Cláusulas Contratuais-tipo Aplicáveis à Transferência de Dados Pessoais para Países Terceiros

Jul 2, 2021 | Legislação - União Europeia, Repositório de Regulação

Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho – Cláusulas Contratuais-tipo Aplicáveis à Transferência de Dados Pessoais para Países Terceiros

Relativa às cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32021D0914&from=EN 

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (1), nomeadamente o artigo 28.o, n.o 7, e o artigo 46.o, n.o 2, alínea c),

Considerando o seguinte:

(1)

A evolução tecnológica está a facilitar os fluxos de dados transfronteiriços necessários para a expansão da cooperação internacional e do comércio internacional. Simultaneamente, é necessário assegurar que o nível de proteção das pessoas singulares garantido pelo Regulamento (UE) 2016/679 não seja comprometido quando os dados pessoais são transferidos para países terceiros, inclusivamente em caso de transferências ulteriores (2). As disposições em matéria de transferências de dados do capítulo V do Regulamento (UE) 2016/679 visam assegurar a continuidade desse elevado nível de proteção em caso de transferência de dados pessoais para um país terceiro (3).

(2)

De acordo com o artigo 46.o, n.o 1, do Regulamento (UE) 2016/679, não tendo sido tomada qualquer decisão de adequação pela Comissão nos termos do artigo 45.o, n.o 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes. Tais garantias podem ser previstas por meio de cláusulas-tipo de proteção de dados adotadas pela Comissão nos termos do artigo 46.o, n.o 2, alínea c).

(3)

O papel das cláusulas contratuais-tipo limita-se a assegurar garantias adequadas em matéria de proteção de dados para transferências internacionais de dados. Por conseguinte, o responsável pelo tratamento ou subcontratante que transfere os dados pessoais para um país terceiro («exportador de dados») e o responsável pelo tratamento ou subcontratante que recebe os dados pessoais («importador de dados») têm a liberdade de incluir essas cláusulas contratuais-tipo num contrato mais abrangente e de acrescentar outras cláusulas ou garantias adicionais, desde que não colidam, direta ou indiretamente, com as cláusulas contratuais-tipo, e sem prejuízo dos direitos ou das liberdades fundamentais dos titulares dos dados. Os responsáveis pelo tratamento e os subcontratantes são encorajados a apresentar garantias suplementares através de compromissos contratuais que complementem as cláusulas contratuais-tipo (4). O recurso às cláusulas contratuais-tipo em nada prejudica quaisquer obrigações contratuais do exportador e/ou do importador de dados destinadas a assegurar o respeito pelos privilégios e imunidades aplicáveis.

(4)

Além de recorrer a cláusulas contratuais-tipo para proporcionar garantias adequadas às transferências nos termos do artigo 46.o, n.o 1, do Regulamento (UE) 2016/679, o exportador de dados tem de cumprir as responsabilidades gerais que lhe incumbem enquanto responsável pelo tratamento ou subcontratante nos termos do Regulamento (UE) 2016/679. Essas responsabilidades incluem a obrigação de o responsável pelo tratamento facultar aos titulares dos dados informações sobre o facto de tencionar transferir os seus dados pessoais para um país terceiro nos termos do artigo 13.o, n.o 1, alínea f), e do artigo 14.o, n.o 1, alínea f), do Regulamento (UE) 2016/679. No caso das transferências realizadas nos termos do artigo 46.o do Regulamento (UE) 2016/679, essa responsabilidade deve incluir uma referência às garantias adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas.

(5)

As Decisões 2001/497/CE (5) e 2010/87/UE da Comissão (6) contêm cláusulas contratuais-tipo para facilitar a transferência de dados pessoais de um responsável pelo tratamento de dados estabelecido na União para um responsável pelo tratamento ou subcontratante estabelecido num país terceiro que não assegure um nível de proteção adequado. Essas decisões basearam-se na Diretiva 95/46/CE do Parlamento Europeu e do Conselho (7).

(6)

Nos termos do artigo 46.o, n.o 5, do Regulamento (UE) 2016/679, a Decisão 2001/497/CE e a Decisão 2010/87/UE permanecem em vigor até que sejam alteradas, substituídas ou revogadas, caso seja necessário, por uma decisão da Comissão adotada nos termos do artigo 46.o, n.o 2, do referido regulamento. Foi necessário atualizar as cláusulas contratuais-tipo constantes das decisões em função dos novos requisitos do Regulamento (UE) 2016/679. Além disso, desde a adoção das decisões, registaram-se progressos significativos na economia digital, com a utilização generalizada de operações de tratamento novas e mais complexas, que envolvem frequentemente múltiplos importadores e exportadores de dados, cadeias de tratamento longas e complexas e relações comerciais em evolução. Esta situação exige uma modernização das cláusulas contratuais-tipo para refletir melhor essas realidades, abrangendo situações adicionais de tratamento e de transferência, e permitir uma abordagem mais flexível, por exemplo, no que diz respeito ao número de partes que podem aderir ao contrato.

(7)

Um responsável pelo tratamento ou subcontratante pode utilizar as cláusulas contratuais-tipo constantes do anexo da presente decisão para apresentar garantias adequadas, na aceção do artigo 46.o, n.o 1, do Regulamento (UE) 2016/679, para a transferência de dados pessoais para um subcontratante ou responsável pelo tratamento estabelecido num país terceiro, sem prejuízo da interpretação do conceito de transferência internacional constante do Regulamento (UE) 2016/679. As cláusulas contratuais-tipo só podem ser utilizadas para essas transferências na medida em que o tratamento pelo importador não seja abrangido pelo âmbito de aplicação do Regulamento (UE) 2016/679. Tal inclui igualmente a transferência de dados pessoais por um responsável pelo tratamento ou subcontratante não estabelecido na União, na medida em que o tratamento esteja sujeito ao Regulamento (UE) 2016/679 (nos termos do artigo 3.o, n.o 2), por estar relacionado com a oferta de bens ou serviços aos titulares dos dados na União ou com o controlo do seu comportamento, desde que o mesmo tenha lugar na União.

(8)

Dado o alinhamento geral do Regulamento (UE) 2016/679 e do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (8), deve ser possível utilizar as cláusulas contratuais-tipo também no contexto de um contrato, conforme referido no artigo 29.o, n.o 4, do Regulamento (UE) 2018/1725, para a transferência de dados pessoais para um subcontratante ulterior num país terceiro por um subcontratante que não seja uma instituição ou um órgão da União, mas que esteja sujeito ao Regulamento (UE) 2016/679 e que trate dados pessoais por conta de uma instituição ou de um órgão da União, nos termos do artigo 29.o do Regulamento (UE) 2018/1725. Desde que o contrato reflita as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou noutro ato normativo entre o responsável pelo tratamento e o subcontratante nos termos do artigo 29.o, n.o 3, do Regulamento (UE) 2018/1725, proporcionando, em particular, garantias suficientes de execução de medidas técnicas e organizativas para assegurar que o tratamento satisfaz os requisitos do referido regulamento, tal garantirá o cumprimento do artigo 29.o, n.o 4, do Regulamento (UE) 2018/1725. Será esse o caso, em especial, se o responsável pelo tratamento dos dados pessoais e o subcontratante recorrerem às cláusulas contratuais-tipo incluídas na Decisão de Execução da Comissão relativa às cláusulas contratuais-tipo entre os responsáveis pelo tratamento de dados pessoais e os subcontratantes nos termos do artigo 28.o, n.o 7, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho e do artigo 29.o, n.o 7, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (9).

(9)

Quando o tratamento implicar transferências de dados de responsáveis pelo tratamento sujeitos ao Regulamento (UE) 2016/679 para subcontratantes fora do respetivo âmbito de aplicação territorial ou de subcontratantes sujeitos ao Regulamento (UE) 2016/679 para subcontratantes ulteriores fora do respetivo âmbito de aplicação territorial, as cláusulas contratuais-tipo estabelecidas no anexo da presente decisão devem igualmente permitir cumprir os requisitos do artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679.

(10)

As cláusulas contratuais-tipo estabelecidas no anexo da presente decisão combinam cláusulas gerais com uma abordagem modular para atender a vários cenários de transferência e à complexidade das cadeias de tratamento modernas. Para além das cláusulas gerais, os responsáveis pelo tratamento e subcontratantes devem selecionar o módulo aplicável à sua situação, de modo a adaptar as obrigações que lhes incumbem por força das cláusulas contratuais-tipo ao seu papel e responsabilidades em relação ao tratamento de dados em questão. Deve ser possível que mais de duas partes subscrevam as cláusulas contratuais-tipo. Além disso, responsáveis pelo tratamento e subcontratantes adicionais devem ser autorizados a subscrever as cláusulas contratuais-tipo enquanto exportadores ou importadores de dados ao longo da vigência do contrato do qual fazem parte.

(11)

A fim de proporcionar garantias adequadas, as cláusulas contratuais-tipo devem assegurar que os dados pessoais transferidos com base nas mesmas beneficiam de um nível de proteção substancialmente equivalente ao garantido na União (10). Com vista a assegurar a transparência do tratamento, os titulares dos dados devem receber uma cópia das cláusulas contratuais-tipo e ser informados, nomeadamente, das categorias de dados pessoais tratados, do direito de obter uma cópia das cláusulas contratuais-tipo e de qualquer transferência ulterior. As transferências ulteriores por parte do importador de dados para um terceiro situado noutro país terceiro só devem ser permitidas se o terceiro subscrever as cláusulas contratuais-tipo, se a continuidade da proteção for assegurada de outra forma ou em situações específicas, por exemplo, com base no consentimento explícito e informado do titular dos dados.

(12)

Com algumas exceções, em particular no que se refere a determinadas obrigações que dizem exclusivamente respeito à relação entre o exportador de dados e o importador de dados, os titulares dos dados devem poder invocar e, quando necessário, fazer cumprir as cláusulas contratuais-tipo enquanto terceiros beneficiários. Por conseguinte, embora as partes devam poder escolher a legislação de um dos Estados-Membros que rege as cláusulas contratuais-tipo, essa legislação tem de permitir o exercício dos direitos de terceiros beneficiários. A fim de facilitar a reparação individual, as cláusulas contratuais-tipo devem exigir que o importador de dados informe os titulares dos dados de um ponto de contacto e dê rapidamente resposta a quaisquer reclamações ou pedidos. Em caso de litígio entre o importador de dados e um titular dos dados que invoque os seus direitos enquanto terceiro beneficiário, o titular dos dados deve poder apresentar uma reclamação à autoridade de controlo competente ou submeter o litígio à apreciação dos tribunais competentes na UE.

(13)

A fim de assegurar uma aplicação efetiva, o importador de dados deve ser obrigado a submeter-se à competência dessa autoridade e desses tribunais e a comprometer-se a cumprir qualquer decisão vinculativa nos termos do direito aplicável do Estado-Membro. Em particular, o importador de dados deve concordar em responder a pedidos de informação, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade de controlo, incluindo medidas corretivas e compensatórias. Além disso, o importador de dados deve poder proporcionar aos titulares dos dados a oportunidade de procurar obter reparação junto de um organismo independente de resolução de litígios, sem custos. Em consonância com o artigo 80.o, n.o 1, do Regulamento (UE) 2016/679, os titulares dos dados devem poder ser representados por associações ou outros organismos em litígios contra o importador de dados, se assim o desejarem.

(14)

As cláusulas contratuais-tipo devem prever regras em matéria de responsabilidade entre as partes e em relação aos titulares dos dados, e regras em matéria de indemnização entre as partes. Se o titular dos dados sofrer danos materiais ou imateriais em consequência de qualquer violação dos direitos de terceiro beneficiário nos termos das cláusulas contratuais-tipo, deve ter direito a indemnização. Tal não deve prejudicar qualquer responsabilidade nos termos do Regulamento (UE) 2016/679.

