedidos recebidos), seguida das autoridades alemãs (260 pedidos enviados e 356 pedidos recebidos).

Por outro lado, ainda não foram realizadas operações conjuntas 30 , que permitiriam a participação das autoridades de proteção de dados de vários Estados-Membros já ao nível das investigações de casos transfronteiriços. Está em curso um processo de reflexão no seio do Comité sobre a aplicação prática deste instrumento e sobre a forma de promover a sua utilização.

Procedimento de controlo da coerência

Até à data, só foi utilizada a primeira parte do mecanismo de controlo da coerência, nomeadamente a adoção de pareceres do Comité 31 . Por outro lado, ainda não foi desencadeado qualquer procedimento de resolução de litígios a nível do Comité 32 ou procedimento de urgência 33 .

Desafios a enfrentar

Embora as autoridades de proteção de dados tenham trabalhado muito ativamente em conjunto no seio do Comité e já utilizem intensivamente o instrumento de cooperação de assistência mútua, a criação de uma cultura verdadeiramente comum de proteção de dados é um processo ainda em curso.

Em particular, o tratamento de casos transfronteiriços exige uma abordagem mais eficiente e harmonizada e a utilização eficaz de todos os instrumentos de cooperação previstos no RGPD. Existe um consenso muito amplo sobre este ponto, uma vez que foi suscitado de diferentes formas pelo Parlamento Europeu, pelo Conselho, pela Autoridade Europeia para a Proteção de Dados, pelas partes interessadas (dentro e fora do grupo multilateral) e pelas autoridades de proteção de dados.

As principais questões a abordar neste contexto incluem diferenças:

·nos procedimentos administrativos nacionais relativos, nomeadamente: aos procedimentos de tratamento de reclamações, aos critérios de admissibilidade de reclamações, à duração dos processos devido a prazos diferentes ou à ausência de quaisquer prazos, ao momento, no processo, em que é concedido o direito de ser ouvido, às informações e à participação dos autores das reclamações durante o processo;

·nas interpretações de conceitos relativos ao procedimento de cooperação, nomeadamente informações pertinentes, as noções de «sem demora» e de «reclamação», o documento definido como o «projeto de decisão» da autoridade de proteção de dados principal, o acordo amigável (em particular o procedimento conducente ao acordo amigável e a forma jurídica do acordo); e

·na abordagem sobre quando iniciar o procedimento de cooperação, envolver as autoridades de proteção de dados interessadas e facultar-lhes informações. Os autores das reclamações são igualmente afetados pela falta de clareza sobre a forma como os seus casos são tratados em situações transfronteiriças, conforme sublinhado por vários membros do grupo multilateral. Além disso, as empresas mencionam que, em determinadas situações, as autoridades nacionais de proteção de dados não remeteram os casos à autoridade de proteção de dados principal, tendo-os tratado como casos locais.

A Comissão congratula-se com o anúncio do Comité de que iniciou um processo de reflexão sobre a forma de dar resposta a estas preocupações. Em particular, o Comité indicou que irá clarificar as etapas processuais envolvidas na cooperação entre a autoridade de proteção de dados principal e as autoridades de proteção de dados interessadas, analisar as leis processuais administrativas nacionais, trabalhar em prol de uma interpretação comum dos principais conceitos e reforçar a comunicação e a cooperação (incluindo as operações conjuntas). A reflexão e a análise do Comité deverão conduzir à definição de modalidades que funcionem com mais eficácia em casos transfronteiriços 38 , nomeadamente com base nos conhecimentos especializados dos seus membros e através do reforço da participação do seu secretariado. Além disso, note-se que a responsabilidade do Comité de assegurar uma interpretação coerente do RGPD não pode ser cumprida encontrando simplesmente o denominador comum mais baixo.

Por último, enquanto organismo da UE, o Comité deve igualmente aplicar o direito administrativo da UE e assegurar a transparência no processo de tomada de decisões.

2.3Aconselhamento e orientações

Sensibilização e aconselhamento por parte das autoridades de proteção de dados

Várias autoridades de proteção de dados criaram novas ferramentas, designadamente linhas de apoio para cidadãos e empresas, e conjuntos de ferramentas para empresas 39 . Muitos operadores congratulam-se com o pragmatismo demonstrado por estas autoridades na prestação de assistência na aplicação do RGPD. Em particular, vários deles têm colaborado e comunicado ativamente e de perto com os encarregados da proteção de dados, nomeadamente através de associações de encarregados da proteção de dados. Muitas autoridades emitiram igualmente orientações que abrangem o papel e as obrigações dos encarregados da proteção de dados no sentido de apoiar os encarregados da proteção de dados durante as suas atividades diárias, tendo realizado seminários especificamente concebidos para os mesmos. No entanto, nem todas as autoridades de proteção de dados o fizeram.

As reações recebidas das partes interessadas apontam igualmente para uma série de questões em matéria de orientações e aconselhamento:

·a ausência de uma abordagem e orientação coerentes entre as autoridades nacionais de proteção de dados sobre determinadas questões (por exemplo, sobre testemunhos de conexão («cookies 40 »), a aplicação do conceito de interesse legítimo, as notificações de violações de dados ou as avaliações de impacto sobre a proteção de dados), ou mesmo entre as autoridades de proteção de dados de um mesmo Estado-Membro (por exemplo, na Alemanha, sobre as noções de responsável pelo tratamento e de subcontratante);

·a incoerência das orientações adotadas a nível nacional com as adotadas pelo Comité;

·a ausência de consultas públicas sobre determinadas orientações adotadas a nível nacional;

·diferentes níveis de envolvimento com as partes interessadas entre as autoridades de proteção de dados;

·atrasos no recebimento de respostas a pedidos de informação;

·dificuldades na obtenção de conselhos práticos e preciosos das autoridades de proteção de dados;

·a necessidade de aumentar o nível de conhecimentos especializados setoriais junto de algumas autoridades de proteção de dados (por exemplo, nos setores da saúde e farmacêutico).

Várias destas questões estão igualmente associadas à falta de recursos de várias autoridades de proteção de dados (ver abaixo).

Orientações do Comité Europeu para a Proteção de Dados

Até à data, o Comité adotou mais de 20 orientações que abrangem aspetos fundamentais do RGPD 43 . As orientações constituem um instrumento essencial para a aplicação coerente do RGPD, pelo que têm sido, em grande medida, acolhidas favoravelmente pelas partes interessadas. As partes interessadas apreciaram a consulta pública sistemática (seis a oito semanas). No entanto, solicitaram um maior diálogo com o Comité. Neste contexto, a prática de organizar ateliês sobre temas específicos antes da elaboração de orientações deve ser prosseguida e alargada para assegurar a transparência, a inclusão e a pertinência do trabalho do Comité. As partes interessadas solicitam igualmente que a interpretação das questões mais controversas seja abordada nas orientações, uma vez que estas estão sujeitas a consulta pública, e não no âmbito de pareceres nos termos do artigo 64.º, n.º 2, do RGPD. Algumas partes interessadas solicitam igualmente orientações mais práticas, que descrevam de forma pormenorizada a aplicação de conceitos e disposições do RGPD 44 . Os membros do grupo multilateral sublinham a necessidade de exemplos mais concretos para reduzir ao máximo a margem para interpretações divergentes entre as autoridades de proteção de dados. Simultaneamente, os pedidos de esclarecimento sobre a forma de aplicar o RGPD e garantir segurança jurídica não devem conduzir a requisitos adicionais ou diminuir as vantagens da abordagem baseada nos riscos e do princípio de responsabilização.

Entre os temas sobre os quais as partes interessadas gostariam de obter orientações adicionais do Comité incluem-se: o âmbito de aplicação dos direitos dos titulares dos dados (nomeadamente no contexto laboral); atualizações do parecer sobre o tratamento com base em interesses legítimos; as noções de responsável pelo tratamento, responsável conjunto pelo tratamento e subcontratante e os acordos necessários entre as partes 45 ; a aplicação do RGPD a novas tecnologias (como a cadeia de blocos e a inteligência artificial); o tratamento no contexto da investigação científica (nomeadamente em relação à colaboração internacional); o tratamento de dados relativos a crianças; a pseudonimização e a anonimização; e o tratamento de dados relativos à saúde.

O Comité já indicou que irá emitir orientações sobre muitos destes temas, tendo já iniciado os trabalhos sobre vários deles (por exemplo, sobre a aplicação do interesse legítimo enquanto fundamento jurídico para o tratamento).

As partes interessadas solicitam ao Comité que atualize e reveja as orientações existentes, sempre que tal se revele adequado, tendo em conta a experiência adquirida desde a sua publicação e aproveitando a oportunidade para abordar os temas de forma mais aprofundada, quando necessário.

2.4Recursos das autoridades de proteção de dados

Dotar cada autoridade de proteção de dados dos recursos humanos, técnicos e financeiros, bem das instalações e infraestruturas, necessários constitui um requisito prévio para a prossecução eficaz das suas atribuições e o exercício dos seus poderes e, por conseguinte, uma condição essencial para a sua independência 46 .

A maioria das autoridades de proteção de dados beneficiou de um aumento do pessoal e dos recursos desde a entrada em vigor do RGPD em 2016 47 . No entanto, muitas delas continuam a afirmar não dispor de recursos suficientes 48 .

O quadro constante do anexo II fornece uma visão geral dos recursos humanos e orçamentais das autoridades nacionais de proteção de dados.

Para além de afetar a sua capacidade de aplicar regras a nível nacional, a falta de recursos limita igualmente a capacidade das autoridades de proteção de dados para participar e contribuir para os procedimentos de cooperação e de controlo da coerência, bem como para o trabalho realizado no âmbito do Comité. Tal como salientado pelo Comité, o êxito do mecanismo de balcão único depende do tempo e do esforço que as autoridades de proteção de dados possam dedicar ao tratamento de casos individuais transfronteiriços e à cooperação no âmbito dos mesmos. A questão dos recursos é agravada pelo papel acrescido das autoridades na supervisão de sistemas informáticos de grande escala que estão atualmente a ser desenvolvidos. Além disso, as autoridades de proteção de dados da Irlanda e do Luxemburgo têm necessidades específicas de recursos, atendendo ao seu papel de autoridades principais para efeitos de aplicação do RGPD em relação às grandes empresas de tecnologia, que se situam sobretudo nestes Estados-Membros.

Embora o Conselho chame a tenção para o impacto do procedimento de cooperação e dos seus prazos no trabalho das autoridades de proteção de dados 50 , o RGPD obriga os Estados-Membros a dotar as respetivas autoridades nacionais de proteção de dados de recursos humanos, financeiros e técnicos adequados 51 .

O secretariado do Comité, que é disponibilizado pela Autoridade Europeia para a Proteção de Dados 52 , é atualmente composto por 20 pessoas, incluindo peritos jurídicos, informáticos e em matéria de comunicação. É necessário avaliar se este número deve evoluir no futuro, à luz do cumprimento efetivo da sua função de apoio analítico, administrativo e logístico ao Comité e aos seus subgrupos, nomeadamente através da gestão do sistema de intercâmbio de informações.

3Regras harmonizadas, mas persistindo ainda um certo grau de fragmentação e abordagens divergentes 

O RGPD prevê uma abordagem coerente das regras de proteção de dados em toda a UE, substituindo os diferentes regimes nacionais existentes ao abrigo da Diretiva Proteção de Dados de 1995.

3.1Aplicação do RGPD pelos Estados-Membros

O RGPD é diretamente aplicável em todos os Estados-Membros desde 25 de maio de 2018. Obrigou os Estados-Membros a legislar, nomeadamente a criar autoridades nacionais de proteção de dados e a especificar as condições gerais aplicáveis aos seus membros, a fim de assegurar que cada autoridade aja com total independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos nos termos do RGPD. As obrigações legais e as funções públicas só podem constituir fundamento jurídico para o tratamento de dados pessoais se estiverem previstas no direito nacional (ou da União). Além disso, os Estados-Membros devem estabelecer regras em matéria de sanções, nomeadamente para as violações não sujeitas a coimas, devendo conciliar o direito à proteção de dados pessoais com o direito à liberdade de expressão e de informação. O direito nacional pode igualmente prever uma base jurídica para a isenção da proibição geral de tratamento de categorias especiais de dados pessoais, por exemplo, por motivos de interesse público importante no domínio da saúde pública, incluindo a proteção contra ameaças transfronteiriças graves para a saúde. Além disso, os Estados-Membros devem assegurar a acreditação dos organismos de certificação.

A Comissão está a acompanhar a transposição do RGPD para o direito nacional. No momento da redação do presente relatório, todos os Estados-membros, com exceção da Eslovénia, adotaram nova legislação em matéria de proteção de dados ou adaptaram a sua legislação neste domínio. Por conseguinte, a Comissão solicitou à Eslovénia que prestasse esclarecimentos sobre os progressos realizados até à data e instou-a a concluir esse processo 53 .

Além disso, a conformidade da legislação nacional com as regras de proteção de dados no que diz respeito ao acervo de Schengen é igualmente avaliada no contexto do mecanismo de avaliação Schengen coordenado pela Comissão. A Comissão e os Estados-Membros avaliam conjuntamente a forma como os países implementam e aplicam o acervo de Schengen numa série de domínios; no que se refere à proteção de dados, diz respeito a sistemas informáticos de grande escala como o Sistema de Informação Schengen e o Sistema de Informação Veterinária e inclui o papel das autoridades de proteção de dados no controlo do tratamento de dados pessoais no âmbito destes sistemas.

Os trabalhos de adaptação das leis setoriais estão ainda em curso a nível nacional. Após a incorporação do RGPD no Acordo sobre o Espaço Económico Europeu, a sua aplicação estendeu-se à Noruega, à Islândia e ao Listenstaine. Estes países também adotaram as respetivas legislações nacionais de proteção de dados.

A Comissão utilizará todos os instrumentos à sua disposição, incluindo processos por infração, a fim de garantir que os Estados-Membros respeitam o RGPD.

Principais questões relacionadas com a aplicação nacional

Entre as principais questões identificadas, até à data, no âmbito da avaliação em curso da legislação nacional e dos intercâmbios bilaterais com os Estados-Membros incluem-se:

·Restrições à aplicação do RGPD: alguns Estados-Membros, por exemplo, excluem completamente as atividades do parlamento nacional;

·Diferenças na aplicabilidade das leis nacionais que visem a especificação. Alguns Estados-Membros associam a aplicabilidade da respetiva legislação nacional ao local onde os bens ou serviços são oferecidos, outros ao local de estabelecimento do responsável pelo tratamento ou do subcontratante. Tal é contrário ao objetivo de harmonização prosseguido pelo RGPD;

·Leis nacionais que suscitam questões sobre a proporcionalidade da interferência com o direito à proteção de dados. Por exemplo, a Comissão instaurou um processo por infração contra um Estado-Membro que tinha promulgado legislação que exigia aos juízes a divulgação de informações específicas sobre as suas atividades não profissionais, o que é incompatível com o direito ao respeito da vida privada e com o direito à proteção de dados pessoais 54 ;

·A ausência de um organismo independente para efeitos do controlo do tratamento de dados pelos tribunais no exercício da sua função jurisdicional 55 .

·Legislação em domínios completamente regulamentados pelo RGPD para além da margem para especificações ou restrições. É o que acontece, nomeadamente, quando as disposições nacionais determinam as condições de tratamento com base no interesse legítimo, prevendo o equilíbrio dos respetivos interesses do responsável pelo tratamento e das pessoas interessadas, embora o RGPD obrigue todos os responsáveis pelo tratamento a procurar tal equilíbrio individualmente e a recorrer a esse fundamento jurídico.

·Especificações e requisitos adicionais para além do tratamento para o cumprimento de uma obrigação legal ou para o exercício de funções de interesse público (por exemplo, para efeitos de videovigilância no setor privado ou de comercialização direta); e para conceitos utilizados no RGPD (por exemplo, «grande escala» ou «apagamento»).

Algumas destas questões podem ser esclarecidas pelo Tribunal de Justiça em processos que ainda se encontram pendentes 56 .

Conciliação do direito à proteção de dados pessoais com a liberdade de expressão e de informação

Uma questão específica diz respeito à execução da obrigação que incumbe aos Estados-Membros de conciliar, por lei, o direito à proteção de dados pessoais com a liberdade de expressão e de informação 57 . Esta questão é muito complexa, uma vez que uma avaliação do equilíbrio entre estes direitos fundamentais deve igualmente ter em conta as disposições e garantias previstas nas leis relativas à imprensa e aos meios de comunicação social.

