1. Introdução
O aumento da circulação de dados pessoais, necessária ao desenvolvimento do comércio e da cooperação internacionais, cria novos desafios e novas preocupações em relação à proteção dos dados pessoais. Assim, o RGPD prevê, em caso de transferência de dados pessoais para destinatários em países terceiros à EU (ou para organizações internacionais), que o nível de proteção dos titulares de dados pessoais por si assegurado deve continuar a ser garantido.
O princípio geral das transferências de dados pessoais para países terceiros (ou organizações internacionais) impõe que estas só possam ser realizadas se as condições previstas no RGPD forem respeitadas pelo responsável pelo tratamento (e pelo subcontratante), de modo a assegurar que não é comprometido o nível de proteção dos titulares dos dados.
Estas transferências podem ser realizadas com base numa decisão de adequação adotada pela Comissão, na qual é decidido que determinado país (ou território, um ou mais setores específicos desse país terceiro, ou a organização internacional em causa) assegura um nível de proteção adequado (i.e. substancialmente equivalente ao conferido dentro da UE).
Caso não tenha sido tomada qualquer decisão de adequação, as transferências de dados pessoais só poderá ocorrer se o responsável pelo tratamento (ou subcontratante) apresentar garantias adequadas e na condição de os titulares dos dados pessoais gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes, ou seja, medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro, dando, para tal, garantias adequadas ao titular dos dados, as quais podem consistir, isolada ou conjugadamente, no recurso a instrumentos juridicamente vinculativos com força executiva entre as autoridades de controlo, regras vinculativas aplicáveis às empresas (BCR), cláusulas-tipo de proteção de dados, códigos de conduta ou procedimentos de certificação acompanhados de compromissos vinculativos e com força executiva. Estas medidas deverão assegurar o cumprimento dos requisitos relativos à proteção de dados e o respeito pelos direitos dos titulares dos dados pessoais.
2. Decisão de Adequação
Cabe à Comissão avaliar e decidir se um país terceiro (ou uma organização internacional) assegura um nível de proteção adequado relativamente aos dados pessoais objeto de transferência, considerando elementos como:
i) O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor e respetiva aplicação e jurisprudência, bem como os direitos efetivos e oponíveis dos titulares dos dados, e vias de recurso administrativo e judicial para os titulares de dados objeto de transferência; ii) A existência e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita a organização internacional em causa, dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; iii) Os compromissos internacionais assumidos pelo país terceiro (ou pela organização internacional em causa), ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.
Com a entrada em vigor do RGPD, as decisões de adequação adotadas pela Comissão, ao abrigo do regime anterior, permanecem válidas até que sejam alteradas, substituídas ou revogadas por uma decisão da Comissão.
Importa, a este propósito, realçar a publicação, em 12 de julho de 2016, pela Comissão, da decisão de adequação denominada Privacy Shield (Escudo de Proteção da Privacidade UE-EUA), que permite a transferência de dados pessoais da UE para uma empresa nos EUA desde que esta proceda ao tratamento desses dados em conformidade com um conjunto de regras e garantias que garantam uma elevada proteção dos dados.
O Privacy Shield surge na sequência do acórdão do Tribunal de Justiça da União Europeia, de 6 de outubro de 2015, no processo C-362/14, Maximillian Schrems/Data Protection Commissioner, que declarou inválida a Decisão 2000/520/CE da Comissão (Safe Harbour) que, até àquela data, regulava as transferências de dados pessoais entre a UE e os EUA.