(15)

No caso de uma transferência para um importador de dados que atue como subcontratante ou subcontratante ulterior, devem aplicar-se requisitos específicos nos termos do artigo 28.o, n.o 3, do Regulamento (UE) 2016/679. As cláusulas contratuais-tipo devem exigir que o importador de dados disponibilize todas as informações necessárias para demonstrar o cumprimento das obrigações nelas previstas e facilite e contribua para as auditorias das suas operações de tratamento por parte do exportador de dados. No que diz respeito à contratação de qualquer subcontratante ulterior pelo importador de dados, em consonância com o artigo 28.o, n.os 2 e 4, do Regulamento (UE) 2016/679, as cláusulas contratuais-tipo devem, em particular, estabelecer o procedimento para a obtenção de uma autorização geral ou específica do exportador de dados e a exigência de celebrar um contrato escrito com o subcontratante ulterior que assegure o mesmo nível de proteção previsto nas cláusulas.

(16)

Afigura-se adequado prever diferentes garantias nas cláusulas contratuais-tipo que abranjam a situação específica de uma transferência de dados pessoais por um subcontratante na União para o seu responsável pelo tratamento num país terceiro e reflitam as obrigações autónomas limitadas dos subcontratantes nos termos do Regulamento (UE) 2016/679. Em particular, as cláusulas contratuais-tipo devem exigir que o subcontratante informe o responsável pelo tratamento se não puder seguir as suas instruções, nomeadamente se essas instruções violarem o direito da União em matéria de proteção de dados, e que o responsável pelo tratamento se abstenha de quaisquer atos que impeçam o subcontratante de cumprir as obrigações que lhe incumbem nos termos do Regulamento (UE) 2016/679. Devem igualmente exigir que as partes se prestem assistência mútua na resposta a perguntas e pedidos apresentados pelos titulares dos dados ao abrigo da legislação local aplicável ao importador de dados ou, no que se refere ao tratamento de dados na União, ao abrigo do Regulamento (UE) 2016/679. Devem aplicar-se requisitos adicionais para fazer face a quaisquer efeitos da legislação do país terceiro de destino no cumprimento das cláusulas por parte do responsável pelo tratamento, em especial, para tratar os pedidos vinculativos recebidos das autoridades públicas do país terceiro para a divulgação dos dados pessoais transferidos, nos casos em que o subcontratante da União combine os dados pessoais recebidos do responsável pelo tratamento no país terceiro com os dados pessoais recolhidos pelo subcontratante na União. Inversamente, tais requisitos não se justificam quando a contratação externa envolve apenas o tratamento e a transferência de dados pessoais recebidos dos responsáveis pelo tratamento que, em todo o caso, estiveram e continuarão a estar sujeitos à jurisdição do país terceiro em questão.

(17)

As partes devem poder demonstrar o cumprimento das cláusulas contratuais-tipo. Em particular, o importador de dados deve ser obrigado a conservar documentação adequada relativa às atividades de tratamento sob a sua responsabilidade e a informar imediatamente o exportador de dados se, por qualquer motivo, não puder cumprir as cláusulas. Por sua vez, o exportador de dados deve suspender a transferência e, em casos particularmente graves, ter o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das cláusulas contratuais-tipo, caso o importador de dados viole ou não possa cumprir as cláusulas. Devem aplicar-se regras específicas caso a legislação local afete o cumprimento das cláusulas. Os dados pessoais que tenham sido transferidos antes da rescisão do contrato e quaisquer cópias dos mesmos devem, consoante a escolha do exportador de dados, ser devolvidos ao exportador de dados ou destruídos na sua totalidade.

(18)

As cláusulas contratuais-tipo devem prever garantias específicas, em particular à luz da jurisprudência do Tribunal de Justiça (11), para fazer face a quaisquer efeitos da legislação do país terceiro de destino no cumprimento das cláusulas por parte do importador de dados, em especial, formas de tratar os pedidos vinculativos recebidos das autoridades públicas desse país para a divulgação dos dados pessoais transferidos.

(19)

A transferência e o tratamento de dados pessoais ao abrigo das cláusulas contratuais-tipo não devem ter lugar se a legislação e as práticas do país terceiro de destino impedirem o importador de dados de cumprir as cláusulas. Neste contexto, as legislações e as práticas que respeitem a essência dos direitos e das liberdades fundamentais e não excedam o necessário e proporcional numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23.o, n.o 1, do Regulamento (UE) 2016/679 não devem ser consideradas contrárias ao disposto nas cláusulas contratuais-tipo. As partes devem garantir que, aquando da subscrição das cláusulas contratuais-tipo, não têm motivos para crer que as legislações e as práticas aplicáveis ao importador de dados não estão em consonância com estes requisitos.

(20)

As partes devem ter em conta, em especial, as circunstâncias específicas da transferência (como o conteúdo e a duração do contrato, a natureza dos dados a transferir, o tipo de destinatário, a finalidade do tratamento), as legislações e as práticas do país terceiro de destino pertinentes à luz das circunstâncias da transferência e quaisquer garantias aplicadas para complementar as garantias previstas nas cláusulas contratuais-tipo (incluindo as medidas contratuais, técnicas e organizativas pertinentes aplicáveis à transmissão dos dados pessoais e ao seu tratamento no país de destino). Quanto ao impacto de tais legislações e práticas no cumprimento das cláusulas contratuais-tipo, podem ser tidos em consideração diferentes elementos no âmbito de uma avaliação global, incluindo informações fiáveis sobre a aplicação da legislação na prática (como a jurisprudência e relatórios de organismos de supervisão independentes), a existência ou ausência de pedidos dentro do mesmo setor e, em condições estritas, a experiência prática documentada do exportador de dados e/ou do importador de dados.

(21)

O importador de dados deve notificar o exportador de dados se, depois de ter subscrito as cláusulas contratuais-tipo, tiver motivos para crer que não é capaz de as cumprir. Se o exportador de dados receber tal notificação ou tomar conhecimento, de qualquer outra forma, de que o importador de dados deixou de ter capacidade para cumprir as cláusulas contratuais-tipo, deve identificar as medidas adequadas para resolver a situação, se necessário em consulta com a autoridade de controlo competente. Tais medidas podem incluir medidas suplementares adotadas pelo exportador e/ou importador de dados, como medidas técnicas ou organizativas destinadas a garantir a segurança e a confidencialidade. O exportador de dados deve ser obrigado a suspender a transferência se considerar que não podem ser asseguradas garantias adequadas ou se receber instruções da autoridade de controlo competente nesse sentido.

(22)

Sempre que possível, o importador de dados deve notificar o exportador de dados e o titular dos dados se receber um pedido juridicamente vinculativo de uma autoridade pública (incluindo judiciária) ao abrigo da legislação do país de destino para a divulgação dos dados pessoais transferidos nos termos das cláusulas contratuais-tipo. Do mesmo modo, deve notificá-los se tomar conhecimento de qualquer acesso direto das autoridades públicas a tais dados pessoais, em conformidade com a legislação do país terceiro de destino. Se, não obstante todos os seus esforços, o importador de dados não estiver em condições de notificar o exportador de dados e/ou o titular dos dados de pedidos específicos de divulgação, deve fornecer ao exportador de dados o máximo possível de informações pertinentes sobre os pedidos. Além disso, o importador de dados deve fornecer periodicamente ao exportador de dados informações agregadas. O importador de dados deve igualmente ser obrigado a documentar qualquer pedido de divulgação recebido e a resposta fornecida, e a disponibilizar essa informação ao exportador de dados ou à autoridade de controlo competente, ou a ambos, mediante pedido. Se, na sequência de uma fiscalização da legalidade de tal pedido ao abrigo da legislação do país de destino, o importador de dados concluir que existem motivos razoáveis para considerar que o pedido é ilegal nos termos da legislação do país terceiro de destino, deve contestá-lo, nomeadamente, quando adequado, esgotando as possibilidades de recurso disponíveis. Em todo o caso, se o importador de dados deixar de ter capacidade para cumprir as cláusulas contratuais-tipo, deve informar o exportador de dados em conformidade, inclusivamente quando tal for consequência de um pedido de divulgação.

(23)

Uma vez que as necessidades das partes interessadas, a tecnologia e as operações de tratamento podem sofrer alterações, a Comissão deve avaliar o funcionamento das cláusulas contratuais-tipo à luz da experiência, no âmbito da avaliação periódica do Regulamento (UE) 2016/679, referida no artigo 97.o do mesmo regulamento.

(24)

A Decisão 2001/497/CE e a Decisão 2010/87/UE devem ser revogadas três meses após a entrada em vigor da presente decisão. Durante esse período, os exportadores e importadores de dados devem, para efeitos do artigo 46.o, n.o 1, do Regulamento (UE) 2016/679, continuar a poder utilizar as cláusulas contratuais-tipo estabelecidas nas Decisões 2001/497/CE e 2010/87/UE. Durante um período adicional de 15 meses, os exportadores e importadores de dados devem, para efeitos do artigo 46.o, n.o 1, do Regulamento (UE) 2016/679, continuar a poder recorrer às cláusulas contratuais-tipo estabelecidas nas Decisões 2001/497/CE e 2010/87/UE para a execução de contratos celebrados entre os mesmos antes da data de revogação dessas decisões, desde que as operações de tratamento objeto do contrato permaneçam inalteradas e que o recurso às cláusulas garanta que a transferência de dados pessoais está sujeita a garantias adequadas na aceção do artigo 46.o, n.o 1, do Regulamento (UE) 2016/679. Caso o contrato seja objeto de alterações significativas, o exportador de dados deve ser obrigado a invocar um novo fundamento para as transferências de dados ao abrigo do contrato, em particular substituindo as cláusulas contratuais-tipo existentes pelas cláusulas contratuais-tipo estabelecidas no anexo da presente decisão. O mesmo deve ser aplicável a qualquer subcontratação, a um subcontratante (ulterior), das operações de tratamento abrangidas pelo contrato.

(25)

A Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados foram consultados nos termos do artigo 42.o, n.os 1 e 2, do Regulamento (UE) 2018/1725 e emitiram um parecer comum em 14 de janeiro de 2021 (12), que foi tido em consideração na preparação da presente decisão.

(26)

As medidas previstas na presente decisão estão em conformidade com o parecer do Comité instituído pelo artigo 93.o do Regulamento (UE) 2016/679,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

1.   Considera-se que as cláusulas contratuais-tipo estabelecidas no anexo proporcionam garantias adequadas na aceção do artigo 46.o, n.o 1, e n.o 2, alínea c), do Regulamento (UE) 2016/679 para a transferência, por um responsável pelo tratamento ou por um subcontratante, de dados pessoais tratados nos termos desse regulamento (exportador de dados) para um responsável pelo tratamento ou para um subcontratante (ulterior) cujo tratamento dos dados não esteja sujeito a esse regulamento (importador de dados).

2.   As cláusulas contratuais-tipo estabelecem igualmente os direitos e as obrigações dos responsáveis pelo tratamento e dos subcontratantes no que diz respeito às matérias referidas no artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679 no que se refere à transferência de dados pessoais de um responsável pelo tratamento para um subcontratante, ou de um subcontratante para um subcontratante ulterior.

Artigo 2.o

Sempre que as autoridades competentes dos Estados-Membros exerçam poderes de correção nos termos do artigo 58.o do Regulamento (UE) 2016/679 em resposta ao facto de o importador de dados estar ou vir a estar sujeito a legislações ou práticas no país terceiro de destino que o impeçam de cumprir as cláusulas contratuais-tipo constantes do anexo, conduzindo à suspensão ou à proibição das transferências de dados para países terceiros, o Estado-Membro em causa deve informar, sem demora, a Comissão, que transmite a informação aos outros Estados-Membros.

Artigo 3.o

A Comissão deve avaliar a aplicação prática das cláusulas contratuais-tipo constantes do anexo com base em todas as informações disponíveis, no âmbito da avaliação periódica exigida pelo artigo 97.o do Regulamento (UE) 2016/679.

Artigo 4.o

1.   A presente decisão entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2.   A Decisão 2001/497/CE é revogada com efeitos a partir de 27 de setembro de 2021.

3.   A Decisão 2010/87/UE é revogada com efeitos a partir de 27 de setembro de 2021.

4.   Considera-se que os contratos celebrados antes de 27 de setembro de 2021 com base na Decisão 2001/497/CE ou na Decisão 2010/87/UE proporcionam garantias adequadas na aceção do artigo 46.o, n.o 1, do Regulamento (UE) 2016/679 até 27 de dezembro de 2022, desde que as operações de tratamento objeto do contrato permaneçam inalteradas e que o recurso a essas cláusulas garanta que a transferência de dados pessoais está sujeita a garantias adequadas.

