Brexit e a transferência de dados pessoais da União Europeia para o Reino Unido

Na última década temos assistido a um esforço por parte do legislador europeu em acompanhar o fenómeno da circulação de dados num mundo cada vez mais globalizado e tecnológico. Os desafios têm sido muitos e são notórias as iniciativas de adaptação à velocidade de circulação de dados pessoais e à correspondente necessidade de assegurar a sua proteção.

O Regulamento Geral sobre a Proteção de Dados (RGPD) é resultado desse esforço de adaptação e tem tido um expressivo impacto no mundo empresarial, sobretudo na forma como as empresas tratam e partilham dados entre si. Uma das regras que resulta do RGPD é a de que são livres as transferências de dados pessoais entre empresas localizadas na União Europeia ou no Espaço Económico Europeu.

A mesma regra já não se aplica, porém, a transferências de dados pessoais por empresas situadas na União Europeia ou Espaço Económico Europeu para países terceiros. Estas últimas têm sido proibidas, salvo se o país de destino for reconhecido pela Comissão Europeia como um país que assegura um nível de proteção adequada dos dados pessoais e, portanto, lhe aplique uma decisão de adequação, ou que o exportador de dados apresente determinadas garantias para as referidas transferências (ressalvando ainda outras exceções que não se adequam a empresas que exportam dados com regularidade).

O Brexit trouxe uma série de mudanças no panorama europeu e muitos desafios para as empresas. Desafios que se refletem também no plano das transferências de dados pessoais.

A saída do Reino Unido da União Europeia significa, nesse plano, que as sobreditas transferências, que antes eram livres ao abrigo do RGPD, sofrerão agora alterações relevantes.

A fim de resolver o impasse quanto ao novo cenário para transferência de dados para o Reino Unido, os Estados-Membros estabeleceram um acordo provisório (de Comércio e Cooperação União Europeia - Reino Unido) que determinou que as transferências da União Europeia, Islândia, Lichtenstein e Noruega para o Reino Unido não fossem tratadas como transferências para um país terceiro.

Paralelamente, a Comissão Europeia avançou com um processo para adoção de uma decisão de adequação para as transferências de dados pessoais entre os países da União Europeia e o Reino Unido e já tinha divulgado um projeto de decisão.

No passado dia 28 de junho, a Comissão Europeia anunciou em comunicado, por fim, que adotou duas “decisões de adequação”, uma ao abrigo do RGPD e a outra da Diretiva n.º 2016/289 (relativa ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais), reconhecendo, assim, que o Reino Unido assegura um nível de proteção adequado aos dados pessoais transferidos desde a União Europeia para aquele país.

A decisão de adequação dependerá do cumprimento pelo Reino Unido de determinadas condições, designadamente, que garanta o mesmo nível de proteção aos dados pessoais conferido ao abrigo da legislação europeia.

Estima-se mesmo que, observadas determinadas circunstâncias, no final do período de transição previsto pelo acordo “pós-Brexit”, as transferências de dados pessoais para o Reino Unido serão livres, sem necessidade de autorizações ou garantias adicionais.

Esta é, sem dúvida, uma boa notícia para as empresas, em especial para as empresas tecnológicas que importam e exportam dados pessoais para o Reino Unido.

É de notar, porém, que a decisão da Comissão Europeia salvaguarda situações “em caso de divergências futuras” e limita a duração da decisão de adequação a quatro anos, portanto, a referida decisão expirará a 27 de junho de 2025.