A Comissão prosseguirá a sua avaliação da legislação nacional com base nos requisitos da Carta. A conciliação deve ser prevista por lei, respeitar o conteúdo essencial desses direitos fundamentais e ser proporcional e necessária (artigo 52.º, n.º 1, da Carta). As regras em matéria de proteção de dados não devem afetar o exercício da liberdade de expressão e de informação, especialmente criando um efeito dissuasor ou sendo interpretadas como uma forma de exercer pressão sobre os jornalistas para que divulguem as suas fontes.

3.2Cláusulas de especificação facultativa e respetivos limites

O RGPD confere aos Estados-Membros a possibilidade de especificarem melhor a sua aplicação num número limitado de domínios. Esta margem para a legislação nacional deve ser distinguida da obrigação de aplicar determinadas disposições do RGPD, conforme mencionado acima. As cláusulas de especificações facultativas são enumeradas no anexo I.

As margens para o direito dos Estados-Membros estão sujeitas às condições e aos limites estabelecidos no RGPD e não permitem um regime nacional de proteção de dados paralelo 58 . Os Estados-Membros são obrigados a alterar ou revogar a respetiva legislação nacional em matéria de proteção de dados, incluindo a legislação setorial com aspetos relacionados com a proteção de dados.

Além disso, a legislação conexa dos Estados-Membros não pode incluir disposições que possam criar confusão no que respeita à aplicação direta do RGPD. Por conseguinte, caso o RGPD preveja especificações ou restrições das suas regras pelo direito de um Estado-Membro, estes podem incorporar elementos do RGPD no respetivo direito nacional, na medida do necessário para assegurar a coerência e tornar as disposições nacionais compreensíveis para as pessoas a quem se aplicam 59 .

As partes interessadas consideram que os Estados-Membros devem reduzir ou abster-se de utilizar cláusulas de especificação facultativa, uma vez que estas não contribuem para a harmonização. As divergências nacionais, tanto na aplicação das leis como na sua interpretação pelas autoridades de proteção de dados, aumentam consideravelmente os custos da conformidade legal em toda a UE.

Fragmentação associada à utilização de cláusulas de especificação facultativa

·Limite de idade para o consentimento de crianças para efeitos dos serviços da sociedade da informação

Alguns Estados-Membros recorreram à possibilidade de prever uma idade inferior a 16 anos para o consentimento em relação aos serviços da sociedade da informação (artigo 8.º, n.º 1, do RGPD). Embora nove Estados-Membros apliquem o limite de idade de 16 anos, oito Estados-Membros optaram pelos 13 anos, seis pelos 14 anos e três pelos 15 anos 60 .

Consequentemente, uma empresa que preste serviços da sociedade da informação a menores em toda a UE tem de fazer uma distinção entre as idades dos potenciais utilizadores, consoante o Estado-Membro onde estes residam. Tal é contrário ao objetivo fundamental do RGPD de proporcionar um nível igual de proteção aos cidadãos e oportunidades de negócio em todos os Estados-Membros.

Tais diferenças conduzem a situações em que o Estado-Membro onde o responsável pelo tratamento está estabelecido prevê um limite de idade diferente do dos Estados-Membros onde residem os titulares dos dados.

·Saúde e investigação

Ao aplicar derrogações da proibição geral de tratamento de categorias especiais de dados pessoais 61 , a legislação dos Estados-Membros segue abordagens diferentes no que diz respeito ao nível de especificação e a garantias, incluindo para fins de saúde e de investigação. A maioria dos Estados-Membros impôs ou manteve novas condições no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde. O mesmo se aplica às derrogações relacionadas com os direitos dos titulares dos dados para fins de investigação 62 , tanto no que diz respeito ao alcance das derrogações como às respetivas garantias. 

As futuras orientações do Comité sobre a utilização de dados pessoais no domínio da investigação científica contribuirão para uma abordagem harmonizada neste domínio. A Comissão dará o seu contributo ao Comité, em especial no que se refere à investigação no domínio da saúde, nomeadamente sob a forma de questões concretas e análise de cenários específicos que tenha recebido da comunidade científica. Seria útil que estas orientações pudessem ser adotadas antes do lançamento do Programa-Quadro Horizonte Europa, com vista a harmonizar as práticas de proteção de dados e facilitar a partilha de dados para alcançar progressos no domínio da investigação. Poderiam igualmente ser úteis orientações do Comité sobre o tratamento de dados pessoais no domínio da saúde. O RGPD proporciona um quadro sólido para a legislação nacional no domínio da saúde pública e inclui explicitamente as ameaças transfronteiriças para a saúde e a monitorização de epidemias e da sua propagação 63 , o que foi pertinente no contexto da luta contra a pandemia de COVID-19.

A nível da UE, em 8 de abril de 2020, a Comissão adotou uma Recomendação relativa a um conjunto de instrumentos com vista à utilização de tecnologias e dados neste contexto, no respeitante às aplicações móveis e à utilização de dados de mobilidade anonimizados 64 , e, em 16 de abril de 2020, Orientações respeitantes a aplicações móveis de apoio à luta contra a pandemia na perspetiva da proteção de dados 65 . Em 19 de março de 2020 66 , o Comité publicou uma declaração sobre o tratamento de dados neste contexto, à qual se seguiram, em 21 de abril de 2020, diretrizes sobre o tratamento de dados para efeitos de investigação e sobre a utilização de dados de localização e meios de rastreio de contactos neste contexto 67 . Estas recomendações e diretrizes esclarecem a forma como os princípios e as regras em matéria de proteção de dados pessoais se aplicam no contexto da luta contra a pandemia.

·Amplas limitações dos direitos dos titulares dos dados

A maioria das legislações nacionais em matéria de proteção de dados que limitam os direitos dos titulares dos dados não especificam os objetivos de interesse público geral salvaguardados por estas limitações e/ou não satisfazem suficientemente as condições e garantias exigidas pelo artigo 23º, n.º 2, do RGPD 68 . Vários Estados-Membros não deixam margem para o critério da proporcionalidade ou alargam as limitações mesmo para além do âmbito de aplicação do artigo 23.º, n.º 1, do RGPD. Por exemplo, algumas legislações nacionais negam o direito de acesso, por razões de esforço desproporcionado por parte do responsável pelo tratamento, a dados pessoais armazenados com base numa obrigação de conservação ou relacionados com o desempenho de funções de interesse público, sem limitar tal restrição a objetivos de interesse público geral.

·Requisitos adicionais aplicáveis às empresas

Embora o requisito de existência obrigatória de um encarregado da proteção de dados se baseie na abordagem baseada nos riscos 69 , um Estado-Membro 70 alargou-o a um critério quantitativo, obrigando as empresas em que 20 ou mais funcionários estejam permanentemente envolvidos no tratamento automatizado de dados pessoais a nomear um encarregado da proteção de dados, independentemente dos riscos associados às atividades de tratamento 71 . Tal conduziu a encargos adicionais.

4Capacitar os cidadãos no sentido de controlarem os seus dados

O RGPD torna efetivos os direitos fundamentais, nomeadamente o direito à proteção de dados pessoais, mas também os outros direitos fundamentais reconhecidos pela Carta, incluindo o respeito pela vida privada e familiar, a liberdade de expressão e de informação, a não discriminação, a liberdade de pensamento, de consciência e de religião, o direito à ação e a um tribunal imparcial. Estes direitos devem ser equilibrados entre si, em conformidade com o princípio da proporcionalidade 72 .

O RGPD confere aos cidadãos direitos oponíveis, como o direito de acesso, retificação, apagamento, oposição, portabilidade e maior transparência. Confere igualmente aos cidadãos o direito de apresentar uma reclamação junto de uma autoridade de proteção de dados, nomeadamente através de ações coletivas, e o direito a vias de recurso judicial.

Os cidadãos estão cada vez mais conscientes dos seus direitos, como demonstram os resultados do Eurobarómetro de julho de 2019 73 e o inquérito realizado pela Agência dos Direitos Fundamentais 74 .

Os cidadãos estão a recorrer cada vez mais ao seu direito de apresentar reclamações junto das autoridades de proteção de dados, quer individualmente quer através de ações coletivas 75 . Apenas alguns Estados-Membros permitiram que organizações não governamentais lançassem ações sem um mandato, em consonância com a possibilidade prevista no RGPD. A proposta de Diretiva relativa a ações coletivas para proteger os interesses coletivos dos consumidores 76 deverá, uma vez adotada, reforçar o quadro para as ações coletivas também no domínio da proteção de dados.

As reações do grupo multilateral revelam que as organizações adotaram uma série de medidas para facilitar o exercício dos direitos dos titulares dos dados, nomeadamente a implementação de processos que asseguram uma análise individual dos pedidos e uma resposta do responsável pelo tratamento, a utilização de vários canais (correio, endereço de correio eletrónico específico, sítio Web, etc.), políticas e procedimentos internos atualizados sobre o tratamento interno atempado dos pedidos e formação do pessoal. Algumas empresas criaram portais digitais acessíveis através do sítio Web da empresa (ou da intranet da empresa para os funcionários) para facilitar o exercício dos direitos dos titulares dos dados.

No entanto, são necessários mais progressos no que se refere aos seguintes pontos:

·Nem todos os responsáveis pelo tratamento de dados cumprem a sua obrigação de facilitar o exercício dos direitos dos titulares dos dados 79 . É necessário que os responsáveis pelo tratamento assegurem que os titulares dos dados tenham um ponto de contacto efetivo a quem possam explicar os seus problemas. Este pode ser o encarregado da proteção de dados, cujos contactos devem ser fornecidos de forma pró-ativa ao titular dos dados 80 . As modalidades de contacto não podem limitar-se a endereços de correio eletrónico, tendo igualmente de permitir que o titular dos dados se dirija ao responsável pelo tratamento por outros meios.

·Os cidadãos continuam a enfrentar dificuldades ao solicitar o acesso aos seus dados, por exemplo, por parte de plataformas, mediadores de dados e empresas de publicidade através da tecnologia.

·O direito à portabilidade de dados não é exercido no seu pleno potencial. A Estratégia Europeia para os Dados (a seguir designada por «Estratégia para os Dados») 81 , adotada pela Comissão em 19 de fevereiro de 2020, salientou a necessidade de facilitar todas as utilizações possíveis deste direito (por exemplo, através da imposição de interfaces técnicas e de formatos legíveis por máquina que permitam a portabilidade dos dados (quase) em tempo real). Os operadores observam que, por vezes, é difícil fornecer os dados num formato estruturado, de uso corrente e de leitura automática (devido à ausência de normas). Apenas organizações em setores específicos, como o da banca, das telecomunicações, dos contadores de água e de calor, afirmam ter implementado as interfaces necessárias 82 . Foram desenvolvidas novas ferramentas tecnológicas para facilitar o exercício, pelos cidadãos, dos seus direitos ao abrigo do RGPD, não se limitando à portabilidade dos dados (por exemplo, espaços de dados pessoais e serviços de gestão de informações pessoais).

·Direitos das crianças: vários membros do grupo multilateral salientam a necessidade de fornecer informações às crianças e o facto de muitas organizações ignorarem que as crianças podem ser afetadas pelo tratamento dos seus dados. O Conselho sublinhou que poderia ser prestada especial atenção à proteção das crianças aquando da elaboração de códigos de conduta. As autoridades de proteção de dados 83 têm igualmente centrado a sua atenção na proteção das crianças.

·Direito à informação: algumas empresas têm uma abordagem muito legalista, encarando os avisos sobre a proteção de dados como um exercício jurídico, sendo as informações bastante complexas, difíceis de compreender ou incompletas, embora o RGPD exija que as informações fornecidas sejam concisas e que se utilize uma linguagem clara e simples 84 . Parece que algumas empresas não seguem as recomendações do Comité, por exemplo, no que diz respeito à enumeração dos nomes das entidades com quem partilham os dados.

·Vários Estados-Membros restringiram amplamente os direitos dos titulares dos dados através do direito nacional, e alguns mesmo para além das margens do artigo 23.º do RGPD.

·Por vezes, o exercício dos direitos dos cidadãos é dificultado pelas práticas de alguns dos principais operadores digitais que dificultam a escolha dos parâmetros que mais protegem a sua privacidade (em violação do requisito de proteção de dados desde a conceção e por defeito 85 ) 86 .

As orientações do Comité sobre os direitos dos titulares dos dados são ansiosamente aguardadas pelas partes interessadas.

5Oportunidades e desafios para as organizações, em especial as pequenas e médias empresas

Oportunidades para as organizações

O RGPD promove a concorrência e a inovação. Juntamente com o Regulamento Livre Fluxo de Dados Não Pessoais 87 , assegura o livre fluxo de dados na UE e cria condições de concorrência equitativas para as empresas estabelecidas fora da UE. Ao criar um quadro harmonizado para a proteção de dados pessoais, a RGPD assegura que todos os intervenientes no mercado interno estejam vinculados às mesmas regras e beneficiem das mesmas oportunidades, independentemente do seu local de estabelecimento e do local onde o tratamento tenha lugar. A neutralidade tecnológica do RGPD proporciona o quadro de proteção de dados para os novos desenvolvimentos tecnológicos. Os princípios da proteção de dados desde a conceção e por defeito incentivam soluções inovadoras, que incluem considerações em matéria de proteção de dados desde o início e podem reduzir os custos do cumprimento das regras de proteção de dados.

Além disso, a privacidade torna-se um parâmetro concorrencial importante tido cada vez mais em consideração pelos cidadãos quando escolhem os seus serviços. Aqueles que estão mais informados e que são sensíveis a considerações relacionadas com a proteção de dados procuram produtos e serviços que assegurem uma proteção eficaz dos dados pessoais. A aplicação do direito à portabilidade dos dados tem o potencial de reduzir os obstáculos à entrada de empresas que prestam serviços inovadores e que favorecem a proteção de dados. Os efeitos de uma utilização potencialmente mais abrangente deste direito no mercado em diferentes setores devem ser acompanhados. O cumprimento das regras de proteção de dados e a sua aplicação transparente criarão confiança na utilização dos dados pessoais dos cidadãos e, por conseguinte, novas oportunidades para as empresas.

Como toda a regulamentação, as regras de proteção de dados têm custos de conformidade inerentes para as empresas. No entanto, estes custos são compensados pelas oportunidades e vantagens de uma confiança reforçada na inovação digital e pelos benefícios sociais resultantes do respeito de um direito fundamental. Ao assegurar condições de concorrência equitativas e dotar as autoridades de proteção de dados do que necessitam para aplicar as regras de forma eficaz, o RGPD impede as empresas que não cumpram as regras de se aproveitarem da confiança criada por aquelas que cumprem as regras.

Desafios específicos para as pequenas e médias empresas (PME)

Existe uma perceção geral por parte das partes interessadas, mas também do Parlamento Europeu, do Conselho e das autoridades de proteção de dados, de que a aplicação do RGPD constitui um desafio especial para as micro, pequenas e médias empresas e para as organizações de pequena dimensão voluntárias e de caridade.

De acordo com a abordagem baseada nos riscos, não seria adequado prever derrogações com base na dimensão dos operadores, uma vez que a sua dimensão não é, por si só, uma indicação dos riscos que o tratamento de dados pessoais por si realizado pode criar para os cidadãos. A abordagem baseada nos riscos alia a flexibilidade à proteção eficaz. Tem em conta as necessidades das PME cuja atividade principal não é o tratamento de dados e calibra as suas obrigações, em particular com base na probabilidade e gravidade dos riscos relacionados com o tratamento específico por estas realizado 88 .

O tratamento em pequena escala e de baixo risco não deve ser tratado da mesma forma que o tratamento de alto risco e frequente – independentemente da dimensão da empresa que o realiza. Por conseguinte, tal como o Comité concluiu, em todo o caso, a abordagem baseada nos riscos promovida pelo legislador no texto deve ser mantida, uma vez que os riscos para os titulares dos dados não dependem da dimensão dos responsáveis pelo tratamento 89 . As autoridades de proteção de dados devem ter plenamente em consideração este princípio aquando da aplicação do RGPD, de preferência no âmbito de uma abordagem europeia comum, a fim de não criar obstáculos ao mercado único.

As autoridades de proteção de dados desenvolveram vários instrumentos e salientaram a sua intenção de os aperfeiçoar. Algumas autoridades lançaram campanhas de sensibilização e irão mesmo dar «aulas de RGPD», gratuitamente, destinadas às PME.

