Sumário:
Com a entrada em vigor do RGPD, tornou-se obrigatório, para as entidades que estejam estabelecidas em países terceiros, mas que procedem a tratamentos de dados pessoais de cidadãos europeus, a designação de um representante na União Europeia. O presente artigo analisa as situações em que tal designação é obrigatória e as prorrogativas deste representante.
Palavras-chave: RGPD; União Europeia; Artigo 27.º; Responsável pelo Tratamento de Dados; Representante do Responsável; Dados Pessoais.
I. Introdução
A proteção de dados tem como objetivo dotar os cidadãos, enquanto titulares de dados pessoais, de autonomia de decisão relativamente aos seus próprios dados. Portugal foi um país pioneiro no reconhecimento da proteção de dados pessoais como direito fundamental, prevendo-o na Constituição de 1976.
Com efeito, este encontra-se respaldado nos direitos à reserva sobre a intimidade da vida privada (artigo 26.º, n.º 1 da Constituição da República Portuguesa, doravante “CRP”) e do direito à autodeterminação informacional (artigo 35.º da CRP).
A 07 de Janeiro de 1994, entrou em funcionamento a Comissão Nacional de Proteção de Dados (à data, com outra denominação), a qual veio beneficiar, em 1998 da transposição para o ordenamento jurídico português da Diretiva n.º 95/46/CE, através da Lei n.º 67/98, de 26 de Outubro.
Mais recentemente, o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (o “Regulamento Geral sobre a Proteção de Dados” ou “RGPD”), veio alterar significativamente a dinâmica da proteção de dados, procurando um reforço significativo dos direitos dos cidadãos.
Embora se trate de um Regulamento, de aplicação direta no ordenamento jurídicos dos países da União Europeia, este diploma beneficiou de um período de transição de 2 anos até à sua implementação total. Assim, o RGPD teve aplicação direta a partir de 25 de maio de 2018 em todos os Estados Membros da UE.
Porém, apesar de ser apenas aplicável a entidades da União, o RGPD pode ser aplicável a entidades estabelecidas em países terceiros, sempre que o tratamento de dados pessoais possa abranger cidadãos europeus. Nesses casos, poderá existir a necessidade de designar um representante na União, nos termos do artigo 27.º do RGPD. Veremos, agora, em que situações tal será obrigatório.
II. Âmbito de aplicação do RGPD
O RGPD é aplicável a empresas que tratem dados pessoais e:
- Sejam estabelecidas na União Europeia, independentemente do local onde é realizado o tratamento de dados;
- Estejam estabelecidas fora da UE, mas cujo tratamento esteja em relação com oferta de bens ou serviços a pessoas na UE ou se trate do controlo do comportamento de cidadãos na UE.
Este critério deve ser avaliado no momento em que ocorre a atividade suscetível de desencadear a aplicação do RGPD, ou seja, aquando da oferta de bens ou serviços ou no momento em que o comportamento está a ser monitorizado.
O Comité Europeu para a Proteção de Dados (CEPD) considera, contudo, que no que diz respeito a atividades de tratamento relacionadas com a oferta de serviços, o RGPD só é aplicável quanto a atividades que de forma intencional, e não inadvertida ou acidentalmente, se destinam a indivíduos situados na UE.
Consequentemente, se o tratamento disser respeito a um serviço que apenas é oferecido a indivíduos situados fora da UE mas que não é cancelado quando tais indivíduos entram na UE, o tratamento de dados não ficará sujeito ao RGPD.
III. Obrigação de nomeação de um representante
Não sendo esse o caso, as empresas sediadas num país terceiro, mas que visem atingir cidadãos da UE devem nomear, por escrito, um representante presente em pelo menos um Estado-Membro da UE. Este representante poderá ser uma pessoa coletiva ou singular, nos termos do artigo 4.º, n.º 17 do RGPD.
Por seu turno, não têm que constituir um representante na UE as entidades que, embora estabelecidas fora da UE:
- Realizem operações de tratamento ocasionais, que não abranjam o tratamento, de categorias especiais de dados em grande escala, ou o tratamento de dados pessoais relativos a condenações penais e infrações que não representem riscos para os direitos e liberdades das pessoas singulares, tendo em conta a natureza, o contexto, o âmbito e as finalidades do tratamento;
- Forem autoridades ou organismos públicos.
O escopo desta norma é o de assegurar um nível adequado de proteção dos dados e fornecer um ponto de contacto para os cidadãos europeus titulares de dados sujeitos a tratamento fora da União Europeia, garantindo simultaneamente a responsabilização legal pelas atividades de tratamento.
