1. O QUE É O SAFE HARBOR?
O Safe Harbor em matéria de proteção de dados respeitam a um processo de
autocertificação e cooperação entre o Departamento de Comércio dos EUA e a Comissão
Europeia, reconhecido através de uma Decisão da Comissão Europeia. Assim, as entidades
com sede nos EUA declaram cumprir com as regras relativa à proteção dos dados pessoais,
estabelecidas através da legislação comunitária, fundamentando as operações de entidades
que operam nas duas jurisdições e que tratam dados pessoais dos seus clientes e/ou
utilizadores.
2. O QUE ACONTECEU?
Na sequência de um reenvio para o Tribunal de Justiça da União Europeia (Tribunal), no
âmbito de um processo que opôs Maximillian Schrems contra a Comissão de Proteção de
Dados da Irlanda, veio o Tribunal declarar a invalidade do Safe Harbor nas operações de
transferências de dados entre a União Europeia e os EUA.
3. COMO SE APLICA À NOSSA ATIVIDADE?
Eventualmente muitas empresas estão envolvidas em processos de transferências de dados,
mesmo sem se darem conta, porque contratam serviços a empresas com sede nos EUA,
porque utilizam serviços cloud com servidores nos EUA, porque pertencem a grupos de
empresas e trocam informação entre as várias filiais, etc.
4. MAS PORQUE É QUE O SAFE HARBOR É INVÁLIDO?
De acordo com o Acórdão o regime é inválido uma vez que:
a) Não existe uma lei geral sobre proteção de dados nos EUA, ou outras medidas de igual
natureza que demonstrem que os EUA oferecem um nível adequado de proteção,
semelhante ao europeu;
1
b) As autoridades de aplicação da lei norte-americanas não estão vinculadas ao Safe
Harbor, podendo aceder aos dados sem qualquer fundamento legal e sem oferecerem
garantias aos cidadãos europeus; e,
c) Os dados pessoais seriam objeto de tratamentos incompatíveis e desproporcionais por
parte destas autoridades.
5. E AGORA?
Em reunião do Grupo de Trabalho que junta as Autoridades Nacionais de Proteção (APD)
de Dados dos 28 Estados Membros, definiu-se um período de graça até final de Janeiro de
2016 para que as empresas possam encontrar soluções e adaptar-se à situação.
6. E QUAL A SITUAÇÃO EM PORTUGAL?
Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) deliberou que:
a) Os responsáveis pelos tratamentos em Portugal devem suspender desde já os fluxos de
dados pessoais para os EUA;
b) Apenas emitirá autorizações provisórias de transferências de dados para os EUA,
sujeitas a eventual revisão num futuro próximo;
c) As autorizações de transferências de dados para os EUA, emitidas pela CNPD desde
2000 ao abrigo da Decisão da Comissão Europeia, serão formalmente revistas.
7. VÃO SER APLICADAS SANÇÕES?
De acordo com a posição da maioria das APD da UE, é improvável que haja uma execução
imediata durante o período de graça (final de Janeiro de 2016). Porém, é expectável que no
final desse período as APD comecem a executar a decisão, nomeadamente, através de ações
coordenadas a nível comunitário.
8. O QUE FAZER DE IMEDIATO?
a) Identificar as transferências de dados (que terá que ter em conta também as categorias
de dados) que decorrem internamente, quer sejam intragrupo ou com prestadores de
serviços;
b) Esta identificação deverá ser realizada através de uma auditoria;
c) Determinar-se quais as transferências fundamentais para os processos internos e/ou
serviços;
d) Identificar quais os mecanismos disponíveis mais apropriados para regularizar a
situação junto à CNPD.
9. QUAIS SÃO OS MECANISMOS DISPONÍVEIS?
2
a) CLÁUSULAS CONTRATUAIS TIPO DA UE: são acordos entre o exportador de
dados Europeu e o importador de dados nos EUA, aprovados pela Comissão Europeia.
