O Conselho da União Europeia de Proteção de Dados (“EDPB”) promoveu sua primeira sessão plenária no dia 25 de Maio de 2018, mesmo dia em que a Regulação Geral de Proteção de Dados da UE (“RGDP”) entrou em vigor.

O EDPB substitui o “The Article 29 Working Party”, um órgão consultivo composto pelas várias autoridades de proteção de dados sob escopo da lei anterior de proteção de dados da União Europeia ("UE"). O EDPB é um órgão europeu independente composto por representantes das autoridades nacionais de supervisão de cada Estado-Membro da UE e do Supervisor da Proteção de Dados Europeu (“EDPS”). Sua missão é assegurar a coerente aplicação das da legislação relativa à proteção de dados da UE e fornecer relevantes orientações na área.

Como uma de suas primeiras deliberações durante sua primeira reunião, o EDPB adotou diretrizes em dois tópicos distintos sob o escopo do GDPR: (1) Diretrizes finais 2/2018 que aborda as exceções para transferir dados pessoais para fora da UE à luz do Art. 49 do RGDP (“Diretrizes sobre as exceções do Artigo 49”) e (2) esboço das diretrizes 1/2018, que aborda mecanismos de certificação e de proteção de dados a partir do uso de selos e marcas para demonstrar conformidade ao GDPR, em observância ao disposto nos Artigos 42 e 43 do RGDP (“Diretrizes de Mecanismos de Certificação”)

Orientações às exceções do Artigo 49

Para transferir dados pessoais para fora da UE as organizações precisam seguir um mecanismo de transferência específico. Tais mecanismos incluem a: (i) transferência a um país que a UE julgue ter leis de proteção de dados adequadas sob o escopo do Artigo 45 do RGDP, (ii) o uso de medidas de segurança apropriadas identificadas pelo Artigo 46 do RGDP, como as cláusulas contratuais padrão, as regras corporativas obrigatórias, etc., e (iii) o embasamento em uma das exceções identificadas no Artigo 49 do RGDP, o que inclui, dentre outros, consentimento explícito do titular sobre os dados, necessidade contratual e interesse público.

As diretrizes das exceções do Artigo 49 são relevantes em inúmeros contextos:

  • Elas confirmam que as organizações que transferem dados pessoais para fora da UE devem primeiro empenhar-se em adotar um dos mecanismos descritos nos Artigos 45 e 46 do RGDP antes de se basear em uma das exceções do Artigo 49 do RGDP. As exceções do Artigo 49 do RGDPdevem ser usadas somente quando as cláusulas contratuais padrão, regras corporativas obrigatórias ou outros mecanismos previstos nos Artigos 45 e 46 não puderem ser colocados em prática.
  • O EDPB reafirma que as exigências de consentimento tratadas pelo seu antecessor, The Article 29 Working Party, são aplicáveis quando se avalia as condições de um “consentimento explícito” no contexto das exceções. As organizações são advertidas da viabilidade do uso do consentimento como uma solução a longo prazo para transferências para países terceiros fora da União Europeia.
  • Exceções que não estão expressamente limitadas às transferências “ocasionais” ou “não repetitivas” (como por exemplo, quando baseadas no consentimento ou no interesse público) ainda precisam ser interpretadas restritivamente.
  • O EDPB, ainda, fornece orientações sobre os testes "ocasionais" e de "necessidade". Em relação aos "ocasionais", o EDPB determina, por exemplo, que as transferências de dados que ocorrem dentro de uma relação comercial estável não devem ser consideradas como "ocasionais". Em "necessidade", as Diretrizes sobre as exceções do Artigo 49 confirmam que o teste de necessidade, quando aplicável, requer uma avaliação pelo exportador de dados de uma conexão estreita e substancial entre a transferência de dados e a finalidade real.
  • As orientações relativas às exceções do artigo 49 tratam de exemplos práticos das exceções e da sua utilização (incluindo o contexto entre empresas do mesmo grupo, em relação aos dados relativos aos Recursos Humanos).

Diretrizes nos Mecanismos de Certificação

O Artigo 42 do GDPR encoraja as empresas a usarem mecanismos de certificação de proteção de dados e proteção de dados de selos e marcas aprovados para permitir que os titulares dos dados tenham acesso rápido ao nível de proteção de dados fornecido pela companhia e para demonstrar as medidas de segurança utilizadas pela companhia para garantir uma proteção adequada aos dados.

As Diretrizes propostassobre Mecanismos de Certificação não se trata de um manual de procedimentos para certificação, mas sim, para identificar critérios gerais que podem ser relevantes para todos os tipos de mecanismos de certificação (e fornece, ainda, tabelas resumidas interessantes que atribuem o papel e poder das autoridades supervisoras ao processo de certificação).

Nas Diretrizes propostas sobre Mecanismos de Certificação, o EDPB, entre outros esclarecimentos:

  • Define o que se entende por certificação (referindo-se ao padrão ISO).
  • Explora as razões para o uso da certificação como uma ferramenta fundamental.
  • Avalia o papel das autoridades de supervisão no desenvolvimento de mecanismos de certificação e explica o escopo do que pode ser certificado (produtos, serviços, software, etc.) e o objeto da certificação. As diretrizes confirmam que a certificação pode ser uma ferramenta para demonstrar que medidas técnicas e organizacionais apropriadas estão em vigor (conforme os Artigos 24 e 32 do GDPR).
  • Contempla a ideia de um selo europeu de proteção de dados como meio de mitigar a multiplicação de logotipos e práticas nacionais.

As Diretrizes sobre Mecanismos de Certificação estão abertas para consulta pública por seis semanas. Os comentários devem ser enviados para EDPB@edpb.europa.eu até 12 de julho de 2018.

Saiba mais sobre o Regulamento Geral de Proteção de Dados da UE.

O presente Legal Update consiste em tradução do Legal Update original veiculado pela Mayer Brown no dia 5.06.2018.