Ignorar Comandos do Friso
Saltar para o conteúdo principal
Portal UMinho

Transferências para Países Terceiros




Portal UMinho > PT > UMinho > Proteção de Dados > Transferências para Países Terceiros

 Transferências para Países Terceiros e Organizações Internacionais

​​
​Países Terceiros: ​ O RGPD não define explicitamente o que é um país terceiro. ​Na definição do âmbito territorial de aplicação do RPGD, artigo 3.º, todos as determinações são feitas por referência à União Europeia, entendendo-se que são Países Terceiros aqueles que não lhe pertencem. Na prática os países do Espaço Económico Europeu (EEE), que não são da União Europeia, também não são considerados Países terceiros. No título do Regulamento indica-se ser o  seu "Texto relevante para efeitos do EEE"

Organização Internacional: Organização criada por acordo entre dois ou mais estados soberanos, sob a tutela do direito internacional.

A transferência de dados pessoais para países terceiros ou organizações internacionais deve, em todas as circunstâncias, assegurar que as pessoas a quem os dados respeitam beneficiam de um nível de proteção substancialmente equivalente ao garantido pelo regime de proteção de dados da União Europeia.

O regime para as Transferências Internacionais de dados pessoas está definido no Capítulo V do RGPD.
Este regime prevê dois instrumentos ordinários e algumas exceções para quando os instrumentos ordinários não estejam disponíveis.

Instrumento ordinário:  Transferência com base em “Decisão de adequação da Comissão Europeia” (RGPD artigo 45º)
A Comissão Europeia (CE) mantém uma lista de países para os quais atesta que a proteção das pessoas singulares quanto ao tratamento dos seus dados pessoais goza de proteção equivalente aquela que se verifica na União Europeia, e por isso considerada adequada (Decisão de adequação).
As transferências de dados para esses países não necessitam de outras garantias ou autorizações.
   Lista de decisões de adequação da CE​​​

Em 10 de julho de 2023 a CE aprovou uma Decisão de Adequação relativa aos Estados Unidos da América (EUA). Essa decisão é válida para transferências para as organizações dos EUA identificadas na lista "Data Privacy Framework" mantida pelo "U.S. Department of Commerce".

Instrumento ordinário:  Transferência com base em “Garantias adequadas pelo Responsável pelo tratamento”
A transferência de dados pessoais para países terceiros sem “Decisão de Adequação pela Comissão Europeia” deverá receber “Garantias adequadas pelo Responsável pelo tratamento e Subcontratantes”.
O artigo 46.º do RGPD apresenta as várias alternativas disponíveis, sendo as “Cláusulas Contratuais-tipo adotadas pela Comissão Europeia”, as de utilidade mais abrangente para a UMinho.
As “Cláusulas Contratuais-tipo” cobrem as diferentes possibilidades de relacionamento entre Responsáveis e entre Responsáveis e Subcontratantes, pelo que podem dispensar os acordos específicos para os “Tratamentos de dados em Responsabilidade Conjunta” e “Tratamentos de dados Subcontratados”.
As “Cláusulas Contratuais-tipo” não podem ser alteradas, mas podem ser incluídas num acordo mais amplo.
As “Cláusulas Contratuais-tipo” contêm disposições alternativas que devem ser escolhidas de acordo com a relação entre as partes.
As “cláusulas contratuais-tipo” estão disponíveis na página de Internet da Comissão Europeia:
   Standard contractual clauses for data transfers between EU and non-EU countries

As “Cláusulas Contratuais-tipo” apenas estabelecem responsabilidades entre as partes subscritoras, são ineficazes em relação à legislação do país de destino.
O Responsável pelo tratamento deverá avaliar se essa legislação permite acessos a dados, nomeadamente pelas autoridades, não conformes com o direito europeu.
A fim de verificar que a transferência para o país terceiro não prejudica a proteção das pessoas singulares tal como é entendida pela legislação europeia, o Responsável pelo tratamento deverá avaliar o risco do acesso das Autoridades do país destino tendo em conta os seguintes aspetos:
   a) Legitimidade do acesso aos dados pelas autoridades do país de destino, designadamente, o enquadramento legislativo que regule esse acesso e estabeleça condições e limites, de acordo com o princípio da proporcionalidade;
   b)Capacidade de os titulares exercerem os seus direitos;
   c)Existência de instrumentos que permitam o ressarcimento administrativo e judicial.
Caso se confirme esse risco, as “cláusulas contratuais-tipo” têm de ser complementadas com medidas eficazes de mitigação dessa ameaça. São medidas adicionais possíveis a cifragem dos dados ou a sua anonimização.

Instrumentos extraordinário Transferencias com base em derrogações para situações excecionais (RGPD artigo 49º)
O artigo 49 do RGPD estabelece o conjunto de situações execionais em que as transferencias se podem fazer na falta de uma "decisão de adequação" ou Garantias adequadas pelo Responsável".


RGPD, Capítulo V, Transferências de dados pessoais para países terceiros ou organizações internacionais
Conforme o CAPÍTULO V do Regulamento (UE) 2016/679 (RGPD)​

Artigo 44.º - Princípio geral das transferências
Qualquer transferência de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional só é realizada se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, inclusivamente no que diz respeito às transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional. Todas as disposições do presente capítulo são aplicadas de forma a assegurar que não é comprometido o nível de proteção das pessoas singulares garantido pelo presente regulamento.

