Transferências de dados liberadas, mas regulamentadas

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO RGPD – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

Por mais surpreendente que possa parecer em uma economia globalizada, onde a noção de fronteiras parece incompatível com transações via internet, a transferência de dados pessoais para processamento posterior foi proibida pela UE para um país terceiro, ou seja, localizado fora da União, sem autorização emitida por uma autoridade supervisora.

O GDPR abole o regime de autorização prévia. No entanto, certas condições são necessárias para que a transferência ocorra. A Comissão deve ter estabelecido, por decisão, que o destinatário não pertencente à UE (país, território ou setor de um país, organização internacional) "garante um nível de proteção adequado" (Artigo 45-1). 

O 2º^e O primeiro parágrafo do Artigo 45.º enumera os critérios correspondentes a este nível adequado de proteção, incluindo o Estado de Direito, o respeito pelos direitos humanos e pelas liberdades fundamentais, a legislação, a existência efetiva de uma autoridade supervisora independente, os compromissos internacionais, etc. Se a análise destes critérios conduzir à conclusão de que a medida está em conformidade com as regras europeias, a Comissão adota um "ato de execução", sujeito a revisão periódica, no mínimo, de quatro em quatro anos (Art. 45.º-3). Especifica-se ainda que a Comissão deve monitorizar constantemente os desenvolvimentos em países terceiros (Art. 45.º-4).

No entanto, a transferência é possível, sempre sem autorização prévia, para um destino que não tenha sido objeto de um ato de execução. De fato, o Artigo 46 prevê que um controlador de dados ou um subcontratante pode transferir "se tiver fornecido garantias adequadas e na condição de que os titulares dos dados tenham direitos oponíveis e recursos legais eficazes" (Art. 46-1).

Essas garantias adequadas podem ser fornecidas por diferentes meios, alguns dos quais já mencionamos:

•  Um instrumento juridicamente vinculativo e executável entre autoridades ou órgãos públicos;
•  Regras corporativas vinculativas (para grupos de empresas, os termos dessas regras, que devem ser aprovadas pela autoridade de supervisão, estão especificados no Artigo 47);
• Cláusulas-tipo aprovadas pela Comissão, diretamente ou por meio de uma autoridade de supervisão;
•  Um código de conduta ou mecanismo de certificação “acompanhado de um compromisso vinculativo e executável assumido pelo controlador ou processador no país terceiro para aplicar salvaguardas adequadas” (art. 46-2).

Podem ser fornecidas salvaguardas adequadas para a transferência, desta vez após autorização da autoridade de supervisão, por dois outros meios:

– Um contrato entre o responsável pelo tratamento de dados ou o subcontratante com as suas contrapartes no país terceiro;

– “Disposições a incluir em acordos administrativos entre autoridades públicas ou organismos públicos” (art. 46-3).

Qualquer transferência é, portanto, proibida fora de um ato de execução que garanta um nível adequado de proteção ou garantias específicas. No entanto, estão previstas exceções para situações específicas listadas no Artigo 49. Uma transferência é, em particular, possível:

– Quando o interessado tiver dado o seu consentimento expresso após ter sido informado dos riscos envolvidos; 

– No contexto da execução de um contrato entre o titular dos dados e o responsável pelo tratamento (ou no seu interesse com outra pessoa singular ou coletiva);

– Quando a transferência for de interesse público, ou relacionada à execução de direitos legais, ou necessária para salvaguardar os interesses vitais do titular dos dados.

Essas inúmeras disposições relativas às possibilidades de transferência demonstram que os proponentes do GDPR desejam garantir a proteção dos dados pessoais, sem prejudicar a atividade de empresas e administrações. Ao remover a autorização prévia na grande maioria dos casos, eles apostam na responsabilidade dos atores, cujo trabalho deve poder ser verificado, de acordo com o famoso princípio da responsabilização.