Acordo União Europeia – Japão

Reconhecimento mútuo do Sistema de Proteção de Dados como equivalente

Diogo de Brito Fonseca, aluno 28559, subturma 8

´A União Europeia e o Japão acordaram criar o maior espaço de circulação segura de dados a nível mundial.´[1]

A 17 de Julho de 2018 a União Europeia e o Japão celebraram, em Tóquio, um acordo de livre comércio que liberaliza a maior parte das trocas comerciais, eliminando 99% das tarifas alfandegárias sobre os produtos japoneses destinados à União Europeia e cerca de 94% das taxas sobre as exportações europeias para o país asiático, mas esta percentagem subirá também para 99% no futuro.[2] Concluíram também as conversações relativas à adequação recíproca, tendo acordado o reconhecimento mútuo dos respetivos sistemas de proteção de dados como “equivalente”.

Este acordo de adequação recíproca criará o maior espaço mundial de transferência segura de dados, assente num elevado nível de proteção dos dados pessoais. Os europeus beneficiarão de uma forte proteção dos seus dados pessoais, em conformidade com as normas de privacidade da UE, sempre que estes forem transferidos para o Japão. Com este acordo, a UE e o Japão provam que, na era digital, a promoção de normas elevadas de proteção da privacidade e a facilitação do comércio internacional são indissociáveis. Nos termos do RGPD, uma decisão de adequação é a forma mais simples de garantir fluxos de dados seguros e estáveis.

Neste post irei abordar a temática do Regulamento de 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE, fazendo a ponte com o procedimento de adoção da decisão de adequação sobre o Japão por parte da Comissão Europeia no que toca ao fluxos internacionais de dados.

Regulamento Geral sobre a Proteção de Dados (2016/679)

O RGPD, como assim é publicamente conhecido, “nasce” em 27 de Abril de 2016, com a necessidade de realizar uma reforma comunitária normativa para elevar a exigência legal, por parte da União Europeia, na matéria de proteção de dados pessoais, pois, na perspetiva da UE, regras de proteção de dados mais rigorosas conferem aos cidadãos um maior controlo sobre os seus dados pessoais e condições mais equitativas às empresas,[3] sendo a autoridade responsável pela proteção de dados em Portugal a Comissão Nacional de Proteção de dados.

A partir de 25 de Maio de 2018, com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados, passou a existir um conjunto único de regras de proteção de dados para todas as empresas ativas na UE, independentemente da sua localização. Este visa estabelecer as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE, o que torna necessário explicar o que são dados pessoais e o que constitui o tratamento de dados.

Dados pessoais são a informação relativa a uma pessoa viva, identificada ou identificável, como é demonstrado no artigo 2.º e artigo 4.º, n.º 1. e 5. do Regulamento. O RGPD protege os dados pessoais independentemente da tecnologia utilizada para o tratamento desses dados, aplicando-se ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos, por exemplo, por ordem alfabética, sento também irrelevante o modo como os dados são armazenados (num sistema informático, através de videovigilância ou até mesmo em papel). O tratamento de dados abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados, incluindo a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais (artigo 4.º, n.º 2. e 6. do RGPD).[4]

É importante mencionar as principais alterações que o Regulamento veio trazer aos Estados, às instituições europeias, e diretamente aos titulares dos dados pessoais e de quem os trata:

Ø  É destacada a obrigatoriedade e aplicação direta do RGPD nos países da União Europeia, o que não será necessária nenhuma transposição do mesmo, acelerando a eficácia da aplicação das normas no Estados-Membros, possibilitando um mercado único digital;

Ø  São fortalecidas as obrigações de informação aos interessados, artigos 13.º e 14.º do RGPD, através do princípio da transparência, reforçando a informação que se deve disponibilizar aos titulares dos dados;

Ø  Outra novidade para todas as empresas é a obrigação de notificar aos reguladores, falhas de segurança num prazo de 72 horas desde que tenham obtido o conhecimento das mesmas;

Ø  Torna-se mais restrita a necessidade de consentimento dos afetados para o tratamento dos seus dados, limitando o consentimento tácito e criando categorias de dados sensíveis, como os dados biométricos que requerem um consentimento reforçado;

