Dados pessoais e o Brexit | Quais os efeitos no âmbito da transferência de dados pessoais para o Reino Unido?

Augusto Almeida Correia, Rita Ferreira Ramos e Catarina Silva Caetano respondem à questão: Quais os efeitos no âmbito da transferência de dados pessoais para o Reino Unido?

Uma das grandes questões a que urgia dar resposta, aquando do fim do período de transição para a saída do Reino Unido da União Europeia, dizia respeito aos efeitos desta mesma saída no contexto da aplicabilidade do Regulamento Geral de Proteção de Dados (adiante, “RGPD”) e quais as implicações práticas daí decorrentes para os diversos agentes, especialmente, no que toca às transferências de dados pessoais para o Reino Unido (uma vez que passa a ser um país terceiro).

Nos dias que correm, é inquestionável a importância da regulação das transferências de dados pessoais, quer de uma perspetiva comercial, quer do próprio ponto de vista regulatório, político, económico e comercial. Ora, com a saída do Reino Unido da União Europeia, esta questão ganha um novo ímpeto uma vez que o RGPD determina que qualquer transferência de dados pessoais para países terceiros – como passa a ser o caso do Reino Unido –, apenas poderá ser realizada caso seja efetuada com base a) numa decisão de adequação da Comissão ou b) sujeita a garantias adequadas, previstas no artigo 46.º do RGPD.

Acontece que, a 24 de dezembro de 2020, o Reino Unido e a União Europeia chegaram a um Acordo (Acordo de Comércio e Cooperação UE-Reino Unido), o qual entrou provisoriamente em vigor a 1 de janeiro de 2021. De entre todas as matérias reguladas neste acordo, encontra-se também prevista a regulamentação das transferências internacionais de dados pessoais.

Dispõe o Acordo, supra mencionado que, os vários intervenientes sujeitos ao RGPD poderão continuar a transferir dados pessoais para o Reino Unido sem haver a necessidade de sujeitar tais transferências às garantias adequadas previstas no já aludido artigo 46.º do RGPD ou numa decisão de adequação (sendo que esta, ainda não existe) durante o “período especificado”. Desta forma, e apenas durante este “período especificado”, o Reino Unido não será considerado como um país terceiro para efeitos de transferências de dados pessoais – isto, partindo do princípio de que o regime atual de proteção de dados do Reino Unido se mantenha em vigor e que o Reino Unido não exerça os poderes designados no Acordo sem a concordância da União Europeia.

No que toca aos prazos relativos a este “período especificado”, o Acordo estabelece que este termina (consoante o que se verificar em primeiro lugar):

• Quando seja adotada uma decisão de adequação pela Comissão Europeia; ou então,
• Até quatro meses após a entrada em vigor do Acordo (ou seja, abril de 2021) sem prejuízo da prorrogação por dois meses se ambas as partes assim concordarem (prazo máximo de junho de 2021).

Esta regulação, embora assuma um carácter transitório até que se verifique o fim do “período especificado”, é de relevada importância, na medida em que na ausência da mesma estaríamos perante um cenário no qual as transferências de dados para o Reino Unido se encontrariam deveras limitadas, podendo inclusive gerar um incumprimento por parte dos vários intervenientes das mesmas, dada a dificuldade que teriam na aplicação em tempo útil das garantias adequadas para legitimar as referidas transferências, uma vez que até ao momento, e conforme já mencionado anteriormente, não existe qualquer decisão de adequação por parte da Comissão.

Deste modo, e embora não seja uma solução definitiva, esta regulação vem a conferir a segurança jurídica relativa às transferências de dados para o Reino Unido, permitindo a livre circulação de dados pessoais neste âmbito.

É também de referenciar, no que toca ao controlo sobre o tratamento de dados pessoais, que houve uma alteração relevante, nomeadamente, relacionada com o sistema de “Balcão Único” ou “One-Stop-Shop”, o qual, desde 1 de janeiro de 2021 deixou de ser aplicável ao Reino Unido. Este sistema permite que as Autoridades de Controlo Europeias, estabeleçam entre si um sistema de cooperação e coerência nas decisões, em matéria de proteção de dados, bem como evita que haja a necessidade de repetir os procedimentos necessários país a país (artigos 60.º e ss do RGPD e considerando 138 do RGPD).

Ora, deixando este sistema “One-Stop-Shop” de ser aplicável ao Reino Unido, deparamo-nos com a questão sobre: como deve ser a relação entre os estabelecimentos e os titulares dos dados pessoais com as Autoridades de Controlo da União Europeia e a ICO (Autoridade de Controlo do Reino Unido)? Aqui apresentamos um exemplo, por forma a clarificar a resposta a esta questão:

• Uma empresa com sede no Reino Unido e que tem um estabelecimento em Portugal, a partir do qual faz distribuição dos produtos para Portugal, Espanha e França;
• No fim do período especificado, esta empresa do Reino Unido já não se encontra a tratar dados pessoais de clientes (pessoas singulares) de países de outros Estados-Membros, mas sim de países terceiros;
• Caso aconteça um data breach que afete os clientes (pessoas singulares) de todos os países mencionados, a empresa terá que lidar com a ICO por um lado e, por outro, autonomamente com a Autoridade de Controlo Principal (no presente caso CNPD, autoridade de controlo portuguesa);
• A CNPD, assumindo a posição de Autoridade de Controlo Principal, irá entrar em contacto com as restantes Autoridades de Controlo Interessadas, isto é, a AEPD e a CNIL (autoridades de controlo de Espanha e França, respetivamente);
• Em suma, a ocorrência deste data breach irá ser investigada pela ICO, nos termos da Lei de proteção de dados do Reino Unido, e autonomamente será investigada pela CNPD, nos termos do RGPD, em cooperação com a AEPD e a CNIL.

Augusto Almeida Correia | Associado Sénior | augusto.correia@pra.pt

Rita Ferreira Ramos | Associada | rita.ramos@pra.pt

Catarina Silva Caetano | Associada | catarina.caetano@pra.pt