Quando é que o GDPR se aplica extraterritorialmente? Explicação dos métodos de resposta
O GDPR, ou Regulamento Geral sobre a Proteção de Dados, é uma regulamentação estabelecida pela UE que define a proteção e o tratamento de dados pessoais. Se estiver a desenvolver produtos ou serviços dentro do território da UE, é possível que o GDPR seja aplicável. No entanto, pode haver quem não saiba se a sua empresa está abrangida pelo âmbito de aplicação do GDPR ou, caso esteja, o que deve fazer.
Neste artigo, explicaremos o âmbito de aplicação do GDPR, o que deve fazer se ele for aplicável e as medidas de resposta exigidas. Também há uma secção de Perguntas e Respostas sobre a aplicação do GDPR, por isso, convidamo-lo a consultar para mais informações.
Âmbito de Aplicação do GDPR
As condições sob as quais o GDPR é aplicável estão estipuladas no Artigo 3º do GDPR, “Âmbito de Aplicação Geográfico”. O âmbito de aplicação do GDPR divide-se em duas situações: quando existe uma base na UE e quando não existe.
O conteúdo estipulado para os casos em que existe uma base na UE é o seguinte:
“Aplica-se ao tratamento de dados pessoais no contexto das atividades de um estabelecimento de um responsável ou processador na União, independentemente de o tratamento ocorrer ou não na União.”
Referência: Comissão de Proteção de Dados Pessoais | “Tradução provisória do Regulamento Geral sobre a Proteção de Dados (GDPR)[ja]“
Isto significa que, se houver uma base de um responsável ou processador na UE, o GDPR será aplicável.
| Responsável | Entidade que determina os fins e os meios do tratamento de dados pessoais |
| Processador | Entidade que trata dados pessoais em nome do responsável |
Quando não existe uma base na UE, o âmbito de aplicação inclui as seguintes duas situações:
- Quando são oferecidos bens ou serviços a indivíduos na UE
- Quando o comportamento de indivíduos na UE é monitorizado
O GDPR impõe restrições rigorosas a países fora da UE, e para transferir dados livremente é necessário um “reconhecimento de adequação”. O reconhecimento de adequação é uma certificação decidida após consulta à Comissão Europeia, concedida a países ou regiões que garantem um nível adequado de proteção de dados pessoais.
Países ou regiões sem reconhecimento de adequação devem seguir procedimentos como SCC ou BCR para transferir dados para fora da UE.
| SCC (Cláusulas Contratuais Padrão) | Conjunto de termos obrigatórios que devem ser incluídos nos contratos de transferência de informações |
| BCR (Regras Corporativas Vinculativas) | Políticas para proteger dados pessoais obtidos do Espaço Económico Europeu (EEE) e regras para compartilhá-los com empresas associadas fora do EEE |
O que muda com o reconhecimento de adequação é que não é necessário seguir procedimentos como SCC ou BCR.
O reconhecimento de adequação para o Japão foi anunciado durante a consulta regular de cúpula entre Japão e UE em julho de 2018 (Heisei 30), com o objetivo de tornar operacional o quadro de transferência de dados pessoais. Posteriormente, em 23 de janeiro de 2019 (Heisei 31), o Japão recebeu o reconhecimento de adequação, e foi anunciado que “a UE e o Japão adotaram a decisão de reconhecer mutuamente um nível equivalente de proteção de dados pessoais”.
Quais são as obrigações das empresas sujeitas ao GDPR?
As empresas sujeitas ao GDPR devem cumprir principalmente duas obrigações:
- Nomeação de um representante na UE/Reino Unido
- Declaração na Política de Privacidade
A seguir, explicaremos cada uma dessas obrigações em detalhe.
Nomeação de um representante na UE/Reino Unido
O artigo 27 do GDPR estipula que, nos casos de aplicação extraterritorial do GDPR, as empresas devem designar um representante com sede na União Europeia ou no Reino Unido.
O representante mencionado é uma pessoa nomeada por escrito pelo controlador ou pelo processador, que representa o controlador ou o processador em relação às suas obrigações sob o GDPR.