Várias das ações que apoiam especificamente as PME receberam financiamento da UE. A Comissão prestou apoio financeiro através de três vagas de subvenções, num total de 5 milhões de EUR, as duas mais recentes especificamente destinadas a apoiar as autoridades nacionais de proteção de dados nos seus esforços para chegar às pessoas e às PME. Consequentemente, em 2018, foram atribuídos 2 milhões de EUR a nove autoridades de proteção de dados para a realização de atividades em 2018-2019 (Bélgica, Bulgária, Dinamarca, Hungria, Lituânia, Letónia, Países Baixos, Eslovénia e Islândia) 91 e, em 2019, foi atribuído 1 milhão de EUR a quatro autoridades de proteção de dados para a realização de atividades em 2020 (Bélgica, Malta, Eslovénia e Croácia, em parceria com a Irlanda) 92 . Será atribuído 1 milhão de EUR adicional em 2020.

Apesar destas iniciativas, as PME e as empresas em fase de arranque referem frequentemente ter dificuldades na aplicação do princípio de responsabilização estabelecido no RGPD 93 . Afirmam, nomeadamente, que nem sempre recebem orientações e conselhos práticos suficientes das autoridades nacionais de proteção de dados, ou que o tempo necessário para obter orientações e aconselhamento é demasiado longo. Houve igualmente casos em que as autoridades se mostraram relutantes em abordar questões jurídicas. Quando confrontadas com tais situações, as PME recorrem frequentemente a advogados e consultores externos para lidar com a aplicação do princípio de responsabilização e da abordagem baseada nos riscos (incluindo requisitos de transparência, registos de tratamento e notificações de violações de dados). Tal pode igualmente criar custos adicionais para essas empresas.

Uma questão específica diz respeito ao registo das atividades de tratamento, uma tarefa que é considerada pelas PME e pelas associações de pequena dimensão como um encargo administrativo complexo. A isenção dessa obrigação prevista no artigo 30.º, n.º 5, do RGPD é, de facto, muito restrita. No entanto, os esforços conexos envidados para efeitos do cumprimento dessa obrigação não devem ser sobrestimados. Quando a atividade principal das PME não envolve o tratamento de dados pessoais, tais registos podem ser simples e não onerosos. O mesmo se aplica às associações voluntárias e a outras associações. Tais registos simplificados seriam facilitados por modelos de registos, como já é prática de algumas autoridades de proteção de dados. Em todo o caso, todos os que realizem atividades de tratamento de dados pessoais devem ter uma visão geral do respetivo tratamento de dados como requisito básico do princípio de responsabilização.

O desenvolvimento de instrumentos práticos a nível da UE pelo Comité, como formulários harmonizados para as violações de dados e registos simplificados das atividades de tratamento, pode ajudar as PME e as associações de pequena dimensão 94 cujas atividades principais não se centram no tratamento de dados pessoais a cumprir as suas obrigações.

Várias associações industriais têm envidado esforços para sensibilizar e informar os seus membros, por exemplo através de conferências e seminários, fornecendo às empresas informações sobre as orientações disponíveis, ou desenvolvendo um serviço de assistência no que se refere à privacidade para os seus membros. Tais associações referem igualmente a realização de um número crescente de seminários, reuniões e eventos organizados por grupos de reflexão e associações de PME sobre assuntos relacionados com o RGPD.

A fim de reforçar a livre circulação de todos os dados na UE e estabelecer uma aplicação coerente do RGPD e do Regulamento Livre Fluxo de Dados Não Pessoais, a Comissão emitiu igualmente orientações práticas sobre as regras que regem o tratamento de conjuntos mistos de dados, constituídos por dados pessoais e não pessoais, visando especialmente as PME 95 .

Caixa de ferramentas para empresas

O RGPD prevê instrumentos que ajudam a demonstrar o cumprimento, como códigos de conduta, procedimentos de certificação e cláusulas contratuais-tipo.

·Códigos de conduta

O Comité emitiu orientações 96 para apoiar e ajudar os «titulares de códigos» na elaboração, alteração ou alargamento de códigos, bem como para fornecer orientações práticas e assistência na interpretação. Estas orientações esclarecem igualmente os procedimentos para a apresentação, aprovação e publicação de códigos, tanto a nível nacional como da UE, estabelecendo os critérios mínimos exigidos.

As partes interessadas consideram os códigos de conduta instrumentos muito úteis. Embora muitos códigos sejam implementados a nível nacional, estão atualmente a ser elaborados vários códigos de conduta a nível da UE (por exemplo, sobre aplicações de saúde móvel, investigação no domínio da genómica, computação em nuvem, comercialização direta, seguros, tratamento por prevenção e serviços de aconselhamento para crianças) 97 . Os operadores acreditam que os códigos de conduta a nível da UE devem ser promovidos de forma mais proeminente, uma vez que promovem a aplicação coerente do RGPD em todos os Estados-Membros.

No entanto, os códigos de conduta exigem igualmente tempo e investimento dos operadores, tanto para o seu desenvolvimento como para a criação dos organismos independentes de supervisão necessários. Os representantes das PME sublinham a importância e a utilidade de códigos de conduta adaptados à sua situação e que não impliquem custos desproporcionados.

Consequentemente, as associações empresariais de vários setores implementaram outros tipos de instrumentos de autorregulação, como códigos de boas práticas ou orientações. Embora tais instrumentos possam fornecer informações úteis, não têm a aprovação das autoridades de proteção de dados e não podem servir como instrumentos para ajudar a demonstrar o cumprimento do RGPD.

O Conselho salienta que os códigos de conduta têm de prestar especial atenção ao tratamento dos dados das crianças e dos dados relativos à saúde. A Comissão apoia o(s) código(s) de conduta que harmonize(m) a abordagem em matéria de saúde e investigação e facilite(m) o tratamento transfronteiriço de dados pessoais 98 . O Comité está em vias de aprovar projetos de requisitos de acreditação de organismos de supervisão dos códigos de conduta apresentados por diversas autoridades de proteção de dados 99 . Quando os códigos de conduta transnacionais ou da UE estiverem prontos para ser apresentados às autoridades de proteção de dados para aprovação, serão submetidos à consulta do Comité. A rápida elaboração de códigos de conduta transnacionais é especialmente importante em domínios que envolvem o tratamento de quantidades significativas de dados (por exemplo, computação em nuvem) ou de dados sensíveis (por exemplo, saúde/investigação).

·Certificação

A certificação pode ser um instrumento útil para demonstrar o cumprimento dos requisitos específicos do RGPD. Pode aumentar a segurança jurídica para as empresas e promover o RGPD a nível mundial.

Tal como salientado no estudo sobre certificação publicado em abril de 2019 100 , o objetivo deve ser o de facilitar a adoção de regimes pertinentes. O desenvolvimento de regimes de certificação na UE será apoiado pelas orientações emitidas pelo Comité relativas a critérios de certificação 101 e à acreditação dos organismos de certificação 102 .

A segurança e a proteção de dados desde a conceção são elementos fundamentais a ter em consideração nos regimes de certificação ao abrigo do RGPD que beneficiariam de uma abordagem comum e ambiciosa em toda a UE. A Comissão continuará a apoiar os atuais contactos entre a Agência da União Europeia para a Cibersegurança (ENISA), as autoridades de proteção de dados e o Comité.

No que diz respeito à cibersegurança, na sequência da adoção do Regulamento Cibersegurança, a Comissão solicitou à ENISA que preparasse dois regimes de certificação, incluindo um regime para serviços de computação em nuvem 103 . Estão a ser ponderados outros regimes que abordam a cibersegurança de serviços e produtos para os consumidores. Embora estes regimes de certificação estabelecidos ao abrigo do Regulamento Cibersegurança não abordem explicitamente a proteção de dados e a privacidade, contribuem para aumentar a confiança dos consumidores em serviços e produtos digitais. Tais regimes podem fornecer elementos de prova da adesão aos princípios de segurança desde a conceção, bem como da aplicação de medidas técnicas e organizacionais adequadas relacionadas com a segurança do tratamento de dados pessoais.

·Cláusulas contratuais-tipo

A Comissão está a elaborar cláusulas contratuais-tipo entre responsáveis pelo tratamento e subcontratantes 104 , também à luz da modernização das cláusulas contratuais-tipo para as transferências internacionais (ver ponto 7.2). Um ato da União, adotado pela Comissão, terá efeitos vinculativos a nível da UE, o que assegurará uma harmonização plena e segurança jurídica.

6Aplicação do RGPD às novas tecnologias

Um quadro tecnologicamente neutro e aberto a novas tecnologias

O RGPD é neutro do ponto de vista tecnológico, gerador de confiança e baseia-se em princípios 105 . Estes princípios, nomeadamente o tratamento lícito e transparente, a limitação das finalidades e a minimização dos dados, proporcionam uma base sólida para a proteção de dados pessoais, independentemente das operações de tratamento e das técnicas aplicadas.

Os membros do grupo multilateral afirmam que, em geral, o RGPD tem um impacto positivo no desenvolvimento de novas tecnologias e proporciona uma boa base para a inovação. O RGPD é considerado um instrumento essencial e flexível para assegurar o desenvolvimento de novas tecnologias em conformidade com os direitos fundamentais. A aplicação dos seus princípios fundamentais é particularmente crucial para o tratamento intensivo de dados. A abordagem baseada nos riscos e tecnologicamente neutra do RGPD proporciona um nível de proteção de dados adequado para fazer face aos riscos do tratamento, nomeadamente por tecnologias emergentes.

Em particular, as partes interessadas mencionam que os princípios do RGPD de limitação das finalidades e de tratamento posterior compatível, minimização dos dados, limitação da conservação, transparência e responsabilização, bem como as condições em que os processos automatizados de tomada de decisões 106 podem ser legalmente implantados, respondem, em grande medida, às preocupações relacionadas com o recurso à inteligência artificial.

A abordagem orientada para o futuro e baseada nos riscos do RGPD será igualmente aplicada no eventual quadro futuro para a inteligência artificial e aquando da aplicação da Estratégia para os Dados. A Estratégia para os Dados visa promover a disponibilidade de dados e a criação de espaços comuns europeus de dados apoiados por serviços de infraestruturas federadas de computação em nuvem. No que diz respeito aos dados pessoais, o RGPD proporciona o principal quadro jurídico, no âmbito do qual podem ser concebidas soluções eficazes numa base casuística, dependendo da natureza e do conteúdo de cada espaço de dados.

O RGPD aumentou a sensibilização para a proteção de dados pessoais dentro e fora da UE e levou as empresas a adaptarem as suas práticas para ter em conta os princípios de proteção de dados ao inovar. No entanto, as organizações da sociedade civil observam que, embora o impacto do RGPD no desenvolvimento de novas tecnologias pareça positivo, as práticas dos principais operadores digitais ainda não sofreram alterações profundas no sentido de um tratamento mais respeitador da privacidade. Uma aplicação rigorosa e eficaz do RGPD em relação às grandes plataformas digitais e às empresas integradas, nomeadamente em domínios como a publicidade em linha e o microdirecionamento, é um elemento essencial para a proteção dos cidadãos.

A Comissão está a analisar as questões mais vastas relacionadas com os comportamentos de mercado dos grandes operadores digitais no contexto do pacote legislativo relativo aos serviços digitais 107 . No que se refere à investigação no domínio das redes sociais, a Comissão recorda que o RGPD não pode ser utilizado como desculpa pelas plataformas de redes sociais para limitar o acesso dos investigadores e dos verificadores de factos a dados não pessoais, como estatísticas sobre que anúncios direcionados foram enviados para que categorias de pessoas, os critérios de conceção deste direcionamento, informações sobre contas falsas, etc.

A abordagem tecnologicamente neutra e orientada para o futuro do RGPD foi posta à prova durante a pandemia de COVID-19 e revelou-se bem sucedida. As suas regras baseadas em princípios apoiaram o desenvolvimento de instrumentos para combater e acompanhar a propagação do vírus.

Desafios a enfrentar

O desenvolvimento e a aplicação de novas tecnologias não põem em causa estes princípios. Os desafios consistem em esclarecer a forma de aplicar os princípios comprovados à utilização de tecnologias específicas, como a inteligência artificial, a cadeia de blocos, a Internet das Coisas, o reconhecimento facial ou a computação quântica.

Neste contexto, o Parlamento Europeu e o Conselho salientaram a necessidade de um acompanhamento contínuo para esclarecer a forma como o RGPD se aplica às novas tecnologias e às grandes empresas de tecnologia. Além disso, as partes interessadas alertam para o facto de a avaliação da adequação do RGPD à sua finalidade exigir igualmente um acompanhamento constante.

As partes interessadas da indústria salientam que a inovação exige que o RGPD seja aplicado com base em princípios, em consonância com a sua conceção, e não de forma rígida e formal. As referidas partes interessadas são da opinião de que as orientações do Comité sobre a forma de aplicar os princípios, conceitos e regras do RGPD às novas tecnologias, como a inteligência artificial, a cadeia de blocos ou a Internet das coisas, tendo em conta a abordagem baseada nos riscos, contribuiriam para fornecer esclarecimentos e maior segurança jurídica. Esses instrumentos não vinculativos adequam-se perfeitamente ao acompanhamento da aplicação do RGPD às novas tecnologias, uma vez que proporcionam maior segurança jurídica e podem ser revistos em consonância com a evolução tecnológica. Algumas partes interessadas sugerem igualmente que poderia ser útil dispor de orientações setoriais sobre a forma de aplicar o RGPD às novas tecnologias.

O Comité declarou que irá continuar a ter em consideração o impacto das tecnologias emergentes na proteção de dados pessoais.

As partes interessadas sublinham igualmente a importância, para os reguladores, de compreender integralmente a forma como a tecnologia está a ser utilizada e de encetar um diálogo com a indústria sobre o desenvolvimento de tecnologias emergentes. Consideram que uma abordagem de «ambiente de teste de regulamentação» – como forma de obter orientações sobre a aplicação das regras – poderia ser uma opção interessante para testar novas tecnologias e ajudar as empresas a aplicar o princípio da proteção de dados desde a conceção e por defeito às novas tecnologias.

Em termos de medidas estratégicas adicionais, as partes interessadas recomendam que quaisquer propostas políticas futuras em matéria de inteligência artificial se baseiem nos quadros jurídicos existentes e estejam alinhadas com o RGPD. Eventuais questões específicas devem ser cuidadosamente avaliadas, com base em elementos de prova pertinentes, antes de serem propostas novas regras prescritivas.

O Livro Branco da Comissão sobre a inteligência artificial apresenta uma série de opções estratégicas sobre as quais se procurou obter os pontos de vista das partes interessadas até 14 de junho de 2020. No que respeita ao reconhecimento facial, uma tecnologia que pode ter um impacto significativo nos direitos dos cidadãos, o Livro Branco recordou o atual quadro legislativo e lançou um debate público sobre as circunstâncias específicas, se as houver, que poderão justificar a utilização de inteligência artificial para efeitos de reconhecimento facial e para outros fins de identificação biométrica à distância em locais públicos, e sobre garantias comuns.

7Transferências internacionais e cooperação global

7.1Privacidade: uma questão global

A exigência a nível de proteção dos dados pessoais não conhece fronteiras, uma vez que os cidadãos de todo o mundo prezam e valorizam cada vez mais a privacidade e a segurança dos seus dados.

Simultaneamente, a importância dos fluxos de dados para os cidadãos, os governos, as empresas e, de um modo mais geral, a sociedade em geral é um facto incontornável no nosso mundo interligado. Tais fluxos constituem uma parte integrante do comércio, da cooperação entre as autoridades públicas e das interações sociais. Nesse sentido, a atual pandemia de COVID-19 salienta igualmente a forma como a transferência e o intercâmbio de dados pessoais são críticos para muitas atividades essenciais, nomeadamente para assegurar a continuidade das operações empresariais e governamentais – ao possibilitar o teletrabalho e outras soluções que dependem fortemente das tecnologias da informação e comunicação –, desenvolver a cooperação no domínio da investigação científica em matéria de diagnósticos, tratamentos e vacinas e combater novas formas de cibercriminalidade, como esquemas fraudulentos em linha que oferecem medicamentos contrafeitos que alegam prevenir ou curar a COVID-19.

Neste contexto, e mais do que nunca, a proteção da privacidade e a facilitação dos fluxos de dados têm de andar lado a lado. A UE, com o seu regime de proteção de dados que combina a abertura às transferências internacionais com um elevado nível de proteção dos cidadãos, está muito bem posicionada para promover fluxos de dados seguros e fiáveis. O RGPD já surgiu como um ponto de referência a nível internacional e funcionou como catalisador para que muitos países em todo o mundo ponderassem a introdução de regras modernas em matéria de proteção da privacidade.

