O Impacto do Brexit na aplicação do RGPD: Portugal
PUBLICAÇÕES SÉRVULO 07 Fev 2020
A 31 de Janeiro de 2020 o Reino Unido deixou de ser um Estado-Membro da União Europeia e o Brexit tornou-se uma realidade. No dia seguinte, entrámos num período de transiçãoque durará, estima-se, até 31 de dezembro de 2020, embora com uma possibilidade de prorrogação por um a dois anos. Durante este período tudo funcionará como na era pré-Brexit, visto que o Direito da União continuará a vigorar e, consequentemente, o Regulamento Geral de Proteção de Dados (“RGPD”), que dele faz parte, também.
Enquanto Estado-Membro da UE, o Reino Unido esteve obrigado a cumprir o Regulamento Geral de Proteção de Dados (“RGPD”). Tal significava a livre circulação de dados pessoais de empresas portuguesas para empresas do Reino Unido, visto que Portugal e Reino Unido, enquanto Membros da EU, estavam obrigados às mesmas garantias de proteção dos dados pessoais transferidos constantes do RGPD. Este estado das coisas não se alterará até 31 de dezembro de 2020, pelo menos. Mas e depois?
Importantes questões já se começam a colocar a propósito das transferências de dados pessoais dos países da União Europeia para o Reino Unido quando estas deixarem de ser livres. No final do período de transição o Reino Unido passará a ser considerado um país terceiro relativamente à União Europeia. A partir de então, a passagem de dados pessoais de uma empresa portuguesa para uma empresa localizada no Reino Unido só poderá ter lugar se: (i) a Comissão Europeia, entretanto, reconhecer que o Reino Unido assegura um nível de proteção adequado aos dados pessoais transferidos; ou (ii) a empresa portuguesa assegurar previamente que a empresa destinatária dos dados no Reino Unido apresentou, nas condições exigidas pelo RGPD, garantias adequadas de proteção dos dados pessoais transferidos. Se assim não for, a transferência de dados para o Reino Unido será ilícita e passível de ser sancionada com pagamento de coima.
Portanto, há que estar atento à renovação automática de contratos celebrados com contrapartes localizadas no Reino Unido e apostar na revisão atempada de tais contratos por forma a assegurar a conformidade das transferências de dados pessoais que vierem a ser feitas para esse país com o RGPD.
Em suma, quais as cautelas a ter num futuro próximo?
Empresas, organizações ou associações públicas ou privadas portuguesas que pretendam começar ou continuar a transferir os seus dados pessoais para o Reino Unido não precisam de tomar medidas adicionais, pelo menos até 31 de dezembro de 2020. No entanto, findo o período de transição, o cumprimento do RGPD exigirá novas cautelas para as empresas e organizações portuguesas quando estiverem em causa relações com parceiros e fornecedores localizados no Reino Unido. Agora que o Brexit avançou e o Acordo de Saída foi assinado, resta estar atento aos novos desenvolvimentos e evitar ficar vinculado a obrigações já existentes ou assumir novos compromissos que possam em breve resultar numa situação de desconformidade com o RGPD.
Inês de Sá
is@servulo.com
Catarina Mira Lança
cml@servulo.com