Nem todas as empresas que operam dentro da UE precisam designar um representante. As empresas isentas da obrigação de nomeação de um representante são as seguintes (Artigo 27 do GDPR):
- Empresas cujas atividades sujeitas ao GDPR não são meramente ocasionais e que não envolvem o processamento em larga escala de categorias especiais de dados ou de dados pessoais relacionados a condenações penais e infrações, e cujo processamento não é susceptível de resultar em um risco para os direitos e liberdades dos indivíduos, tendo em conta a natureza, o contexto, o âmbito e os fins do processamento;
- Empresas que não são autoridades públicas ou organismos públicos.
Referência: Comissão de Proteção de Dados Pessoais | ‘Tradução provisória do Regulamento Geral sobre a Proteção de Dados (GDPR)[ja]‘
Declaração na Política de Privacidade
As empresas sujeitas ao GDPR devem incluir na sua Política de Privacidade uma declaração indicando que nomearam um representante.
Sanções por Não Nomeação de um Representante
É importante estar atento que, mesmo estando sob a alçada do Regulamento Geral sobre a Proteção de Dados (GDPR), se não nomear um representante, estará sujeito a sanções. As penalidades podem ascender ao maior valor entre 1.000 euros ou até 2% do volume de negócios global anual (conforme o Artigo 84(4) do GDPR).
Funções Exigidas ao Representante
Quando aplicável o âmbito do GDPR (Regulamento Geral sobre a Proteção de Dados), é fundamental, em princípio, nomear um representante. Mas que funções são exigidas a este representante? Vamos explicar detalhadamente as funções do representante.
Tratamento dos Registros do Artigo 30
Os administradores ou processadores que colocam um representante nos países da UE devem partilhar os seus registros de processamento com o representante. Além disso, o representante deve manter esses registros da mesma forma que o administrador ou processador (Artigo 30 do GDPR).
Os conteúdos que devem ser registrados incluem:
- Nomes e contactos do administrador, DPO (Encarregado de Proteção de Dados) e outros;
- Finalidades do tratamento;
- Categorias dos titulares dos dados e tipos de dados tratados;
- Período de conservação;
- Data de eliminação.
O titular dos dados é a pessoa natural identificada ou identificável a quem se referem os dados pessoais.
Em caso de solicitação por parte da autoridade de supervisão, estes registros de processamento devem estar disponíveis para utilização.
Atendimento a Consultas de Titulares de Dados ou Autoridades de Supervisão
Quando há consultas por parte dos titulares dos dados ou da autoridade de supervisão, o representante deve agir em nome do administrador ou processador para responder aos titulares dos dados ou à autoridade de supervisão (Parágrafo 3 do Artigo 27 do GDPR). Por exemplo, se um titular dos dados fizer um pedido, o administrador deve fornecer as informações dentro de um mês (Parágrafo 3 do Artigo 12 do GDPR). Além disso, o representante deve atender aos pedidos da autoridade de supervisão e cooperar com ela (Artigo 31 do GDPR).
Perguntas Frequentes sobre a Aplicação do RGPD
Respondemos abaixo a algumas das dúvidas mais comuns relacionadas com a aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD).
Não planeia expandir-se internacionalmente, mas precisa de cumprir o GDPR?
Em princípio, se não tem planos de expansão internacional, não é necessário cumprir com o Regulamento Geral sobre a Proteção de Dados (GDPR). No entanto, mesmo que não esteja a expandir-se para o estrangeiro, é importante ter atenção se existe a possibilidade de adquirir dados de indivíduos dentro da União Europeia (UE).
Considere os seguintes exemplos:
- Está a operar um site de comércio eletrónico e recebe perguntas ou encomendas de indivíduos na UE;
- Através da navegação no seu site, adquire identificadores online de indivíduos na UE (como endereços IP ou cookies);
- Obtém endereços de e-mail de indivíduos na UE ao responder a perguntas.
Mesmo que adquira dados de indivíduos na UE sem intenção, se não se enquadrar no âmbito geográfico de aplicação, não há problema em não cumprir com o GDPR.
