Transferência de dados pessoais para países não pertencentes à UE: cláusulas contratuais-tipo

 

SÍNTESE DE:

Decisão 2010/87/UE relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Diretiva 95/46/CE

QUAL É O OBJETIVO DESTA DECISÃO?

A decisão estabelece cláusulas contratuais-tipo que podem ser utilizadas pelos responsáveis pelo tratamento de dados * (exportadores) estabelecidos na União Europeia (UE) que transferem dados pessoais * para subcontratantes * (importadores) estabelecidos fora da UE ou do Espaço Económico Europeu (EEE), de modo a que possam apresentar garantias adequadas relativas à proteção de dados e, deste modo, cumprir os requisitos da legislação da UE relativa à proteção de dados [o Regulamento geral de proteção de dados — Regulamento (UE) 2016/679 — ver síntese].

PONTOS-CHAVE

As cláusulas contratuais-tipo são definidas no anexo à decisão da forma a seguir indicada. As cláusulas contratuais-tipo dizem apenas respeito à proteção de dados e podem ser aditadas pelas partes em contratos mais abrangentes ou ser complementadas por outras cláusulas ou garantias, desde que não contrariem, direta ou indiretamente, as cláusulas contratuais-tipo estabelecidas por esta decisão.

Cláusula 1: Definições

São estabelecidas as definições dos principais conceitos utilizados nas cláusulas contratuais-tipo.

Cláusula 2: Pormenores da transferência

As partes devem enumerar, num anexo às cláusulas contratuais, os pormenores das transferências, incluindo as atividades relevantes do importador e do exportador, as categorias de dados pessoais transferidos e as operações de tratamento a que o titular dos dados pessoais será sujeito após a transferência dos seus dados.

Cláusula 3: Cláusula do terceiro beneficiário

Esta cláusula permite ao titular dos dados fazer aplicar várias cláusulas contra o exportador de dados, o importador de dados ou o subcontratante ulterior na qualidade de terceiro beneficiário. Permite ainda que as partes não se oponham a que um titular de dados seja representado por uma associação ou outro organismo se a legislação nacional o permitir.

Cláusula 4: Obrigações do exportador de dados

Esta cláusula estabelece as obrigações contratuais do exportador de dados, que deve acordar e garantir que:

• tratará os dados pessoais de acordo com a legislação sobre proteção de dados;
• dará instruções ao importador de dados para tratar os dados pessoais transferidos apenas por conta do exportador de dados, e em conformidade com a legislação sobre proteção de dados aplicável e com as cláusulas;
• oferecerá (e cumprirá) garantias suficientes em relação às medidas de segurança técnicas e organizativas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede;
• notificará o titular dos dados no caso de determinadas categorias de dados poderem ser transmitidas para um país não pertencente à UE que não garante um nível de proteção adequado;
• enviará à autoridade de controlo competente qualquer notificação recebida do importador de dados de que este último não tem capacidade para cumprir as cláusulas se decidir continuar a transferência;
• disponibilizará aos titulares dos dados, mediante pedido, um exemplar das cláusulas, com uma descrição sumária das medidas de segurança;
• em caso de subcontratação ulterior, o subcontratante ulterior assegura pelo menos o mesmo nível de proteção dos dados pessoais que o importador de dados.

Cláusula 5: Obrigações do importador de dados

Esta cláusula estabelece as obrigações contratuais do importador de dados, que deve acordar e garantir que:

• tratará os dados pessoais apenas por conta do exportador de dados e em conformidade com as suas instruções e as cláusulas;
• não tem qualquer razão para crer que a legislação que lhe é aplicável o impede de respeitar as instruções recebidas do exportador de dados e as obrigações que lhe incumbem por força do contrato;
• notificará imediatamente qualquer alteração nessa legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas cláusulas, tendo o exportador de dados, caso tal aconteça, o direito de suspender a transferência de dados e/ou de rescindir o contrato;
• aplicará as medidas de segurança técnicas e organizativas antes de tratar os dados pessoais transferidos;
• notificará imediatamente o exportador de dados no que respeita a qualquer pedido de divulgação de dados pessoais por parte de uma autoridade competente para a aplicação da lei, qualquer acesso acidental ou não autorizado e qualquer pedido recebido diretamente dos titulares de dados, sem responder a esse pedido, a não ser que tenha sido autorizado a fazê-lo;
• responderá rapidamente a todos os pedidos de informação do exportador de dados e submeter-se-á aos conselhos da autoridade de controlo;
• a pedido do exportador de dados, apresentará os seus meios de tratamento de dados para auditoria das atividades de tratamento abrangidas pelas cláusulas;
• disponibilizará aos titulares dos dados, mediante pedido, um exemplar das cláusulas, com uma descrição sumária das medidas de segurança;
• só recorrerá a um subcontratante ulterior depois de obter o consentimento escrito do exportador de dados.