Ø  É introduzida a figura do Encarregado de Proteção de Dados (DPO), artigos 37.º a 39.º do RGPD, em que este deverá conhecer profundamente as normas europeias de proteção de dados, assim como a sua prática;

Ø  São estabelecidos vários princípios que devem ter-se em conta quando são tratados os dados pessoais, de acordo com o artigo 5.º do RGPD, como: os dados devem ser tratados de forma lícita, com lealdade e transparência; serão recolhidos para fins determinados, explícitos e legítimos; os fins de tratamento de dados têm de ser adequados, pertinentes e limitados ao necessário; serão mantidos de forma a que se possa identificar os interessados pelo tempo necessário para as finalidades de tratamento dos dados pessoais; e terá de ser garantida uma segurança adequada aos dados do titular;

Ø  No artigo 8.º do Regulamento europeu são estabelecidas as condições aplicáveis ao consentimento dos menores;

Ø  A nova normativa tem por fim devolver o controlo dos dados pessoais aos seus titulares, manifestando-se nos novos direitos que lhes são concedidos: direito de acesso pelo interessado; direito de retificação; direito de ser esquecido; direito à limitação do tratamento; direito à portabilidade de dados; e direito de oposição.[5]

Apesar de ser uma breve introdução às alterações que o Regulamento Geral sobre Proteção de Dados trouxe aos cidadãos de todo o mundo, principalmente aos cidadãos europeus, podemos perceber que este ato legislativo é uma completa revolução jurídico-digital que eleva a um nível adequado as soluções às necessidades tecnológicas a que continuamente assistimos, numa era em que é cada vez mais difícil conseguir ter privacidade quanto ao que nos é pessoal e nos torna singulares, e por si próprio torna valioso, porque informação é poder, e como assim o é, estamos num período de adaptação dos regulamentos europeus e de processos de adequações recíprocos entre vontades, como o é feito entre a União Europeia e o Japão.

Decisão de adequação entre a UE e o Japão

A decisão de adequação é uma das ferramentas que se encontra prevista no Regulamento Geral sobre Proteção de Dados para transferir dados pessoais da União Europeia para países terceiros, sendo relevante mencionar que a Comissão Europeia já reconheceu a Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Israel, Isle of Man, Jersey, Nova Zelândia, Suíça, Uruguai, Estados Unidos da América (limitado ao Shield framework) como países que fornecem um nível adequado de proteção de dados pessoais.[6]

Uma decisão de adequação é a decisão tomada pela Comissão Europeia que estabelece que um país terceiro fornece um nível de proteção comparável de política de proteção de dados pessoais ao da União Europeia, através do seu direito interno ou dos seus compromissos internacionais, resultando no facto de que os dados pessoais podem circular em segurança a partir do Espaço Económico Europeu (os 28 Estados-Membros da UE, bem como a Noruega, o Liechtenstein e a Islândia) para esse país terceiro, sem estarem sujeitos a outras salvaguardas ou autorizações. Esta decisão de adequação diz respeito às proteções previstas pela Lei Japonesa sobre Proteção de Informações Pessoais (APPI). Será, portanto, aplicável a todas as transferências de dados pessoais para operadores comerciais no Japão.[7]

A adequação não exige que o sistema de proteção de dados do país terceiro seja idêntico ao da UE. Baseia-se no padrão de “equivalência essencial”. As Autoridades Europeias de Proteção de Dados estabeleceram uma lista de elementos que devem ser levados em conta ao avaliar a adequação da proteção de dados de outro país.

É a primeira vez em que a União Europeia e um Estado terceiro concordam em reconhecer reciprocamente o nível adequado de proteção de dados. Como a UE, o Japão modernizou recentemente a sua legislação de proteção de dados o que fez aumentar a “sintonia” entre os dois sistemas, como refletivo no reconhecimento da proteção de dados pessoais como um direito fundamental, um conjunto comum de salvaguardas e direitos individuais, e a supervisão e fiscalização por uma autoridade independente de proteção de dados, entre outras componentes. O Acordo de Parceria Económica estabelecido entre a UE e o Japão aplica-se sem prejuízo da legislação de cada uma das partes no domínio da proteção de dados, o que possibilita e amplia os benefícios comerciais internacionais entre as partes envolvidas.

