De acordo com a GDPR, para transferir dados pessoais para fora da União Europeia, é necessário certificar-se de que existem normas específicas de protecção de dados em vigor. Se não existirem, então as transferências não são permitidas.
No entanto, para tornar as transferências possíveis, há várias bases legais nas quais você poderia confiar. Uma delas são as Cláusulas Contratuais Padrão (SCCs).
Neste pequeno guia, explicaremos tudo o que você precisa saber sobre as Cláusulas Contratuais Padrão, quando você pode precisar confiar nas CECs e o que você deve fazer para transferir dados para fora da UE.
As Cláusulas Contratuais Padrão (CEC) são cláusulas normalizadas, aprovadas pela Comissão Europeia, que permitem as transferências de dados fora do Espaço Económico Europeu (EEE).
Ambas as partes envolvidas na transferência precisam assinar um acordo contendo as Cláusulas Contratuais Padrão, sem alterar o seu texto. Como declarado pela Comissão Europeia, as CECs podem ser acrescentadas em qualquer “acordo contratual” entre as partes.
👉 Cláusulas Contratuais Padrão foram mencionadas pela primeira vez na diretiva Diretiva de Proteção de Dados de 1995. De acordo com esta Diretiva, as transferências de dados fora da UE eram permitidas somente quando certas normas de proteção de dados eram cumpridas, ou quando havia Cláusulas Contratuais Padrão em vigor. Em 2018, a GDPR substituiu a Diretiva de Proteção de Dados, mantendo a mesma menção às SCCs.
👉 Avançar rapidamente para julho de 2020, a decisão Schrems II invalidou o acordo de transferência entre a UE e os EUA, a Privacy Shield. Os SCCs têm become essential para qualquer tipo de transferência de dados entre esses países. No entanto, elas não são obrigatórias para o governo dos EUA, mas somente para a empresa que assina o acordo.
👉 A fim de enfrentar os desafios atuais e facilitar a transferência de dados entre a UE e os EUA, a Comissão Européia revisou as cláusulas. Em 4 de junho de 2021, a Comissão adotou dois conjuntos de Cláusulas Contratuais Padrão:
Nem sempre são necessárias SCCs.
Na verdade, primeiro é preciso verificar se há uma decisão de adequação em vigor. Normalmente, quando o nível de protecção de dados é o mesmo que o GDPR, a Comissão Europeia emite uma decisão de adequação. Nesse caso, não há necessidade de Cláusulas Contratuais Padrão.
💡 Até agora, os únicos países para os quais a Comissão Européia emitiu uma decisão de adequação são: Andorra, Argentina, Canada (organizações comerciais), Ilhas Faroe, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, República da Coréia, Suíça, the Reino Unido e Uruguay.
Uma vez certo deste aspecto, você também precisa garantir que as CEC sejam o mecanismo que se aplica à sua atividade. Se assim for, então você precisa assinar um acordo contendo as Cláusulas Contratuais Padrão.
Se você estiver transferindo dados para fora da EEA, você também precisa divulgá-los em sua política de privacidade. Com iubenda, isto é realmente fácil:
Como já mencionamos, suas Cláusulas Contratuais Padrão podem ser adicionadas a qualquer acordo que você tenha com a parte para a qual você está transferindo dados, ou elas podem ser um documento por conta própria.
Criar suas SCCs é mais fácil do que você pensa, porque você precisa seguir estritamente o texto sugerido pela Comissão Européia.
Sim, as Cláusulas Contratuais Padrão não são a única forma de transferir dados fora do EEE, você tem outras alternativas:
Se você estiver transferindo dados, você precisa revelá-los em sua política de privacidade! Caso não o faça, poderá invalidar sua atividade.
Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.