O representante deverá agir em nome do responsável pelo tratamento ou do subcontratante e substitui-los-á nas comunicações feitas pelas autoridades de controlo como a CNPD, em Portugal, e pelos titulares relativamente a questões relacionadas com o tratamento.
Segundo defende a Doutrina, quando estejam em causa comunicações com a autoridade de controlo que envolvam prazos, esta deve ter em conta que o representante terá que remeter a notificação para o responsável / subcontratante que se encontra num país terceiro, adaptando esse prazo.
Contudo, a designação de um representante não obsta a que as ações judiciais sejam propostas diretamente contra o responsável ou subcontratante representados (art. 27.º/5 do RGPD).
Pelo contrário, a obrigação expressa no art. 27.º do RGPD concretiza o Considerando (80) do RGPD, que esclarece que a designação do representante não afeta as responsabilidades que incumbem ao responsável pelo tratamento e o subcontratante.
Caso contrário, “ficaria prejudicada a sua função eminentemente executiva com a garantia de assegurar a ligação entre o responsável pelo tratamento ou subcontratante e a autoridade de controlo competente.”
Acerca desta questão, a Autoridade de Proteção de Dados austríaca já se pronunciou diretamente relativamente a uma empresa dos EUA, em vez do seu representante na Holanda. Segundo a entidade, “uma vez que a nomeação de um representante de acordo com o texto do regulamento expresso em conformidade com o art. 27.º/5 do RGPD não acarreta qualquer transferência de responsabilidade”, a decisão da autoridade de proteção de dados foi dirigida contra o responsável pelo tratamento.
Caberá também ao representante de empresas ou organizações com mais de 250 trabalhadores, conforme consta do art. 30.º do RGPD, conservar o registo escrito das atividades de tratamento, de onde devem constar as informações relativas ao responsável pelo tratamento/subcontratante instalado num país terceiro, as finalidades do tratamento, as categorias de titulares de dados e as categorias dos dados pessoais sujeitos a tratamento, as categorias dos destinatários dos dados pessoais, e, sendo caso disso, as transferências de dados pessoais para países terceiros ou organizações internacionais e, se possível um prazo para a deleção dos dados bem como uma descrição das medidas de segurança usadas.
Também os representantes de empresas com menos de 250 trabalhadores estão adstritos à obrigação supra se se verificar uma das seguintes situações:
- o tratamento efetuado for suscetível de implicar um risco para os direitos e liberdades do titular;
- o tratamento de dados não for ocasional;
- o tratamento abranger as seguintes categorias especiais de dados pessoais: dados relativos à origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical; dados genéticos; dados biométricos para identificar uma pessoa de forma inequívoca; dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa; dados relativos a condenações penais e infrações.
IV. O Representante e o Encarregado da Proteção de Dados
Ponderando as funções do Representante do responsável ou subcontratante à luz do RGPD, poderá surgir confusão com a figura do Encarregado da Proteção de Dados (EPD), no entanto os dois cargos não coincidem.
Primeiramente, deve sempre ser designado um EPD sempre que as entidades responsáveis pelo tratamento de dados sejam autoridades ou organismos públicos, com exceção dos tribunais; ou as suas atividades principais consistam em operações de tratamento de dados em grande escala, de categorias especiais ou de dados pessoais relacionados com condenações penais e infrações.
Em segundo lugar, as funções de um e outro são diferentes. O Representante, como se referiu, tem como funções gerir as comunicações com terceiros dentro da UE, desempenha, por isso, a tarefa de intermediário. Além disso, deverá também cooperar com as autoridades de supervisão em relação a qualquer ação que possa ser necessária para garantir o cumprimento do RGPD.
Ao passo que as responsabilidades do EPD se reportam a:
- Promover a formação do departamento de tratamento de dados relativamente à conformidade e responsabilidades ao abrigo do RGPD;
- Assegurar o cumprimento das políticas de privacidade e proteção de dados, realizando auditorias;
- Controlar a conformidade do tratamento com o RGPD;
- Controlar e acompanhar a elaboração de Avaliações de Impacto sobre Proteção de Dados (AIPD);
- Manter registos atualizados da atividade de tratamento de dados;
- Controlar o cumprimento de contratos com o subcontratante;
- Esclarecer os titulares de dados quanto a questões relacionadas com o tratamento dos dados;
- Cooperar com as autoridades de controlo.
