Resumo do parecer da Autoridade Europeia para a Proteção de Dados sobre a proposta de regulamento relativo à resiliência operacional digital do setor financeiro e que altera os regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 e (UE) n.o 909/2014

(O texto integral do presente parecer encontra-se disponível em inglês, francês e alemão no sítio Web da AEPD em www.edps.europa.eu)

(2021/C 229/05)

A Comissão Europeia adotou, em 24 de setembro de 2020, uma proposta de regulamento relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 e (UE) n.o 909/2014 (a seguir designada por «proposta»). A proposta estabelece um quadro abrangente sobre a resiliência operacional digital das entidades financeiras da UE, com base em cinco áreas-chave, a saber: a gestão dos riscos no domínio das tecnologias da informação e comunicação (TIC) (capítulo II), a gestão, classificação e comunicação de incidentes (capítulo III), a realização de testes de resiliência operacional digital (capítulo IV), a gestão dos riscos de terceiros e a regulamentação dos prestadores de serviços críticos no domínio das TIC (capítulo V), e a partilha de informações (capítulo VI).

A AEPD congratula-se com os objetivos da proposta e considera essencial para a estabilidade do mercado financeiro da União Europeia que as instituições financeiras contem com um quadro sólido, abrangente e bem documentado de gestão do risco no domínio das TIC.

A AEPD salienta a importância de assegurar que qualquer operação de tratamento no contexto das atividades das entidades financeiras se baseie num dos fundamentos jurídicos estabelecidos no artigo 6.o do RGPD (1). Além disso, a AEPD salienta a importância de as entidades financeiras incorporarem no seu quadro de resiliência operacional digital um mecanismo sólido de gestão da proteção de dados, que identifique claramente os papéis e as responsabilidades do responsável pelo tratamento e do subcontratante, bem como as atividades de tratamento que terão lugar.

No que se refere às transferências internacionais para terceiros prestadores de serviços de TIC estabelecidos num país terceiro, a AEPD recorda que qualquer transferência internacional de dados pessoais deve cumprir os requisitos do capítulo V do RGPD, tal como interpretados pela jurisprudência do TJUE, incluindo o acórdão Schrems II.

No que se refere aos acordos de partilha de informações e de dados entre as entidades financeiras sobre ciberameaças, a AEPD salienta que a proteção de dados pessoais não constitui um obstáculo à partilha de informações no setor financeiro. Pelo contrário, os requisitos relativos à proteção de dados devem ser considerados como requisitos básicos que devem ser cumpridos para garantir a salvaguarda dos direitos individuais. Neste contexto, a AEPD encoraja a adoção, também no setor financeiro, de códigos de conduta nos termos do artigo 40.o do RGPD, em especial para estabelecer claramente os papéis das principais partes interessadas no tratamento de dados pessoais, bem como para garantir um tratamento justo e transparente.

No que se refere à publicação das sanções administrativas, a AEPD recomenda que se incluam, entre os critérios de apreciação da autoridade competente, os riscos para a proteção dos dados pessoais das pessoas. Além disso, a AEPD recorda que o princípio da limitação da conservação exige que os dados pessoais sejam conservados por um período que não exceda o necessário para as finalidades para as quais são tratados.

No que respeita à notificação das violações de dados pessoais, a AEPD salienta que a redação do considerando 42 da proposta é incompatível com o artigo 33.o do RGPD. Por conseguinte, a AEPD recomenda a eliminação da referência às autoridades de proteção de dados no considerando 42 da proposta, bem como uma ligeira alteração do artigo 17.o da proposta, em conformidade com as recomendações do presente parecer.

1.   CONTEXTO

4.   CONCLUSÕES

Tendo em conta o supramencionado, a AEPD:

(1)  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(2)  Proposta de regulamento do Parlamento Europeu e do Conselho relativo aos mercados de criptoativos e que altera a Diretiva (UE) 2019/1937, COM/2020/593 final. Disponível em EUR-Lex - 52020PC0593 - EN - EUR-Lex (europa.eu)

(3)  Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO relativo a um regime-piloto para as infraestruturas de mercado baseadas na tecnologia de registo distribuído COM/2020/594 final, disponível em EUR-Lex - 52020PC0594 - EN - EUR-Lex (europa.eu)

(4)  Proposta de diretiva do Parlamento Europeu e do Conselho que altera as Diretivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, UE/2013/36, 2014/65/UE, (UE) 2015/2366 e UE/2016/2341, COM/2020/596 final. Disponível em EUR-Lex - 52020PC0596 - EN - EUR-Lex (europa.eu)

(5)  Parecer 6/2021 sobre a Proposta de um regime-piloto para as infraestruturas de mercado baseadas na tecnologia de registo distribuído, disponível em 2021-0219_d0912_opinion_6_2021_en_0.pdf (europa.eu)

(6)  Regulamento (UE) 2018/1727 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, que cria a Agência da União Europeia para a Cooperação Judiciária Penal (Eurojust), e que substitui e revoga a Decisão 2002/187/JAI do Conselho (JO L 295 de 21.11.2018, p. 138).