Augusto Almeida Correia, Rita Ferreira Ramos e Catarina Silva Caetano respondem à questão: Quais os efeitos no âmbito da transferência de dados pessoais para o Reino Unido?
Uma das grandes questões a que urgia dar resposta, aquando do fim do período de transição para a saída do Reino Unido da União Europeia, dizia respeito aos efeitos desta mesma saída no contexto da aplicabilidade do Regulamento Geral de Proteção de Dados (adiante, “RGPD”) e quais as implicações práticas daí decorrentes para os diversos agentes, especialmente, no que toca às transferências de dados pessoais para o Reino Unido (uma vez que passa a ser um país terceiro).
Nos dias que correm, é inquestionável a importância da regulação das transferências de dados pessoais, quer de uma perspetiva comercial, quer do próprio ponto de vista regulatório, político, económico e comercial. Ora, com a saída do Reino Unido da União Europeia, esta questão ganha um novo ímpeto uma vez que o RGPD determina que qualquer transferência de dados pessoais para países terceiros – como passa a ser o caso do Reino Unido –, apenas poderá ser realizada caso seja efetuada com base a) numa decisão de adequação da Comissão ou b) sujeita a garantias adequadas, previstas no artigo 46.º do RGPD.
Acontece que, a 24 de dezembro de 2020, o Reino Unido e a União Europeia chegaram a um Acordo (Acordo de Comércio e Cooperação UE-Reino Unido), o qual entrou provisoriamente em vigor a 1 de janeiro de 2021. De entre todas as matérias reguladas neste acordo, encontra-se também prevista a regulamentação das transferências internacionais de dados pessoais.
Dispõe o Acordo, supra mencionado que, os vários intervenientes sujeitos ao RGPD poderão continuar a transferir dados pessoais para o Reino Unido sem haver a necessidade de sujeitar tais transferências às garantias adequadas previstas no já aludido artigo 46.º do RGPD ou numa decisão de adequação (sendo que esta, ainda não existe) durante o “período especificado”. Desta forma, e apenas durante este “período especificado”, o Reino Unido não será considerado como um país terceiro para efeitos de transferências de dados pessoais – isto, partindo do princípio de que o regime atual de proteção de dados do Reino Unido se mantenha em vigor e que o Reino Unido não exerça os poderes designados no Acordo sem a concordância da União Europeia.
No que toca aos prazos relativos a este “período especificado”, o Acordo estabelece que este termina (consoante o que se verificar em primeiro lugar):
Esta regulação, embora assuma um carácter transitório até que se verifique o fim do “período especificado”, é de relevada importância, na medida em que na ausência da mesma estaríamos perante um cenário no qual as transferências de dados para o Reino Unido se encontrariam deveras limitadas, podendo inclusive gerar um incumprimento por parte dos vários intervenientes das mesmas, dada a dificuldade que teriam na aplicação em tempo útil das garantias adequadas para legitimar as referidas transferências, uma vez que até ao momento, e conforme já mencionado anteriormente, não existe qualquer decisão de adequação por parte da Comissão.
Deste modo, e embora não seja uma solução definitiva, esta regulação vem a conferir a segurança jurídica relativa às transferências de dados para o Reino Unido, permitindo a livre circulação de dados pessoais neste âmbito.
É também de referenciar, no que toca ao controlo sobre o tratamento de dados pessoais, que houve uma alteração relevante, nomeadamente, relacionada com o sistema de “Balcão Único” ou “One-Stop-Shop”, o qual, desde 1 de janeiro de 2021 deixou de ser aplicável ao Reino Unido. Este sistema permite que as Autoridades de Controlo Europeias, estabeleçam entre si um sistema de cooperação e coerência nas decisões, em matéria de proteção de dados, bem como evita que haja a necessidade de repetir os procedimentos necessários país a país (artigos 60.º e ss do RGPD e considerando 138 do RGPD).
Ora, deixando este sistema “One-Stop-Shop” de ser aplicável ao Reino Unido, deparamo-nos com a questão sobre: como deve ser a relação entre os estabelecimentos e os titulares dos dados pessoais com as Autoridades de Controlo da União Europeia e a ICO (Autoridade de Controlo do Reino Unido)? Aqui apresentamos um exemplo, por forma a clarificar a resposta a esta questão:
Augusto Almeida Correia | Associado Sénior | augusto.correia@pra.pt
Rita Ferreira Ramos | Associada | rita.ramos@pra.pt
Catarina Silva Caetano | Associada | catarina.caetano@pra.pt