Feito em Bruxelas, em 4 de junho de 2021.

Pela Comissão

A Presidente

Ursula VON DER LEYEN


(1)  JO L 119 de 4.5.2016, p. 1.

(2)  Artigo 44.o do Regulamento (UE) 2016/679.

(3)  Ver também o Acórdão do Tribunal de Justiça de 16 de julho de 2020 no processo C-311/18, Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems («Schrems II»), ECLI:EU:C:2020:559, n.o 93.

(4)  Considerando 109 do Regulamento (UE) 2016/679.

(5)  Decisão 2001/497/CE da Comissão, de 15 de junho de 2001, relativa às cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros, nos termos da Diretiva 95/46/CE (JO L 181 de 4.7.2001, p. 19).

(6)  Decisão 2010/87/UE da Comissão, de 5 de fevereiro de 2010, relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (JO L 39 de 12.2.2010, p. 5).

(7)  Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(8)  Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39); ver considerando 5.

(9)  C(2021) 3701.

(10)  Schrems II, n.os 96 e 103. Ver também os considerandos 108 e 114 do Regulamento (UE) 2016/679.

(11)  Schrems II.

(12)  «EDPB-EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries for the matters referred to in Article 46(2)(c) of Regulation (EU) 2016/679» [Parecer conjunto 2/2021 do CEPD e da AEPD sobre a Decisão de Execução da Comissão Europeia relativa às cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros para as matérias referidas no artigo 46.o, n.o 2, alínea c), do Regulamento (UE) 2016/679].


ANEXO

CLÁUSULAS CONTRATUAIS-TIPO

SECÇÃO I

Cláusula 1

Finalidade e âmbito de aplicação

a)

As presentes cláusulas contratuais-tipo visam assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) (1) aplicáveis às transferências de dados pessoais para países terceiros.

b)

As Partes:

i)

a(s) pessoa(s) singular(es) ou coletiva(s), a(s) autoridade(s) pública(s), a(s) agência(s) ou outro(s) organismo(s) (adiante designado(s) por «entidade(s)») que transfere(m) os dados pessoais, tal como enumerados no anexo I.A. (a seguir designado(s) individualmente por «exportador de dados»), e

ii)

a(s) entidade(s) de um país terceiro que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente através de outra entidade também Parte nas presentes cláusulas, tal como enumeradas no anexo I.A. (a seguir designada(s) individualmente por «importador de dados»)

acordaram nas presentes cláusulas contratuais-tipo (a seguir designadas por «cláusulas»).

c)

As presentes cláusulas são aplicáveis no que diz respeito à transferência de dados pessoais, conforme especificado no anexo I.B.

d)

O apêndice das presentes cláusulas, que contém os anexos nelas referidos, é parte integrante das presentes cláusulas.

Cláusula 2

Efeito e invariabilidade das cláusulas

a)

As presentes cláusulas estabelecem garantias adequadas, incluindo direitos oponíveis dos titulares dos dados e medidas jurídicas corretivas eficazes, nos termos do artigo 46.o, n.o 1, e do artigo 46.o, n.o 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de responsáveis pelo tratamento para subcontratantes e/ou entre subcontratantes, nos termos do artigo 28.o, n.o 7, do Regulamento (UE) 2016/679, desde que não sejam alteradas, exceto para selecionar o(s) módulo(s) adequado(s) ou para acrescentar ou atualizar informações no apêndice. Tal não impede as Partes de incluir as cláusulas contratuais-tipo estabelecidas nas presentes cláusulas num contrato mais abrangente e/ou de acrescentar outras cláusulas ou garantias adicionais, desde que não colidam, direta ou indiretamente, com as presentes cláusulas, e sem prejuízo dos direitos ou das liberdades fundamentais dos titulares dos dados.

b)

As presentes cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.

Cláusula 3

Cláusula do terceiro beneficiário

a)

Os titulares dos dados podem invocar e fazer aplicar as presentes cláusulas, enquanto terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:

i)

cláusulas 1, 2, 3, 6, 7,

ii)

cláusula 8 — módulo um: cláusula 8.5, alínea e), e cláusula 8.9, alínea b); módulo dois: cláusula 8.1, alínea b), cláusula 8.9, alíneas a), c), d) e e); módulo três: cláusula 8.1, alíneas a), c) e d), e cláusula 8.9, alíneas a), c), d), e), f) e g); módulo quatro: cláusula 8.1, alínea b), e cláusula 8.3, alínea b),

iii)

cláusula 9 — módulo dois: cláusula 9, alíneas a), c), d) e e); módulo três: cláusula 9, alíneas a), c), d) e e),

iv)

cláusula 12 — módulo um: cláusula 12, alíneas a) e d), módulos dois e três: cláusula 12, alíneas a), d) e f),

v)

cláusula 13,

vi)

cláusula 15.1, alíneas c), d) e e),

vii)

cláusula 16, alínea e),

viii)

cláusula 18 — módulos um, dois e três: cláusula 18, alíneas a) e b); módulo quatro: cláusula 18.

b)

A alínea a) não prejudica os direitos dos titulares dos dados ao abrigo do Regulamento (UE) 2016/679.

Cláusula 4

Interpretação

a)

Caso as presentes cláusulas utilizem termos que se encontram definidos no Regulamento (UE) 2016/679, esses termos têm o mesmo significado que lhes é atribuído nesse regulamento.

b)

As presentes cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.

c)

As presentes cláusulas não devem ser interpretadas de forma contrária aos direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5

Hierarquia

Em caso de contradição entre as presentes cláusulas e as disposições de acordos conexos celebrados entre as Partes que se encontrem em vigor no momento em que as presentes cláusulas sejam acordadas ou que sejam celebrados posteriormente, prevalecem as presentes cláusulas.

Cláusula 6

Descrição da(s) transferência(s)

Os pormenores da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) são transferidos, são especificados no anexo I.B.

Cláusula 7 – Facultativa

Cláusula de adesão

a)

Uma entidade que não seja Parte nas presentes cláusulas pode, com o acordo das Partes, aderir, em qualquer momento, às presentes cláusulas, quer como exportador de dados quer como importador de dados, preenchendo o apêndice e assinando o anexo I.A.

b)

Uma vez preenchido o apêndice e assinado o anexo I.A, a entidade aderente passa a ser Parte nas presentes cláusulas e tem os direitos e as obrigações de um exportador ou importador de dados, em conformidade com a sua designação no anexo I.A.

c)

A entidade aderente não tem quaisquer direitos ou obrigações decorrentes das presentes cláusulas em relação ao período antes de se ter tornado Parte.

SECÇÃO II — OBRIGAÇÕES DAS PARTES

Cláusula 8

Garantias em matéria de proteção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados tem capacidade, através da aplicação de medidas técnicas e organizativas adequadas, para cumprir as obrigações que lhe incumbem por força das presentes cláusulas.

MÓDULO UM: Transferência entre responsáveis pelo tratamento

8.1.   Limitação das finalidades

O importador de dados deve proceder ao tratamento dos dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no anexo I.B. Só pode tratar os dados pessoais para outra finalidade:

i)

se tiver obtido o consentimento prévio do titular dos dados,

ii)

se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial no contexto de processos administrativos, regulamentares ou judiciais específicos, ou

iii)

se o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.

8.2.   Transparência

a)

A fim de permitir que os titulares dos dados exerçam efetivamente os seus direitos nos termos da cláusula 10, o importador de dados deve informá-los, quer diretamente quer através do exportador de dados:

i)

da sua identidade e dos seus contactos,

ii)

das categorias de dados pessoais tratados,

iii)

do direito de obter uma cópia das presentes cláusulas,

iv)

caso tencione transferir ulteriormente os dados pessoais para terceiros, do destinatário ou das categorias de destinatários (conforme o caso, com vista a fornecer informações significativas), da finalidade dessa transferência ulterior e do respetivo fundamento nos termos da cláusula 8.7.

b)

A alínea a) não é aplicável caso o titular dos dados já tenha conhecimento das informações, incluindo quando essas informações já tenham sido facultadas pelo exportador de dados, ou quando a disponibilização das informações se revele impossível ou implique um esforço desproporcionado para o importador de dados. Neste último caso, o importador de dados deve, na medida do possível, colocar as informações à disposição do público.

c)

Mediante pedido, as Partes devem disponibilizar gratuitamente ao titular dos dados uma cópia das presentes cláusulas, incluindo o apêndice, tal como preenchido pelas mesmas. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, as Partes podem editar parte do texto do apêndice antes de partilhar uma cópia do mesmo, mas devem disponibilizar um resumo significativo do apêndice se, de outro modo, o titular dos dados não for capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes devem comunicar ao titular dos dados os motivos das ocultações, na medida do possível sem revelar as informações ocultadas.

d)

As alíneas a) a c) em nada prejudicam as obrigações do exportador de dados nos termos dos artigos 13.o e 14.o do Regulamento (UE) 2016/679.

8.3.   Exatidão e minimização dos dados

a)

Cada Parte deve assegurar que os dados pessoais sejam exatos e, se necessário, atualizados. O importador de dados deve adotar todas as medidas adequadas para que os dados inexatos, tendo em conta a(s) finalidade(s) do tratamento, sejam apagados ou retificados sem demora.

b)

Se uma das Partes tomar conhecimento de que os dados pessoais que transferiu ou recebeu são inexatos ou estão desatualizados, deve informar a outra Parte sem demora injustificada.

c)

O importador de dados deve assegurar que os dados pessoais sejam adequados, pertinentes e limitados ao que é necessário relativamente à(s) finalidade(s) do tratamento.

8.4.   Limitação da conservação

O importador de dados deve conservar os dados pessoais apenas durante o tempo necessário para a(s) finalidade(s) para a(s) qual(is) são tratados. Deve adotar medidas técnicas ou organizativas adequadas para assegurar o cumprimento desta obrigação, incluindo o apagamento ou a anonimização (2) dos dados e de todas as cópias de segurança no final do período de conservação.

8.5.   Segurança do tratamento

a)

O importador de dados e, durante a transmissão, também o exportador de dados devem aplicar medidas técnicas e organizativas adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados (a seguir designada por «violação de dados pessoais»). Ao avaliar o nível de segurança adequado, devem ter em devida conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos inerentes ao tratamento para os titulares dos dados. As Partes devem, em particular, ponderar o recurso à cifragem ou à pseudonimização, nomeadamente durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma.

b)

As Partes acordaram nas medidas técnicas e organizativas estabelecidas no anexo II. O importador de dados deve realizar controlos regulares para garantir que estas medidas continuam a proporcionar um nível de segurança adequado.

c)

O importador de dados deve assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas às obrigações legais de confidencialidade adequadas.

d)

Em caso de violação de dados pessoais relativa a dados pessoais tratados pelo importador de dados ao abrigo das presentes cláusulas, o importador de dados deve tomar as medidas adequadas para reparar a violação de dados pessoais, incluindo medidas para atenuar os seus eventuais efeitos negativos.

e)

Em caso de violação de dados pessoais suscetível de constituir um risco para os direitos e as liberdades das pessoas singulares, o importador de dados deve notificar, sem demora, o exportador de dados e a autoridade de controlo competente, nos termos da cláusula 13. Essa notificação deve conter i) uma descrição da natureza da violação (incluindo, se possível, as categorias e o número aproximado de titulares de dados e de registos de dados pessoais em causa), ii) as suas consequências prováveis, iii) as medidas adotadas ou propostas para reparar a violação e iv) os dados de um ponto de contacto junto do qual possam ser obtidas mais informações. Na medida em que não seja possível ao importador de dados fornecer todas as informações ao mesmo tempo, poderá fazê-lo por fases, sem demora injustificada.

f)

Em caso de violação de dados pessoais suscetível de constituir um risco elevado para os direitos e as liberdades das pessoas singulares, o importador de dados deve notificar igualmente os titulares dos dados afetados, sem demora injustificada, da violação de dados pessoais e da sua natureza, se necessário em cooperação com o exportador de dados, juntamente com as informações referidas na alínea e), subalíneas ii) a iv), a menos que o importador de dados tenha aplicado medidas para reduzir significativamente o risco para os direitos ou as liberdades das pessoas singulares ou que a notificação implique esforços desproporcionados. Neste último caso, o importador de dados deve, em alternativa, emitir uma comunicação pública ou tomar uma medida semelhante para informar o público da violação de dados pessoais.

g)

O importador de dados deve documentar todos os factos pertinentes relacionados com a violação de dados pessoais, incluindo os respetivos efeitos e quaisquer medidas corretivas adotadas, e conservar um registo dos mesmos.

