Proteção de Dados

Transferências internacionais de dados: regras RGPD

Transferências internacionais de dados (Cap. V RGPD): decisões de adequação, cláusulas-tipo 2021/914, avaliação pós-Schrems II e caso real da CNPD em Portugal.

Also available in:English·Français·Deutsch·Español

Uma transferência de dados pessoais para fora do Espaço Económico Europeu só é lícita se assentar num dos mecanismos do Capítulo V do RGPD: uma decisão de adequação da Comissão Europeia (art. 45.º), garantias adequadas como as cláusulas contratuais-tipo (art. 46.º), ou uma das derrogações do artigo 49.º. Após o acórdão Schrems II (TJUE, 2020), não basta assinar as cláusulas-tipo: é preciso avaliar, caso a caso, se o país de destino oferece proteção equivalente e, se não, aplicar medidas suplementares. Para os EUA existe, desde 2023, o EU-US Data Privacy Framework, uma decisão de adequação parcial. Este guia explica os mecanismos, a avaliação pós-Schrems II e como inventariar as transferências a partir do registo de tratamentos, com um caso real da CNPD.

Principais conclusões

  • Transferências para fora do EEE exigem um mecanismo do Capítulo V (arts. 45.º-49.º).
  • Uma decisão de adequação (art. 45.º) dispensa garantias adicionais.
  • As cláusulas contratuais-tipo 2021/914 são o mecanismo mais usado (art. 46.º).
  • Schrems II obriga a uma avaliação do país de destino (transfer impact assessment).
  • O EU-US Data Privacy Framework cobre empresas norte-americanas certificadas.

O que conta como transferência internacional

Há transferência internacional sempre que dados pessoais são acedidos, armazenados ou tratados fora do Espaço Económico Europeu. Não é preciso «enviar» ativamente os dados: usar um fornecedor de cloud com servidores nos EUA, um serviço de helpdesk na Índia ou uma ferramenta de análise que envia dados para fora do EEE são todas transferências. Muitas organizações fazem dezenas de transferências sem o saber, embutidas nos seus fornecedores de software.

O primeiro passo é, por isso, inventariar as transferências — algo que se faz a partir do registo de atividades de tratamento, cruzando cada tratamento com os subcontratantes envolvidos e a localização dos seus servidores.

Os mecanismos do Capítulo V

O Capítulo V do RGPD organiza os mecanismos por ordem de preferência:

Mecanismo Base Quando usar
Decisão de adequação Art. 45.º País com proteção reconhecida (ex.: Reino Unido, Suíça, Japão)
Cláusulas contratuais-tipo (CCT) Art. 46.º, n.º 2, al. c) Caso mais comum, com fornecedores fora do EEE
Regras vinculativas (BCR) Art. 47.º Grupos multinacionais
Derrogações Art. 49.º Situações pontuais (consentimento, contrato)

As decisões de adequação são as mais simples: a Comissão Europeia reconheceu que certos países garantem proteção equivalente, e a transferência dispensa garantias adicionais. Existem para o Reino Unido, Suíça, Japão, Canadá (setor comercial), entre outros.

As cláusulas contratuais-tipo (CCT), na versão atualizada pela Decisão 2021/914 da Comissão, são o mecanismo mais utilizado. São modelos contratuais que impõem ao importador dos dados as obrigações de proteção do RGPD. Devem constar, ou ser anexadas, ao contrato de subcontratação do artigo 28.º.

Schrems II e o transfer impact assessment

O acórdão Schrems II (TJUE, processo C-311/18, 2020) invalidou o antigo Privacy Shield e estabeleceu que as cláusulas-tipo, por si só, não bastam: o exportador tem de verificar se, no país de destino, a legislação (nomeadamente de acesso pelas autoridades) não compromete a proteção garantida pelas cláusulas. Este exercício é o transfer impact assessment (TIA).

Se a avaliação concluir que o país de destino não oferece proteção equivalente, o exportador tem de aplicar medidas suplementares — técnicas (cifragem robusta em que a chave não é acessível no destino), contratuais ou organizativas — ou suspender a transferência. As Recomendações 01/2020 do CEPD guiam esta avaliação passo a passo, através de um método em seis etapas: conhecer as transferências, identificar os mecanismos, avaliar a legislação do país terceiro, adotar medidas suplementares, cumprir os passos processuais e reavaliar periodicamente.

