Todos reconhecem que o mundo está mais interligado do que nunca. Para qualquer organização que opere à escala global, cada transferência internacional de dados é um elemento essencial das operações comerciais diárias. As empresas podem, por exemplo, armazenar os dados pessoais dos clientes num serviço na cloud alojado no estrangeiro. Mas também podem fazer o mesmo com os dados pessoais dos seus empregados. Em que medida a transferência internacional de dados afeta a proteção destas informações?
Para poderem cumprir as suas atividades diárias, as instituições e organismos da União Europeia (UE) precisam de transferir dados pessoais para destinatários fora da UE. Estas atividades podem incluir o contato com entidades públicas estrangeiras, por exemplo, quando são realizadas investigações em matéria de luta contra a fraude ou de concorrência. Pode também ser necessário subcontratar serviços a fornecedores externos localizados fora da UE ou armazenar ou processar dados em servidores externos.
Para realizar as suas atividades diárias, as instituições da UE precisam de transferir dados para fora do seu âmbito de ação.
O Regulamento UE 2018/1725 regula as chamadas transferências internacionais de dados. A que nos referimos quando falamos delas? Àquelas que se realizam entre instituições e órgãos da União Europeia (UE) para países que não são membros do Espaço Económico Europeu (EEE), ou seja, os Estados-Membros da UE mais a Noruega, a Islândia e o Liechtenstein.
Requisitos aplicáveis às transferências internacionais de dados
Tendo em conta que se trata de dados pessoais, as transferências podem realizar-se quando exista um nível adequado de proteção do direito fundamental das pessoas à proteção de dados. As avaliações de adequação podem ser realizadas por aqueles que pretendem transferir dados para fora do EEE ou pela Comissão Europeia.
Neste sentido, a Comissão determinou que vários países garantem um nível adequado de proteção em razão do seu direito interno ou dos compromissos internacionais que assumiram.
Até à data, alguns países que foram reconhecidos como tendo um nível adequado de proteção de dados são Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Suíça, Uruguai e Estados Unidos. Se os requisitos estabelecidos pela Comissão Europeia não forem cumpridos, as empresas deverão utilizar outros métodos para garantir um nível de proteção adequado.
Até à data, a Comissão Europeia reconheceu alguns países fora do EEE como tendo um nível adequado de proteção de dados.
Se não se integrar no grupo de países, os dados pessoais podem ser transferidos de uma instituição da UE para países fora do EEE, mas sob determinadas condições. Uma delas é, que a organização que pretende transferir dados para fora do EEE, ofereça as garantias adequadas para o efeito, adotando as cláusulas contratuais normalizadas da Comissão. Além disso, a organização que pretenda transferir os dados para fora do EEE pode beneficiar de uma das exceções do RGPD. Um exemplo seria o caso de uma pessoa que dê o seu consentimento para que os seus dados sejam transferidos. Ou quando a transferência de dados tiver de ser concluída para a celebração de um contrato.
Riscos das transferências internacionais de dados
- Proteção de informações
Quando ocorre uma transferência de dados, internacional ou não, existe o risco associado à proteção das informações. Para evitar esta situação, devem ser identificadas mais cedo as eventuais lacunas de segurança que possam afetar os dados, com especial interesse para a sua integridade, disponibilidade e confidencialidade.
Para evitar riscos, devem ser tomadas medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado. Estas medidas de segurança devem garantir a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e serviços de tratamento. Em caso de incidente técnico ou físico, deve ser garantida a capacidade de restabelecer rapidamente a disponibilidade e o acesso aos dados.
- Cumprir os direitos e liberdades do utilizador
Outro dos riscos associados às transferências internacionais de dados tem a ver com o cumprimento dos requisitos que foram estabelecidos e que estão relacionados com os direitos e liberdades do utilizador. O importante neste caso é identificar este tipo de riscos para evitá-los. Além disso, o nível de exposição do risco deve ser reduzido, a fim de reduzir o impacto. Neste sentido, é necessário garantir a todo o momento ao utilizador o acesso aos seus dados pessoais para exercer o seu direito à retificação ou à informação dos mesmos.
- Perda de reputação
Para além dos riscos anteriores, as empresas que transferem dados a nível internacional também podem ser prejudicadas em termos de reputação. Isto está associado às possíveis falhas de segurança que podem ocorrer ao realizar a transferência da informação.
- Riscos de privacidade
A privacidade da pessoa em causa deve ser sempre garantida no tratamento de dados pessoais. Assim, uma das principais garantias que a empresa deve cumprir é a privacidade dos dados que está a tratar. A fim de assegurar a anonimização dos dados, deve ser criado um protocolo para evitar a recolha de informações desnecessárias.
Em suma, apesar dos riscos que existem nas transferências internacionais de dados, contar com uma boa estratégia a nível de proteção de dados garante a segurança deste tipo de tratamento.
Próxima leitura recomendada
Análise Custo-Benefício: como utilizar esta ferramenta de gestão
Receba a newsletter Sage Advice
Inscreva-se para receber o boletim do Sage Advice e receba os conselhos mais recentes diretamente no seu e-mail.