8.6.   Dados sensíveis

Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, dados genéticos ou biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde, à vida sexual ou à orientação sexual de uma pessoa ou dados relacionados com condenações penais ou com infrações (a seguir designados por «dados sensíveis»), o importador de dados deve aplicar limitações específicas e/ou garantias adicionais adaptadas à natureza específica dos dados e aos riscos envolvidos. Tal pode incluir a limitação do pessoal autorizado a aceder aos dados pessoais, medidas de segurança adicionais (como a pseudonimização) e/ou limitações adicionais no que diz respeito à divulgação posterior.

8.7.   Transferências ulteriores

O importador de dados não pode divulgar os dados pessoais a terceiros localizados fora da União Europeia (3) (no mesmo país que o importador de dados ou noutro país terceiro, a seguir designada «transferência ulterior»), a menos que o terceiro esteja ou aceite estar vinculado pelas presentes cláusulas, ao abrigo do módulo adequado. Caso contrário, uma transferência ulterior por parte do importador de dados só pode ser realizada se:

i)

o seu destino for um país que beneficie de uma decisão de adequação nos termos do artigo 45.o do Regulamento (UE) 2016/679 que abranja a transferência ulterior,

ii)

o terceiro assegurar, de qualquer outra forma, as garantias adequadas nos termos dos artigos 46.o ou 47.o do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão,

iii)

o terceiro celebrar um instrumento vinculativo com o importador de dados que assegure o mesmo nível de proteção de dados previsto nas presentes cláusulas e o importador de dados facultar uma cópia destas garantias ao exportador de dados,

iv)

for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial no contexto de processos administrativos, regulamentares ou judiciais específicos,

v)

for necessária para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular; ou

vi)

se nenhuma das outras condições for aplicável, o importador de dados tiver obtido o consentimento explícito do titular dos dados para uma transferência ulterior numa situação específica, depois de o ter informado da(s) sua(s) finalidade(s), da identidade do destinatário e dos possíveis riscos dessa transferência para o titular dos dados devido à inexistência de garantias adequadas em matéria de proteção de dados. neste caso, o importador de dados deve informar o exportador de dados e, a pedido deste último, transmitir-lhe uma cópia das informações facultadas ao titular dos dados.

Qualquer transferência ulterior está sujeita ao cumprimento, pelo importador de dados, de todas as outras garantias previstas nas presentes cláusulas, em particular a limitação da finalidade.

8.8.   Tratamento sob a autoridade do importador de dados

O importador de dados deve assegurar que qualquer pessoa que atue sob a sua autoridade, incluindo um subcontratante, só procede ao tratamento dos dados mediante as suas instruções.

8.9.   Documentação e cumprimento

a)

Cada Parte deve poder demonstrar o cumprimento das obrigações que lhe incumbem por força das presentes cláusulas. Em particular, o importador de dados deve conservar documentação adequada relativa às atividades de tratamento realizadas sob a sua responsabilidade.

b)

O importador de dados deve disponibilizar essa documentação à autoridade de controlo competente, mediante pedido.

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

8.1.   Instruções

a)

O importador de dados deve proceder ao tratamento dos dados pessoais apenas mediante instruções documentadas do exportador de dados. O exportador de dados pode dar essas instruções ao longo do período de vigência do contrato.

b)

O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.

8.2.   Limitação das finalidades

O importador de dados deve proceder ao tratamento dos dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no anexo I.B, salvo se receber instruções adicionais do exportador de dados.

8.3.   Transparência

Mediante pedido, o exportador de dados deve disponibilizar gratuitamente ao titular dos dados uma cópia das presentes cláusulas, incluindo o apêndice, conforme preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no anexo II e dados pessoais, o exportador de dados pode editar parte do texto do apêndice das presentes cláusulas antes de partilhar uma cópia do mesmo, mas deve disponibilizar um resumo significativo do apêndice se, de outro modo, o titular dos dados não for capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes devem comunicar ao titular dos dados os motivos das ocultações, na medida do possível sem revelar as informações ocultadas. Esta cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13.o e 14.° do Regulamento (UE) 2016/679.

8.4.   Exatidão

Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são inexatos ou estão desatualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para apagar ou retificar os dados.

8.5.   Duração do tratamento e apagamento ou devolução dos dados

O tratamento pelo importador de dados só pode ocorrer durante o período especificado no anexo I.B. Depois de concluída a prestação dos serviços de tratamento, o importador de dados deve, consoante a escolha do exportador de dados, apagar todos os dados pessoais tratados por conta deste último e certificar ao exportador de dados que o fez ou devolver ao exportador de dados todos os dados pessoais tratados por sua conta e apagar as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento das presentes cláusulas. Caso a legislação local aplicável ao importador de dados proíba a devolução ou o apagamento dos dados pessoais, o importador de dados garante continuar a assegurar o cumprimento das presentes cláusulas e só proceder ao tratamento dos dados pessoais em causa na medida em que e enquanto for necessário nos termos dessa legislação local. Tal não prejudica a cláusula 14, em particular a exigência de o importador de dados, nos termos da cláusula 14, alínea e), notificar o exportador de dados ao longo do período de vigência do contrato se tiver motivos para crer que está ou ficou sujeito a legislações ou práticas não conformes com os requisitos da cláusula 14, alínea a).

8.6.   Segurança do tratamento

a)

O importador de dados e, durante a transmissão, também o exportador de dados devem aplicar medidas técnicas e organizativas adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a esses dados (a seguir designada por «violação de dados pessoais»). Ao avaliar o nível de segurança adequado, as Partes devem ter em devida conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos inerentes ao tratamento para os titulares dos dados. As Partes devem, em particular, ponderar o recurso à cifragem ou à pseudonimização, nomeadamente durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para a atribuição dos dados pessoais a um titular de dados específico devem permanecer, sempre que possível, sob o controlo exclusivo do exportador de dados. No cumprimento das obrigações que lhe incumbem por força do presente número, o importador de dados deve, pelo menos, aplicar as medidas técnicas e organizativas especificadas no anexo II. O importador de dados deve realizar controlos regulares para garantir que estas medidas continuam a proporcionar um nível de segurança adequado.

b)

O importador de dados só deve conceder acesso aos dados pessoais aos membros do seu pessoal na medida estritamente necessária para a execução, a gestão e o acompanhamento do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas às obrigações legais de confidencialidade adequadas.

c)

Em caso de violação de dados pessoais relativa a dados pessoais tratados pelo importador de dados ao abrigo das presentes cláusulas, o importador de dados deve tomar as medidas adequadas para reparar a violação, incluindo medidas para atenuar os seus efeitos negativos. O importador de dados deve notificar igualmente o exportador de dados, sem demora injustificada, após ter tomado conhecimento da violação. Essa notificação deve conter os dados de um ponto de contacto onde possam ser obtidas mais informações, uma descrição da natureza da violação (incluindo, se possível, as categorias e o número aproximado de titulares de dados e de registos de dados pessoais em causa), as suas consequências prováveis e as medidas adotadas ou propostas para reparar a violação, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos. Caso, e na medida em que, não seja possível comunicar todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis, devendo outras informações, à medida que fiquem disponíveis, ser fornecidas posteriormente sem demora injustificada.

d)

O importador de dados deve cooperar com o exportador de dados e prestar-lhe assistência para que este cumpra as obrigações que lhe incumbem nos termos do Regulamento (UE) 2016/679, em particular a obrigação de notificar a autoridade de controlo competente e os titulares de dados afetados, tendo em conta a natureza do tratamento e as informações ao dispor do importador de dados.

8.7.   Dados sensíveis

Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, dados genéticos ou biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde, à vida sexual ou à orientação sexual de uma pessoa ou dados relacionados com condenações penais e com infrações (a seguir designados por «dados sensíveis»), o importador de dados deve aplicar as limitações específicas e/ou garantias adicionais descritas no anexo I.B.

8.8.   Transferências ulteriores

O importador de dados só deve divulgar os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (4) (no mesmo país que o importador de dados ou noutro país terceiro, a seguir designada «transferência ulterior») se o terceiro estiver ou aceitar estar vinculado pelas presentes cláusulas, ao abrigo do módulo adequado, ou se:

i)

o destino da transferência ulterior for um país que beneficie de uma decisão de adequação nos termos do artigo 45.o do Regulamento (UE) 2016/679 que abranja a transferência ulterior,

ii)

o terceiro assegurar, de qualquer outra forma, as garantias adequadas nos termos dos artigos 46.o ou 47.° do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão,

iii)

a transferência ulterior for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial no contexto de processos administrativos, regulamentares ou judiciais específicos, ou

iv)

a transferência ulterior for necessária para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.

Qualquer transferência ulterior está sujeita ao cumprimento, pelo importador de dados, de todas as outras garantias previstas nas presentes cláusulas, em particular a limitação da finalidade.

8.9.   Documentação e cumprimento

a)

O importador de dados deve responder, rápida e adequadamente, aos pedidos de informação do exportador de dados relacionados com o tratamento ao abrigo das presentes cláusulas.

b)

As Partes devem poder demonstrar o cumprimento das presentes cláusulas. Em particular, o importador de dados deve conservar documentação adequada sobre as atividades de tratamento realizadas por conta do exportador de dados.

c)

O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações previstas nas presentes cláusulas e, a pedido deste último, facilitar e contribuir para as auditorias das operações de tratamento abrangidas pelas presentes cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações pertinentes detidas pelo importador de dados.

d)

O exportador de dados pode optar por realizar, ele próprio, a auditoria ou mandatar um auditor independente. As auditorias podem incluir inspeções nos edifícios ou nas instalações físicas do importador de dados, devendo, se for caso disso, ser realizadas com uma antecedência razoável.

e)

As Partes devem disponibilizar as informações referidas nas alíneas b) e c), incluindo os resultados de quaisquer auditorias, à autoridade de controlo competente, mediante pedido.

MÓDULO TRÊS: Transferência entre subcontratantes

8.1.   Instruções

a)

O exportador de dados informou o importador de dados de que atua como subcontratante sob as instruções do(s) seu(s) responsável(eis) pelo tratamento, que o exportador de dados vai disponibilizar ao importador de dados antes do tratamento.

b)

O importador de dados só deve proceder ao tratamento dos dados pessoais mediante instruções documentadas do responsável pelo tratamento, conforme comunicadas ao importador de dados pelo exportador de dados, e quaisquer instruções adicionais documentadas do exportador de dados. Essas instruções adicionais não podem ser contrárias às instruções do responsável pelo tratamento. O responsável pelo tratamento ou exportador de dados pode dar instruções documentadas adicionais a respeito do tratamento de dados ao longo do período de vigência do contrato.

c)

O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções. Se o importador de dados não puder seguir as instruções do responsável pelo tratamento, o exportador de dados deve notificar imediatamente o responsável pelo tratamento.

d)

O exportador de dados garante que impôs ao importador de dados as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou noutro ato normativo ao abrigo do direito da União ou dos Estados-Membros entre o responsável pelo tratamento e o exportador de dados (5).

8.2.   Limitação das finalidades

O importador de dados deve proceder ao tratamento dos dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no anexo I.B, salvo se receber instruções adicionais do responsável pelo tratamento, conforme comunicadas ao importador de dados pelo exportador de dados, ou do exportador de dados.

8.3.   Transparência

Mediante pedido, o exportador de dados deve disponibilizar gratuitamente ao titular dos dados uma cópia das presentes cláusulas, incluindo o apêndice, conforme preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o exportador de dados pode editar parte do texto do apêndice antes de partilhar uma cópia do mesmo, mas deve disponibilizar um resumo significativo do apêndice se, de outro modo, o titular dos dados não for capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes devem comunicar ao titular dos dados os motivos das ocultações, na medida do possível sem revelar as informações ocultadas.

8.4.   Exatidão

Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são inexatos ou estão desatualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para retificar ou apagar os dados.

