Programa de Regras Vinculativas das Empresas EY em matéria de Proteção de Dados

A EY estabeleceu um Programa de Regras Vinculativas das Empresas EY (BCR) para cumprir a lei europeia de proteção de dados, especificamente no que diz respeito às transferências de dados pessoais entre entidades da Rede EY. O Programa BCR compreende tanto uma BCR Controller Policy como uma BCR Processor Policy.

No Programa BCR, o termo "EY" refere-se à organização global de firmas-membro independentes ("EY Member Firm") e outras entidades da organização EY ("EY Network entity") que são obrigadas a cumprir os requisitos da Ernst & Young Global Limited ("EYG"). A EYG é a entidade central de governance da organização da EY e coordena as entidades da EY Network e a cooperação entre elas.

O que é a lei da proteção de dados?

A lei de proteção de dados na Europa dá às pessoas o direito de controlar a forma como os seus dados pessoais1 são utilizados. Quando a EY recolhe e utiliza os dados pessoais dos seus parceiros e trabalhadores atuais, passados e potenciais, clientes, fornecedores, subcontratados e terceiros, esta atividade é abrangida e regulada pela lei de proteção de dados.

Como é que a lei de proteção de dados afeta a EY a nível internacional?

A lei de proteção de dados não permite a transferência de dados pessoais para países fora da Europa 2 sem assegurar um nível adequado de proteção. Alguns dos países onde a EY opera não são considerados pelas autoridades europeias de proteção de dados que proporcionem um nível adequado de proteção dos direitos de privacidade de dados dos indivíduos.

O que é que a EY está a fazer em relação a este tema?

A EY deve tomar as medidas adequadas para garantir que o seu uso de dados pessoais numa base internacional seja seguro e, portanto, legal. A finalidade do Programa BCR consiste em desenvolver uma estrutura para satisfazer as normas contidas na lei europeia de Proteção de Dados e, como resultado, fornecer um nível adequado de proteção para todos os dados pessoais transferidos das entidades da Rede EY dentro da Europa para entidades da Rede EY fora da Europa.

A EY aplica o Programa BCR globalmente, e em todos os casos em que processa dados pessoais de forma manual e automática, quer os dados pessoais estejam relacionados com os parceiros e funcionários atuais, passados e potenciais da EY, clientes, fornecedores, subcontratados e terceiros 3.

No centro do Programa BCR estão várias regras principais baseadas em, e interpretadas de acordo com as normas europeias relevantes de Proteção de Dados. Essas regras devem ser seguidas por cada parceiro, empregado ou contratado ao tratar dados pessoais.

Todas as firmas membro da EY são obrigadas a cumprir com o Programa BCR como resultado de se tornarem membros da EYG através da assinatura de um acordo de adesão. Ao assiná-lo, as Firmas Membro da EY estão sujeitas a cumprir todas as normas, metodologias e políticas comuns da EY que estão estabelecidas no Regulamento da EYG. O Programa BCR faz parte de um dos padrões comuns especificamente mencionados no Regulamento da EYG. As empresas membros da EY são responsáveis por assegurar que as suas entidades controladas também cumpram as disposições do Regulamento da EYG.

Controlar os seus dados pessoais

Se pretender aceder aos seus dados pessoais que estão a ser processados pela EY ou se preferir solicitar a retificação, eliminação, restrição de processamento ou uma cópia prontamente portátil dos mesmos, entre em contacto connosco.

Informação adicional

Para aceder ao documento completo do Programa de Binding Corporate Rules Controller Policy, clique aqui (pdf).

Para aceder ao documento completo do Programa de Binding Corporate Rules Processor Policy, clique aqui (pdf).

Na sequência da saída do Reino Unido da União Europeia, a EY produziu agora uma versão britânica da sua BCR, a fim de cumprir a legislação britânica em matéria de proteção de dados. 

Para aceder ao documento completo do Programa de Binding Corporate Rules Controller Policy, clique aqui (pdf).

Para aceder ao documento completo do Programa de Binding Corporate Rules Processor Policy, clique aqui (pdf).

Para informação adicional sobre o nosso Programa BCR, leia a brochura "BCR: a global data-sharing solution (pdf)".

Se tiver alguma dúvida sobre as disposições do Programa BCR, os seus direitos sob este Programa ou qualquer outro problema de privacidade de dados, pode entrar em contacto com o Global Privacy Leader da EY, que irá tratar do assunto ou encaminhá-lo para a pessoa ou departamento apropriado dentro da EY. O Global Privacy Leader da EY pode ser contactado através de:

Felipe Paez
Global Privacy Leader

Notas

1 Por dados pessoais entende-se qualquer informação relativa a uma pessoa singular identificada ou identificável, em conformidade com a definição do Regulamento Geral de Proteção de Dados da UE (GDPR).

2 Para efeitos do BCR, a referência à Europa significa o Espaço Económico Europeu (EEA) e a Suíça.

3 Por processamento, na legislação europeia de proteção de dados, entende-se qualquer conjunto de operações realizadas sobre dados pessoais, seja por meios automáticos ou não. Isto é interpretado de forma ampla para incluir recolha, armazenamento, organização, destruição, alteração, consulta e divulgação dos dados pessoais.