A 5 de Setembro de 2018 a Comissão publicou o projeto de decisão de adequação e as salvaguardas adicionais que o Japão passará a aplicar aos dados transferidos para o Japão, bem como os compromissos relativos ao acesso a dados pessoais por parte das autoridades públicas japonesas para efeitos de aplicação da lei e de segurança nacional, garantindo que o seu nível de proteção de dados é adequado relativamente ao da UE.[8]

Com vista a assegurar um nível essencialmente equivalente aos padrões europeus, o Japão comprometeu-se a aplicar as seguintes salvaguardas, para que a Comissão possa dar o seu parecer de adequação:

Ø  Regras que concedem aos cidadãos da UE cujos dados pessoais são transferidos para o Japão salvaguardas adicionais para colmatar várias diferenças existentes entre os dois sistemas de proteção;

Ø  Salvaguardas relativas ao acesso das autoridades públicas japonesas para efeitos da aplicação da lei penal e de segurança nacional, assegurando que a utilização de dados pessoais para esses fins será limitada ao necessário e proporcional, sujeita a uma supervisão independente;

Ø  Criar um mecanismo de processamento de queixas destinado a investigar e resolver as queixas de cidadãos europeus relativas ao acesso das autoridades públicas japonesas aos seus dados pessoais, sendo gerido pela autoridade independente de proteção de dados japonesa e sujeito á supervisão pela mesma.

Cada uma das partes deverá agora cumprir os seus procedimentos internos para a adoção definitiva da decisão de adequação recíproca, mas no que respeita à UE, tal envolve a obtenção de um parecer favorável do Comité Europeu para a Proteção de Dados (CEPD), bem como a aprovação de um comité composto por representantes dos Estados-Membros. Uma vez concluído este processo, a Comissão adotará a decisão de adequação relativa ao Japão.

Conclusão

A consolidação dos novos direitos e possibilidades criadas no mercado, provocaram uma maior circulação de dados, um aumento da segurança jurídica, novos métodos de resolução de problemas e uma regulação harmonizada e vinculativa, que se nota, com a devida vénia, entre a relação de reconhecimento mútuo entre a União Europeia e o Japão.

Mas o conforto não pode ser imperativo com os últimos feitos, pois a tecnologia avança a um ritmo estonteante, muito mais do que o seu reflexo no quadro legislativo próprio (ao contrário do que é feito do outro lado do Oceano Atlântico onde é adotada uma política protecionista). Como tal, não devemos diminuir a cautela com esta reforma, mas aumentá-la no mesmo ritmo que o avanço tecnológico para que os novos desafios que esta vertente científica traga, como no caso da Big Data, não tragam problemas graves perante o direito fundamental internacional que cada vez mais é evidente: Proteção dos dados pessoais e os seus titulares.

Bibliografia/Webgrafia

- Alfonso Ortega Giménez e Juan José Gonzalo Domenech, Nuevo marco jurídico en matéria de protección de datos de carácter personal en la Unión Europea, Junho 2018, Rev. Fac. Der. No.44 Montevideo

- European Commission, Communication From The Comission to the European Parliament and the Council: Exchanging and Protecting Personal Data in a Globalised World, Brussels, 10.1.2017, COM(2017) 7 final

- http://europa.eu/rapid/press-release_IP-18-4501_pt.htm

- http://europa.eu/rapid/press-release_IP-18-5433_pt.htm?locale=FR

- https://ec.europa.eu/info/law/law-topic/data-protection_en

-https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_pt

- https://pt.euronews.com/2018/07/17/ue-e-japao-assinam-acordo-historico-

---

[1] http://europa.eu/rapid/press-release_IP-18-4501_pt.htm

[2] https://pt.euronews.com/2018/07/17/ue-e-japao-assinam-acordo-historico-

[3] https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_pt

[4] https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-constitutes-data-processing_pt

[5] Alfonso Ortega Giménez e Juan José Gonzalo Domenech, Nuevo marco jurídico en matéria de protección de datos de carácter personal en la Unión Europea, Junho 2018, Rev. Fac. Der. No.44 Montevideo

[6]https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

[7] http://europa.eu/rapid/press-release_MEMO-18-4503_en.htm

[8] http://europa.eu/rapid/press-release_IP-18-5433_pt.htm?locale=FR