Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

Cláusulas Contratuais Padrão (SCCs), um guia completo

De acordo com a GDPR, para transferir dados pessoais para fora da União Europeia, é necessário certificar-se de que existem normas específicas de protecção de dados em vigor. Se não existirem, então as transferências não são permitidas.

No entanto, para tornar as transferências possíveis, há várias bases legais nas quais você poderia confiar. Uma delas são as Cláusulas Contratuais Padrão (SCCs).

Neste pequeno guia, explicaremos tudo o que você precisa saber sobre as Cláusulas Contratuais Padrão, quando você pode precisar confiar nas CECs e o que você deve fazer para transferir dados para fora da UE.

standard contractual clauses

O que são cláusulas contratuais padrão?

As Cláusulas Contratuais Padrão (CEC) são cláusulas normalizadas, aprovadas pela Comissão Europeia, que permitem as transferências de dados fora do Espaço Económico Europeu (EEE).

Ambas as partes envolvidas na transferência precisam assinar um acordo contendo as Cláusulas Contratuais Padrão, sem alterar o seu texto. Como declarado pela Comissão Europeia, as CECs podem ser acrescentadas em qualquer “acordo contratual” entre as partes.

Um pouco de experiência legal

👉 Cláusulas Contratuais Padrão foram mencionadas pela primeira vez na diretiva Diretiva de Proteção de Dados de 1995. De acordo com esta Diretiva, as transferências de dados fora da UE eram permitidas somente quando certas normas de proteção de dados eram cumpridas, ou quando havia Cláusulas Contratuais Padrão em vigor. Em 2018, a GDPR substituiu a Diretiva de Proteção de Dados, mantendo a mesma menção às SCCs.

👉 Avançar rapidamente para julho de 2020, a decisão Schrems II invalidou o acordo de transferência entre a UE e os EUA, a Privacy Shield. Os SCCs têm become essential para qualquer tipo de transferência de dados entre esses países. No entanto, elas não são obrigatórias para o governo dos EUA, mas somente para a empresa que assina o acordo.

👉 A fim de enfrentar os desafios atuais e facilitar a transferência de dados entre a UE e os EUA, a Comissão Européia revisou as cláusulas. Em 4 de junho de 2021, a Comissão adotou dois conjuntos de Cláusulas Contratuais Padrão:

  1. SCCs que regulamentam a relação entre controladores e processadores;
  2. SCCs como uma ferramenta para transferências de dados fora da EEA.

Quando são necessárias cláusulas contratuais padrão?

Nem sempre são necessárias SCCs.

Na verdade, primeiro é preciso verificar se há uma decisão de adequação em vigor. Normalmente, quando o nível de protecção de dados é o mesmo que o GDPR, a Comissão Europeia emite uma decisão de adequação. Nesse caso, não há necessidade de Cláusulas Contratuais Padrão.

💡 Até agora, os únicos países para os quais a Comissão Européia emitiu uma decisão de adequação são: Andorra, Argentina, Canada (organizações comerciais), Ilhas Faroe, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, República da Coréia, Suíça, the Reino Unido e Uruguay.

Uma vez certo deste aspecto, você também precisa garantir que as CEC sejam o mecanismo que se aplica à sua atividade. Se assim for, então você precisa assinar um acordo contendo as Cláusulas Contratuais Padrão.

Como divulgar as transferências de dados em sua política de privacidade

Se você estiver transferindo dados para fora da EEA, você também precisa divulgá-los em sua política de privacidade. Com iubenda, isto é realmente fácil:

  • Procure as cláusulas dentro do Generador
  • Clique em “+” e adicione-os ao seu documento
  • Salve!
  • transferring data privacy policy iubenda

Como eu posso criar a SCC?

Como já mencionamos, suas Cláusulas Contratuais Padrão podem ser adicionadas a qualquer acordo que você tenha com a parte para a qual você está transferindo dados, ou elas podem ser um documento por conta própria.

Criar suas SCCs é mais fácil do que você pensa, porque você precisa seguir estritamente o texto sugerido pela Comissão Européia.

Existem alternativas às SCCs?

Sim, as Cláusulas Contratuais Padrão não são a única forma de transferir dados fora do EEE, você tem outras alternativas:

  • Regras Corporativas Vinculativas (BCRs): políticas de protecção de dados adoptadas por empresas multinacionais. Os BCR permitem às empresas transferir dados internacionalmente dentro do mesmo grupo empresarial. As Regras Corporativas Vinculativas são apenas para uso interno, mas o Artigo 47 do GDPR menciona-as como um método adequado para assegurar o cumprimento.
  • Derrogações: de acordo com o artigo 49 do GDPR, há também casos específicos em que você pode transferir dados pessoais sem nenhuma salvaguarda. De qualquer forma, estas derrogações aplicam-se apenas a uma transferência de dados específica ou a um conjunto de transferências, e há requisitos que você deve cumprir, por exemplo:
    • você tem o consentimento explícito do usuário e os informou de todos os riscos possíveis da transferência;
    • a transferência é necessária para o cumprimento de um contrato;
    • a transferência é necessária por razões importantes de interesse público.

Compliance tip

Se você estiver transferindo dados, você precisa revelá-los em sua política de privacidade! Caso não o faça, poderá invalidar sua atividade.

About us

iubenda

Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.

www.iubenda.com