O Privacy Shield baseia-se num sistema de autocertificação através do qual as organizações dos EUA assumem o compromisso de estabelecer um conjunto de princípios de privacidade emitidos pelo Department of Commerce dos EUA e é aplicável simultaneamente aos responsáveis pelo tratamento e aos subcontratantes, com a especificidade de que estes últimos devem ser contratualmente obrigados a agir apenas mediante instruções do responsável europeu pelo tratamento e ajudá-lo na resposta aos pedidos das pessoas que exercem os seus direitos por força destes princípios. A certificação é obtida através da adesão voluntária aos princípios de proteção de dados e as organizações certificadas estão sujeitas à supervisão do Department of Commerce dos EUA e deverão, designadamente:
i) Prestar um leque alargado de informações ao titular dos dados; ii) Limitar a utilização dos dados pessoais para finalidade diferentes da que determinou a recolha; iii) Minimizar o tratamento de dados e conservá-los apenas durante o período de tempo necessário; iv) Garantir a segurança dos dados; v) Proteger os dados pessoais quando são transferidos para outra empresa; vi) Permitir o acesso e a retificação dos dados; vii) Proporcionar um mecanismo para apresentação e gestão de queixas; viii) Reparação em caso de acesso aos dados por parte das autoridades públicas norte-americanas.
As organizações devem renovar anualmente a sua adesão ao Privacy Shield sob pena de não poderem continuar a receber e a utilizar dados pessoais provindos da UE que sejam transferidos ao abrigo deste mecanismo.
3. Cláusulas-tipo de proteção de dados
Como vimos, é possível, na falta de uma decisão de adequação, a transferência de dados pessoais para um país terceiro (ou organização internacional) mediante a apresentação de garantias adequadas e a utilização de contratos como fundamento de legitimidade para a transferência internacional de dados revela-se um meio idóneo para assegurar essas mesmas garantias, por exemplo através da inclusão de cláusulas-tipo de proteção de dados adotadas pela Comissão ou de cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo e aprovadas pela Comissão.
4. Binding Corporate Rules (BCR)
As BCR são um mecanismo de transferência de dados pessoais para países terceiros (ou organizações internacionais) alternativo ao recurso a cláusulas contratuais-tipo sempre que se pretenda proceder a transferências de dados pessoais para uma empresa em relação de grupo que esteja situada num país que não assegura um nível de proteção adequado.
Assim, os grupos empresariais (ou os grupos de empresas envolvidas numa atividade económica conjunta) poderão utilizar BCR para as suas transferências internacionais de dados pessoais, desde que essas regras incluam todos os princípios essenciais e direitos oponíveis que visem assegurar as garantias adequadas às transferências ou categorias de transferências de dados pessoais.
As BCR, que carecem de aprovação pela autoridade de controlo competente, devem ser juridicamente vinculativas e aplicáveis a todas as empresas do grupo (incluindo os funcionários, a quem compete assegurar o seu cumprimento) e conferir expressamente aos titulares dos dados direitos oponíveis relativamente ao tratamento dos seus dados pessoais. Devem especificar, ainda, aspetos como a estrutura e os contactos do grupo empresarial, as transferências ou conjunto de transferências de dados, o seu caráter juridicamente vinculativo, a aplicação dos princípios gerais de proteção de dados, os direitos dos titulares dos dados e as regras para o exercício desses direitos, a aceitação da responsabilidade por toda e qualquer violação das BCR, a forma como as informações sobre as BCR são comunicadas aos titulares dos dados, as funções do Encarregado de Proteção de Dados ou de qualquer outra pessoa ou entidade responsável pelo controlo ou cumprimento das BCR, os procedimentos de verificação do cumprimento das BCR, de reclamação, de cooperação e comunicação com a autoridade de controlo bem como ações de formação dirigidas a indivíduos que tenham acesso aos dados.
5. Outros mecanismos
Além destes mecanismos, podem ainda ser prestadas garantias adequadas através de:
i) Um código de conduta aprovado, acompanhado de compromissos vinculativos e com força executiva, assumidos pelo responsável pelo tratamento (ou subcontratante) no país terceiro no sentido de aplicar as garantias adequadas no que respeita aos direitos dos titulares dos dados; ii) Um procedimento de certificação devidamente aprovado, acompanhado de compromissos vinculativos e com força executiva, assumidos pelo responsável pelo tratamento (ou subcontratante) no país terceiro no sentido de aplicar as garantias adequadas no que respeita aos direitos dos titulares dos dados; iii) Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou organismos públicos.
