Brexit e Privacidade
Em conformidade com o artigo 4.º, n.º 17, ex vi do artigo 27.º do RGPD UE, a figura do representante do responsável de tratamento de dados ou subcontratantes não estabelecidos na União pode ser exercida através de pessoa singular ou coletiva.
Essa representação deverá ser reduzida a escrito pelo responsável de tratamento de dados ou do subcontratante – cf. artigo 28.º, n.º 2 do RGPD UE. Ao representante europeu será incumbido o desígnio de agir em nome das empresas ou das organizações, com sede no Reino Unido, cuja atividade inscrita no objeto social pressuponha a transferência de dados pessoais para (ou a partir de) Portugal.
O representante executará as tarefas somente relativamente às atividades de tratamento do(s) cliente(s) cuja atuação esteja relacionada com a oferta de bens e serviços a titulares de dados que se encontrem em Portugal ou quando haja lugar à sua monitorização comportamental em território nacional por parte de empresas ou organizações estabelecidas no Reino Unido.
Não se aplica/verifica a obrigação de nomeação de um representante - cf. artigo 27.º, nº 2 do RGPD EU - quando:
(a) em causa estejam, cumulativamente, operações de tratamento em grande escala que sejam ocasionais e que envolvam o tratamento de categorias especiais de dados ou o tratamento de dados relativos a condenações penais e infrações [cf. artigos. 9.º e 10.º, ex vi da alínea a) do n.º 2 do arti-go 27.º do RGPD EU]; ou
(b) quando a figura de responsável ou de subcontratante seja associada a autoridades ou organismos públicos nacionais [cf. alínea b) do n.º 2 do artigo 27.º do RGPD EU].
Num outro prisma, a execução das tarefas deverá ser realizada nos termos do previsto no mandato a que o representante passará a estar sujeito, o qual deverá estipular, além das incumbências concernentes ao compliance defronte o cumprimento necessário da(s) obrigações decorrentes do fluxo, da natureza, do contexto, e das finalidades da(s) operação/ões de tratamento, a necessidade de ser contactado pelos titulares e notificado pela Comissão Nacional de Proteção de Dados (CNPD).
Esta autoridade nacional de controlo, por sua vez, por uma questão de transparência e de cooperação, deverá mencionar nesta mesma notificação ao representante se a atividade a exercer pelo próprio será efetuada ou concretizada em complemento ou em substituição do responsável pelo tratamento ou do subcontratante, respetivamente.
O responsável pelo tratamento ou subcontratante devem, aliás, comunicar os contactos do seu representante à CNPD, preferencialmente, tornando-os públicos no próprio website. É também seu o dever de fornecer as informações do representante aos titulares cujos dados pessoais estão a ser tratados, podendo ser concretizado através da sua privacy note ou nas informações iniciais a serem prestadas no momento da recolha.
Pelo feito, pode então concluir-se que a preponderância da figura do representante tem que ver com o facto de este constituir uma garantia adicional para os titulares dos dados pessoais numa ótica extraterritorial nas operações de tratamento levadas a cabo no Reino Unido, caso em que, em particular, os titulares de dados em Portugal passam a dispor de um ponto de contacto em terri-tório nacional, para quem podem dirigir as suas comunicações, pedidos ou reclamações.
