COMUNICADO: A aquisição da Wesco de Rahi foi finalizada. Saiba Mais

COMUNICADO: A aquisição da Wesco de Rahi foi finalizada.

Saiba Mais

Procedimento de transferência de dados pessoais transfronteiriços

Introdução

Este procedimento destina-se a ser utilizado ao estabelecer um novo acordo para a transferência de dados pessoais para um país fora da União Europeia ou para uma organização internacional. Também pode ser usado para validar se os acordos existentes atendem aos requisitos do Regulamento Geral de Proteção de Dados (GDPR).

Uma organização internacional é definida pelo GDPR como “uma organização e seus órgãos subordinados de direito internacional público, ou qualquer outro órgão criado por, ou com base em, um acordo entre dois ou mais países” (RGPD, artigo 4).

A intenção do GDPR é proteger os dados pessoais dos cidadãos da UE onde quer que sejam mantidos; existem requisitos rigorosos que regem para onde os dados pessoais podem ser transferidos e as medidas que devem estar em vigor para que tal transferência seja legal. As penalidades por violar o GDPR são significativas e a Rahi Systems deve ter cuidado para garantir que sempre permaneçamos dentro da lei.

Este procedimento deve ser considerado em conjunto com os seguintes documentos relacionados:

 

    Procedimentos para Transferência Internacional de Dados Pessoais

    Determinar o país ou países de destino

    Para estabelecer se uma transferência de dados pessoais é legal sob o GDPR, o país ou países de destino devem estar firmemente estabelecidos, juntamente com quaisquer outros países que receberão uma transferência posterior dos dados pessoais como parte do acordo.

    Isso também pode envolver um entendimento claro da base legal de quaisquer organizações internacionais que receberão os dados pessoais, em particular os países que fazem parte do acordo que rege essas organizações.

    • Estabelecer se uma decisão de adequação se aplica

    Uma vez estabelecido um entendimento claro do país ou países de destino dos dados pessoais, deve ser consultada a lista de países e organizações internacionais para os quais se aplica uma decisão de adequação. Esta lista é publicada no Jornal Oficial da União Europeia e no site da Comissão Europeia (ec.europa.eu).

    [Nota: atualmente a lista de países sujeitos a uma decisão de adequação pode ser encontrada em https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en e é o seguinte: Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Suíça e Uruguai]

    Uma decisão de adequação significa que a Comissão Europeia considera aceitável o nível de proteção de dados pessoais nesse país e, portanto, as transferências não exigem a implementação de garantias legais adicionais. As decisões de adequação são revistas regularmente, pelo menos de quatro em quatro anos, e podem ser revogadas caso a CE deixe de considerar que o país em causa cumpre os seus requisitos de proteção de dados pessoais.

    • Implementar Salvaguardas Apropriadas

    Se o país ou um ou mais dos países para os quais os dados pessoais serão transferidos não estiver sujeito a uma decisão de adequação da CE, as salvaguardas apropriadas devem ser implementadas para garantir os direitos dos titulares dos dados e recursos legais aplicáveis.

    Existem várias maneiras pelas quais o GDPR permite que essas salvaguardas sejam fornecidas. Estes são:

    • apenas entre autoridades ou organismos públicos, através de um acordo juridicamente vinculativo e suscetível de ser aplicado
    • usando regras corporativas vinculativas
    • usando cláusulas padrão de proteção de dados adotadas pela Comissão Europeia ou pela autoridade supervisora ​​relevante
    • através de um código de conduta aprovado
    • através de um esquema de certificação

    O status de algumas das salvaguardas acima pode mudar ao longo do tempo, à medida que o GDPR se torna mais maduro e mais orientações são emitidas pela Comissão Europeia e pelas autoridades supervisoras individuais. O método mais adequado de proteção dos direitos dos titulares de dados cujos dados serão transferidos deve ser escolhido e incorporado nas cláusulas contratuais do contrato relevante.

    2.3.1.         Regras corporativas obrigatórias

    A autoridade supervisora ​​relevante para a transferência (geralmente no país do controlador dos dados) tem o poder de aprovar um conjunto de regras corporativas vinculantes (BCRs) que podem ser usadas para cobrir a transferência de dados pessoais de uma entidade de proteção de dados ponto de vista.

    Essas regras corporativas vinculativas são exigidas pelo GDPR para especificar todos os aspectos da transferência, incluindo como a proteção de dados será fornecida, como os titulares dos dados exercerão seus direitos e como a conformidade será verificada. Os requisitos completos estão listados em Artigo 47 (“Regras societárias vinculantes”) n.º 2, alíneas a) a n) do RGPD.

    A criação e aprovação inicial (pela autoridade supervisora) de BCRs é um trabalho significativo que deve ser abordado com total comprometimento da alta administração da Rahi Systems e pode levar muito tempo para ser realizado. Pode haver um conjunto existente de BCRs que podem se aplicar à transferência que está sendo considerada e deve-se procurar aconselhamento do departamento jurídico se for pretendido usar essa rota para cumprir o GDPR em relação a uma transferência de dados.