Esta é uma tendência verdadeiramente global, para mencionar apenas alguns exemplos, do Chile à Coreia do Sul, do Brasil ao Japão, do Quénia à Índia, da Tunísia à Indonésia, e da Califórnia a Taiwan. Estes desenvolvimentos são notáveis não só de um ponto de vista quantitativo, mas também qualitativo: muita da legislação em matéria de privacidade recentemente adotada, ou em vias de adoção, baseia-se num conjunto essencial de garantias, direitos e mecanismos de aplicação comuns que são partilhados pela UE. Num mundo caracterizado, demasiadas vezes, por abordagens regulamentares diferentes, se não mesmo divergentes, esta tendência para a convergência global é uma evolução muito positiva que proporciona novas oportunidades para aumentar a proteção dos cidadãos na Europa, facilitando simultaneamente os fluxos de dados e reduzindo os custos de transação para os operadores comerciais.

7.2Conjunto de instrumentos de transferência previsto no RGPD 

À medida que cada vez mais operadores públicos e privados dependem de fluxos de dados internacionais como parte das suas operações de rotina, há uma necessidade crescente de instrumentos flexíveis que possam ser adaptados a diferentes setores, modelos de negócio e situações de transferência. Refletindo estas necessidades, o RGPD proporciona um conjunto de instrumentos atualizados que facilita a transferência de dados pessoais da UE para países terceiros ou organizações internacionais, assegurando simultaneamente que os dados continuam a beneficiar de um elevado nível de proteção. Esta continuidade da proteção é importante, uma vez que, no mundo atual, os dados atravessam facilmente fronteiras e as proteções garantidas pelo RGPD estariam incompletas se se limitassem ao tratamento dentro da UE.

Com o capítulo V do RGPD, o legislador confirmou a arquitetura das regras de transferência que já existiam ao abrigo da Diretiva 95/46/CE: Podem ser realizadas transferências de dados quando a Comissão tiver adotado uma decisão de adequação em relação a um país terceiro ou organização internacional ou, na sua ausência, quando o responsável pelo tratamento ou o subcontratante na UE («exportador de dados») tiver fornecido garantias adequadas, por exemplo, através de um contrato com o destinatário («importador de dados»). Além disso, continuam disponíveis fundamentos legais para as transferências (as denominadas derrogações) em situações específicas para as quais o legislador tenha decidido que o equilíbrio de interesses permite uma transferência de dados sob determinadas condições. Simultaneamente, a reforma clarificou e simplificou as regras existentes, por exemplo, estipulando pormenorizadamente as condições para uma decisão de adequação ou regras empresariais vinculativas, limitando os requisitos de autorização a muito poucos casos específicos e abolindo completamente os requisitos de notificação. Além disso, foram introduzidos novos instrumentos de transferência, como códigos de conduta ou regimes de certificação, tendo as possibilidades de utilização dos instrumentos existentes (por exemplo, cláusulas contratuais-tipo) sido alargadas.

A economia digital atual permite aos operadores estrangeiros participar (remota mas) diretamente no mercado interno da UE e competir pelos clientes europeus e pelos seus dados pessoais. Quando visam especificamente os europeus através da oferta de bens ou serviços, ou da monitorização do seu comportamento, devem cumprir a legislação da UE da mesma forma que os operadores da UE. Tal reflete-se no artigo 3.º do RGPD, que alarga a aplicabilidade direta das regras de proteção de dados da UE a determinadas operações de tratamento de dados efetuadas por responsáveis pelo tratamento e por subcontratantes fora da UE. Tal assegura as garantias necessárias e, além disso, condições de concorrência equitativas para todas as empresas que operam no mercado da UE.

O seu amplo alcance é uma das razões pelas quais os efeitos do RGPD também se fizeram sentir noutras partes do mundo. Por conseguinte, as orientações pormenorizadas emitidas pelo Comité sobre o âmbito territorial do RGPD, na sequência de uma consulta pública abrangente, são importantes para ajudar os operadores estrangeiros a determinar se as atividades de tratamento estão diretamente sujeitas às suas garantias e, em caso afirmativo, quais delas, nomeadamente através da apresentação de exemplos concretos 109 .

No entanto, o alargamento do âmbito de aplicação da legislação da UE em matéria de proteção de dados não é, por si só, suficiente para garantir o seu respeito na prática. Tal como sublinhado igualmente pelo Conselho 110 , é crucial garantir o cumprimento e a aplicação efetiva face a operadores estrangeiros. A nomeação de um representante na UE (artigo 27.º, n.os 1 e 2, do RGPD), que pode ser contactado por cidadãos e autoridades de controlo em complemento ou em substituição da empresa responsável que exerce a sua atividade a partir do estrangeiro 111 , deve desempenhar um papel fundamental neste contexto. Esta abordagem, que também é cada vez mais adotada noutros contextos 112 , deve ser prosseguida com maior determinação para enviar uma mensagem clara de que a falta de um estabelecimento na UE não exime os operadores estrangeiros das suas responsabilidades ao abrigo do RGPD. Se estes operadores não cumprirem a sua obrigação de nomear um representante 113 , as autoridades de controlo devem recorrer ao conjunto de instrumentos para efeitos da plena aplicação do artigo 58.º do RGPD (por exemplo, advertências públicas, proibições temporárias ou definitivas ao tratamento na UE, aplicação face a responsáveis conjuntos pelo tratamento estabelecidos na UE).

Por último, é muito importante que o Comité conclua o seu trabalho no sentido de esclarecer melhor a relação entre o artigo 3.º sobre a aplicação direta do RGPD e as regras sobre transferências internacionais constantes do capítulo V 114 .

Decisões de adequação

Os contributos recebidos das partes interessadas confirmam que as decisões de adequação continuam a ser um instrumento essencial para que os operadores da UE transfiram em segurança dados pessoais para países terceiros 115 . Tais decisões proporcionam a solução mais abrangente, simples e eficaz em termos de custos para as transferências de dados, uma vez que são equiparadas a transmissões no seio da UE, assegurando assim um fluxo seguro e livre de dados pessoais sem condições adicionais ou necessidade de autorização. Por conseguinte, as decisões de adequação abrem os canais comerciais aos operadores da UE e facilitam a cooperação entre as autoridades públicas, concedendo simultaneamente um acesso privilegiado ao mercado único da UE. O RGPD, apoiando-se na experiência adquirida com a Diretiva de 1995, prevê explicitamente a avaliação da adequação da proteção num território específico de um país terceiro ou num setor ou indústria específicos de um país terceiro (a denominada adequação «parcial»).

O RGPD apoia-se na experiência dos últimos anos e nos esclarecimentos prestados pelo Tribunal de Justiça, estabelecendo um catálogo pormenorizado de elementos que a Comissão deve ter em conta na sua avaliação. O padrão de adequação exige um nível de proteção comparável (ou «substancialmente equivalente») ao assegurado dentro da UE 116 . Tal implica uma avaliação exaustiva do sistema do país terceiro no seu conjunto, incluindo a substância da proteção da privacidade, a sua aplicação e cumprimento efetivos, bem como as normas de acesso aos dados pessoais por parte das autoridades públicas, em especial para efeitos de aplicação coerciva da lei e de segurança nacional 117 .

Tal também se reflete nas orientações adotadas pelo antigo Grupo do Artigo 29.º (e aprovadas pelo Comité), em particular no denominado «documento de referência relativo à adequação», que esclarece melhor os elementos que a Comissão deve ter em conta ao proceder a uma avaliação da adequação, nomeadamente fornecendo uma visão geral das «garantias essenciais» no que se refere ao acesso aos dados pessoais por parte das autoridades públicas 118 . Esta última baseia-se, em especial, na jurisprudência do Tribunal Europeu dos Direitos Humanos. Embora o padrão de «equivalência substancial» não envolva uma reprodução ponto a ponto («fotocópia») das normas da UE, dado que os meios para assegurar um nível de proteção comparável podem variar entre diferentes sistemas de proteção da privacidade, refletindo frequentemente diferentes tradições jurídicas, o mesmo exige, todavia, um elevado nível de proteção.

Este padrão é justificado pelo facto de uma decisão de adequação alargar essencialmente a um país terceiro os benefícios do mercado único em termos de livre circulação de dados. No entanto, significa igualmente que, por vezes, haverá diferenças pertinentes entre o nível de proteção garantido no país terceiro em causa em comparação com o RGPD que é necessário reduzir, por exemplo, através da negociação de garantias adicionais. Tais garantias devem ser encaradas de forma positiva, uma vez que reforçam ainda mais as proteções disponíveis para os cidadãos na UE. Simultaneamente, a Comissão concorda com o Comité quanto à importância de acompanhar continuamente a sua aplicação na prática, incluindo a aplicação efetiva pela autoridade de proteção de dados do país terceiro 119 .

O RGPD esclarece que as decisões de adequação são «instrumentos vivos» que devem ser acompanhados de forma contínua e revistos periodicamente 120 . Em consonância com estes requisitos, a Comissão mantém intercâmbios regulares com as autoridades competentes para acompanhar de forma proativa os novos desenvolvimentos. Por exemplo, desde a adoção da decisão relativa ao Escudo de Proteção da Privacidade UE-EUA, em 2016 121 , a Comissão, juntamente com representantes do Comité, realizou três revisões anuais para avaliar todos os aspetos do funcionamento do quadro 122 . Estas revisões basearam-se em informações obtidas através de intercâmbios com as autoridades dos EUA, bem como em contributos de outras partes interessadas, como autoridades de proteção de dados da UE, a sociedade civil e associações comerciais. Permitiram melhorar o funcionamento prático de vários elementos do quadro. Numa perspetiva mais ampla, as revisões anuais contribuíram para estabelecer um diálogo mais alargado com a administração dos EUA sobre a privacidade em geral e as limitações e garantias no que diz respeito à segurança nacional em particular.

No âmbito da sua primeira avaliação do RGPD, a Comissão deve também rever as decisões de adequação adotadas ao abrigo da Diretiva de 1995 123 . Os serviços da Comissão encetaram um intenso diálogo com cada um dos 11 países e territórios em causa, a fim de avaliar a forma como os seus sistemas de proteção de dados pessoais evoluíram desde a adoção da decisão de adequação e se cumprem a norma estabelecida pelo RGPD. A necessidade de assegurar a continuidade de tais decisões, uma vez que são um instrumento fundamental para o comércio e a cooperação internacional, é um dos fatores que levaram vários desses países e territórios a modernizar e a reforçar a sua legislação em matéria de privacidade. Estes desenvolvimentos são certamente bem-vindos. Estão a ser debatidas garantias adicionais com alguns destes países e territórios para colmatar as diferenças pertinentes em matéria de proteção.

No entanto, dado que o Tribunal de Justiça, num acórdão a proferir em 16 de julho, pode prestar esclarecimentos que possam ser relevantes para determinados elementos do padrão de adequação, a Comissão apresentará um relatório separado sobre a avaliação das 11 decisões de adequação referidas depois de o Tribunal de Justiça ter proferido o seu acórdão nesse processo 124 .

A Comissão concorda plenamente com o apelo das partes interessadas no sentido de intensificar o diálogo com países terceiros selecionados, tendo em vista eventuais novas decisões de adequação 127 . Está a explorar ativamente esta possibilidade com outros parceiros importantes da Ásia, da América Latina e da Vizinhança Europeia, com base na atual tendência para a convergência global ascendente das normas de proteção de dados. Por exemplo, legislação abrangente em matéria de privacidade foi adotada ou encontra-se numa fase avançada do processo legislativo na América Latina (Brasil, Chile), e estão a ocorrer desenvolvimentos promissores na Ásia (por exemplo, na Índia, na Indonésia, na Malásia, no Sri Lanka, e em Taiwan e na Tailândia), em África (por exemplo, na Etiópia e no Quénia), bem como nos países vizinhos do Leste e do Sul da Europa (por exemplo, na Geórgia e na Tunísia). Sempre que possível, a Comissão trabalhará no sentido de alcançar decisões de adequação abrangentes que abranjam tanto o setor privado como o público 128 .

Além disso, o RGPD introduziu também a possibilidade de a Comissão adotar conclusões de adequação em relação a organizações internacionais. Numa altura em que algumas organizações internacionais estão a modernizar os seus regimes de proteção de dados através da adoção de regras abrangentes, bem como de mecanismos que proporcionam um recurso e controlo independentes, esta via poderia ser explorada pela primeira vez.

Por último, a Comissão congratula-se com o facto de outros países estarem a criar mecanismos de transferência de dados semelhantes a uma decisão de adequação. Ao fazê-lo, reconhecem frequentemente a UE e os países em relação aos quais a Comissão adotou uma decisão de adequação como destinos seguros para transferências 131 . O número crescente de países que beneficiam das decisões de adequação da UE, por um lado, e esta forma de reconhecimento por outros países, por outro, têm o potencial de criar uma rede de países onde os dados podem circular livremente e em segurança. A Comissão considera que se trata de um desenvolvimento bem-vindo que aumentará ainda mais os benefícios de uma decisão de adequação para países terceiros e contribuirá para a convergência global. Este tipo de sinergias pode igualmente contribuir de forma útil para o desenvolvimento de quadros para o fluxo de dados seguro e livre, nomeadamente no contexto da iniciativa «Fluxo de dados livre baseado na confiança» (ver abaixo).

Garantias adequadas

O RGPD prevê uma série de outros instrumentos de transferência para além da solução abrangente de uma decisão de adequação. A flexibilidade deste «conjunto de instrumentos» é demonstrada pelo artigo 46.º do RGPD, que regula as transferências de dados com base em «garantias adequadas», incluindo direitos oponíveis dos titulares dos dados e medidas jurídicas corretivas eficazes. Para garantir garantias adequadas, estão disponíveis diferentes instrumentos para satisfazer as necessidades de transferência tanto de operadores comerciais como de organismos públicos.

·Cláusulas contratuais-tipo (CCT)

O primeiro grupo destes instrumentos diz respeito aos instrumentos contratuais, que podem ser cláusulas de proteção de dados ad hoc personalizadas, acordadas entre um exportador de dados da UE e um importador de dados fora da UE autorizado pela autoridade competente em matéria de proteção de dados (artigo 46.º, n.º 3, alínea a), do RGPD) ou cláusulas-modelo pré-aprovadas pela Comissão (artigo 46.º, n.º 2, alíneas c) e d), do RGPD 132 ). Os mais importantes destes instrumentos são as denominadas cláusulas contratuais-tipo (CCT), isto é, cláusulas-modelo de proteção de dados que o exportador de dados e o importador de dados podem incorporar voluntariamente nos seus acordos contratuais (por exemplo, um contrato de serviços que exija a transferência de dados pessoais) e que estabelecem os requisitos relacionados com as garantias adequadas.

As CCT representam, de longe, o mecanismo de transferência de dados mais amplamente utilizado 133 . Milhares de empresas da UE dependem das CCT para prestar uma vasta gama de serviços aos seus clientes, fornecedores, parceiros e empregados, incluindo serviços essenciais para o funcionamento da economia. A sua ampla utilização indica que são muito úteis para as empresas nos seus esforços de cumprimento, sendo especialmente vantajosas para as empresas que não dispõem de recursos para negociar contratos individuais com cada um dos seus parceiros comerciais. Através da sua normalização e pré-aprovação, as CCT proporcionam às empresas um instrumento fácil de implementar para cumprir os requisitos de proteção de dados num contexto de transferência.

Os conjuntos de CCT 134 existentes foram adotados e aprovados com base na Diretiva de 1995. Estas CCT permanecem em vigor até serem alteradas, substituídas ou revogadas, caso seja necessário, por uma decisão da Comissão (artigo 46.º, n.º 5, do RGPD). O RGPD alarga as possibilidades de utilizar CCT tanto dentro da UE como para transferências internacionais. A Comissão está a trabalhar em conjunto com as partes interessadas para aproveitar estas possibilidades e atualizar as cláusulas existentes 135 . A fim de assegurar que a futura conceção das CCT seja adequada à sua finalidade, a Comissão tem vindo a recolher reações sobre as experiências das partes interessadas com as CCT, através do grupo multilateral sobre o RGPD e de um ateliê específico realizado em setembro de 2019, mas também através de múltiplos contactos com empresas que utilizam as CCT, bem como com organizações da sociedade civil. O Comité está igualmente a atualizar uma série de orientações que podem ser pertinentes para a revisão das CCT, por exemplo, sobre os conceitos de responsável pelo tratamento e subcontratante.