6. Derrogações para situações específicas Na ausência de uma decisão de adequação ou de garantias adequadas, as transferências ou conjunto de transferências de dados pessoais para países terceiros (ou organizações internacionais) só são admitidas em caso de:
i) Consentimento explícito, esclarecido e informado por parte do titular dos dados objeto de transferência; ii) Necessidade da transferência para efeitos de execução de contrato entre o titular dos dados e o responsável pelo tratamento; iii) Necessidade da transferência para a celebração ou execução de contrato celebrado no interesse do titular dos dados; iv) Necessidade da transferência por importantes razões de interesse público; v) Necessidade da transferência para declaração, exercício ou defesa de um direito em processo judicial; vi) Necessidade da transferência para proteção de interesses vitais do titular dos dados ou terceiros; vii) Realização da transferência a partir de um registo que se destine a informar o público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar nela ter um interesse legítimo.
Fora destes casos, a transferência de dados pessoais para países terceiros (ou uma organização internacional) só pode ter lugar se não for repetitiva, apenas disser respeito a um número limitado de titulares dos dados, for necessária para efeitos dos interesses legítimos visados pelo responsável pelo seu tratamento, desde que a tais interesses não se sobreponham os interesses ou os direitos e liberdades dos titulares dos dados, o responsável pelo tratamento tiver ponderado todas as circunstâncias relativas à transferência de dados e, com base nessa avaliação, tiver apresentado garantias adequadas no que respeita à proteção de dados pessoais.
7. Conclusão
Quaisquer organizações que efetuem transferências de dados para países terceiros (ou organizações internacionais) em violação das disposições do RGPD, encontram-se sujeitas à aplicação de coimas que podem atingir os € 20.000.000,00 ou 4% do volume de negócios global, por referência o exercício financeiro anterior, conforme o montante que seja mais elevado.
De modo a evitar a aplicação de coimas, as organizações devem identificar os fluxos transfronteiriços de dados em curso, avaliá-los e, na falta de uma decisão de adequação, adotar as medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro dando para tal garantias adequadas aos titulares dos dados. |
Nota final: no dia 28 de novembro de 2017, o "Grupo de Trabalho do Artigo 29" (WP29) divulgou o seu parecer sobre a primeira revisão conjunta do EU-U.S. Privacy Shield levada a cabo pela Comissão no anterior mês de Setembro. O WP29 destaca várias questões que deverão ser abordadas pela Comissão e pelas autoridades competentes dos EUA, de modo a que as discussões sobre o EU-U.S. Privacy Shield sejam reiniciadas e aconselham a que "um plano de ação deve ser aditado imediatamente ...". Em face deste parecer, e a relevância que o EU-U.S. Privacy Shield tem para o processamento maciço de dados por empresas sediadas nos EUA (por exemplo, Google, Facebook), esta decisão de adequação deverá ser revista em breve.
O projeto do SIRAUTO, vem alterar o artigo 4ª que tem como titulo Emissão de Certificado de matrícula.
Atualmente a apresentação do DUA é obrigatória, sempre que o ato que se leva a registo obrigue à emissão de um novo DUA, pois o DUA anterior é inutilizado.
Com a alteração ao artigo 4.º do DL n.º 178-A/2005, de 28 de outubro proposta no SIRAUTO deixa de ser obrigatória a apresentação do DUA nos termos acima referidos, com as inerentes vantagens e desvantagens, a saber:
1. Como vantagem veja-se desde logo a desnecessidade de solicitar 2.ªas vias dos DUA’s sempre e quando o DUA tenha desaparecido, procedendo-se à alteração registral sem exibição daquele;
2. Como desvantagem considere-se a impossibilidade de serem detetadas algumas informações sobre os ónus e encargos que incidem sobre a viatura tais como benefícios fiscais que a viatura tenha sido alvo, anotações especiais, reserva, hipotecas e locações, que pelo facto de deixar de ser obrigatória a apresentação do DUA apenas se terá conhecimento na fase de registo, o que poderá dar lugar às inerentes recusas registrais.
Imagine que com as alterações ao registo automóvel deixa de ser necessário a apresentação da DAV nas viaturas com benefícios fiscais!!!
Senão vejamos: Atualmente, todas as viaturas objeto de benefícios fiscais têm um ónus de intransmissibilidade durante 5 anos, pelo que se forem vendidas antes do decurso desse prazo tem de ser apresentada a DAV junto do registo automóvel de modo a demonstrar que foi liquidado e pago o valor correspondente ao benefício em apreço.