8.5.   Duração do tratamento e apagamento ou devolução dos dados

O tratamento pelo importador de dados só pode ocorrer durante o período especificado no anexo I.B. Depois de concluída a prestação dos serviços de tratamento, o importador de dados deve, consoante a escolha do exportador de dados, apagar todos os dados pessoais tratados por conta do responsável pelo tratamento e certificar ao exportador de dados que o fez ou devolver ao exportador de dados todos os dados pessoais tratados por sua conta e apagar as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento das presentes cláusulas. Caso a legislação local aplicável ao importador de dados proíba a devolução ou o apagamento dos dados pessoais, o importador de dados garante continuar a assegurar o cumprimento das presentes cláusulas e só proceder ao tratamento dos dados pessoais em causa na medida em que e enquanto for necessário nos termos dessa legislação local. Tal não prejudica a cláusula 14, em particular a exigência de o importador de dados, nos termos da cláusula 14, alínea e), notificar o exportador de dados ao longo do período de vigência do contrato se tiver motivos para crer que está ou ficou sujeito a legislações ou práticas não conformes com os requisitos da cláusula 14, alínea a).

8.6.   Segurança do tratamento

a)

O importador de dados e, durante a transmissão, também o exportador de dados devem aplicar medidas técnicas e organizativas adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a esses dados (a seguir designada por «violação de dados pessoais»). Ao avaliar o nível de segurança adequado, devem ter em devida conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos inerentes ao tratamento para os titulares dos dados. As Partes devem, em particular, ponderar o recurso à cifragem ou à pseudonimização, nomeadamente durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para a atribuição dos dados pessoais a um titular de dados específico devem permanecer, sempre que possível, sob o controlo exclusivo do exportador de dados ou responsável pelo tratamento. No cumprimento das obrigações que lhe incumbem por força do presente número, o importador de dados deve, pelo menos, aplicar as medidas técnicas e organizativas especificadas no anexo II. O importador de dados deve realizar controlos regulares para garantir que estas medidas continuam a proporcionar um nível de segurança adequado.

b)

O importador de dados só deve conceder acesso aos dados aos membros do seu pessoal na medida estritamente necessária para a execução, a gestão e o acompanhamento do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas às obrigações legais de confidencialidade adequadas.

c)

Em caso de violação de dados pessoais relativa a dados pessoais tratados pelo importador de dados ao abrigo das presentes cláusulas, o importador de dados deve tomar as medidas adequadas para reparar a violação, incluindo medidas para atenuar os seus efeitos negativos. O importador de dados deve notificar igualmente, sem demora injustificada, o exportador de dados e, sempre que adequado e viável, o responsável pelo tratamento após ter tomado conhecimento da violação. Essa notificação deve conter os dados de um ponto de contacto onde possam ser obtidas mais informações, uma descrição da natureza da violação (incluindo, se possível, as categorias e o número aproximado de titulares de dados e de registos de dados pessoais em causa), as suas consequências prováveis e as medidas adotadas ou propostas para reparar a violação de dados, incluindo medidas para atenuar os seus eventuais efeitos negativos. Caso, e na medida em que, não seja possível comunicar todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis, devendo outras informações, à medida que fiquem disponíveis, ser fornecidas posteriormente sem demora injustificada.

d)

O importador de dados deve cooperar com o exportador de dados e prestar-lhe assistência para que este cumpra as obrigações que lhe incumbem nos termos do Regulamento (UE) 2016/679, em particular a obrigação de notificar o respetivo responsável pelo tratamento para que este possa, por sua vez, notificar a autoridade de controlo competente e os titulares de dados afetados, tendo em conta a natureza do tratamento e as informações ao dispor do importador de dados.

8.7.   Dados sensíveis

Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, dados genéticos ou biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde, à vida sexual ou à orientação sexual de uma pessoa ou dados relacionados com condenações penais e com infrações (a seguir designados por «dados sensíveis»), o importador de dados deve aplicar as limitações específicas e/ou garantias adicionais estabelecidas no anexo I.B.

8.8.   Transferências ulteriores

O importador de dados só deve divulgar os dados pessoais a terceiros mediante instruções documentadas do responsável pelo tratamento, conforme comunicadas ao importador de dados pelo exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (6) (no mesmo país que o importador de dados ou noutro país terceiro, a seguir designada «transferência ulterior») se o terceiro estiver ou aceitar estar vinculado pelas presentes cláusulas, ao abrigo do módulo adequado, ou se:

i)

o destino da transferência ulterior for um país que beneficie de uma decisão de adequação nos termos do artigo 45.o do Regulamento (UE) 2016/679 que abranja a transferência ulterior,

ii)

o terceiro assegurar, de qualquer outra forma, as garantias adequadas nos termos dos artigos 46.o ou 47.o do Regulamento (UE) 2016/679,

iii)

a transferência ulterior for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial no contexto de processos administrativos, regulamentares ou judiciais específicos, ou

iv)

a transferência ulterior for necessária para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.

Qualquer transferência ulterior está sujeita ao cumprimento, pelo importador de dados, de todas as outras garantias previstas nas presentes cláusulas, em particular a limitação da finalidade.

8.9.   Documentação e cumprimento

a)

O importador de dados deve responder, rápida e adequadamente, aos pedidos de informação do exportador de dados ou do responsável pelo tratamento relacionados com o tratamento ao abrigo das presentes cláusulas.

b)

As Partes devem poder demonstrar o cumprimento das presentes cláusulas. Em particular, o importador de dados deve conservar documentação adequada sobre as atividades de tratamento realizadas por conta do responsável pelo tratamento.

c)

O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações previstas nas presentes cláusulas, que as deve facultar ao responsável pelo tratamento.

d)

O importador de dados deve facilitar e contribuir para as auditorias, realizadas pelo exportador de dados, das operações de tratamento abrangidas pelas presentes cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. O mesmo se aplica se o exportador de dados solicitar uma auditoria mediante instruções do responsável pelo tratamento. Ao decidir sobre uma auditoria, o exportador de dados pode ter em conta as certificações pertinentes detidas pelo importador de dados.

e)

Se a auditoria for realizada mediante instruções do responsável pelo tratamento, o exportador de dados deve disponibilizar os resultados ao responsável pelo tratamento.

f)

O exportador de dados pode optar por realizar, ele próprio, a auditoria ou mandatar um auditor independente. As auditorias podem incluir inspeções nos edifícios ou nas instalações físicas do importador de dados, devendo, se for caso disso, ser realizadas com uma antecedência razoável.

g)

As Partes devem disponibilizar as informações referidas nas alíneas b) e c), incluindo os resultados de quaisquer auditorias, à autoridade de controlo competente, mediante pedido.

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento

8.1.   Instruções

a)

O exportador de dados deve proceder ao tratamento dos dados pessoais apenas mediante instruções documentadas do importador de dados que atue como seu responsável pelo tratamento.

b)

O exportador de dados deve informar imediatamente o importador de dados se não puder seguir essas instruções, nomeadamente se tais instruções violarem o Regulamento (UE) 2016/679 ou o direito da União ou dos Estados-Membros em matéria de proteção de dados.

c)

O importador de dados deve abster-se de quaisquer atos que impeçam o exportador de dados de cumprir as obrigações que lhe incumbem nos termos do Regulamento (UE) 2016/679, inclusivamente no contexto da subcontratação ou no que respeita à cooperação com as autoridades de controlo competentes.

d)

Depois de concluída a prestação dos serviços de tratamento, o exportador de dados deve, consoante a escolha do importador de dados, apagar todos os dados pessoais tratados por conta deste último e certificar ao importador de dados que o fez ou devolver ao importador de dados todos os dados pessoais tratados por sua conta e apagar as cópias existentes.

8.2.   Segurança do tratamento

a)

As Partes devem aplicar medidas técnicas e organizativas adequadas para garantir a segurança dos dados, nomeadamente durante a transmissão, e a proteção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados (a seguir designada por «violação de dados pessoais»). Ao avaliar o nível de segurança adequado, devem ter em devida conta as técnicas mais avançadas, os custos de aplicação, a natureza dos dados pessoais (7), a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos para os titulares dos dados e, em particular, ponderar o recurso à cifragem ou à pseudonimização, nomeadamente durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma.

b)

O exportador de dados deve prestar assistência ao importador de dados para garantir a segurança adequada dos dados, em conformidade com o disposto na alínea a). Em caso de violação de dados pessoais relativa aos dados pessoais tratados pelo exportador de dados ao abrigo das presentes cláusulas, o exportador de dados deve notificar o importador de dados, sem demora injustificada, após ter tomado conhecimento da mesma e prestar assistência ao importador de dados para reparar a violação.

c)

O exportador de dados deve assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas às obrigações legais de confidencialidade adequadas.

8.3.   Documentação e cumprimento

a)

As Partes devem poder demonstrar o cumprimento das presentes cláusulas.

b)

O exportador de dados deve disponibilizar ao importador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações que lhe incumbem por força das presentes cláusulas e facilitar e contribuir para as auditorias.

Cláusula 9

Recurso a subcontratantes ulteriores

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

a)

OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA O importador de dados não pode subcontratar nenhuma das suas atividades de tratamento realizadas por conta do exportador de dados ao abrigo das presentes cláusulas a um subcontratante ulterior sem a autorização escrita prévia específica do exportador de dados. O importador de dados deve apresentar o pedido de autorização específica pelo menos [especificar período] antes da contratação do subcontratante ulterior, juntamente com as informações necessárias para permitir ao exportador de dados tomar uma decisão sobre a autorização. A lista de subcontratantes ulteriores já autorizados pelo exportador de dados pode ser consultada no anexo III. As Partes devem manter o anexo III atualizado.

OPÇÃO 2: AUTORIZAÇÃO ESCRITA GERAL O importador de dados tem a autorização geral do exportador de dados para a contratação de (um) subcontratante(s) ulterior(es) a partir de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados, por escrito, das alterações pretendidas a efetuar a essa lista quanto ao aumento do número ou à substituição de subcontratantes ulteriores com uma antecedência mínima de [especificar período], dando assim ao exportador de dados tempo suficiente para se opor a essas alterações antes da contratação do(s) subcontratante(s) ulterior(es). O importador de dados deve fornecer ao exportador de dados as informações necessárias para que este último possa exercer o seu direito de oposição.

b)

Se o importador de dados contratar um subcontratante ulterior para realizar operações específicas de tratamento (por conta do exportador de dados), deve fazê-lo através de um contrato escrito que preveja, do ponto de vista material, as mesmas obrigações em matéria de proteção de dados que as que incumbem ao importador de dados por força das presentes cláusulas, incluindo em termos de direitos de terceiro beneficiário para os titulares dos dados (8). As Partes concordam que, ao cumprir esta cláusula, o importador de dados cumpre as obrigações que lhe incumbem por força da cláusula 8.8. O importador de dados deve garantir que o subcontratante ulterior cumpre as obrigações a que o importador de dados está sujeito nos termos das presentes cláusulas.

c)

O importador de dados deve facultar ao exportador de dados, a pedido do mesmo, uma cópia do referido acordo de subcontratação e de quaisquer alterações subsequentes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode editar o texto do acordo antes de partilhar uma cópia.

d)

O importador de dados continua a ser inteiramente responsável, perante o exportador de dados, pelo cumprimento das obrigações que incumbem ao subcontratante ulterior por força do seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer incumprimento, pelo subcontratante ulterior, das obrigações que lhe incumbem por força desse contrato.

e)

O importador de dados deve acordar com o subcontratante ulterior uma cláusula do terceiro beneficiário nos termos da qual — em caso de desaparecimento de facto, de extinção legal ou de insolvência do importador de dados — o exportador de dados tem o direito de rescindir o contrato do subcontratante ulterior e de dar instruções ao subcontratante ulterior para apagar ou devolver os dados pessoais.

MÓDULO TRÊS: Transferência entre subcontratantes

a)

OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA O importador de dados não pode subcontratar nenhuma das suas atividades de tratamento realizadas por conta do exportador de dados ao abrigo das presentes cláusulas a um subcontratante ulterior sem a autorização escrita prévia específica do responsável pelo tratamento. O importador de dados deve apresentar o pedido de autorização específica pelo menos [especificar período] antes da contratação do subcontratante ulterior, juntamente com as informações necessárias para permitir ao responsável pelo tratamento tomar uma decisão sobre a autorização. Deve informar o exportador de dados dessa contratação. A lista de subcontratantes ulteriores já autorizados pelo responsável pelo tratamento pode ser consultada no anexo III. As Partes devem manter o anexo III atualizado.