Poderão fornecer uma boa alternativa, particularmente nas relações intragrupo;
b) ACORDOS INTRAGRUPO (IGA): Os contratos multilaterais entre empresas do
mesmo Grupo, e não as declarações unilaterais autovinculativas por parte das empresas;
c) DERROGAÇÕES: Em alternativa, algumas empresas podem apostar nas derrogações
previstas na legislação, devendo ser analisado caso a caso.
10. TEMOS OPERAÇÕES NOS EUA E ESTAMOS NO SAFE HARBOR. DEVEMOS
ATUALIZAR AS POLÍTICAS E PRÁTICAS INTERNAS DE PROTEÇÃO DE
DADOS?
a) Caso o Safe Harbor seja o mecanismo que legitima as transferências de dados, devem
analisar as alternativas e proceder às alterações em conformidade;
b) De seguida, terá que regularizar-se a situação junto à CNPD;
11. TEMOS CONTRATOS DE PRESTAÇÃO DE SERVIÇOS COM ENTIDADES NOS
EUA QUE ESTÃO NO SAFE HARBOR. O QUE DEVEMOS FAZER?
a) Numa primeira fase é necessário rever todos os contratos existentes que contenham
referências ao Safe Harbor;
b) De seguida, procurar saber se junto dessas entidades se já estão a oferecer alternativas,
nomeadamente, através de contratos adequados ou das Cláusulas Contratuais Tipo;
c) Face a essa informação, avançar com a regularização da situação com o prestador de
serviços e junto à CNPD.
12. AS CLAÚSULAS CONTRATUAIS TIPO JÁ ASSINADAS, QUE REFEREM O
SAFE HARBOR, AINDA SÃO VÁLIDAS?
São válidas, uma vez que a legitimidade irá depender exclusivamente da adequação das
Cláusulas Contratuais Tipo.
13. EXISTE O RISCO DE OS ACORDOS DE TRANSFERÊNCIA DE DADOS COM
FUNDAMENTO NAS CLAÚSULAS CONTRATUAIS TIPO PARA OS EUA SEREM
AFETADOS PELA DECISÃO DO TRIBUNAL?
Existe esse risco, uma vez que o motivo da invalidade foi a falta de proteção adequada no
que respeita à proteção quer dos dados como dos titulares, e, esse mesmo fundamento
poderá ser aplicado às Cláusula Contratuais Tipo.
14. E OS IGA, SERÃO UMA ALTERNATIVA VIÁVEL?
3
a) A CNPD considera como cláusulas contratuais adequadas, os contratos multilaterais
entre entidades do mesmo Grupo, desde que estes sejam idênticos e se encontrem em
conformidade com as cláusulas contratuais-tipo aprovadas pela Comissão Europeia.
b) Devem ser notificados à CNPD pelo responsável pelo tratamento, declarando este que o
IGA é idêntico e está em conformidade com as cláusulas contratuais-tipo aprovadas
pela Comissão Europeia, e estão conforme as condições enunciadas na Deliberação nº
1770/2015.
15. SE UMA EMPRESA UTILIZAR AS CLAÚSULAS CONTRATUAIS TIPO, TERÁ
DE EXECUTAR UM CONTRATO SEPARADO COM CADA CLIENTE?
Sim, os prestadores de serviços serão obrigados a celebrar contratos separados com cada um
dos seus clientes europeus.
16. COMO FUNCIONAM AS DERROGAÇÕES?
As derrogações previstas na Lei implicam uma análise caso a caso, mas terão que ter por
fundamento um (ou mais) dos seguintes elementos:
a) O consentimento inequívoco do titular dos dados para a transferência;
b) A transferência é necessária para a execução de um contrato ou no interesse do
titular dos dados;
c) A transferência é necessária para a proteção de um interesse público importante, ou,
para proteger os interesses vitais do titular dos dados;
d) A transferência foi realizada a partir de um registo público que, nos termos de
disposições legislativas ou regulamentares.
A presente nota informativa constitui informação de carácter geral disponibilizada por PRA-Raposo, Sá Mirnada & Associados– Sociedade de Advogados
R.L. para os seus clientes e/ou demais pessoas interessadas. Não cobre necessariamente todas as matérias relacionadas com as questões tratadas, não
constitui nem foi elaborada com o objetivo de substituir um aconselhamento jurídico apropriado.
4