A transmissão de informações no contexto das comunicações online, o acompanhamento de cadeias de fornecimento globais, a partilha de investigação e a prestação de serviços transfronteiriços serão cada vez mais importantes para a economia global.

A decisão do Tribunal de Justiça da UE (TJUE) no caso “Schrems II” recordou-nos que a proteção concedida aos dados pessoais no Espaço Económico Europeu deve acompanhar os dados para onde quer que eles vão. Os impactos deste caso continuarão a marcar o tema das transferências internacionais de dados durante este ano.

As organizações devem assegurar que são efetuadas avaliações de risco e de impacto das transferências de dados para países terceiros e que as mesmas apenas são efetuadas de acordo com o RGPD e demais legislação aplicável, as decisões dos tribunais da UE relevantes e as orientações emitidas pelas autoridades de controlo.

De facto, as transferências internacionais de dados têm sido um dos temas nos quais as autoridades de controlo mais se têm focado, existindo atualmente inúmeras investigações em curso, incluindo a emissão de ordens para a suspensão imediata de transferências de dados.

De acordo com a Decisão de Execução da CE de 4 de junho de 2021 relativa às cláusulas contratuais-tipo (“CCT”) para a transferência de dados pessoais para países terceiros (fora do Espaço Económico Europeu), as organizações têm até ao dia 27 de dezembro de 2022 para substituírem as versões anteriores das CCT pelas novas CCT.

No que diz respeito aos fluxos de dados entre a UE e os EUA, existem indícios que apontam para a existência de negociações de um acordo transatlântico de transferências de dados para substituir o acordo do “Privacy Shield”, declarado inválido pelo TJUE no caso “Schrems II”.

 

Desafios:

  • Mais do que nunca, as organizações têm de assegurar a implementação das medidas necessárias para garantir uma visão holística de todas as transferências internacionais de dados que realizam, pois só assim terão capacidade de avaliar a viabilidade legal dessas transferências, evitando o impacto que o incumprimento das obrigações nesta matéria pode ter no negócio.

Ações:

  • Realização de avaliações de risco e de impacto das transferências internacionais de dados e adoção das salvaguardas adequadas (por exemplo: as novas CCT) e das medidas suplementares necessárias para garantir a segurança da transferência de dados.