PILAR 2 · CAPÍTULO V RGPD
Transferências Internacionais de Dados
Garantias jurídicas para a transferência de dados pessoais de participantes em ensaios clínicos para promotores, CROs e prestadores fora do Espaço Económico Europeu.
O quadro do Capítulo V do RGPD
Qualquer transferência de dados pessoais para país terceiro (fora do EEE) ou para organização internacional exige uma base jurídica adicional ao tratamento — uma das garantias do Capítulo V do RGPD.
Mecanismos disponíveis
- Decisão de adequação da Comissão Europeia — o país terceiro tem nível de proteção essencialmente equivalente (Art. 45.º RGPD);
- Cláusulas Contratuais Tipo (CCT) da Comissão Europeia — Decisão (UE) 2021/914 (Art. 46.º n.º 2 al. c) RGPD);
- Regras vinculativas para empresas (BCR) — para transferências intra-grupo;
- Códigos de conduta aprovados ou mecanismos de certificação;
- Derrogações específicas do Art. 49.º RGPD — limitadas e excepcionais.
Países com adequação reconhecida
Andorra, Argentina, Canadá (sector privado), Faroe, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Coreia do Sul, Suíça, Reino Unido, Uruguai. Para os Estados Unidos da América, a EU-US Data Privacy Framework (2023) substituiu o Privacy Shield e permite transferências para organizações certificadas no programa.
Transfer Impact Assessment (TIA)
Após o acórdão Schrems II (C-311/18), o uso de CCT exige avaliação caso a caso da legislação do país destinatário e da eventual necessidade de medidas suplementares — encriptação ponta-a-ponta, pseudonimização robusta, controlos contratuais reforçados.
Em investigação clínica
A natureza global da indústria farmacêutica gera transferências frequentes para os EUA e outros países. Práticas problemáticas comuns:
- Sistemas eCRF alojados em servidores americanos sem TIA;
- Contratos de subcontratação genéricos sem CCT actualizadas;
- Pseudonimização meramente nominal sem cifragem real das chaves;
- Ausência de medidas suplementares para países sem adequação.
Solução estruturada
O CDPO mapeia todas as transferências internacionais previstas, identifica o mecanismo aplicável a cada uma, conduz a TIA quando exigida, e propõe medidas suplementares específicas — antes da assinatura do contrato com o promotor.
Necessita de apoio nesta matéria?
O Clinical Data Protection Officer assegura a aplicação especializada desta sub-área à investigação clínica.