OPÇÃO 2: AUTORIZAÇÃO ESCRITA GERAL O importador de dados tem a autorização geral do responsável pelo tratamento para a contratação de (um) subcontratante(s) ulterior(es) a partir de uma lista acordada. O importador de dados deve informar especificamente o responsável pelo tratamento, por escrito, das alterações pretendidas a efetuar a essa lista quanto ao aumento do número ou à substituição de subcontratantes ulteriores com uma antecedência mínima de [especificar período], dando assim ao responsável pelo tratamento tempo suficiente para se opor a essas alterações antes da contratação do(s) subcontratante(s) ulterior(es). O importador de dados deve fornecer ao responsável pelo tratamento as informações necessárias para que este último possa exercer o seu direito de oposição. O importador de dados deve informar o exportador de dados da contratação do(s) subcontratante(s) ulterior(es).

b)

Se o importador de dados contratar um subcontratante ulterior para realizar operações específicas de tratamento (por conta do responsável pelo tratamento), deve fazê-lo através de um contrato escrito que preveja, do ponto de vista material, as mesmas obrigações em matéria de proteção de dados que as que incumbem ao importador de dados por força das presentes cláusulas, incluindo em termos de direitos de terceiro beneficiário para os titulares dos dados (9). As Partes concordam que, ao cumprir esta cláusula, o importador de dados cumpre as obrigações que lhe incumbem por força da cláusula 8.8. O importador de dados deve garantir que o subcontratante ulterior cumpre as obrigações a que o importador de dados está sujeito nos termos das presentes cláusulas.

c)

O importador de dados deve facultar ao exportador de dados ou ao responsável pelo tratamento, a pedido do mesmo, uma cópia do referido acordo de subcontratação e de quaisquer alterações subsequentes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode editar o texto do acordo antes de partilhar uma cópia.

d)

O importador de dados continua a ser inteiramente responsável, perante o exportador de dados, pelo cumprimento das obrigações que incumbem ao subcontratante ulterior por força do seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer incumprimento, pelo subcontratante ulterior, das obrigações que lhe incumbem por força desse contrato.

e)

O importador de dados deve acordar com o subcontratante ulterior uma cláusula do terceiro beneficiário nos termos da qual — em caso de desaparecimento de facto, de extinção legal ou de insolvência do importador de dados — o exportador de dados tem o direito de rescindir o contrato do subcontratante ulterior e de dar instruções ao subcontratante ulterior para apagar ou devolver os dados pessoais.

Cláusula 10

Direitos dos titulares dos dados

MÓDULO UM: Transferência entre responsáveis pelo tratamento

a)

O importador de dados, se necessário com a assistência do exportador de dados, deve responder a quaisquer perguntas e pedidos que receba de um titular de dados relacionados com o tratamento dos seus dados pessoais e com o exercício dos seus direitos ao abrigo das presentes cláusulas sem demora injustificada e, o mais tardar, no prazo de um mês a contar da data de receção da pergunta ou do pedido (10). O importador de dados deve tomar as medidas adequadas para facilitar essas perguntas, pedidos e o exercício dos direitos do titular dos dados. Quaisquer informações facultadas ao titular dos dados devem ser apresentadas de forma inteligível e de fácil acesso, utilizando uma linguagem clara e simples.

b)

Em particular, a pedido do titular dos dados, o importador de dados deve, gratuitamente:

i)

confirmar ao titular dos dados se os dados pessoais que lhe dizem respeito estão a ser objeto de tratamento e, se for esse o caso, fornecer-lhe uma cópia dos mesmos e das informações constantes do anexo I, se os dados pessoais tiverem sido ou venham a ser transferidos ulteriormente, facultar-lhe informações sobre: os destinatários ou as categorias de destinatários (conforme o caso, com vista a fornecer informações úteis) para os quais os dados pessoais foram ou serão transferidos ulteriormente, a finalidade dessas transferências ulteriores e o respetivo fundamento, nos termos da cláusula 8.7, bem como sobre o direito de apresentar uma reclamação a uma autoridade de controlo, em conformidade com a cláusula 12, alínea c), subalínea i),

ii)

retificar dados inexatos ou incompletos relativos ao titular dos dados,

iii)

apagar dados pessoais relativos ao titular dos dados, se esses dados estiverem a ser ou tiverem sido objeto de tratamento em violação de qualquer uma das presentes cláusulas, garantindo os direitos de terceiro beneficiário, ou se o titular dos dados retirar o consentimento em que se baseia o tratamento.

c)

Se o importador de dados proceder ao tratamento dos dados pessoais para efeitos de comercialização direta, deve cessar o tratamento para esses fins se o titular dos dados se lhe opuser.

d)

O importador de dados não deve tomar uma decisão exclusivamente com base no tratamento automatizado dos dados pessoais transferidos (a seguir designada por «decisão automatizada») que produza efeitos jurídicos relativamente ao titular dos dados ou que o afete significativamente de forma similar, a não ser com o consentimento explícito do titular dos dados ou se estiver autorizado a fazê-lo ao abrigo da legislação do país de destino, desde que essa legislação preveja medidas adequadas para salvaguardar os seus direitos e legítimos interesses. Neste caso, o importador de dados deve, se necessário em cooperação com o exportador de dados:

i)

informar o titular dos dados sobre a decisão automatizada prevista, as consequências previstas e a lógica subjacente, e

ii)

aplicar garantias adequadas, pelo menos permitindo ao titular dos dados contestar a decisão, manifestar o seu ponto de vista e obter intervenção humana.

e)

Quando os pedidos de um titular de dados forem excessivos, particularmente devido ao seu caráter recorrente, o importador de dados pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos do deferimento do pedido ou pode indeferi-los.

f)

O importador de dados pode recusar o pedido de um titular de dados se essa recusa for permitida pela legislação do país de destino e for necessária e proporcional numa sociedade democrática para proteger um dos objetivos enumerados no artigo 23.o, n.o 1, do Regulamento (UE) 2016/679.

g)

Se o importador de dados tencionar recusar um pedido de um titular de dados, deve informá-lo dos motivos da recusa e da possibilidade de apresentar uma reclamação à autoridade de controlo competente e/ou de interpor recurso judicial.

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

a)

O importador de dados deve notificar imediatamente o exportador de dados de qualquer pedido que tenha recebido de um titular de dados. Não pode responder ele próprio a esse pedido, salvo se tiver sido autorizado pelo exportador de dados.

b)

O importador de dados deve prestar assistência ao exportador de dados no cumprimento das suas obrigações de resposta aos pedidos dos titulares dos dados respeitantes ao exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. Neste contexto, as Partes devem estabelecer, no anexo II, as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento, através das quais a assistência deve ser prestada, bem como o âmbito e a amplitude da assistência necessária.

c)

No cumprimento das obrigações que lhe incumbem por força das alíneas a) e b), o importador de dados deve cumprir as instruções do exportador de dados.

MÓDULO TRÊS: Transferência entre subcontratantes

a)

O importador de dados deve notificar imediatamente o exportador de dados e, se for caso disso, o responsável pelo tratamento, de qualquer pedido que tenha recebido de um titular de dados, não devendo responder a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo responsável pelo tratamento.

b)

O importador de dados deve prestar assistência ao responsável pelo tratamento, se necessário em cooperação com o exportador de dados, no cumprimento das suas obrigações de resposta aos pedidos dos titulares dos dados respeitantes ao exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, consoante o caso. Neste contexto, as Partes devem estabelecer, no anexo II, as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento, através das quais a assistência deve ser prestada, bem como o âmbito e a amplitude da assistência necessária.

c)

No cumprimento das obrigações que lhe incumbem por força das alíneas a) e b), o importador de dados deve cumprir as instruções do responsável pelo tratamento, conforme comunicadas pelo exportador de dados.

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento

As Partes devem prestar-se assistência mútua na resposta a perguntas e pedidos apresentados pelos titulares dos dados ao abrigo da legislação local aplicável ao importador de dados ou, no que se refere ao tratamento de dados pelo exportador de dados na União, ao abrigo do Regulamento (UE) 2016/679.

Cláusula 11

Recurso

a)

O importador de dados deve informar os titulares dos dados, de forma transparente e de fácil acesso, através de uma notificação individual ou no seu sítio Web, de um ponto de contacto autorizado a tratar as reclamações. Deve tratar imediatamente quaisquer reclamações que receba de um titular de dados.

[OPÇÃO: O importador de dados concorda que os titulares dos dados podem igualmente apresentar uma reclamação a um organismo independente de resolução de litígios (11), sem que tenham de suportar quaisquer custos. Deve informar os titulares dos dados, da forma prevista na alínea a), desse mecanismo de recurso e de que não são obrigados a utilizá-lo, ou a seguir uma determinada sequência na interposição de recurso.]

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

b)

Em caso de litígio entre um titular dos dados e uma das Partes quanto ao cumprimento das presentes cláusulas, essa Parte deve envidar todos os esforços para resolver a questão de forma amigável e atempada. As Partes devem manter-se mutuamente informadas sobre esses litígios e, quando adequado, cooperar na sua resolução.

c)

Se o titular dos dados invocar um direito de terceiro beneficiário nos termos da cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados de:

i)

apresentar uma reclamação à autoridade de controlo no Estado-Membro da sua residência habitual ou do seu local de trabalho ou à autoridade de controlo competente, nos termos da cláusula 13,

ii)

submeter o litígio à apreciação dos tribunais competentes na aceção da cláusula 18.

d)

As Partes aceitam que o titular dos dados possa ser representado por um organismo, organização ou associação sem fins lucrativos, nas condições estabelecidas no artigo 80.o, n.o 1, do Regulamento (UE) 2016/679.

e)

O importador de dados deve acatar uma decisão vinculativa nos termos do direito da UE ou dos Estados-Membros aplicável.

f)

O importador de dados acorda que a opção do titular dos dados não prejudica os direitos materiais e processuais do mesmo de obter reparação em conformidade com a legislação aplicável.

Cláusula 12

Responsabilidade

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento

a)

Cada Parte é responsável perante a(s) outra(s) Parte(s) por quaisquer danos que lhe(s) cause decorrentes de qualquer violação das presentes cláusulas.

b)

Cada Parte é responsável perante o titular dos dados, tendo o titular dos dados o direito de receber uma indemnização, por quaisquer danos materiais ou imateriais que a Parte cause ao titular dos dados em consequência da violação dos direitos de terceiro beneficiário ao abrigo das presentes cláusulas. Tal não prejudica a responsabilidade do exportador de dados nos termos do Regulamento (UE) 2016/679.

c)

Quando mais de uma Parte for responsável por quaisquer danos causados ao titular dos dados devido a uma violação das presentes cláusulas, todas as Partes responsáveis são solidariamente responsáveis e o titular dos dados tem o direito de intentar uma ação em tribunal contra qualquer uma destas Partes.

d)

As Partes acordam que, se uma Parte for considerada responsável nos termos da alínea c), tem o direito de reclamar à(s) outra(s) Parte(s) a parte da indemnização correspondente à sua responsabilidade pelos danos.

e)

O importador de dados não pode invocar o comportamento de um subcontratante ou subcontratante ulterior para se eximir à sua própria responsabilidade.