Ao abordar estes pontos, a Comissão está igualmente a ponderar formas de tornar a atual «arquitetura» das CCT mais prática, por exemplo, substituindo múltiplos conjuntos de CCT por um único documento abrangente. O desafio consiste em encontrar um bom equilíbrio entre a necessidade de clareza e um certo grau de normalização, por um lado, e a flexibilidade necessária que permitirá que as cláusulas sejam utilizadas por vários operadores com diferentes requisitos, em diferentes contextos e para diferentes tipos de transferências, por outro lado.

Outro aspeto importante a considerar é a eventual necessidade, à luz dos atuais litígios perante o Tribunal de Justiça 137 , de esclarecer melhor as garantias no que diz respeito ao acesso por parte de autoridades públicas estrangeiras aos dados transferidos com base em CCT, em particular para fins de segurança nacional. Tal pode incluir exigir ao importador de dados ou ao exportador de dados, ou a ambos, que tomem medidas e clarifiquem o papel das autoridades de proteção de dados nesse contexto. Embora a revisão das CCT se encontre numa fase bastante avançada, será necessário aguardar o acórdão do Tribunal para refletir qualquer eventual requisito adicional nas cláusulas revistas antes que um projeto de decisão sobre um novo conjunto de CCT possa ser submetido à apreciação do Comité e, posteriormente, proposto para adoção através do «procedimento de comité» 138 .

Paralelamente, a Comissão está em contacto com parceiros internacionais que estão a desenvolver instrumentos semelhantes 139 . Este diálogo, permitindo um intercâmbio de experiências e de boas práticas, poderia contribuir significativamente para o aprofundamento da convergência «no terreno» e, deste modo, facilitar o cumprimento das regras de transferência transfronteiriça pelas empresas que exercem a sua atividade em diferentes regiões do mundo.

·Regras vinculativas aplicáveis às empresas

Outro instrumento importante são as denominadas regras vinculativas aplicáveis às empresas. Trata-se de acordos e políticas juridicamente vinculativas que se aplicam aos membros de um grupo empresarial, incluindo os seus funcionários (artigo 46.º, n.º 2, alínea b), e artigo 47.º, do RGPD). O recurso a regras vinculativas aplicáveis às empresas permite que os dados pessoais circulem livremente entre os vários membros do grupo em todo o mundo – dispensando a necessidade de se dispor de acordos contratuais entre todas e cada uma das entidades empresariais – assegurando, simultaneamente, que se cumpre o mesmo nível elevado de proteção dos dados pessoais em todo o grupo. Proporcionam uma solução particularmente boa para grupos empresariais complexos e de grande dimensão e para uma estreita cooperação entre as empresas que realizam intercâmbios de dados entre múltiplas jurisdições. Ao contrário do que se prevê na Diretiva de 1995, ao abrigo do RGPD as regras vinculativas aplicáveis às empresas podem ser utilizadas por um grupo de empresas envolvidas numa atividade económica conjunta mas que não façam parte do mesmo grupo empresarial.

Do ponto de vista processual, as regras vinculativas aplicáveis às empresas têm de ser aprovados pelas autoridades de proteção de dados competentes, com base num parecer não vinculativo do Comité 140 . Para orientar este processo, o Comité procedeu à revisão dos «documentos de referência» das regras vinculativas aplicáveis às empresas (estabelecendo normas substantivas) para responsáveis pelo tratamento 141 e subcontratantes 142 à luz do RGPD, e continua a atualizar estes documentos com base na experiência prática adquirida pelas autoridades de controlo. Adotou igualmente vários documentos de orientação para ajudar os requerentes e simplificar o processo de requerimento e de aprovação no que se refere às regras vinculativas aplicáveis às empresas 143 . De acordo com o Comité, mais de 40 regras vinculativas aplicáveis às empresas encontram-se atualmente em fase de aprovação, e metade das quais deverão ser aprovadas até ao final de 2020 144 . É importante que as autoridades de proteção de dados continuem a trabalhar no sentido de uma simplificação do processo de aprovação, uma vez que a duração de tais procedimentos é frequentemente mencionada pelas partes interessadas como sendo um obstáculo prático a uma utilização mais alargada das regras vinculativas aplicáveis às empresas.

Por último, no que se refere especificamente às regras vinculativas aplicáveis às empresas aprovadas pela autoridade de proteção de dados do Reino Unido – «Information Commissioner Office» –, as empresas poderão continuar a utilizá-las como um mecanismo de transferência válido ao abrigo do RGPD após o final do período de transição nos termos do Acordo de Saída UE-Reino Unido, mas apenas se as mesmas forem alteradas de modo que qualquer ligação à ordem jurídica do Reino Unido seja substituída por referências adequadas a entidades empresariais e autoridades competentes na UE. A aprovação de quaisquer novas regras vinculativas aplicáveis às empresas deve ser solicitada a uma das autoridades de controlo na UE.

·Procedimentos de certificação e códigos de conduta

Para além de modernizar e alargar a aplicação dos instrumentos de transferência já existentes, o RGPD introduziu igualmente novos instrumentos, alargando assim as possibilidades de transferências internacionais. Tal inclui a utilização, em determinadas condições, de códigos de conduta ou procedimentos de certificação aprovados (tais como selos ou marcas de proteção da privacidade) para assegurar «garantias adequadas». Trata-se de instrumentos ascendentes que permitem soluções personalizadas – enquanto mecanismo geral de responsabilização (ver artigos 40.º a 42.º do RGPD) e, especificamente, para as transferências internacionais de dados – refletindo, por exemplo, as características e necessidades específicas de um determinado setor ou indústria, ou de fluxos de dados específicos. Ao alinhar as obrigações com os riscos, os códigos de conduta também podem ser uma forma muito útil e rentável de permitir às pequenas e médias empresas cumprirem as obrigações que lhes incumbem por força do RGPD.

No que diz respeito aos procedimentos de certificação, embora o Comité tenha adotado orientações para promover a sua utilização na UE, o seu trabalho de desenvolvimento de critérios para aprovar procedimentos de certificação enquanto instrumentos de transferência internacional ainda está em curso. O mesmo se aplica aos códigos de conduta, relativamente aos quais o Comité está atualmente a elaborar orientações para a sua utilização enquanto instrumentos para as transferências.

Dada a importância de fornecer aos operadores um vasto leque de instrumentos de transferência adaptados às suas necessidades e, em particular, o potencial dos procedimentos de certificação para facilitar as transferências de dados, assegurando simultaneamente um elevado nível de proteção de dados, a Comissão insta o Comité a concluir o mais rapidamente possível as suas orientações a este respeito. Tal diz respeito tanto aos aspetos (critérios) substantivos como processuais (aprovação, acompanhamento, etc.). As partes interessadas manifestaram um grande interesse nestes mecanismos de transferência e devem poder utilizar plenamente o conjunto de instrumentos previsto no RGPD. As orientações do Comité contribuiriam igualmente para promover o modelo de proteção de dados da UE a nível mundial e para fomentar a convergência, uma vez que outros sistemas de privacidade estão a utilizar instrumentos semelhantes.

É possível extrair ensinamentos valiosos dos esforços de normalização envidados no domínio da privacidade, tanto a nível europeu como internacional. Um exemplo interessante é a norma internacional ISO 27701 145 , recentemente lançada, que visa ajudar as empresas a cumprir os requisitos em matéria de privacidade e a gerir os riscos associados ao tratamento de dados pessoais através de «sistemas de gestão de informações de privacidade». Embora a certificação segundo a norma enquanto tal não cumpra os requisitos previstos nos artigos 42.º e 43.º do RGPD, a aplicação de sistemas de gestão de informações de privacidade pode contribuir para a responsabilização, nomeadamente no contexto de transferências internacionais de dados.

·Acordos internacionais e acordos administrativos

O RGPD permite igualmente assegurar garantias adequadas em relação às transferências de dados entre autoridades ou organismos públicos com base em acordos internacionais (artigo 46.º, n.º 2, alínea a)) ou acordos administrativos (artigo 46.º, n.º 3, alínea b)). Embora ambos os instrumentos tenham de garantir o mesmo resultado em termos de garantias, incluindo direitos oponíveis dos titulares dos dados e medidas jurídicas corretivas eficazes, diferem quanto à sua natureza jurídica e procedimento de adoção.

Ao contrário dos acordos internacionais, que criam obrigações vinculativas ao abrigo do direito internacional, os acordos administrativos (por exemplo, sob a forma de um Memorando de Entendimento) são normalmente não vinculativos e, por conseguinte, exigem uma autorização prévia da autoridade competente em matéria de proteção de dados (ver também o considerando 108 do RGPD). Um dos primeiros exemplos diz respeito ao acordo administrativo para a transferência de dados pessoais entre supervisores financeiros de países membros do EEE e de países não membros do EEE que cooperam sob a égide da Organização Internacional das Comissões de Valores Mobiliários (OICV), sobre o qual o Comité emitiu o seu parecer 146 no início de 2019. Desde então, o Comité aprofundou a sua interpretação das «garantias mínimas» que os acordos internacionais (de cooperação) e os acordos administrativos celebrados entre autoridades ou organismos públicos (incluindo organizações internacionais) devem assegurar para cumprir os requisitos previstos no artigo 46.º do RGPD. Em 18 de janeiro de 2020, o Comité adotou um projeto de orientações 147 , dando assim resposta ao pedido dos Estados-Membros no sentido de obter esclarecimento e orientações adicionais sobre o que se pode considerar garantias adequadas para as transferências entre autoridades públicas 148 . O Comité recomenda vivamente que as autoridades públicas utilizem estas orientações como referência para as suas negociações com terceiros 149 .

As orientações demonstram a flexibilidade na conceção de tais instrumentos, nomeadamente no que se refere a aspetos importantes, como o controlo 150 e as vias de recurso 151 . Tal deverá permitir às autoridades públicas ultrapassar as dificuldades quando se trata, por exemplo, de assegurar direitos oponíveis dos titulares dos dados através de acordos não vinculativos. Um elemento importante de tais acordos é o seu acompanhamento contínuo pela autoridade competente em matéria de proteção de dados – apoiado por requisitos em matéria de informação e de conservação de registos – e a suspensão dos fluxos de dados, caso já não possam ser asseguradas, na prática, garantias adequadas.

Derrogações

Por último, o RGPD esclarece a utilização das denominadas «derrogações». Trata-se de razões específicas para as transferências de dados (por exemplo, consentimento explícito 152 , execução de um contrato ou razões importantes de interesse público) reconhecidas por lei e que as entidades podem invocar na ausência de outros instrumentos de transferência e em determinadas condições.

Para esclarecer o recurso a tais fundamentos legais, o Comité emitiu orientações específicas 153 e interpretou o artigo 49.º em vários casos mo que diz respeito a cenários de transferência específicos 154 . Devido ao seu caráter excecional, o Comité considera que as derrogações têm de ser interpretadas de forma restritiva, numa base casuística. Apesar da sua interpretação estrita, estes fundamentos abrangem um vasto leque de cenários de transferência. Entre estes incluem-se, em particular, as transferências de dados, tanto por autoridades públicas como por entidades privadas, necessárias por «razões importantes de interesse público», por exemplo, entre autoridades de concorrência, financeiras, fiscais ou aduaneiras, serviços competentes em matéria de segurança social ou de saúde pública (nomeadamente em caso de localização de contactos no que respeita a doenças contagiosas ou para eliminar a dopagem no desporto) 155 . Outro domínio é o da cooperação transfronteiriça para fins de aplicação da lei penal, em particular no que diz respeito à criminalidade grave 156 .

O Comité esclareceu que, embora o interesse público pertinente tenha de ser reconhecido no direito da UE ou dos Estados-Membros, este pode igualmente ser estabelecido com base num acordo ou convenção internacional que reconheça um determinado objetivo e preveja a cooperação internacional para promover esse objetivo, o que pode ser um indicador ao avaliar a existência de um interesse público nos termos do artigo 49.º, n.º 1, alínea d), desde que a UE ou os Estados-Membros sejam parte nesse acordo ou convenção 157 .

Decisões de tribunais ou autoridades estrangeiras: não constituem motivos para transferências

Para além de apresentar, de forma positiva, os motivos para as transferências de dados, o capítulo V do RGPD esclarece igualmente, no seu artigo 48.º, que as ordens de tribunais e as decisões de autoridades administrativas fora da UE não constituem, por si só, motivos para tal, a menos que sejam reconhecidas ou dotadas de força executória com base num acordo internacional (por exemplo, um acordo de assistência judiciária mútua). Qualquer divulgação pela entidade requerida na UE ao tribunal ou autoridade estrangeira em resposta a tal ordem ou decisão constitui uma transferência internacional de dados que tem de se basear num dos instrumentos de transferência mencionados 158 .

O RGPD não constitui uma «legislação de bloqueio» e permitirá, em determinadas condições, uma transferência em resposta a um pedido adequado de aplicação da lei de um país terceiro. O importante é que é o direito da UE que deve determinar se é esse o caso e com base em que garantias se podem realizar tais transferências.

Assegurar a cortesia é importante, dado que a aplicação da lei – contra a criminalidade e, em particular, a cibercriminalidade – é cada vez mais transfronteiriça, levantando frequentemente, por conseguinte, questões jurisdicionais e criando potenciais conflitos de leis 164 . Não é de surpreender que a melhor forma de abordar estas questões seja através de acordos internacionais que prevejam as limitações e garantias necessárias para o acesso transfronteiriço a dados pessoais, nomeadamente assegurando um elevado nível de proteção de dados por parte da autoridade requerente.

A Comissão, em nome da UE, está atualmente a participar em negociações multilaterais tendo em vista um Segundo Protocolo Adicional à Convenção sobre o Cibercrime («Convenção de Budapeste»), que visa reforçar as regras existentes para obter acesso transfronteiriço a provas eletrónicas em investigações penais, assegurando simultaneamente garantias adequadas em matéria de proteção de dados no âmbito parte do Protocolo 165 . Do mesmo modo, foram iniciadas negociações bilaterais sobre um acordo entre a UE e os Estados Unidos da América sobre o acesso transfronteiras a provas eletrónicas para fins de cooperação judiciária em matéria penal 166 . Ao longo destas negociações, a Comissão conta com o apoio do Parlamento Europeu e do Conselho, bem como com a orientação do CEPD.

Em termos mais gerais, é importante assegurar que, quando as empresas ativas no mercado europeu são convidadas, com base num pedido legítimo, a partilhar dados para fins de aplicação da lei, possam fazê-lo sem enfrentar conflitos de leis e no pleno respeito dos direitos fundamentais da UE. A fim de melhorar tais tipos de transferências, a Comissão está empenhada em desenvolver quadros jurídicos adequados com os seus parceiros internacionais de modo a evitar conflitos de leis e a apoiar formas eficazes de cooperação, nomeadamente prevendo as necessárias garantias em matéria de proteção de dados, contribuindo assim para uma luta mais eficaz contra a criminalidade.

7.3Cooperação internacional no domínio da proteção de dados

Promover a convergência entre diferentes sistemas de privacidade significa igualmente aprender uns com os outros, através do intercâmbio de conhecimentos, experiências e boas práticas. Tais intercâmbios são essenciais para enfrentar novos desafios que são cada vez mais globais na sua natureza e alcance. É por esse motivo que a Comissão intensificou o seu diálogo sobre proteção e fluxos de dados com um vasto leque de intervenientes e em diferentes fóruns, a nível bilateral, regional e multilateral.

A dimensão bilateral

Na sequência da adoção do RGPD, tem-se registado um interesse crescente na experiência da UE na conceção, negociação e aplicação de regras modernas em matéria de privacidade. O diálogo com países que passam por processos semelhantes tem assumido várias formas.

Os serviços da Comissão apresentaram observações em relação a uma série de consultas públicas organizadas por governos estrangeiros no que se refere à legislação no domínio da privacidade, nomeadamente pelos EUA 167 , pela Índia 168 , pela Malásia e pela Etiópia. Em alguns países terceiros, os serviços da Comissão tiveram o privilégio de testemunhar perante as instâncias parlamentares competentes, por exemplo, no Brasil 169 , no Chile 170 , no Equador e na Tunísia 171 .