Na prática, esta situação ocorre quando estamos perante uma viatura que foi alvo de algum benefício fiscal, como por exemplo viaturas para deficientes, táxis, transporte escolares, bombeiros, partidos políticos, entre outros, ficando averbado um ónus sobre a viatura correspondente ao benefício fiscal durante 5 anos.
Com o novo regime, todas as conservatórias terão acesso a estes comprovativos de liquidação e pagamento via on-line – DAV -, deixando de ser obrigatória a apresentação de qualquer documento
SIRAUTO introduz novos prazos de caducidade
A possível introdução de um prazo de caducidade de 1 ano, relativamente ao Leasing e ao ALD sujeitos a registo, ou seja, aqueles cujo prazo de duração é igual ou superior a 1 ano tem um impacto sobre as instituições de crédito.
Este prazo de caducidade imporá ao locatário após o términus do contrato ou em virtude do cumprimento antecipado, o direito de aquisição sobre a viatura no prazo de 1 ano.
Com efeito, o direito potestativo de aquisição da viatura nos casos acima mencionados prescreve ao final de 1 ano.
Após 1 ano do términus do contrato, e não tendo o locatário requerido o registo de aquisição da viatura junto da conservatória do registo automóvel competente, a conservatória terá a obrigação legal de cancelar oficiosamente o registo de locação.
Posteriormente ao cancelamento do registo de locação, a viatura permanecerá em nome da instituição de crédito com as responsabilidades inerentes a este facto.
Por conseguinte, as instituições de crédito terão de tomar atenção aos prazos do registo especial previsto ao abrigo do Decreto-Lei 177/2014 de 15 de Dezembro, uma vez que o prazo para realizar o registo unilateral tem início no 61º dia a contar do términus do contrato de locação e prazo final de 1 ano após o términus do contrato.
Os efeitos indiretos da introdução da caducidade refletir-se-ão no seio das instituições de crédito ao nível dos IUC’s, portagens e demais consequências resultantes do facto da propriedade plena ter ficado na esfera jurídica daquelas.
Aos dias de hoje, todos os operadores do setor automóvel estão cientes do que seja o SIRAUTO e dos impactos que trará neste setor de atividade.
Em linhas gerais, as alterações fixam-se ao nível da locação financeira sujeita a registo, dos prazos de caducidade, do cancelamento de matrículas, das anotações, da transmissão de propriedade com reserva e hipoteca, da duração da hipoteca, assim como se simplifica a documentação de suporte registral.
Com efeito, o SIRAUTO é uma nova aplicação de registo automóvel (à semelhança do SIRCOM, que é o Sistema Integrado do Registo Comercial, do SIRP, que é o Sistema Integrado do Registo Predial e do SIRIC, que é o Sistema Integrado do Registo Civil), prometida há vários anos, contudo não está terminada, nem ainda entrou em funcionamento.
Seja como for, trata-se de um novo instrumento de trabalho para as Conservatórias do Registo Automóvel, não se destinando aos utentes em particular.
Naturalmente que a entrada em funcionamento de uma nova aplicação gerará (à semelhança do que aconteceu com outras áreas do registo) algumas alterações de natureza legislativa, as quais elencámos supra.
A simplificação do registo automóvel tem acompanhado a simplificação de outras áreas do registo, sendo certo que tal simplificação não significará diminuição na segurança jurídica.
Vamos manter em aberto o tema e voltaremos a ele sempre que se justificar.
Aviso Legal: A presente Informação destina-se a ser distribuída entre Clientes e Colegas e a informação nela contida é prestada de forma geral e abstrata, não devendo servir de base para qualquer tomada de decisão sem assistência profissional qualificada e dirigida ao caso concreto. O conteúdo desta Informação não pode ser reproduzido, no seu todo ou em parte, sem a expressa autorização do editor. Caso deseje obter esclarecimentos adicionais sobre este assunto contacte-nos através do endereço de e-mail: abclegal@abclegal.com.pt