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

a)

Cada Parte é responsável perante a(s) outra(s) Parte(s) por quaisquer danos que lhe(s) cause decorrentes de qualquer violação das presentes cláusulas.

b)

O importador de dados é responsável perante o titular dos dados, tendo o titular dos dados o direito de receber uma indemnização, por quaisquer danos materiais ou imateriais que o importador de dados ou o seu subcontratante ulterior cause ao titular dos dados em consequência da violação dos direitos de terceiro beneficiário ao abrigo das presentes cláusulas.

c)

Não obstante o disposto na alínea b), o exportador de dados é responsável perante o titular dos dados, tendo o titular dos dados o direito de receber uma indemnização, por quaisquer danos materiais ou imateriais que o exportador ou o importador de dados (ou o seu subcontratante ulterior) cause ao titular dos dados em consequência da violação dos direitos de terceiro beneficiário ao abrigo das presentes cláusulas. Tal não prejudica a responsabilidade do exportador de dados e, se este for um subcontratante que atue por conta de um responsável pelo tratamento, a responsabilidade do responsável pelo tratamento nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, consoante o caso.

d)

As Partes acordam que, se o exportador de dados for considerado responsável, nos termos da alínea c), por danos causados pelo importador de dados (ou pelo seu subcontratante), tem o direito de reclamar ao importador de dados a parte da indemnização correspondente à responsabilidade do importador de dados pelos danos.

e)

Quando mais de uma Parte for responsável por quaisquer danos causados ao titular dos dados devido a uma violação das presentes cláusulas, todas as Partes responsáveis são solidariamente responsáveis e o titular dos dados tem o direito de intentar uma ação em tribunal contra qualquer uma destas Partes.

f)

As Partes acordam que, se uma Parte for considerada responsável nos termos da alínea e), tem o direito de reclamar à(s) outra(s) Parte(s) a parte da indemnização correspondente à sua responsabilidade pelos danos.

g)

O importador de dados não pode invocar o comportamento de um subcontratante ulterior para se isentar da sua própria responsabilidade.

Cláusula 13

Controlo

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

a)

[Quando o exportador de dados estiver estabelecido num Estado-Membro da UE:] A autoridade de controlo com a responsabilidade de assegurar o cumprimento, pelo exportador de dados, do Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no anexo I.C, deve agir como autoridade de controlo competente.

[Quando o exportador de dados não estiver estabelecido num Estado-Membro da UE, mas for abrangido pelo âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3.o, n.o 2, e tiver nomeado um representante nos termos do artigo 27.o, n.o 1, do Regulamento (UE) 2016/679:] A autoridade de controlo do Estado-Membro em que o representante, na aceção do artigo 27.o, n.o 1, do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no anexo I.C, deve agir como autoridade de controlo competente.

[Quando o exportador de dados não estiver estabelecido num Estado-Membro da UE, mas for abrangido pelo âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3.o, n.o 2, sem, contudo, ter de nomear um representante nos termos do artigo 27.o, n.o 2, do Regulamento (UE) 2016/679:] A autoridade de controlo de um dos Estados-Membros onde se encontram os titulares dos dados cujos dados pessoais são transferidos ao abrigo das presentes cláusulas no contexto da oferta que lhes é feita de bens ou serviços ou cujo comportamento é controlado, conforme indicado no anexo I.C, deve agir como autoridade de controlo competente.

b)

O importador de dados aceita submeter-se à jurisdição da autoridade de controlo competente e cooperar com a mesma em quaisquer procedimentos destinados a assegurar o cumprimento das presentes cláusulas. Em particular, o importador de dados concorda em responder a pedidos de informação, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade de controlo, incluindo medidas corretivas e compensatórias. Deve fornecer à autoridade de controlo uma confirmação escrita de que foram tomadas as medidas necessárias.

SECÇÃO III — LEGISLAÇÃO LOCAL E OBRIGAÇÕES EM CASO DE ACESSO POR PARTE DE AUTORIDADES PÚBLICAS

Cláusula 14

Legislação e práticas locais que afetam o cumprimento das cláusulas

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento (quando o subcontratante da UE combina os dados pessoais recebidos do responsável pelo tratamento no país terceiro com os dados pessoais recolhidos pelo subcontratante na UE)

a)

As Partes garantem que não têm motivos para crer que a legislação e as práticas do país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas destinadas a autorizar o acesso de autoridades públicas, impedem o importador de dados de cumprir as obrigações que lhe incumbem por força das presentes cláusulas. Tal baseia-se no entendimento de que a legislação e as práticas que respeitem a essência dos direitos e das liberdades fundamentais e não excedam o necessário e proporcional numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23.o, n.o 1, do Regulamento (UE) 2016/679 não são contrárias ao disposto nas presentes cláusulas.

b)

As Partes declaram que, ao apresentar a garantia referida na alínea a), tiveram em devida conta, em especial, os seguintes elementos:

i)

as circunstâncias específicas da transferência, incluindo a extensão da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; transferências ulteriores previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o setor económico em que a transferência ocorre; o local de conservação dos dados transferidos,

ii)

a legislação e as práticas do país terceiro de destino – nomeadamente as que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por parte dessas autoridades – pertinentes à luz das circunstâncias específicas da transferência e as limitações e garantias aplicáveis (12),

iii)

quaisquer garantias contratuais, técnicas ou organizativas pertinentes aplicadas para complementar as garantias previstas nas presentes cláusulas, incluindo as medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.

c)

O importador de dados garante que, ao efetuar a avaliação nos termos da alínea b), envidou todos os esforços para fornecer ao exportador de dados informações pertinentes e acorda que continuará a cooperar com o exportador de dados no sentido de assegurar o cumprimento das presentes cláusulas.

d)

As Partes acordam em documentar a avaliação prevista na alínea b) e disponibilizá-la à autoridade de controlo competente, mediante pedido.

e)

O importador de dados acorda em notificar imediatamente o exportador de dados se, depois de ter subscrito as presentes cláusulas e durante a vigência do contrato, tiver motivos para crer que está ou ficou sujeito a legislações ou práticas não conformes com os requisitos da alínea a), nomeadamente na sequência de uma alteração da legislação do país terceiro ou de uma medida (como um pedido de divulgação) que indique uma aplicação dessa legislação na prática que não esteja em consonância com os requisitos da alínea a). [Para o módulo três: O exportador de dados deve transmitir a notificação ao responsável pelo tratamento.]

f)

Na sequência de uma notificação nos termos da alínea e), ou se o exportador de dados tiver motivos para crer que o importador de dados já não é capaz de cumprir as obrigações que lhe incumbem por força das presentes cláusulas, o exportador de dados deve identificar imediatamente as medidas adequadas (por exemplo, medidas técnicas ou organizativas para garantir a segurança e a confidencialidade) a adotar pelo exportador e/ou importador de dados para resolver a situação [para o módulo três: se for caso disso, em consulta com o responsável pelo tratamento]. O exportador de dados deve suspender a transferência de dados se considerar que não podem ser asseguradas garantias adequadas para essa transferência ou se receber instruções [para o módulo três: do responsável pelo tratamento ou] da autoridade de controlo competente nesse sentido. Neste caso, o exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados só pode exercer este direito de rescisão em relação à Parte pertinente, salvo decisão das Partes em contrário. Se o contrato for rescindido nos termos da presente cláusula, aplica-se a cláusula 16, alíneas d) e e).

Cláusula 15

Obrigações do importador de dados em caso de acesso por parte de autoridades públicas

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento (quando o subcontratante da UE combina os dados pessoais recebidos do responsável pelo tratamento no país terceiro com os dados pessoais recolhidos pelo subcontratante na UE)

15.1.   Notificação

a)

O importador de dados acorda em notificar imediatamente o exportador de dados e, se possível, o titular dos dados (se necessário, com a ajuda do exportador de dados) se:

i)

receber um pedido juridicamente vinculativo de uma autoridade pública, incluindo autoridades judiciárias, ao abrigo da legislação do país de destino para a divulgação dos dados pessoais transferidos nos termos das presentes cláusulas; esta notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade requerente, o fundamento jurídico do pedido e a resposta fornecida, ou

ii)

tomar conhecimento de qualquer acesso direto das autoridades públicas aos dados pessoais transferidos nos termos das presentes cláusulas, em conformidade com a legislação do país terceiro de destino; esta notificação deve incluir todas as informações de que o importador disponha.

[Para o módulo três: O exportador de dados deve transmitir a notificação ao responsável pelo tratamento.]

b)

Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados por força da legislação do país de destino, o importador de dados acorda em envidar todos os esforços para obter uma derrogação da proibição com vista a comunicar, o mais rapidamente possível, o maior número possível de informações. O importador de dados aceita documentar todos os seus esforços a fim de poder comprová-los a pedido do exportador de dados.

c)

Quando tal for permitido pela legislação do país de destino, o importador de dados aceita fornecer periodicamente ao exportador de dados, durante a vigência do contrato, o maior número possível de informações pertinentes sobre os pedidos recebidos (em particular, o número de pedidos, o tipo de dados solicitados, a(s) autoridade(s)/entidade(s) requerente(s), se os pedidos foram contestados e o resultado dessas contestações, etc.). [Para o módulo três: O exportador de dados deve transmitir as informações ao responsável pelo tratamento.]

d)

O importador de dados aceita conservar as informações nos termos das alíneas a) a c) durante a vigência do contrato e em disponibilizá-las à autoridade de controlo competente, mediante pedido.

e)

As alíneas a) a c) não prejudicam a obrigação que incumbe ao importador de dados, nos termos da cláusula 14, alínea e), e da cláusula 16, de informar imediatamente o exportador de dados se não puder cumprir as presentes cláusulas.

15.2.   Controlo da legalidade e minimização dos dados

a)

O importador de dados aceita controlar a legalidade do pedido de divulgação, em particular a questão de saber se este se mantém nos limites dos poderes concedidos à autoridade pública requerente, e em contestar o pedido se, após uma avaliação minuciosa, concluir que existem fundamentos razoáveis para considerar que o pedido é ilegal nos termos da legislação do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios de cortesia internacional. O importador de dados deve, nas mesmas condições, explorar as possibilidades de recurso. Ao contestar um pedido, o importador de dados deve procurar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judiciária competente tenha decidido sobre o seu mérito. O importador de dados não pode divulgar os dados pessoais solicitados até que seja obrigado a fazê-lo ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações que incumbem ao importador de dados nos termos da cláusula 14, alínea e).

b)

O importador de dados aceita documentar a sua avaliação jurídica e qualquer contestação do pedido de divulgação e, na medida do permitido pela legislação do país de destino, disponibilizar a documentação ao exportador de dados. Deve igualmente disponibilizá-la à autoridade de controlo competente, mediante pedido. [Para o módulo três: O exportador de dados deve disponibilizar a avaliação ao responsável pelo tratamento.]

c)

O importador de dados aceita fornecer a quantidade mínima de informação admissível ao responder a um pedido de divulgação, com base numa interpretação razoável do pedido.

SECÇÃO IV — DISPOSIÇÕES FINAIS

Cláusula 16

Incumprimento das cláusulas e rescisão

a)

O importador de dados deve informar imediatamente o exportador de dados se, por qualquer motivo, não puder cumprir as presentes cláusulas.

b)

Se o importador de dados violar ou não puder cumprir as presentes cláusulas, o exportador de dados deve suspender a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Esta disposição não prejudica o disposto na cláusula 14, alínea f).

c)

O exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas, caso:

i)

o exportador de dados tenha suspendido a transferência de dados pessoais para o importador de dados nos termos da alínea b) e o cumprimento das presentes cláusulas não for restabelecido num prazo razoável e, em todo o caso, no prazo de um mês a contar da suspensão,

ii)

o importador de dados viole, de forma substancial ou persistente, as presentes cláusulas, ou

iii)

o importador de dados não cumpra uma decisão vinculativa de um tribunal ou autoridade de controlo competente relativamente às obrigações que lhe incumbem por força das presentes cláusulas.

Nestes casos, deve informar a autoridade de controlo competente [para o módulo três: e o responsável pelo tratamento] desse incumprimento. Se o contrato envolver mais de duas Partes, o exportador de dados só pode exercer este direito de rescisão em relação à Parte pertinente, salvo decisão das Partes em contrário.

d)

[Para os módulos um, dois e três: Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos da alínea c) devem, consoante a escolha do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou apagados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados.] [Para o módulo quatro: Os dados pessoais recolhidos pelo exportador de dados na UE que tenham sido transferidos antes da rescisão do contrato nos termos da alínea c) devem ser imediatamente apagados na sua totalidade, incluindo quaisquer cópias dos mesmos.] O importador de dados deve certificar o apagamento dos dados ao exportador de dados. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento das presentes cláusulas. Caso a legislação local aplicável ao importador de dados proíba a devolução ou o apagamento dos dados pessoais transferidos, o importador de dados garante continuar a assegurar o cumprimento das presentes cláusulas e só proceder ao tratamento dos dados na medida em que e enquanto for necessário nos termos dessa legislação local.

e)

Qualquer das Partes pode revogar o seu consentimento em ficar vinculada pelas presentes cláusulas se i) a Comissão Europeia adotar uma decisão nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais a que se aplicam as presentes cláusulas; ou ii) o Regulamento (UE) 2016/679 se tornar parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Tal não prejudica outras obrigações aplicáveis ao tratamento em questão nos termos do Regulamento (UE) 2016/679.