Artigo 45.º - Transferências com base numa decisão de adequação 
1. Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige autorização específica.
(...)
​​8. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio web uma lista dos países terceiros, territórios e setores específicos de um país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, se asseguram ou não um nível de proteção adequado.

 

Artigo 46.º - Transferências sujeitas a garantias adequadas

​1. Não tendo sido tomada qualquer decisão nos termos do artigo 45.º, n​.º 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado g​​arantias adequadas, e na condição de os titulares dos dados gozarem de dir​eitos oponíveis e de medidas jurídicas corretivas eficazes.

 

Artigo 47.º - Regras vinculativas aplicáveis às empresas

 

Artigo 48.º Transferências ou divulgações não autorizadas pelo direito da União

As decisões judiciais e as decisões de autoridades administrativas de um país terceiro que exijam que o responsável pelo tratamento ou o subcontratante transfiram ou divulguem dados pessoais só são reconhecidas ou executadas se tiverem como base um acordo internacional, como um acordo de assistência judiciária mútua, em vigor entre o país terceiro em causa e a União ou um dos Estados-Membros, sem prejuízo de outros motivos de transferência nos termos do presente capítulo.​​​​​​​​

 

Artigo 49.º - Derrogações para situações específicas

1. Na falta de uma decisão de adequação nos termos do artigo 45.º, n.º 3, ou de garantias adequadas nos termos do artigo 46.º, designadamente de regras vinculativas aplicáveis às empresas, as transferências ou conjunto de transferências de dados pessoais para países terceiros ou organizações internacionais só são efetuadas caso se verifique uma das seguintes condições:
    a) O titular dos dados tiver explicitamente dado o seu consentimento à transferência prevista, após ter sido informado dos possíveis riscos de tais transferências para si próprio devido à falta de uma decisão de adequação e das garantias adequadas;
    b) A transferência for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;
    c) A transferência for necessária para a celebração ou execução de um contrato, celebrado no interesse do titular dos dados, entre o responsável pelo seu tratamento e outra pessoa singular ou coletiva;
    d) A transferência for necessária por importantes razões de interesse público;
    e) A transferência for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial;
    f) A transferência for necessária para proteger interesses vitais do titular dos dados ou de outras pessoas, se esse titular estiver física ou legalmente incapaz de dar o seu consentimento;
    g) A transferência for realizada a partir de um registo que, nos termos do direito da União ou do Estado-Membro, se destine a informar o público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar nela ter um interesse legítimo, mas apenas na medida em que as condições de consulta estabelecidas no direito da União ou de um Estado-Membro se encontrem preenchidas nesse caso concreto.

Quando uma transferência não puder basear-se no disposto no artigo 45.º ou 46..º, incluindo nas regras vinculativas aplicáveis às empresas, e não for aplicável nenhuma das derrogações previstas para as situações específicas a que se refere o primeiro parágrafo do presente número, a transferência para um país terceiro ou uma organização internacional só pode ser efetuada se não for repetitiva, apenas disser respeito a um número limitado de titulares dos dados, for necessária para efeitos dos interesses legítimos visados pelo responsável pelo seu tratamento, desde que a tais interesses não se sobreponham os interesses ou os direitos e liberdades do titular dos dados, e o responsável pelo tratamento tiver ponderado todas as circunstâncias relativas à transferência de dados e, com base nessa avaliação, tiver apresentado garantias adequadas no que respeita à proteção de dados pessoais. O responsável pelo tratamento informa da transferência a autoridade de controlo. Para além de fornecer a informação referida nos artigos 13.º e 14.º, o responsável pelo tratamento presta informações ao titular dos dados sobre a transferência e os interesses legítimos visados.

2. As transferências efetuadas nos termos do n.º 1, primeiro parágrafo, alínea g), não envolvem a totalidade dos dados pessoais nem categorias completas de dados pessoais constantes do registo. Quando o registo se destinar a ser consultado por pessoas com um interesse legítimo, as transferências só podem ser efetuadas a pedido dessas pessoas ou se forem elas os seus destinatários. ​​​

3. O n.º1, primeiro parágrafo, alíneas a), b) e c), e segundo parágrafo, não é aplicável a atividades levadas a cabo por autoridades públicas no exercício dos seus poderes.

4. O interesse público referido no n.º 1, primeiro parágrafo, alínea d), é reconhecido pelo direito da União ou pelo direito do Estado-Membro a que o responsável pelo tratamento se encontre sujeito.

5. Na falta de uma decisão de adequação, o direito da União ou de um Estado-Membro podem, por razões importantes de interesse público, estabelecer expressamente limites à transferência de categorias específicas de dados para países terceiros ou organizações internacionais. Os Estados-Membros notificam a Comissão dessas disposições.

6. O responsável pelo tratamento ou o subcontratante documenta a avaliação, bem como as garantias adequadas referidas no n.º 1, segundo parágrafo, do presente artigo, nos registos a que se refere o artigo 30.º.

​​​​​

  • Universidade do
    Minho
  • Largo do Paço
    4704-553 Braga
  • T.:253 601 100, 253 601 109
    E.: gcii@reitoria.uminho.pt
© Universidade do Minho - 2024