Na prática, o TIA é o elemento mais frequentemente ausente nas organizações portuguesas. Muitas assinaram as cláusulas-tipo com os seus fornecedores e ficaram por aí, sem qualquer avaliação do país de destino. Numa fiscalização, é precisamente esta ausência — e não a falta das cláusulas — que a CNPD tende a assinalar, porque revela que o mecanismo foi aplicado de forma meramente formal. O TIA deve ser documentado por escrito e revisto sempre que mude a legislação do país de destino ou o âmbito da transferência.

O EU-US Data Privacy Framework

Para os Estados Unidos, a Comissão Europeia adotou, em julho de 2023, uma decisão de adequação baseada no EU-US Data Privacy Framework (DPF). As transferências para empresas norte-americanas certificadas no DPF passaram a dispensar cláusulas-tipo, funcionando como uma adequação. É essencial verificar, porém, que a empresa de destino está efetivamente certificada e que a certificação cobre o tipo de dados em causa — uma transferência para uma empresa dos EUA não certificada continua a exigir CCT e o respetivo TIA.

Um caso real da CNPD

Portugal tem um precedente relevante. Em 2021, a CNPD ordenou ao Instituto Nacional de Estatística (INE) a suspensão das transferências de dados dos Censos 2021 para os Estados Unidos, no âmbito do recurso a um subcontratante (Cloudflare), por não estarem asseguradas garantias adequadas na aceção do Capítulo V após Schrems II. A decisão é um lembrete de que a CNPD fiscaliza ativamente as transferências e que o recurso a fornecedores globais não dispensa a análise do país de destino.

Como inventariar e gerir as transferências

Gerir transferências exige saber, para cada tratamento, quem são os subcontratantes, onde estão os servidores e que mecanismo do Capítulo V se aplica. Sem um inventário, é impossível responder à CNPD ou a um titular. Uma plataforma como a Legiscope cruza o registo de tratamentos com o inventário de subcontratantes e sinaliza as transferências que carecem de garantias, o que transforma um exercício disperso num mapa acionável. A supervisão cabe ao encarregado de proteção de dados, quando designado. Note-se ainda que as transferências para países terceiros como o Brasil se cruzam com o respetivo regime nacional — ver LGPD vs RGPD.

Perguntas frequentes

Usar um serviço de cloud americano é uma transferência internacional?

Sim, se os dados forem acedidos, armazenados ou tratados fora do EEE. Mesmo que os servidores estejam na UE, se a empresa-mãe nos EUA puder aceder aos dados, há transferência, que exige um mecanismo do Capítulo V.

As cláusulas contratuais-tipo são suficientes desde Schrems II?

Não por si só. Desde Schrems II, é preciso avaliar se o país de destino oferece proteção equivalente (transfer impact assessment) e, se não, aplicar medidas suplementares. As cláusulas-tipo são o ponto de partida, não o fim da análise.

O que é o EU-US Data Privacy Framework?

É a decisão de adequação adotada pela Comissão Europeia em 2023 para transferências para os EUA. Cobre empresas norte-americanas certificadas no Framework, dispensando as cláusulas-tipo para essas transferências. Empresas não certificadas continuam a exigir CCT.

A CNPD fiscaliza transferências internacionais?

Sim. Em 2021, a CNPD ordenou a suspensão das transferências dos Censos 2021 para os EUA por falta de garantias adequadas, demonstrando que fiscaliza ativamente o cumprimento do Capítulo V.

Conclusão

As transferências internacionais são um dos pontos mais fiscalizados do RGPD e um dos mais mal geridos, porque estão frequentemente escondidas nos fornecedores de software. Comece por inventariá-las a partir do registo de tratamentos; escolha o mecanismo certo do Capítulo V; e, quando use cláusulas-tipo, faça a avaliação Schrems II do país de destino. Para os EUA, verifique a certificação no Data Privacy Framework. O caso do INE mostra que a CNPD não hesita em suspender transferências — a diligência prévia é a única defesa.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →