Actualização 2 de Novembro de 2022
O Comité Europeu de Protecção de Dados (AEPD) fornece o seu quadro para o cumprimento do GDPR aquando da transferência de dados para fora da União Europeia.
Recomendações 01/2020 sobre medidas que
ferramentas de transferência suplementar para assegurar a conformidade com
o nível de protecção de dados pessoais na UE
Versão 2.0
Adoptado em 18 de Junho de 2021.
https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr
Esperava-se que este enquadramento facilitasse as formalidades contratuais para as empresas (Regras Empresariais Vinculativas ou Cláusulas Contratuais Padrão) relativamente às transferências de dados fora da União Europeia.
Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,
A menos que estejam abrangidos pelas derrogações previstas no Artigo 49 do RGPD.
De facto, um Estado soberano pode, em qualquer caso, aceder aos dados mediante pedido específico: apenas um pedido geral de acesso aos dados poderia ser contestado por princípio.
No que diz respeito às transferências de dados para os Estados Unidos, ainda não existe uma decisão de adequação da Comissão Europeia, na sequência do chamado acórdão Schrems I de 6 de Outubro de 2015 (C-362/14) (invalidação do Safe Harbour) e do acórdão Schrems II de 16 de Julho de 2020 (C-311/18) (invalidação do Privacy Shield). A legislação americana reflecte uma concepção de privacidade centrada na protecção do cidadão americano, não incluindo os estrangeiros, que não é a concepção universalista da União Europeia.
A Quarta Emenda à Constituição dos Estados Unidos prevê: "O direito do povo a estar seguro nas suas pessoas, casas, papéis e bens, contra buscas e apreensões não razoáveis, não será violado, e nenhum mandado será emitido, excepto por causa provável, apoiado por juramento ou afirmação, e particularmente descrevendo o local a ser revistado, e as pessoas ou bens a serem apreendidos.
Apesar dos esforços de aproximação (ver a recente ordem executiva de Joe Biden de 7 de Outubro de 2022, que prevê um delegado do ramo executivo e mesmo um tribunal independente, mas cujas opiniões não são vinculativas), a lei americana ainda prevê a vigilância em massa e a ausência de recursos efectivos para os direitos das pessoas em causa.
Por conseguinte, cabe principalmente ao exportador de dados, num perigoso exercício de avaliação, verificar a legislação estrangeira. O Comité fornece uma lista de fontes de dados no Anexo III das suas recomendações.
As novas Cláusulas Contratuais Padrão ("SCC") (adoptadas pela Comissão Europeia a 4 de Junho de 2021 e publicadas a 7 de Junho de 2021, que entrarão em vigor a 27 de Junho de 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) não estão isentas deste exercício.
A decisão provisória Doctolib pode dar algumas pistas sobre como assegurar uma transferência de dados: localização e encriptação em França, obrigação da subsidiária europeia de contestar o pedido "geral" estrangeiro, dados de baixa sensibilidade, curto período de retenção de dados: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html
Portuguese 
French 
English 
German 
Spanish 
Italian