Além disso, no contexto das reformas em curso da legislação em matéria de proteção de dados, realizaram-se reuniões específicas com representantes governamentais ou delegações parlamentares de muitas regiões do mundo (por exemplo, Geórgia, Quénia, Taiwan, Tailândia, Marrocos). Tal incluiu a organização de seminários e visitas de estudo, por exemplo, com representantes do Governo indonésio e uma delegação de funcionários do Congresso dos EUA. Isto proporcionou oportunidades para esclarecer conceitos importantes do RGPD, melhorar a compreensão mútua das questões de privacidade e ilustrar os benefícios da convergência para assegurar um elevado nível de proteção dos direitos individuais, comércio e cooperação. Em alguns casos, permitiu igualmente que se fizessem advertências contra determinados conceitos errados de proteção de dados que podem conduzir à introdução de medidas protecionistas, como requisitos de localização forçada.

Desde a adoção do RGPD, a Comissão tem igualmente colaborado com várias organizações internacionais, nomeadamente à luz da importância dos intercâmbios de dados com essas organizações numa série de domínios de ação. Em particular, foi encetado um diálogo específico com as Nações Unidas com vista a facilitar os debates com todas as partes interessadas envolvidas, a fim de assegurar transferências de dados harmoniosas e desenvolver uma maior convergência entre os respetivos regimes de proteção de dados. No âmbito deste diálogo, a Comissão trabalhará em estreita colaboração com o CEPD para esclarecer melhor a forma como os operadores públicos e privados da UE podem cumprir as obrigações que lhes incumbem por força do RGPD ao realizarem intercâmbios de dados com organizações internacionais como a ONU.

A Comissão está pronta para continuar a partilhar os ensinamentos retirados do seu processo de reforma com os países e as organizações internacionais interessadas, da mesma forma que aprendeu com outros sistemas ao desenvolver a sua proposta de novas regras de proteção de dados da UE. Este tipo de diálogo é mutuamente benéfico para a UE e os seus parceiros, uma vez que permite obter uma melhor compreensão do panorama em matéria de privacidade em rápida evolução e trocar pontos de vista sobre soluções jurídicas e tecnológicas emergentes.

A dimensão multilateral

Para além dos intercâmbios bilaterais, a Comissão encontra-se igualmente a participar ativamente numa série de fóruns multilaterais para promover valores partilhados e a convergência a nível regional e mundial.

A adesão cada vez mais universal à «Convenção 108» do Conselho da Europa, o único instrumento multilateral juridicamente vinculativo no domínio da proteção de dados pessoais, é um sinal claro desta tendência de convergência (ascendente) 172 . A Convenção, que está aberta a Estados não membros do Conselho da Europa, já foi ratificada por 55 países, incluindo alguns países de África e da América do Sul 173 . A Comissão contribuiu significativamente para o êxito das negociações sobre a modernização da Convenção 174 , tendo assegurado que esta refletisse os mesmos princípios que estão consagrados nas novas normas da UE em matéria de proteção de dados. A maioria dos Estados-Membros da UE já assinou o Protocolo de Alteração, embora as assinaturas da Dinamarca, de Malta e da Roménia ainda estejam pendentes. Até à data, apenas quatro Estados-Membros (Bulgária, Croácia, Lituânia e Polónia) ratificaram o Protocolo de Alteração. A Comissão insta os três Estados-Membros restantes a assinarem a Convenção modernizada, e todos os Estados-Membros a procederem rapidamente à sua ratificação, a fim de permitir a sua entrada em vigor num futuro próximo 175 . Além disso, continuará a incentivar proativamente a adesão de países terceiros.

Os fluxos e a proteção de dados também foram recentemente abordados no âmbito do G20 e do G7. Em 2019, os líderes mundiais apoiaram, pela primeira vez, a ideia de que a proteção de dados contribui para a confiança na economia digital e facilita os fluxos de dados. Com o apoio ativo 176 da Comissão, os líderes apoiaram o conceito de «fluxo de dados livre baseado na confiança» originalmente proposto pelo Japão na Declaração de Osaka do G20 177 , bem como na Cimeira do G7 em Biarritz 178 . Esta abordagem reflete-se igualmente na Comunicação de 2020 da Comissão — Uma estratégia europeia para os dados 179 , que sublinha a sua intenção de continuar a promover a partilha de dados com parceiros de confiança, lutando simultaneamente contra abusos como o acesso desproporcionado das autoridades públicas (estrangeiras) aos dados.

Ao fazê-lo, a UE poderá igualmente contar com uma série de instrumentos em diferentes domínios de ação que têm cada vez mais em conta o impacto na privacidade: por exemplo, o primeiro quadro da UE para a análise dos investimentos estrangeiros, que será plenamente aplicável em outubro de 2020, confere à UE e aos seus Estados-Membros a possibilidade de analisar operações de investimento que tenham efeitos no «acesso a informações sensíveis, incluindo dados pessoais, ou [n]a capacidade de controlar essas informações» 180 .

A Comissão está a trabalhar com países que partilham as mesmas ideias em vários outros fóruns multilaterais para promover ativamente os seus valores e normas. Um fórum importante é o recentemente criado grupo de trabalho sobre privacidade e governação de dados da OCDE, que está a desenvolver uma série de iniciativas importantes relacionadas com a proteção, partilha e transferência de dados. Tal inclui a avaliação das Diretrizes da OCDE sobre a proteção da privacidade, de 2013. Além disso, a Comissão contribuiu ativamente para a Recomendação do Conselho da OCDE sobre a inteligência artificial 181 e assegurou que a abordagem da UE centrada no ser humano, o que significa que as aplicações de IA têm de respeitar os direitos fundamentais e, em particular, a proteção de dados, foi refletida no texto final. É importante ter presente que a Recomendação sobre a IA – que foi subsequentemente incorporada nos princípios de IA do G20 anexos à Declaração de Osaka dos líderes do G20 182 – estipula os princípios de transparência e de explicabilidade com vista a permitir que todos aqueles que forem negativamente afetados por um sistema de IA possam contestar o seu resultado com base em informações simples e fáceis de compreender sobre os fatores e a lógica que serviram de base à previsão, recomendação ou decisão, refletindo assim de perto os princípios do RGPD no que diz respeito a decisões automatizadas 183 .

A Comissão está igualmente a intensificar o seu diálogo com organizações e redes regionais que desempenham um papel cada vez mais central na definição de normas comuns de proteção de dados 184 , promovendo o intercâmbio de boas práticas e a cooperação entre as entidades responsáveis pela aplicação. Entre as referidas organizações e redes regionais incluem-se, em particular, a Associação das Nações do Sudeste Asiático (ASEAN) – nomeadamente no contexto do seu trabalho em curso sobre instrumentos de transferência de dados –, a União Africana, o Fórum das Autoridades de Privacidade da Ásia-Pacífico (APPA) e a Rede Ibero-Americana de Proteção de Dados, que lançaram importantes iniciativas neste domínio e proporcionam fóruns para um diálogo frutuoso entre os reguladores da privacidade e outras partes interessadas.

Anexo I – Cláusulas de especificações facultativas da legislação nacional

Anexo II – Visão geral dos recursos das autoridades de proteção de dados

O quadro seguinte apresenta uma visão geral dos recursos (pessoal e orçamento) das autoridades de proteção de dados por Estado-Membro da UE/do EEE 191 .

Ao comparar os números entre os Estados-Membros, é importante ter presente que podem ter sido atribuídas às autoridades funções para além das previstas ao abrigo do RGPD, e que estas podem variar entre os Estados-Membros. A proporção pessoal que trabalha para as autoridades/um milhão de habitantes e a proporção orçamento das autoridades/um milhão de EUR do PIB são apenas incluídas para fornecer elementos adicionais de comparação entre Estados-Membros de dimensão semelhante e não devem ser consideradas isoladamente. Os números absolutos, as proporções e a evolução ao longo dos últimos anos devem ser considerados em conjunto ao avaliar os recursos de uma determinada autoridade. 

Fonte dos números brutos: documento sobre o contributo do Comité. Cálculos da Comissão. 

(1)

 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE - JO L 119 de 4.5.2016, p. 1-88. 

(2)

Comunicação da Comissão ao Parlamento Europeu e ao Conselho – As regras de proteção de dados como instrumento gerador de confiança dentro e fora da UE – ponto da situação – COM(2019) 374 final, 24.7.2019.

(3)

 Comunicação da Comissão ao Parlamento Europeu e ao Conselho intitulada: Maior proteção, novas oportunidades - Orientações da Comissão relativas à aplicação direta do Regulamento Geral sobre a Proteção de Dados a partir de 25 de maio de 2018, COM/2018/043 final

(4)

Posição e constatações do Conselho sobre a aplicação do Regulamento Geral sobre a Proteção de Dados – 14994/2/19 Rev2, 15.1.2020:

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/pt/pdf .

(5)

Carta da Comissão LIBE do Parlamento Europeu, de 21 de fevereiro de 2020, ao Comissário Reynders, Ref.: IPOL-COM-LIBE D (2020)6525.

(6)

     Contribution of the EDPB to the evaluation of the GDPR under Article 97 [Contributo do CEPD para a avaliação do RGPD nos termos do artigo 97.º], adotado em 18 de fevereiro de 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_en .

(7)

      https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_en .

(8)

     O grupo multilateral de peritos sobre a aplicação do RGPD, instituído pela Comissão, integra representantes da sociedade civil e das empresas, académicos e profissionais:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

O relatório do grupo multilateral de peritos está disponível em:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=21356 .

(9)

     Este facto é igualmente salientado, em particular, pelo Conselho no seu documento intitulado «Posição e constatações do Conselho sobre a aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD)» e pelo Comité no seu documento sobre o seu contributo para a avaliação.

(10)

     Os números entre parênteses indicam o número de autoridades de proteção de dados da UE/do EEE que exerceram o poder enumerado entre maio de 2018 e o final de novembro de 2019. Ver o documento sobre o contributo do Comité, páginas 32-33.

(11)

     Várias decisões relativas à imposição de coimas ainda estão sujeitas a recurso judicial.

(12)

     Artigo 83.º, n.º 7, do RGPD.

(13)

     Artigo 8.º, n.º 3, da Carta; artigo 16.º, n.º 2, do TFUE; considerando 20 do RGPD.

(14)

     Ver a declaração do Comité sobre o impacto das concentrações na proteção dos dados, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_economic_concentration_pt.pdf.

(15)

     Ver processo COMP M. 8124, Microsoft/LinkedIn.

(16)

     Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) – JO L 201 de 31.7.2002, p. 37-47.

(17)

     Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União – JO L 194 de 19.7.2016, p. 1-30.

(18)

     Consultar informações pormenorizadas sobre as atividades do secretariado no documento sobre o contributo do Comité, p. 24-26.

(19)

     Para além das dez orientações adotadas pelo Grupo do Artigo 29.º no período anterior à aplicação do RGPD e adotadas pelo Comité. Além disso, o Comité adotou quatro orientações adicionais entre janeiro e o final de maio de 2020, tendo atualizado uma já existente.

(20)

     Destes pareceres, 42 foram adotados ao abrigo do artigo 64º do RGPD e um foi adotado ao abrigo do artigo 70.º, n.º 1, alínea s), do RGPD e dizia respeito à decisão de adequação em relação ao Japão.

(21)

     Para obter uma visão completa das atividades do Conselho, ver o documento sobre o contributo do Comité, p. 18-23.

(22)

     https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_

processingpersonaldataandcovid-19_en.pdf.

(23)

     https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_pt.

(24)

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_

with_annex_pt.pdf.

(25)

     Sistema de Informação do Mercado Interno («IMI»).

(26)

     Ver o documento sobre o contributo do Comité, página 8.

(27)

     Por exemplo, em 22 de maio de 2020, a autoridade irlandesa de proteção de dados apresentou um projeto de decisão a outras autoridades interessadas, em conformidade com o artigo 60.º do regulamento em causa, relativo a uma investigação sobre a Twitter International Company relativamente à notificação de violação de dados. Nesse mesmo dia, a autoridade irlandesa de proteção de dados anunciou igualmente que estava a ser preparado um projeto de decisão sobre a WhatsApp Ireland Limited para apresentação nos termos do artigo 60.º relativo à transparência, nomeadamente em relação à transparência em torno das informações que são partilhadas com o Facebook.

(28)

     Artigo 61.º do RGPD.

(29)

     Ver o documento sobre o contributo do Comité, p. 12-14.

(30)

     Artigo 62.º do RGPD.

(31)

     Com base no artigo 64.º do RGPD.

(32)

     Artigo 65.º do RGPD.

(33)

     Artigo 66.º do RGPD.

(34)

     Nos termos do artigo 64.º, n.º 1, do RGPD.

(35)

     Nos termos do artigo 28.º, n.º 8, do RGPD.

(36)

     Nos termos do artigo 64.º, n.º 2, do RGPD.

(37)

     Ver o documento sobre o contributo do Comité, página 15.

(38)

     Conforme salientado igualmente no documento sobre a posição e constatações do Conselho.

(39)

     Ver ponto 7.

(40)

     Enquanto se aguarda a adoção do Regulamento Privacidade Eletrónica, é necessária uma estreita cooperação com as autoridades competentes responsáveis pela aplicação da Diretiva Privacidade Eletrónica nos Estados-Membros. Nos termos dessa diretiva, em alguns Estados-Membros as autoridades competentes para efeitos de aplicação do artigo 5.º, n.º 3, da Diretiva Privacidade Eletrónica (que estabelece as condições em que os testemunhos de conexão («cookies») podem ser definidos e acedidos no equipamento terminal de um utilizador) não correspondem às autoridades de controlo do RGPD.

(41)

     Artigo 33.º do RGPD.

(42)

     Ver o documento sobre o contributo do Comité, página 35.

(43)

     Os trabalhos em matéria de orientações já começaram antes de o RGPD começar a ser aplicado, em 25 de maio de 2018, no contexto do Grupo do Artigo 29.º. É possível consultar a lista completa das orientações em: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_pt.

(44)

     Tal foi igualmente salientado pelo Parlamento Europeu e pelo Conselho.

(45)

     Estão atualmente a ser elaboradas orientações do Comité sobre responsáveis pelo tratamento e subcontratantes.

(46)

     Ver artigo 52.º, n.º 4, do RGPD.

(47)

     O regulamento entrou em vigor em maio de 2016 e começou a ser aplicado em maio de 2018, após um período de transição de dois anos.

(48)

     Ver o documento sobre o contributo do Comité, p. 26-30.

(49)

     Existem 18 autoridades na Alemanha, uma das quais uma autoridade federal e 17 autoridades regionais (incluindo duas na Baviera).

(50)

     Artigo 60.º do RGPD.

(51)

     Artigo 52.º, n.º 4, do RGPD.

(52)

     Artigo 75.º do RGPD.

(53)

     Note-se que a autoridade nacional de proteção de dados da Eslovénia foi criada com base na atual legislação nacional em matéria de proteção de dados e supervisiona a aplicação do RGPD nesse Estado-Membro.

(54)

     Este processo por infração diz respeito à lei polaca sobre o poder judicial, de 20 de dezembro de 2019, que afeta a independência dos juízes e diz respeito, nomeadamente, à divulgação do envolvimento dos juízes em atividades não profissionais:

https://ec.europa.eu/commission/presscorner/detail/en/ip_20_772.

(55)

     Ver artigo 8.º, n.º 3, da Carta; artigo 16.º do TFUE; considerando 20 do RGPD.

(56)

     Por exemplo, a isenção de uma comissão parlamentar da aplicação do RGPD está sujeita a um processo judicial pendente relativo a um pedido de decisão prejudicial (C-272/19).

(57)

     Artigo 85.º do RGPD.

(58)

     A expressão «cláusulas de abertura», amplamente utilizada para referir cláusulas de especificação, é enganadora, uma vez que pode dar a impressão de que os Estados-Membros dispõem de margens de manobra que vão além das disposições do regulamento em causa.

(59)

     Considerando 8 do RGPD.

(60)

     Idade de 13 anos na Bélgica, Dinamarca, Estónia, Finlândia, Letónia, Malta, Portugal e Suécia; 14 anos na Áustria, Bulgária, Chipre, Espanha, Itália e Lituânia; 15 anos na República Checa, Grécia e França; 16 anos na Alemanha, Hungria, Croácia, Irlanda, Luxemburgo, Países Baixos, Polónia, Roménia e Eslováquia.

(61)

     Artigo 9.º do RGPD.

(62)

     Artigo 89.º, n.º 2, do RGPD.

(63)

     Ver artigo 9.º, n.º 2, alínea i), do RGPD e considerando 46.

(64)

     https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf.