Deve lembrar-se de que é necessário cumprir com o GDPR apenas se tiver uma base na UE ou, mesmo sem uma base na UE, se uma das seguintes condições se aplicar:
- Está a fornecer bens ou serviços a indivíduos na UE;
- Está a monitorizar o comportamento de indivíduos na UE.
Quais são as medidas necessárias ao lançar um site de comércio eletrónico transfronteiriço que inclua a UE?
Ao lançar um site de comércio eletrónico transfronteiriço que inclua a UE, é possível que venha a recolher dados pessoais dentro do território da UE. Os tipos de informações que podem ser recolhidos incluem:
- Nome
- Endereço de e-mail
- Morada
- Informações do cartão de crédito
- Informações de compra
- Localização geográfica
- Endereço IP e ID de Cookie
Ao recolher estas informações, elas são consideradas dados pessoais sob o Regulamento Geral sobre a Proteção de Dados (GDPR), e devem ser tratadas de acordo com as suas regras.
Primeiro, seria benéfico rever e atualizar a política de privacidade para garantir a conformidade com o GDPR, bem como revisar e publicar o aviso de privacidade.
Artigo relacionado: Explicamos os pontos-chave para criar uma política de privacidade compatível com o GDPR![ja]
Em seguida, siga os passos abaixo:
- Estabelecer uma política de cookies e obter consentimento para o uso de cookies dos visitantes na primeira visita ao site de comércio eletrónico
- Obter consentimento para o “tratamento de dados pessoais” quando recolher informações pessoais
- Implementar medidas de segurança para proteger os dados pessoais e prevenir fugas de informação
- Nomear um representante
Além disso, se necessário, revise as regras internas da empresa, crie manuais para conformidade com o GDPR e revise os contratos com fornecedores externos.
Qual a diferença entre o GDPR e o UK GDPR?
O UK GDPR refere-se ao Regulamento Geral de Proteção de Dados do Reino Unido. O UK GDPR entrou em vigor no dia 1 de janeiro de 2021 (2021), na sequência da saída do Reino Unido da União Europeia. O GDPR é um regulamento da UE e, como tal, não se aplica ao Reino Unido.
O UK GDPR aplica-se nos seguintes casos:
- Quando se oferecem bens ou serviços a indivíduos no Reino Unido;
- Quando se monitoriza o comportamento de indivíduos dentro do Reino Unido.
Se estiver a operar tanto no Reino Unido como na UE, será necessário cumprir tanto o GDPR como o UK GDPR.
Conclusão: Consulte um especialista quando tiver dúvidas sobre o âmbito de aplicação do GDPR
Se a sua empresa tem uma base na UE ou, mesmo sem ter uma base, fornece produtos ou serviços a indivíduos dentro da UE ou monitoriza o comportamento deles, então está abrangida pelo âmbito de aplicação do GDPR. As empresas sujeitas ao GDPR devem designar um representante na UE e mencionar claramente essa informação na sua política de privacidade.
Não designar um representante pode resultar em pesadas multas. Empresas que operam ou planeiam entrar no mercado da UE devem cumprir com o GDPR e designar um representante.
Se não tem certeza se a sua empresa está sujeita ao GDPR, recomendamos que consulte um especialista em direito internacional.
Apresentação das Medidas Adotadas pelo Nosso Escritório
O Monolith Escritório de Advogados é uma firma jurídica com vasta experiência em IT, especialmente na interseção entre a Internet e o Direito. Nos últimos anos, o negócio global tem-se expandido cada vez mais, e a necessidade de verificações legais por especialistas tem aumentado significativamente. O nosso escritório oferece soluções em assuntos de direito internacional.
Áreas de atuação do Monolith Escritório de Advogados: Assuntos Internacionais e Negócios no Estrangeiro[ja]
Related Articles
Quais são os pontos de verificação na criação de contratos para negócios de suporte DX?
General Corporate
Como mudou a reforma do Código Penal no 4º ano da era Reiwa (2022)? Um advogado explica o endure.
General Corporate
Quais são os pontos a verificar num contrato de agência baseado na introdução de clientes?
General Corporate
O que é Scraping? Explicando os desafios legais do método de coleta de dados útil que está a gan.
General Corporate
