A reunião plenária com as Autoridades de proteção de dados da UE decorreu em junho.
O Comité Europeu para a Proteção de Dados (CEPD) adotou a versão final das orientações relativas ao artigo 48.º do Regulamento Geral sobre a Proteção de Dados (RGPD), que trata das transferências de dados pessoais para Autoridades de países terceiros. Esta decisão surge após um período de consulta pública.
Paralelamente, o CEPD apresentou dois novos projetos no âmbito da iniciativa «Support Pool of Experts» (SPE), com materiais de formação sobre inteligência artificial (IA) e proteção de dados. Por fim, o Comité analisou um pedido da Comissão Europeia para emitir um parecer conjunto com a Autoridade Europeia para a Proteção de Dados (EDPS) sobre uma proposta de simplificação das obrigações de registo previstas no RGPD.
Transferência de dados para autoridades de países terceiros: novas orientações
O CEPD clarificou, nas suas orientações finais, como as organizações devem proceder quando recebem pedidos de transferência de dados pessoais por parte de Autoridades de países fora da União Europeia. O artigo 48.º do RGPD estabelece que tais transferências só são permitidas se estiverem previstas por um acordo internacional ou se existirem garantias jurídicas adequadas.
O Comité sublinha que decisões ou sentenças emitidas por Autoridades de países terceiros não têm, por si só, validade automática na UE. Na ausência de um acordo internacional válido, outras bases legais poderão ser consideradas, mas apenas em situações excecionais e devidamente justificadas.
As orientações agora publicadas incluem esclarecimentos adicionais, como o tratamento de pedidos dirigidos a subcontratantes ou situações em que uma empresa-mãe fora da UE solicita dados à sua filial europeia após receber um pedido da Autoridade do seu país.
Formação em IA e proteção de dados: resposta à escassez de competências
No âmbito da sua estratégia para 2024-2027, o CEPD lançou dois novos projetos «Support Pool of Experts» (SPE), com o objetivo de reforçar as competências das Autoridades de proteção de dados e dos profissionais do setor. Os projetos foram desenvolvidos a pedido da Autoridade Helénica de Proteção de Dados (HDPA) e incluem:
- «Lei e Conformidade no domínio da segurança da IA e da proteção de dados» – dirigido a profissionais com perfil jurídico, como Encarregados de Proteção de Dados e especialistas em privacidade.
- «Princípios fundamentais dos sistemas de IA setoriais com dados pessoais» – orientado para profissionais técnicos, como especialistas em cibersegurança e criadores de sistemas de IA de alto risco.
Estes materiais visam colmatar a escassez crítica de competências nesta área, promovendo uma utilização da IA que respeite os princípios da privacidade e da proteção de dados.
Os documentos estão disponibilizados em formato PDF e, numa iniciativa inovadora, o CEPD irá também disponibilizar versões editáveis em formato comunitário, através de um repositório GIT. Esta abordagem permitirá a colaboração aberta, com contribuições externas sob licença Creative Commons-ShareAlike.
Simplificação das obrigações de registo para PME
Por fim, o Comité discutiu o pedido da Comissão Europeia para emitir, em conjunto com a EDPS, um parecer sobre uma proposta legislativa que visa simplificar as obrigações de registo previstas no artigo 30.º (5) do RGPD. A proposta abrange pequenas e médias empresas, pequenas empresas de média capitalização e organizações com menos de 750 trabalhadores. O parecer conjunto deverá ser emitido no prazo de oito semanas.