(65)

https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=EN.

(66)

https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_pt.

(67)

     https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_pt.

(68)

     Por exemplo, por se limitarem simplesmente a repetir a redação do artigo 23.º, n.º 1, do RGPD.

(69)

     Artigo 37.º, n.º 1, do RGPD.

(70)

     Alemanha.

(71)

     Recorrendo à cláusula de especificação do artigo 37.º, n.º 4, do RGPD.

(72)

     Ver considerando 4 do RGPD.

(73)

     https://ec.europa.eu/commission/presscorner/detail/pt/IP_19_2956.

(74)

     Agência dos Direitos Fundamentais da União Europeia (FRA) (2020): Fundamental Rights Survey 2019. Data protection and technology: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection.

(75)

     Artigo 80.º do RGPD.

(76)

     COM(2018) 184 final - 2018/0089 (COD).

(77)

     Tanto nos termos do artigo 77.º como do artigo 80.º do RGPD.

(78)

     Ver o documento sobre o contributo do Comité, p. 31-32.

(79)

     Artigo 12.º, n.º 2, do RGPD.

(80)

     Artigo 13.º, n.º 1, alínea b), e artigo 14.º, n.º 1, alínea b), do RGPD.

(81)

     https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf.

(82)

     Ver relatório do grupo multilateral.

(83)

     Ver os resultados de uma consulta pública sobre os direitos das crianças em matéria de proteção de dados realizada pela autoridade irlandesa de proteção de dados: https://www.dataprotection.ie/sites/default/files/uploads/2019-09/Whose%20Rights%20Are%20They%20Anyway_Trends%20and%20Hightlights%20from%20Stream%201.pdf . A autoridade francesa de proteção de dados lançou igualmente uma consulta pública em abril de 2020: https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-les-droits-des-mineurs-dans-lenvironnement-numerique .

(84)

     Artigo 12.º, n.º 1, do RGPD.

(85)

     Artigo 25.º do RGPD.

(86)

     Ver o relatório do Conselho Norueguês dos Consumidores, Deceived by Design, que realçou os padrões obscuros, os parâmetros predefinidos e outras características e técnicas utilizadas pelas empresas para impelir os utilizadores a fazerem opções intrusivas:

https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design/ .

Ver também o trabalho de investigação publicado em dezembro de 2019 pelo Diálogo Transatlântico de Consumidores e pela Fundação Heinrich-Böll-Stiftung (Bruxelas, União Europeia), que analisa as práticas de três grandes plataformas globais:

https://eu.boell.org/en/2019/12/11/privacy-eu-and-us-consumer-experiences-across-three-global-platforms .

(87)

     Regulamento (UE) 2018/1807 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia - JO L 303 de 28.11.2018, p. 59-68.

(88)

     Artigo 24.º, n.º 1, do RGPD.

(89)

     Ver o documento sobre o contributo do Comité, p. 35.

(90)

     Ver o documento sobre o contributo do Comité, p. 35-45.

(91)

     https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai- ag-2017.

(92)

      https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en .

(93)

     Ver relatório do grupo multilateral.

(94)

     Ver o documento sobre o contributo do Conselho.

(95)

     Comunicação da Comissão ao Parlamento Europeu e ao Conselho — Orientações sobre o regulamento relativo a um quadro para o livre fluxo de dados não pessoais na União Europeia, COM(2019) 250 final.

(96)

  https://edpb.europa.eu/our-work-tools/our-documents/wytyczne/guidelines-12019-codes-conduct-and-monitoring-bodies-under_pt .

(97)

     Ver relatório do grupo multilateral.

(98)

     Ver as ações anunciadas na Estratégia Europeia para os Dados, página 30.

(99)

     Nos termos do artigo 41, n.º 3, do RGPD. Ver os pareceres do CEPD, disponíveis em: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_pt.

(100)

  https://ec.europa.eu/info/study-data-protection-certification-mechanisms_en .

(101)

  https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-12018-certification-and-identifying-certification_pt .

(102)

  https://edpb.europa.eu/our-work-tools/our-documents/retningslinjer/guidelines-42018-accreditation-certification-bodies_pt . Várias autoridades de supervisão já apresentaram os seus requisitos de acreditação ao CEPD, tanto no que se refere aos organismos de supervisão dos códigos de conduta como aos organismos de certificação. É possível consultar a visão geral em: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_pt .

(103)

  https://ec.europa.eu/digital-single-market/en/news/towards-more-secure-and-trusted-cloud-europe .

(104)

     Nos termos do artigo 28.º, n.º 7, do RGPD.

(105)

     Conforme recordado pelo Conselho, pelo Parlamento Europeu e pelo Comité nos respetivos documentos sobre os seus contributos para a avaliação.

(106)

     No entanto, as partes interessadas observam que nem todos os processos automatizados de tomada de decisões num contexto de inteligência artificial são abrangidos pelo âmbito de aplicação do artigo 22.º do RGPD.

(107)

      https://ec.europa.eu/commission/presscorner/detail/pt/ip_20_962 .

(108)

     Comunicação da Comissão ao Parlamento Europeu e ao Conselho — Intercâmbio e proteção de dados pessoais num mundo globalizado, 10.1.2017 (COM(2017) 7 final).

(109)

     CEPD, Diretrizes 3/2018 sobre o âmbito de aplicação territorial do RGPD, 12.11.2019. Estas diretrizes abordam vários dos pontos suscitados durante a consulta pública, por exemplo, no que se refere à interpretação dos critérios de direcionamento e monitorização.

(110)

     Ver documento sobre a posição e constatações do Conselho, n.os 34, 35 e 38.

(111)

     Ver artigo 27.º, n.º 4, e considerando 80 do RGPD («O representante designado deverá estar sujeito a procedimentos de execução em caso de incumprimento pelo responsável pelo tratamento ou pelo subcontratante»).

(112)

     Proposta de Diretiva do Parlamento Europeu e do Conselho que estabelece normas harmonizadas aplicáveis à designação de representantes legais para efeitos de recolha de provas em processo penal (COM(2018) 226 final), artigo 3.º; Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à prevenção da difusão de conteúdos terroristas em linha (COM(2018) 640 final), artigo 16.º, n.os 2 e 3.

(113)

     De acordo com uma resposta à consulta pública, um dos principais pontos a abordar é a aplicação efetiva e as consequências reais para aqueles que optem por ignorar este requisito. É necessário ter em conta, em particular, que tal também coloca as empresas estabelecidas na União em desvantagem concorrencial em relação às empresas infratoras estabelecidas fora da União que negociam na União. Ver EU Business Partners, resposta de 29 de abril de 2020.

(114)

     Esta questão foi suscitada em várias respostas à consulta pública, por exemplo, no que diz respeito à transmissão de dados pessoais a destinatários fora da UE, mas abrangidos pelo RGPD.

(115)

     Documento sobre a posição e constatações do Conselho, n.º 17; documento sobre o contributo do Comité, p. 5-6. Várias respostas à consulta pública, nomeadamente de várias associações empresariais (como a French Association of Large Companies, a Digital Europe, a Global Data Alliance/BSA, a Computer & Communication Industry Association (CCIA) ou a Câmara de Comércio dos EUA) apelaram à intensificação dos trabalhos no que diz respeito a decisões de adequação, especialmente com parceiros comerciais importantes.

(116)

     Acórdão do Tribunal de Justiça da UE, de 6 de outubro de 2015, no processo C-362/14, Maximillian Schrems/Data Protection Commissioner, n.os 73, 74 e 96. Ver também o considerando 104 do RGPD, que faz referência ao padrão de equivalência substancial.

(117)

     Artigo 45.º, n.º 2, e considerando 104 do RGPD. Ver também acórdão do Tribunal de Justiça da UE, de 6 de outubro de 2015, no processo C-362/14, Maximillian Schrems/Data Protection Commissioner, n.os 75, 91-91.

(118)

     Documento de referência relativo à adequação , WP 254 rev.01, 6 de fevereiro de 2018 (disponível em: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108 ).

(119)

     Documento sobre o contributo do Comité, p. 5-6.

(120)

     O artigo 45.º, n.os 4 e 5, do RGPD exige à Comissão que controle, de forma continuada, os desenvolvimentos nos países terceiros e que avalie periodicamente – no mínimo de quatro em quatro anos – uma decisão de adequação. Confere igualmente à Comissão o poder de revogar, alterar ou suspender uma decisão de adequação caso considere que o país ou a organização internacional em causa deixou de assegurar um nível de proteção adequado. O artigo 97.º, n.º 2, alínea a), do RGPD exige igualmente à Comissão que apresente um relatório de avaliação, até 2020, ao Parlamento Europeu e ao Conselho. Ver também o acórdão do Tribunal de Justiça da UE, de 6 de outubro de 2015, no processo C-362/14, Maximillian Schrems/Data Protection Commissioner, n.º 76.

(121)

     Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016, relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento Europeu e do Conselho. Esta decisão de adequação é um caso particular, na medida em que, na falta de legislação geral em matéria de proteção de dados nos EUA, baseia-se em compromissos assumidos pelas empresas participantes (que são executórios por força da legislação americana) tendo em vista aplicar as normas de proteção de dados enunciadas nesse acordo. Além disso, o Escudo de Proteção da Privacidade assenta nas declarações e garantias específicas dadas pelo governo dos EUA relativamente ao acesso para fins de segurança nacional que estão na base da decisão de adequação.

(122)

     As revisões tiveram lugar em 2017 (Relatório da Comissão ao Parlamento Europeu e ao Conselho sobre a primeira reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA, COM(2017) 611 final), 2018 (Relatório da Comissão ao Parlamento Europeu e ao Conselho — Segunda reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA, COM(2018) 860 final) e 2019 (Relatório da Comissão ao Parlamento Europeu e ao Conselho — Terceira reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA, COM(2019) 495 final).

(123)

Estas decisões de adequação dizem respeito a países que estão estreitamente integrados na União Europeia e seus Estados-Membros (Suíça, Andorra, Ilhas Faroé, Guernesey, Jersey, Ilha de Man), bem como a parceiros comerciais importantes (por exemplo, Argentina, Canadá, Israel) e a países que desempenharam um papel pioneiro na elaboração de legislação em matéria de proteção de dados nas suas regiões (Nova Zelândia, Uruguai).

(124)

O processo C-311/18, Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems («Schrems II»), diz respeito a um pedido de decisão prejudicial sobre as denominadas cláusulas contratuais-tipo. No entanto, alguns elementos do padrão de adequação também podem ser esclarecidos pelo Tribunal. A audiência no âmbito deste processo teve lugar em 9 de julho de 2019, tendo o acórdão sido anunciado para 16 de julho de 2020.

(125)

     Ver nota de rodapé 109. A Comissão explicou que os critérios a seguir enunciados serão tidos em conta ao avaliar com que países terceiros se deve estabelecer um diálogo em matéria de adequação: i) A importância das relações comerciais (reais ou potenciais) da UE com o país terceiro, incluindo a existência de um acordo de comércio livre ou de negociações em curso; ii) A importância da circulação de dados pessoais a partir da UE, refletindo os laços geográficos e/ou culturais; iii) O papel precursor do país no domínio da proteção da privacidade e dos dados, que pode servir de modelo a outros países na sua região; e iv) A relação política global com o país, em especial no contexto da promoção de valores comuns e de objetivos partilhados a nível internacional.

(126)

     Resolução do Parlamento Europeu, de 13 de dezembro de 2018, sobre a adequação da proteção dos dados pessoais proporcionada pelo Japão (2018/2979(RSP)), n.º 27; documento sobre o contributo do Comité, p. 5-6.

(127)

     Ver, por exemplo, Resolução do Parlamento Europeu, de 12 de dezembro de 2017, relativa ao «Rumo a uma estratégia comercial digital» (2017/2065(INI)), n.os 8 e 9; Posição e constatações do Conselho sobre a aplicação do Regulamento Geral sobre a Proteção de Dados(RGPD), 19.12.2019 (14994/1/19), n.º 17; documento sobre o contributo do Comité, p. 5.

(128)

     Tal como igualmente solicitado pelo Conselho, ver Posição e constatações do Conselho sobre a aplicação do Regulamento Geral sobre a Proteção de Dados(RGPD), 19.12.2019 (14994/1/19), n.os 17 e 40. No entanto, tal exige que estejam reunidas as condições para uma decisão de adequação no que se refere às transferências de dados para as autoridades públicas, nomeadamente no que respeita ao controlo independente.

(129)

     Ver as diretrizes de negociação anexas à Decisão do Conselho que autoriza a abertura de negociações com o Reino Unido da Grã-Bretanha e da Irlanda do Norte tendo em vista um novo acordo de parceria (ST 5870/20 ADD 1 REV 3), n.os 13 e 118.

(130)

Ver texto revisto da declaração política que estabelece o quadro para as futuras relações entre a União Europeia e o Reino Unido, tal como acordado a nível dos negociadores em 17 de outubro de 2019, parágrafos 8-10 (disponível em https://ec.europa.eu/commission/sites/beta-political/files/revised_political_declaration.pdf ).

(131)

     Por exemplo, pela Argentina, Colômbia, Israel, Suíça ou Uruguai.

(132)

     As cláusulas contratuais-tipo (CCT) para transferências internacionais exigem sempre a aprovação da Comissão, mas podem ser elaboradas pela própria Comissão ou por uma autoridade de proteção de dados (APD) nacional. Todas as CCT existentes se enquadram na primeira categoria.

(133)

     De acordo com o Annual Privacy Governance Report 2019 da IAPP-EY, destes instrumentos de transferência, os mais populares – ano após ano – são, esmagadoramente, as cláusulas contratuais-tipo: 88 % dos inquiridos no inquérito deste ano indicaram as CCT como sendo o seu principal método para transferências de dados extraterritoriais, seguidas do cumprimento do acordo relativo ao Escudo de Proteção da Privacidade UE-EUA (60 %). Para os inquiridos que transferem dados da UE para o Reino Unido (52 %), 91 % afirmam pretender utilizar as CCT para efeitos de cumprimento das regras em matéria de transferência de dados após o Brexit.

(134)

     Existem atualmente três conjuntos de cláusulas contratuais-tipo adotadas pela Comissão para a transferência de dados pessoais para países terceiros: dois para transferências de um responsável pelo tratamento do EEE para um responsável pelo tratamento não pertencente ao EEE e um para transferências de um responsável pelo tratamento do EEE para um subcontratante não pertencente ao EEE. Foram alterados em 2016, na sequência do acórdão do Tribunal de Justiça no processo Schrems I (C-362/14), para eliminar quaisquer restrições ao exercício dos poderes de controlo das autoridades de controlo competentes em matéria de transferência de dados. Ver https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en .

(135)

     Ver também o documento sobre o contributo do Comité, p. 6-7. Do mesmo modo, o Conselho incentivou a Comissão a analisar e a rever as CCT «num futuro próximo para ter em conta as necessidades dos responsáveis pelo tratamento e dos subcontratantes». Ver Posição e constatações do Conselho.

(136)

     Este último cenário foi objeto de comentários em várias respostas à consulta pública, nas quais foi frequentemente suscitada a preocupação de que exigir aos subcontratantes da UE que assegurem garantias adequadas na sua relação com responsáveis pelo tratamento de países terceiros os colocaria em desvantagem concorrencial em relação aos subcontratantes estrangeiros que oferecem serviços semelhantes.

(137)

Ver o processo Schrems II.

(138)

Em conformidade com o artigo 46.º, n.º 2, alínea c), do RGPD, as cláusulas contratuais-tipo têm de ser adotadas através do procedimento de exame previsto no artigo 5.º do Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão – JO L 55 de 28.2.2011, p. 13-18. Tal implica, nomeadamente, uma decisão positiva de um comité composto por representantes dos Estados-Membros.

(139)

     Tal inclui, por exemplo, o trabalho atualmente levado a cabo pelos Estados membros da ASEAN no sentido de elaborar «cláusulas contratuais-modelo ASEAN». Ver ASEAN, Key Approaches for ASEAN Cross Border Data Flows Mechanism (disponível em: https://asean.org/storage/2012/05/Key-Approaches-for-ASEAN-Cross-Border-Data-Flows-Mechanism.pdf ).

(140)

Para obter uma visão geral dos pareceres emitidos, até à data, pelo CEPD, consultar https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_pt .

(141)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109 .

(142)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110 .

(143)

     Estes documentos foram adotados (pelo antigo Grupo do Artigo 29.º) na sequência da entrada em vigor do RGPD, mas antes do final do período de transição. Ver WP263 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623056 ); WP264 ( https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf ); WP265 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623848 ).

