Posso processar dados fora do EEE ao abrigo do RGPD?
O RGPD permite a transferência de dados para países fora do Espaço Económico Europeu (os chamados “países terceiros”) para assegurar o comércio e a cooperação internacionais.
Nos termos do RGPD, a transferência de dados pessoais para países terceiros pode ser efectuada desde que estejam reunidas determinadas condições. É possível transferir dados para países terceiros que garantam um nível de proteção adequado, tal como reconhecido pela Comissão Europeia, tais como (à data da atualização do artigo): Andorra, Argentina, Canadá (apenas organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça, Uruguai, Japão, Reino Unido, Coreia do Sul e EUA (se o recetor aderir ao Quadro de Privacidade de Dados UE-EUA). Nesses países, os regulamentos jurídicos nacionais proporcionam um nível de proteção dos dados pessoais comparável ao da legislação da UE. Por conseguinte, os dados podem ser transferidos para estes países terceiros sem necessidade de aplicar salvaguardas adicionais ou cumprir outras condições.
Para transferir dados para um país terceiro que não garanta um nível de proteção adequado, pelo que não existe uma decisão de adequação da Comissão Europeia, é necessário garantir que os dados pessoais serão adequadamente protegidos pelo destinatário e que os direitos dos titulares dos dados são aplicáveis, juntamente com vias de recurso eficazes.
Podem ser fornecidas garantias adequadas, entre outras formas, através da utilização de cláusulas contratuais-tipo aprovadas pela Comissão Europeia e, para as transferências de dados dentro de um grupo de empresas, através das chamadas regras vinculativas das empresas ou através do compromisso de cumprimento de códigos de conduta, que foram declarados pela Comissão Europeia como sendo de aplicação geral.
Existem também várias excepções que autorizam a transferência de dados para um país terceiro que não esteja abrangido por uma decisão que estabeleça um nível de proteção adequado e que não disponha de garantias apropriadas. Uma das excepções é a obtenção do consentimento, que neste caso significa o consentimento da pessoa em causa, depois de a informar dos riscos associados a essa transferência.
Este conteúdo é fornecido apenas para fins educacionais. O GDPR é específico aos fatos e a maneira como se aplica à sua organização pode ser diferente do que é discutido neste artigo. Por favor, não o trate como um substituto de uma opinião jurídica profissional. Consulte sempre seu advogado ou outros profissionais responsáveis pela proteção de dados em sua organização. A GetResponse não pode ser responsabilizada por quaisquer danos indiretos, especiais, incidentais ou consequentes decorrentes de qualquer uso ou dependência de qualquer conteúdo ou material aqui incluído.