Transferência de dados: a avaliação necessária da legislação estrangeira?

por | 9 de Julho de 2021

Actualização 2 de Novembro de 2022

 

O Comité Europeu de Protecção de Dados (AEPD) fornece o seu quadro para o cumprimento do GDPR aquando da transferência de dados para fora da União Europeia.

Recomendações 01/2020 sobre medidas que
ferramentas de transferência suplementar para assegurar a conformidade com
o nível de protecção de dados pessoais na UE
Versão 2.0
Adoptado em 18 de Junho de 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

Esperava-se que este enquadramento facilitasse as formalidades contratuais para as empresas (Regras Empresariais Vinculativas ou Cláusulas Contratuais Padrão) relativamente às transferências de dados fora da União Europeia.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

A menos que estejam abrangidos pelas derrogações previstas no Artigo 49 do RGPD.

De facto, um Estado soberano pode, em qualquer caso, aceder aos dados mediante pedido específico: apenas um pedido geral de acesso aos dados poderia ser contestado por princípio.

No que diz respeito às transferências de dados para os Estados Unidos, ainda não existe uma decisão de adequação da Comissão Europeia, na sequência do chamado acórdão Schrems I de 6 de Outubro de 2015 (C-362/14) (invalidação do Safe Harbour) e do acórdão Schrems II de 16 de Julho de 2020 (C-311/18) (invalidação do Privacy Shield). A legislação americana reflecte uma concepção de privacidade centrada na protecção do cidadão americano, não incluindo os estrangeiros, que não é a concepção universalista da União Europeia.

A Quarta Emenda à Constituição dos Estados Unidos prevê: "O direito do povo a estar seguro nas suas pessoas, casas, papéis e bens, contra buscas e apreensões não razoáveis, não será violado, e nenhum mandado será emitido, excepto por causa provável, apoiado por juramento ou afirmação, e particularmente descrevendo o local a ser revistado, e as pessoas ou bens a serem apreendidos.

Apesar dos esforços de aproximação (ver a recente ordem executiva de Joe Biden de 7 de Outubro de 2022, que prevê um delegado do ramo executivo e mesmo um tribunal independente, mas cujas opiniões não são vinculativas), a lei americana ainda prevê a vigilância em massa e a ausência de recursos efectivos para os direitos das pessoas em causa.

Por conseguinte, cabe principalmente ao exportador de dados, num perigoso exercício de avaliação, verificar a legislação estrangeira. O Comité fornece uma lista de fontes de dados no Anexo III das suas recomendações.

As novas Cláusulas Contratuais Padrão ("SCC") (adoptadas pela Comissão Europeia a 4 de Junho de 2021 e publicadas a 7 de Junho de 2021, que entrarão em vigor a 27 de Junho de 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) não estão isentas deste exercício.

A decisão provisória Doctolib pode dar algumas pistas sobre como assegurar uma transferência de dados: localização e encriptação em França, obrigação da subsidiária europeia de contestar o pedido "geral" estrangeiro, dados de baixa sensibilidade, curto período de retenção de dados: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Consulte um advogado especializado em direito informático

Transferência de dados para uma nuvem estrangeira: a decisão Doctolib

por | 12 de Maio de 2021

CE, ref. ordem, 12 de Março de 2021, Doctolib, req. n° 450163 - Decisão sumária provisória

Na sua decisão Doctolib, o Conselho de Estado reconheceu a incompatibilidade da legislação dos EUA com a protecção de dados pessoais da UE

Em relação aos Estados Unidos, o acórdão Schrems II (CJEU 16 de Julho de 2020, processo C-311/18) invalidou o Privacy Shield, o equivalente a uma decisão de adequação, que permitiu às empresas a ele sujeitas exportarem dados pessoais para os Estados Unidos. A lei dos EUA permite às autoridades públicas acederem aos dados pessoais sem fornecer aos titulares dos dados vias de recurso eficazes.

A Doctolib, que oferece um serviço de marcação de consultas médicas online, aloja os seus dados nos servidores de uma subsidiária da Amazon Web Services (AWS), uma empresa constituída nos Estados Unidos da América. Como parte da campanha de vacinação contra a covid-19, Doctolib foi nomeada pelo Ministério da Solidariedade e Saúde para gerir as consultas relacionadas.

Foi pedido ao juiz interino do Conselho de Estado que suspendesse esta parceria com o fundamento de que ela iria ignorar o Regulamento Geral de Protecção de Dados (UE) 2016/679 de 27 de Abril de 2016 (GDPR).

O juiz rejeita nisso :

AWS Sarl, a subsidiária luxemburguesa da AWS Inc., é certificado como um "hospedeiro de dados de saúde". (CSP, art. L. 1111-8). Os dados estão alojados em centros localizados em França e Alemanha e não há nenhuma disposição no contrato para quaisquer transferências de dados para os EUA por razões técnicas. Uma vez que a AWS Sarl é uma subsidiária de uma empresa norte-americana, pode estar sujeita a um pedido de acesso por parte das autoridades públicas norte-americanas, de acordo com os requerentes.

Dados em questão. - O Conselho de Estado observa que "os dados em questão incluem dados de identificação pessoal e dados da nomeação mas nenhum dado de saúde sobre possíveis razões médicas para a elegibilidade para a vacinação", uma vez que os indivíduos só são obrigados a justificar a sua elegibilidade com uma declaração juramentada.

Período de Retenção. - Os dados " será abolida, o mais tardar, após um período de três meses a partir da data da marcação, e cada pessoa interessada que tenha criado uma conta na plataforma para efeitos de vacinação pode apagá-la directamente online.

Pedido de acesso pelas autoridades públicas dos EUA. - A fim de assegurar a sua relação, o contrato prevê queAWS terá de desafiar "qualquer aplicação que seja geral ou não esteja em conformidade com os regulamentos da UE ". Esta medida é acompanhada por um "mecanismo de segurança dos dados alojados pelo AWS por meio de um procedimento de encriptação com base num terceiro de confiança localizado em França a fim de impedir a leitura de dados por terceiros".

> O nível de protecção assim posto em prática pelas partes "não pode ser considerado como manifestamente insuficiente tendo em conta o risco de violação do RGPD".

 

O âmbito da decisão é relativo na medida em que é uma decisão provisória provisória que sanciona "manifestamente ilegal" e pode, portanto, ser corrigida. A ser continuada.

 
Veja também
CNIL, deliberação nº 2020-044 de 20 de Abril de 2020 e comunicado de imprensa de 14 de Outubro de 2020
CE, ref. ordem, 13 Out. 2020, n° 444937
 
 
pt_PTPortuguese
pt_PTPortuguese fr_FRFrench en_GBEnglish de_DE_formalGerman es_ESSpanish it_ITItalian