Ademais, o EPD deve efetuar as suas tarefas com a máxima autonomia e independência relativamente ao responsável (art. 38.º/3 e Considerando (97)). Deste modo, não lhe podem ser dadas instruções relativamente ao modo de desempenhar as suas funções, nem poderá ser destituído ou sequer penalizado se exercer corretamente as suas funções.
Isto posto, conclui-se que o EPD representa uma figura mais crítica relativamente à atividade exercida pelo responsável pelo tratamento de dados do que o representante, que se apresenta como um ponto de contacto com as relações externas do responsável ou subcontratante.
V. Natureza da Relação de Representação
Considera-se que a relação entre o responsável pelo tratamento/subcontratante e o representante será semelhante ao mandato com representação (art. 1157.º e 1178.º/2 do Código Civil (CCiv)), uma vez que o responsável deverá agir por conta e em nome do mandante, o responsável ou o subcontratante.
A lei portuguesa distingue o mandato com representação e o mandato sem representação. De forma contrária ao mandato com representação, o mandato diz-se sem representação nas situações em que o mandatário age em nome próprio, adquirindo os direitos e assumindo as obrigações decorrentes dos atos que celebra, sendo depois o mandatário obrigado a transferir para o mandante os direitos adquiridos em execução do mandato.
Na Ordem Jurídica Portuguesa, o Mandato com representação é um contrato que se encontra regulado nos arts. 1178.º e ss. do CCiv, pelo qual alguém, o mandatário, se obriga a praticar um ou mais atos jurídicos por conta de outrem, o mandante.
Neste caso, o ato praticado pelo representante produz os seus efeitos na esfera jurídica do responsável/subcontratante. Assim, no que toca às comunicações feitas pelo representante aos Titulares, estas devem ser consideradas como tendo sido efetuadas pelo próprio responsável pelo tratamento.
Durante o mandato, o representante deverá praticar os atos compreendidos no mandato, seguindo as instruções do mandante, que podem ser dadas no momento em que o mandato é constituído ou durante a execução do contrato. Do mesmo modo, entende-se ser necessário que o representante vá fornecendo ao mandante, o responsável/subcontratante, as informações relativas à gestão da sua posição que lhe forem solicitadas. De um modo geral, o responsável pelo tratamento deve estar a par, a todo o momento, da atividade do representante.
De acordo com o art. 1158.º do CCiv, o mandato presume-se gratuito, salvo se estiver em causa a prática de atos no âmbito de uma profissão, caso em que se presume oneroso. Nestes termos, o mandato realizado por advogado ou solicitador é oneroso.
A retribuição é fixada por ajuste das partes, obedecendo aos limites impostos pelo art. 282.º do CCiv, na impossibilidade de ajuste pelas partes, deve recorrer-se às tarifas profissionais, aos usos e juízos de equidade.
Na hipótese de a representação ser exercida por advogados, devem atender-se às regras especiais relativamente à fixação dos honorários impostas pelos Estatutos da Ordem dos Advogados, cabendo ao Conselho Geral da Ordem dos Advogados dar o seu laudo acerca dos honorários quando seja solicitado (cfr. art. 44.º/3/e)).
Segundo o art. 105.º do EOA, os honorários do advogado devem corresponder a uma compensação económica adequada pelos serviços efetivamente prestados, e que pode assumir a forma de retribuição fixa. Nos termos do exposto no n.º3 do mesmo artigo, “na fixação dos honorários deve o advogado atender à importância dos serviços prestados, à dificuldade e urgência do assunto, ao grau de criatividade intelectual da sua prestação, ao resultado obtido, ao tempo despendido, às responsabilidades por ele assumidas e aos demais usos profissionais”
Sem embargo, sendo determinada a gratuitidade do mandato, esta não contende com o direito ao reembolso pelas despesas ou indemnização do prejuízo que o mandatário tenha sofrido com o exercício do mandato.
Por regra, o mandato é livremente revogável por qualquer das partes, a menos que tenha sido conferido no interesse do mandatário ou de um terceiro, o que implica que, salvo justa causa, a revogação tenha de merecer a concordância do interessado (cfr. art.º 1170.º do CCiv).
À exceção dos casos em que é conferido no interesse do mandatário ou de um terceiro, o contrato de mandato configura uma das exceções da livre revogabilidade. Esta é uma regra imperativa, não sendo permitido acordo em contrário, nem renúncia a direito de revogação. Desta forma, a parte revogante não necessita justificar a sua pretensão.
Por outro lado, o mandato caduca:
- por morte ou interdição do mandante ou do mandatário;
- por inabilitação do mandante, se o mandato tiver por objeto atos que não possam ser praticados sem intervenção de um curador (cfr. art.º 1174.º do CCiv).