Cláusula 17

Direito aplicável

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

[OPÇÃO 1: As presentes cláusulas são regidas pelo direito de um dos Estados-Membros da UE, desde que tal direito permita o exercício dos direitos de terceiros beneficiários. As Partes acordam que é aplicável o direito _______ (especificar a preposição e o Estado-Membro).]

[OPÇÃO 2 (para os módulos dois e três): As presentes cláusulas são regidas pelo direito do Estado-Membro onde o exportador de dados está estabelecido. Sempre que tal direito não permita o exercício dos direitos de terceiros beneficiários, as cláusulas são regidas pelo direito de outro Estado-Membro da UE que permita o exercício desses direitos. As Partes acordam que é aplicável o direito _______ (especificar a preposição e o Estado-Membro).]

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento

As presentes cláusulas são regidas pelo direito de um país que permita o exercício dos direitos de terceiros beneficiários. As Partes acordam que é aplicável o direito _______ (especificar a preposição e o Estado-Membro).]

Cláusula 18

Eleição do foro e jurisdição

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

a)

Qualquer litígio decorrente das presentes cláusulas deve ser dirimido pelos tribunais de um Estado-Membro da UE.

b)

As Partes acordam que estes são os tribunais _______ (especificar a preposição e o Estado-Membro).

c)

Um titular de dados pode igualmente intentar uma ação judicial contra o exportador e/ou importador de dados nos tribunais do Estado-Membro em que tem a sua residência habitual.

d)

As Partes aceitam submeter-se à jurisdição dos referidos tribunais.

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento

Qualquer litígio decorrente das presentes cláusulas deve ser dirimido pelos tribunais _______ (especificar a preposição e o país).


(1)  Se o exportador de dados for um subcontratante sujeito ao Regulamento (UE) 2016/679 agindo em nome de uma instituição ou de um órgão da União na qualidade de responsável pelo tratamento, o recurso às presentes cláusulas aquando da contratação de outro subcontratante (subcontratação) não sujeito ao Regulamento (UE) 2016/679 garante igualmente o cumprimento do artigo 29.o, n.o 4, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39), na medida em que as presentes cláusulas e as obrigações em matéria de proteção de dados estabelecidas no contrato ou noutro ato normativo entre o responsável pelo tratamento e o subcontratante nos termos do artigo 29.o, n.o 3, do Regulamento (UE) 2018/1725 estejam alinhadas. Será este o caso, em especial, se o responsável pelo tratamento e o subcontratante recorrerem às cláusulas contratuais-tipo incluídas na decisão 2021/915.

(2)  O que exige que os dados sejam tornados de tal modo anónimos que o seu titular já não possa ser identificado, em consonância com o considerando 26 do Regulamento (UE) 2016/679, e que este processo seja irreversível.

(3)  O Acordo sobre o Espaço Económico Europeu («Acordo EEE») prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Listenstaine e Noruega. A legislação da União em matéria de proteção de dados, nomeadamente o Regulamento (UE) 2016/679, é abrangida pelo Acordo EEE e foi integrada no respetivo anexo XI. Por conseguinte, qualquer divulgação pelo importador de dados a um terceiro situado no EEE não é considerada uma transferência ulterior para efeitos das presentes cláusulas.

(4)  O Acordo sobre o Espaço Económico Europeu («Acordo EEE») prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Listenstaine e Noruega. A legislação da União em matéria de proteção de dados, nomeadamente o Regulamento (UE) 2016/679, é abrangida pelo Acordo EEE e foi integrada no respetivo anexo XI. Por conseguinte, qualquer divulgação pelo importador de dados a um terceiro situado no EEE não é considerada uma transferência ulterior para efeitos das presentes cláusulas.

(5)  Ver o artigo 28.o, n.o 4, do Regulamento (UE) 2016/679 e, se o responsável pelo tratamento for uma instituição ou um órgão da UE, o artigo 29.o, n.o 4, do Regulamento (UE) 2018/1725.

(6)  O Acordo sobre o Espaço Económico Europeu («Acordo EEE») prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Listenstaine e Noruega. A legislação da União em matéria de proteção de dados, nomeadamente o Regulamento (UE) 2016/679, é abrangida pelo Acordo EEE e foi integrada no respetivo anexo XI. Por conseguinte, qualquer divulgação pelo importador de dados a um terceiro situado no EEE não é considerada uma transferência ulterior para efeitos das presentes cláusulas.

(7)  Tal inclui a questão de saber se o tratamento envolve dados pessoais que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, dados genéticos ou biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde, à vida sexual ou à orientação sexual de uma pessoa ou dados relacionados com condenações penais ou com infrações.

(8)  Este requisito pode ser satisfeito através da subscrição, pelo subcontratante ulterior, das presentes cláusulas no módulo adequado, em conformidade com a cláusula 7.

(9)  Este requisito pode ser satisfeito através da subscrição, pelo subcontratante ulterior, das presentes cláusulas no módulo adequado, em conformidade com a cláusula 7.

(10)  Esse prazo pode ser prorrogado, no máximo, até dois meses, na medida do necessário tendo em conta a complexidade e o número de pedidos. O importador de dados deve informar, devidamente e sem demora, o titular dos dados de qualquer prorrogação.

(11)  O importador de dados só pode disponibilizar uma resolução de litígios independente através de umainstância de arbitragem se estiver estabelecido num país que tenha ratificado a Convenção de Nova Iorque sobre o Reconhecimento e a Execução de Sentenças Arbitrais Estrangeiras.

(12)  No que diz respeito ao impacto das legislações e práticas em questão no cumprimento das presentes cláusulas, podem ser tidos em consideração diferentes elementos no âmbito de uma avaliação global. Esses elementos podem incluir a experiência prática pertinente e documentada com casos anteriores de pedidos de divulgação por parte de autoridades públicas, ou a ausência de tais pedidos, abrangendo um intervalo de tempo suficientemente representativo. Tal refere-se, em particular, a registos internos ou outra documentação, elaborados numa base contínua de acordo com a diligência devida e certificados a nível dos quadros superiores, desde que esta informação possa ser legalmente partilhada com terceiros. Sempre que esta experiência prática seja utilizada para concluir que o importador de dados não será impedido de cumprir as presentes cláusulas, é necessário que seja apoiada por outros elementos pertinentes e objetivos, e cabe às Partes ponderar cuidadosamente se estes elementos, em conjunto, têm peso suficiente, em termos da sua fiabilidade e representatividade, para apoiar esta conclusão. Em particular, as Partes têm de ter em conta se a sua experiência prática é corroborada e não contrariada por informações fiáveis, acessíveis ao público ou, de outro modo, acessíveis, sobre a existência ou a ausência de pedidos no mesmo setor e/ou a aplicação da legislação na prática, como a jurisprudência e relatórios de organismos de supervisão independentes.


APÊNDICE

NOTA EXPLICATIVA:

Tem de ser possível distinguir claramente as informações aplicáveis a cada transferência ou categoria de transferências e, neste contexto, determinar o(s) respetivo(s) papel(éis) das Partes enquanto exportador(es) e/ou importador(es) de dados. Tal não exige necessariamente o preenchimento e a assinatura de apêndices distintos para cada transferência/categoria de transferências e/ou relação contratual se esta transparência puder ser alcançada através de um apêndice. No entanto, sempre que necessário para assegurar clareza suficiente, devem ser utilizados apêndices distintos.


ANEXO I

A.   LISTA DAS PARTES

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento

Exportador(es) de dados: [Identidade e contactos do(s) exportador(es) de dados e, se for caso disso, do(s) seu(s) encarregado(s) da proteção de dados e/ou representante(s) na União Europeia]

1.

Nome: …

Endereço: …

Nome, cargo e contactos da pessoa de contacto: …

Atividades pertinentes para os dados transferidos ao abrigo das presentes cláusulas: …

Assinatura e data: …

Papel (responsável pelo tratamento/subcontratante): …

2.

Importador(es) de dados: [Identidade e contactos do(s) importador(es) de dados, incluindo qualquer pessoa de contacto responsável pela proteção de dados]

1.

Nome: …

Endereço: …

Nome, cargo e contactos da pessoa de contacto: …

Atividades pertinentes para os dados transferidos ao abrigo das presentes cláusulas: …

Assinatura e data: …

Papel (responsável pelo tratamento/subcontratante): …

2.

B.   DESCRIÇÃO DA TRANSFERÊNCIA

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento

Categorias de titulares de dados cujos dados pessoais são transferidos

Categorias de dados pessoais transferidos

Dados sensíveis transferidos (se aplicável) e limitações aplicadas ou garantias que tenham plenamente em consideração a natureza dos dados e os riscos inerentes, como, por exemplo, a limitação rigorosa da finalidade, limitações de acesso (incluindo o acesso apenas do pessoal que tenha recebido uma formação especializada), a manutenção de um registo de acesso aos dados, limitações aplicáveis a transferências ulteriores ou medidas de segurança adicionais.

A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua).

Natureza do tratamento

Finalidade(s) da transferência e do tratamento posterior dos dados

Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo

Para as transferências para subcontratantes (ulteriores), especificar também o objeto, a natureza e a duração do tratamento

C.   AUTORIDADE DE CONTROLO COMPETENTE

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

Identificar a(s) autoridade(s) de controlo competente(s) em conformidade com a cláusula 13


ANEXO II

MEDIDAS TÉCNICAS E ORGANIZATIVAS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZATIVAS DESTINADAS A GARANTIR A SEGURANÇA DOS DADOS

MÓDULO UM: Transferência entre responsáveis pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

NOTA EXPLICATIVA:

As medidas técnicas e organizativas têm de ser descritas em termos específicos (e não genéricos). Ver também o comentário geral na primeira página do apêndice, em particular sobre a necessidade de indicar claramente as medidas aplicáveis a cada transferência/grupo de transferências.

Descrição das medidas técnicas e organizativas aplicadas pelo(s) importador(es) de dados (incluindo quaisquer certificações pertinentes) para garantir um nível de segurança adequado, tendo em conta a natureza, o âmbito, o contexto e a finalidade do tratamento, e os riscos para os direitos e as liberdades das pessoas singulares.

[Exemplos de eventuais medidas:

Medidas de pseudonimização e de cifragem dos dados pessoais

Medidas destinadas a assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e dos serviços de tratamento

Medidas destinadas a restabelecer atempadamente a disponibilidade e o acesso aos dados pessoais em caso de incidente físico ou técnico

Processos para testar, apreciar e avaliar periodicamente a eficácia das medidas técnicas e organizativas a fim de garantir a segurança do tratamento

Medidas de identificação e de autorização do utilizador

Medidas de proteção de dados durante a transmissão

Medidas de proteção de dados durante a conservação

Medidas destinadas a garantir a segurança física dos locais onde os dados pessoais são tratados

Medidas destinadas a assegurar o registo cronológico de acontecimentos

Medidas destinadas a assegurar a configuração do sistema, incluindo a configuração por defeito

Medidas de governação e de gestão interna do serviço informático e do serviço de segurança informática

Medidas de certificação/garantia dos processos e dos produtos

Medidas destinadas a assegurar a minimização dos dados

Medidas destinadas a assegurar a qualidade dos dados

Medidas destinadas a assegurar uma limitação da conservação dos dados

Medidas destinadas a assegurar a responsabilidade

Medidas destinadas a permitir a portabilidade dos dados e a garantir o seu apagamento]

Para transferências para subcontratantes (ulteriores), descrever também as medidas técnicas e organizativas específicas a tomar pelo subcontratante (ulterior) para poder prestar assistência ao responsável pelo tratamento e, no caso das transferências de um subcontratante para um subcontratante ulterior, ao exportador de dados


ANEXO III

LISTA DE SUBCONTRATANTES ULTERIORES

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência entre subcontratantes

NOTA EXPLICATIVA:

Este anexo tem de ser preenchido para os módulos dois e três, caso seja concedida uma autorização específica a subcontratantes ulteriores (cláusula 9, alínea a), opção 1).