    2.3.2.         Cláusulas padrão de proteção de dados

    A Comissão Europeia e cada uma das autoridades supervisoras individuais podem criar e manter conjuntos de cláusulas modelo de proteção de dados que se destinam a serem usadas em contratos que se aplicam à transferência de dados pessoais. Quando usadas em sua totalidade, essas cláusulas são geralmente aceitas como atendendo aos requisitos do GDPR para fornecer salvaguardas adequadas.

    Para obter a versão mais recente dessas cláusulas, consulte o site da autoridade supervisora ​​relevante.

    2.3.3.         Códigos de conduta

    Artigo 40 do GDPR ("Códigos de conduta") prevê a elaboração de códigos de conduta apropriados por organizações como associações e órgãos do setor para abordar a conformidade com o GDPR. As organizações então concordam em cumprir o código de conduta e sua conformidade é monitorada pela associação relevante.

    Esse código de conduta pode ser usado para cobrir uma transferência internacional de dados pessoais e se a Rahi Systems já tiver, ou puder, assinar tal código, pode ser investigado como uma possível rota para fornecer as salvaguardas apropriadas.

    2.3.4.         Esquemas de certificação

    A certificação para um esquema aprovado também pode ser usada para demonstrar que as salvaguardas apropriadas estão em vigor para proteger a transferência de dados pessoais internacionalmente. Isso se aplicará ao remetente e ao destinatário dos dados e exigirá que um esquema de certificação aprovado esteja disponível no país do destinatário.

    • Outras condições aceitáveis ​​para transferências de dados pessoais

    No caso de uma decisão de adequação não se aplicar ao país de destino e as salvaguardas apropriadas não puderem ser implementadas através dos métodos acima, uma transferência de dados pessoais só poderá ser feita internacionalmente se um das seguintes situações se aplica:

    • o titular dos dados consente explicitamente com a transferência, tendo sido informado dos riscos
    • a transferência é necessária para cumprir os compromissos contratuais com o titular dos dados ou o titular dos dados solicita a transferência antes do contrato
    • a transferência é do interesse do titular dos dados no que diz respeito a um contrato
    • é por importantes razões de interesse público (reconhecido por lei)
    • a transferência tem a ver com uma ação legal
    • os interesses vitais do titular dos dados são protegidos pela transferência ou se não puderem consentir
    • a transferência é feita a partir de um registo público

    As especificidades de cada uma dessas condições devem ser revisadas diretamente do Artigo 49 do GDPR (“Derrogações para situações específicas”) antes de basear uma transferência neles.

    • Transferências excepcionais

    Se nenhuma das condições estabelecidas neste procedimento se aplicar, uma transferência internacional de dados pessoais só poderá ocorrer se todos os das seguintes condições se aplicam:

    • A transferência não é repetitiva
    • Um número limitado de titulares de dados está envolvido
    • É para interesses legítimos imperiosos que não são substituídos pelos do titular dos dados
    • Todas as circunstâncias da transferência de dados foram avaliadas
    • São fornecidas salvaguardas adequadas, com base na avaliação
    • A avaliação e as salvaguardas são documentadas
    • A autoridade supervisora ​​é informada da transferência
    • O titular dos dados é informado da transferência de dados e das razões para tal
    • O titular dos dados é informado sobre os seus direitos ao abrigo do RGPD

    Consulte Artigo 49 do GDPR (“Derrogações para situações específicas”) parágrafo 1 para as definições exatas das condições acima.

    • Colocando a transferência no lugar

    Uma vez que a base legal da transferência de dados pessoais tenha sido estabelecida e aprovada, a mecânica de realização da transferência deve ser abordada. Estes irão variar de acordo com fatores como o tipo e volume de dados envolvidos, o destino e a tecnologia utilizada.

    Deve-se tomar cuidado para garantir que as salvaguardas acordadas como parte da configuração da transferência sejam cumpridas e que as evidências de seu uso sejam mantidas para fins de auditoria futura.

    É essencial que seja realizada uma avaliação conscienciosa caso a caso para cada conjunto de transferências internacionais de dados, a fim de verificar se o nível de proteção de dados no país destinatário é pelo menos equivalente aos princípios de proteção de dados consagrados no o RGPD. Se o resultado de tal avaliação mostrar que o nível de proteção de dados pessoais no país destinatário não é adequado de acordo com os padrões do GDPR, a Rahi Systems não deve continuar com essa transferência internacional de dados.

    O site da Comissão Europeia e a autoridade supervisora ​​relevante devem ser monitorados para que quaisquer alterações que afetem a legalidade ou o desempenho da transferência sejam identificadas e postas em prática.