(144)

     Documento sobre o contributo do Comité, p. 7.

(145)

A lista de requisitos específicos que compõem esta norma ISO está disponível em: https://www.iso.org/standard/71670.html .

(146)

     CEPD, Opinion 4/2019 on the draft Administrative Arrangement for the transfer of personal data between European Economic Area (EEA) Financial Supervisory Authorities and non-EEA Financial Supervisory Authorities, 12.2.2019.

(147)

     CEPD, Guidelines 2/2020 on articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (projeto disponível em: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-22020-articles-46-2-and-46-3-b_en ). Segundo o CEPD, a autoridade [de controlo] competente baseará o seu exame nas recomendações gerais estabelecidas nestas orientações, mas poderá igualmente solicitar garantias adicionais em função do caso específico. O CEPD submeteu este projeto de orientações a uma consulta pública que terminou em 18 de maio de 2020.

(148)

     Documento sobre a posição e constatações do Conselho, n.º 20.

(149)

     Simultaneamente, o CEPD esclarece que as autoridades públicas continuam a ser livres de recorrer a outros instrumentos pertinentes que prevejam garantias adequadas, em conformidade com o disposto no artigo .º do RGPD. Relativamente à escolha do instrumento, o CEPD sublinha que deve ser cuidadosamente avaliado se se deve ou não recorrer a acordos administrativos juridicamente não vinculativos para proporcionar garantias no setor público, tendo em conta a finalidade do tratamento e a natureza dos dados em causa. Se os direitos de proteção de dados e as vias de recurso para os cidadãos do EEE não estiverem previstos na legislação nacional do país terceiro, deve ser dada preferência à celebração de um acordo juridicamente vinculativo. Independentemente do tipo de instrumento adotado, as medidas em vigor têm de ser eficazes para assegurar a aplicação, a execução e o controlo adequados (n.º 67).

(150)

     Tal pode incluir, por exemplo, a combinação de verificações internas (com o compromisso de informar a outra parte de qualquer caso de não cumprimento do controlo independente através de mecanismos externos ou, pelo menos, através de mecanismos funcionalmente autónomos, bem como a possibilidade de o organismo público que procede à transferência suspender ou terminar a transferência.

(151)

     Tal pode incluir, por exemplo, mecanismos vinculativos quase judiciais (por exemplo, arbitragem) ou mecanismos alternativos de resolução de litígios, combinados com a possibilidade de a autoridade pública que procede à transferência suspender ou terminar a transferência de dados pessoais se as partes não conseguirem resolver um litígio de forma amigável, e ainda um compromisso do organismo público que recebe a transferência de devolver ou apagar os dados pessoais. Ao optar por mecanismos alternativos de recurso em instrumentos vinculativos e com força executiva por não existir a possibilidade de assegurar vias efetivas de recurso judicial, o CEPD recomenda que se solicite o parecer da autoridade de controlo competente antes de se proceder à celebração destes instrumentos.

(152)

     Trata-se de uma alteração em relação à Diretiva 95/46/CE, que apenas exigia um consentimento dado de forma «inequívoca». Além disso, aplicam-se os requisitos gerais no que se refere ao consentimento, nos termos do artigo 4.º, n.º 11, do RGPD.

(153)

     CEPD, Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, 25.5.2018 (disponíveis em: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf ).

(154)

     Tal inclui, por exemplo, transferências internacionais de dados relativos à saúde para efeitos de investigação no contexto do surto de COVID-19. Ver CEPD, Diretrizes 03/2020 sobre o tratamento de dados relativos à saúde para efeitos de investigação científica no contexto do surto de COVID-19, 21.4.2020 (disponíveis em: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_pt.pdf ).

(155)

     Ver considerando 112.

(156)

     Ver Brief of the European Commission on behalf of the European Union as Amicus Curiae in Support of Neither Party in the Case US v. Microsoft, p. 15: Em geral, a legislação da União e dos Estados-Membros reconhece a importância da luta contra a criminalidade grave – e, por conseguinte, da aplicação do direito penal e da cooperação internacional nesse domínio – como um objetivo de interesse geral. O artigo 83.º do TFUE identifica vários domínios de criminalidade particularmente grave e com dimensão transfronteiriça, como o tráfico de droga. (disponível em: https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf ).

(157)

     CEPD, orientações sobre derrogações (nota de rodapé 153), p. 10. O CEPD esclareceu ainda que, embora as transferências de dados baseadas na derrogação do interesse público não devam ser em larga escala ou sistemáticas, mas sim restritas a situações específicas, devendo satisfazer o rigoroso teste de necessidade, não há qualquer exigência de que sejam ocasionais.

(158)

     Tal é tornado claro pela redação do artigo 48.º do RGPD («sem prejuízo de outros motivos de transferência nos termos do presente capítulo») e do considerando 115 («[a]s transferências só deverão ser autorizadas quando estejam preenchidas as condições estabelecidas pelo presente regulamento para as transferências para os países terceiros. Pode ser esse o caso, nomeadamente, sempre que a divulgação for necessária por um motivo importante de interesse público, reconhecido pelo direito da União ou dos Estados-Membros ao qual o responsável pelo tratamento está sujeito»). É igualmente reconhecido pelo CEPD, ver orientações sobre derrogações (nota de rodapé 153), p. 5. No que se refere a todas as operações de tratamento, as outras garantias previstas no regulamento em causa devem igualmente ser respeitadas (por exemplo, que os dados sejam transferidos para uma finalidade específica, sejam pertinentes, se limitem ao necessário para a finalidade do pedido, etc.).

(159)

     Exposição sobre a Microsoft (nota de rodapé 156). Tal como a Comissão explicou, o RGPD transforma assim os acordos de assistência judiciária mútua na opção preferida para as transferências, uma vez que tais acordos preveem a recolha de elementos de prova com consentimento e incorporam um equilíbrio cuidadosamente negociado entre os interesses dos diferentes Estados, que visa atenuar os conflitos jurisdicionais que, de outra forma, podem surgir. Ver também CEPD, orientações sobre derrogações (nota de rodapé 153), p. 5 (Em situações em que exista um acordo internacional, como um acordo de assistência judiciária mútua, as empresas da UE devem, geralmente, recusar pedidos diretos e remeter a autoridade requerente do país terceiro para o acordo de assistência judiciária mútua ou acordo em vigor).

(160)

     Exposição sobre a Microsoft (nota de rodapé 156), p. 4.

(161)

     Exposição sobre a Microsoft (nota de rodapé 156), p. 6.

(162)

     Comissão Europeia, Proposta de Regulamento do Parlamento Europeu e do Conselho relativo às ordens europeias de entrega ou de conservação de provas eletrónicas em matéria penal, 17.4.2018 (COM(2018) 225 final). O Conselho adotou a sua abordagem geral sobre a proposta de regulamento em 7.12.2018 (disponível em: https://www.consilium.europa.eu/pt/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-eevidence-council-agrees-its-position/# ). Ver também o Parecer 7/19 da AEPD sobre as Propostas relativas às Ordens Europeias de Entrega ou de Conservação de provas eletrónicas em matéria penal (disponível em: https://edps.europa.eu/data-protection/ourwork/publications/opinions/electronic-evidence-criminal-matters_en ).

(163)

     A exposição de motivos, p. 21, deixa claro que, para além de assegurar a cortesia em relação a interesses soberanos de países terceiros, proteger a pessoa em causa e evitar conflitos de leis para os prestadores de serviços, uma motivação importante para a cláusula de cortesia é a reciprocidade, isto é, garantir o respeito das regras da UE, nomeadamente em matéria de proteção de dados pessoais (artigo 48.º do RGPD). Ver também a declaração do Grupo do Artigo 29.º, de 29 de novembro de 2017, Data protection and privacy aspects of cross-border access to electronic evidence (Declaração do WP29) (disponível em: file:///C:/Users/ralfs/AppData/Local/Packages/Microsoft.MicrosoftEdge_8wekyb3d8bbwe/TempState/Downloads/20171207_e-Evidence_Statement_FINALpdf%20(1).pdf ), p. 9.

(164)

     Ver Declaração do WP29 (nota de rodapé 163), p. 6.

(165)

     Ver Recomendação de Decisão do Conselho que autoriza a participação nas negociações respeitantes ao Segundo Protocolo Adicional à Convenção do Conselho da Europa sobre o Cibercrime (STCE-185), 5.2.2019 (COM(2019) 71 final). Ver também o Parecer 3/2019 da AEPD sobre a participação nas negociações tendo em vista um Segundo Protocolo Adicional à Convenção de Budapeste sobre o Cibercrime, 2.4.2019 (disponível em: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_budapest_convention_en.pdf ); CEPD, Contribution to the consultation on a draft second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), 13.11.2019 (disponível em: https://edpb.europa.eu/sites/edpb/files/files/file1/edpbcontributionbudapestconvention_en.pdf ).

(166)

     Ver Recomendação de Decisão do Conselho que autoriza a abertura de negociações tendo em vista um acordo entre a União Europeia e os Estados Unidos da América sobre o acesso transfronteiras a provas eletrónicas para fins de cooperação judiciária em matéria penal, 5.2.2019 (COM(2019) 70 final). Ver também AEPD, Parecer 2/2019 sobre o mandato de negociação de um acordo UE-EUA sobre o acesso transfronteiras a provas eletrónicas (disponível em: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_on_eu_us_agreement_on_e-evidence_en.pdf ).

(167)

Ver observações da DG Justiça e Consumidores, de 9 de novembro de 2018, em resposta a um pedido de apresentação de observações públicas sobre uma proposta de abordagem à privacidade dos consumidores [Docket n.º 180821780-8780-01] formulado pela Agência Nacional de Telecomunicações e Informação dos EUA (disponível em: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf ).

(168)

Ver observações da DG Justiça e Consumidores, de 19 de novembro de 2018, sobre o projeto de lei em matéria de proteção de dados pessoais da Índia, de 2018, ao Ministério da Eletrónica e das Tecnologias da Informação (disponível em: https://eeas.europa.eu/delegations/india/53963/submission-draft-personal-data-protection-bill-india-2018-directorate-general-justice_en).

(169)

Ver reunião plenária de 17 de abril de 2018 do Senado brasileiro (https://www25.senado.leg.br/web/atividade/sessao-plenaria/-/pauta/23384), reunião de 10 de abril de 2019 da Comissão Mista da MP 869/2018 do Congresso brasileiro ( https://www12.senado.leg.br/ecidadania/visualizacaoaudiencia?id=15392 ) e reunião de 26 de novembro de 2019 da Comissão Especial da Câmara dos Deputados do Brasil (https://www.camara.leg.br/noticias/616579-comissao-discutira-protecao-de-dados-no-ambito-das-constituicoes-de-outros-paises/).

(170)

Ver reuniões de 29 de maio de 2018 ( https://senado.cl/appsenado/index.php?mo=comisiones&ac=asistencia_sesion&idcomision=186&idsesion=12513&idpunto=15909&sesion=29/05/2018&listado=1 ), 24 de abril de 2019 (https://www.senado.cl/appsenado/index.php?mo=comisiones&ac=sesiones_celebradas&idcomision=186&tipo=3&legi=485&ano=2019&desde=0&hasta=0&idsesion=13603&idpunto=17283&listado=2) e da Comissão dos Assuntos Constitucionais, Legislativos e de Justiça do Senado do Chile.

(171)

Ver reunião de 2 de novembro de 2018 da Comissão dos Direitos, Liberdades e Relações Externas da Assembleia Tunisina dos Representantes do Povo. ( https://www.facebook.com/1515094915436499/posts/2264094487203201/ ).

(172)

     É importante ter presente que a Convenção modernizada não é apenas um tratado que estabelece garantias sólidas em matéria de proteção de dados, mas também cria uma rede de autoridades de controlo com instrumentos para a cooperação no domínio da aplicação da lei e, com o Comité da Convenção, um fórum para debates, intercâmbio de boas práticas e desenvolvimento de normas internacionais.

(173)

Consultar a lista completa de membros: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures . Entre os países de África incluem-se Cabo Verde, a Maurícia, Marrocos, o Senegal e a Tunísia, e entre os países da América Latina incluem-se a Argentina, o México e o Uruguai. O Burquina Faso foi convidado a aderir à Convenção.

(174)

Consultar o texto da Convenção modernizada: https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf .

(175)

     De acordo com a sua Decisão sobre o Protocolo de Alteração de 18 de maio de 2018, o Comité de Ministros instou os Estados membros e outras Partes na Convenção a tomarem, sem demora, as medidas necessárias para permitir a entrada em vigor do Protocolo no prazo de três anos a contar da sua abertura à assinatura e a darem imediatamente início, e em todo o caso o mais tardar um ano após a data em que o Protocolo tenha sido aberto à assinatura, ao processo, ao abrigo do seu direito nacional, conducente à ratificação. O Comité de Ministros encarregou igualmente os seus deputados de examinar, duas vezes por ano e, pela primeira vez, um ano após a data de abertura à assinatura do Protocolo, os progressos gerais realizados no sentido da ratificação com base nas informações a fornecer ao Secretário-Geral por cada um dos Estados membros e outras Partes na Convenção, o mais tardar um mês antes de tal exame. Ver https://search.coe.int/cm/pages/result_details.aspx?objectid=09000016808a3c9f .

(176)

     À margem da Cimeira UE-Japão de abril de 2019, o Presidente Jean-Claude Juncker manifestou o seu apoio à iniciativa «Fluxo de dados livre baseado na confiança» e ao lançamento do processo «Osaka Track», tendo comprometido a Comissão a desempenhar um papel ativo em ambas as iniciativas.

(177)

     Ver o texto da Declaração de Osaka dos líderes do G20: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf .

(178)

     Ver o texto da estratégia de Biarritz do G7 para uma transformação digital aberta, livre e segura: https://www.elysee.fr/admin/upload/default/0001/05/62a9221e66987d4e0d6ffcb058f3d2c649fc6d9d.pdf .

(179)

     Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões — Uma estratégia europeia para os dados, 19.2.2020 (COM(2020) 66 final) ( https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf ), p. 23-24.

(180)

 Artigo 4.º, n.º 1, alínea d), do Regulamento (UE) 2019/452 do Parlamento Europeu e do Conselho, de 19 de março de 2019, que estabelece um regime de análise dos investimentos diretos estrangeiros na União (JO L 79I de 21.3.2019).

(181)

      https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449 .

(182)

Declaração ministerial do G20 sobre o comércio e a economia digital: https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf .

(183)

     Ver artigo 13.º, n.º 2, alínea f), artigo 14.º, n.º 2, alínea g), e artigo 22.º do RGPD.

(184)

     Ver, por exemplo, a Convention on Cyber Security and Personal Data Protection («Convenção de Malabo») da União Africana e as Standards for Data Protection for the Ibero-American States desenvolvidas pela Rede Ibero-Americana de Proteção de Dados.

(185)

 Convenção do Conselho da Europa para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal  https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=DW5jevqD .

(186)

 Convenção da União Africana sobre Cibersegurança e Proteção de Dados Pessoais  https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection . Além disso, várias das Comunidades Económicas Regionais (CER) desenvolveram regras de proteção de dados, por exemplo, a Comunidade Económica dos Estados da África Ocidental (CEDEAO) e a Comunidade de Desenvolvimento da África Austral (SADC). Ver, respetivamente, http://www.tit.comm.ecowas.int/wp-content/uploads/2015/11/SIGNED-Data-Protection-Act.pdf e http://www.itu.int/ITU-D/projects/ITU_EC_ACP/hipssa/docs/SA4docs/data%20protection.pdf .

(187)

 

(188)

Nomeadamente através da Iniciativa de Política e Regulação para a África Digital (PRIDA), consultar informações em: https://www.africa-eu-partnership.org/en/projects/policy-and-regulation-initiative-digital-africa-prida .

(189)

Ver a Comunicação conjunta da Comissão Europeia e da Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança — Rumo a uma estratégia abrangente para África (disponível em: https://ec.europa.eu/international-partnerships/system/files/communication-eu-africa-strategy-join-2020-4-final_en.pdf ); Grupo de Trabalho para a Economia Digital, New Africa-Europe Digital Economy Partnership: Accelerating the Achievement of the Sustainable Development Goals (disponível em: https://www.africa-eu-partnership.org/sites/default/files/documents/finaldetfreportpdf.pdf ).

(190)

  https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf , p. 23.

(191)

Com exceção do Listenstaine.