Cláusula 6: Responsabilidade

As cláusulas exigem que as partes acordem que qualquer titular dos dados que tenha sofrido danos resultantes de qualquer incumprimento das obrigações tem o direito de obter reparação do exportador de dados pelos danos sofridos.

Cláusula 7: Mediação e jurisdição

O importador de dados deve acordar que se o titular dos dados invocar contra ele os direitos de terceiro beneficiário e/ou exigir uma indemnização por perdas e danos, aceitará a decisão do titular dos dados de submeter o litígio a mediação de uma pessoa independente ou aos tribunais do país da UE em que o exportador de dados está estabelecido (com direito a obter reparação em conformidade com outras disposições do direito nacional ou internacional).

Cláusula 8: Cooperação com as autoridades de controlo

Esta cláusula diz respeito à cooperação com a autoridade de controlo competente e estabelece que:

• a autoridade de controlo tem o direito de realizar auditorias ao importador de dados ou a qualquer subcontratante ulterior;
• o exportador de dados acorda em informar o exportador de dados da existência de qualquer legislação que impeça a realização de uma auditoria ao importador de dados. Nesse caso, o exportador de dados tem o direito de suspender a transferência de dados ou rescindir o contrato.

Cláusula 9: Direito aplicável

As cláusulas são regidas pelo direito nacional do país da UE onde o exportador de dados está estabelecido.

Cláusula 10: Alteração do contrato

As partes não podem alterar nem contrariar as cláusulas.

Cláusula 11: Subcontratação ulterior

As disposições relativas à subcontratante ulterior são regidas pelo direito nacional do país da UE onde o exportador de dados está estabelecido.

Cláusula 12: Obrigação depois de terminados os serviços de tratamento de dados pessoais

Esta cláusula diz respeito às obrigações que incumbem às partes após terminada a prestação de serviços de tratamento de dados. As partes devem, nomeadamente acordar que, uma vez terminados estes serviços, o importador de dados e o subcontratante ulterior devem devolver (ou destruir, caso seja solicitado) todos os dados pessoais transferidos, exceto se a legislação imposta ao importador de dados o impedir.

A PARTIR DE QUANDO É APLICÁVEL ESTA DECISÃO?

A decisão é aplicável desde 15 de maio de 2010.

CONTEXTO

• Nota: esta decisão foi objeto de um pedido de decisão prejudicial que esteve na origem do acórdão do Tribunal de Justiça da UE (Processo C-311/18) de 16 de julho de 2020 confirmando a validade da decisão.
• A Comissão Europeia adotou também dois conjuntos de cláusulas contratuais-tipo aplicáveis à transferência de dados pelos responsáveis pelo tratamento estabelecidos na UE aos seus homólogos estabelecidos fora da UE ou do EEE.
• Consultar também:
  • Proteção de dados (Comissão Europeia).

PRINCIPAIS TERMOS

PRINCIPAL DOCUMENTO

Decisão 2010/87/UE da Comissão, de 5 de fevereiro de 2010, relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (JO L 39 de 12.2.2010, p. 5-18).

As sucessivas alterações da Decisão 2010/87/UE foram integradas no texto de base. A versão consolidada tem apenas valor documental.

DOCUMENTOS RELACIONADOS

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1-88).

Consulte a versão consolidada.

Decisão 2004/915/CE da Comissão, de 27 de dezembro de 2004, que altera a Decisão 2001/497/CE no que se refere à introdução de um conjunto alternativo de cláusulas contratuais típicas aplicáveis à transferência de dados pessoais para países terceiros (JO L 385 de 29.12.2004, p. 74-84).

Decisão 2001/497/CE da Comissão, de 15 de junho de 2001, relativa às cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros, nos termos da Diretiva 95/46/CE (JO L 181 de 4.7.2001, p. 19-31).

Consulte a versão consolidada.

Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31-50).

Consulte a versão consolidada.

última atualização 07.10.2020