Decisão da Comissão

de 27 de Dezembro de 2004

que altera a Decisão 2001/497/CE no que se refere à introdução de um conjunto alternativo de cláusulas contratuais típicas aplicáveis à transferência de dados pessoais para países terceiros

[notificada com o número C(2004) 5271]

(Texto relevante para efeitos do EEE)

(2004/915/CE)

A COMISSÃO DAS COMUNIDADES EUROPEIAS,

Tendo em conta o Tratado que institui a Comunidade Europeia,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados [1], nomeadamente o n.o 4 do artigo 26.o,

Considerando o seguinte:

(1) A fim de facilitar o fluxo de dados a partir da Comunidade, é conveniente que os responsáveis pelo tratamento possam realizar transferências globais de dados, ao abrigo de um conjunto único de regras de protecção de dados. Na ausência de normas globais de protecção dos dados, as cláusulas contratuais típicas constituem um importante instrumento que permite a transferência de dados pessoais a partir de todos os Estados-Membros, ao abrigo de um conjunto de regras comuns. Para este efeito, a Decisão 2001/497/CE da Comissão, de 15 de Junho de 2001, relativa às cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros, nos termos da Directiva 95/46/CE [2], estabelece um conjunto de cláusulas contratuais típicas que prevê as garantias adequadas para a transferência de dados para países terceiros.

(2) Adquiriu-se muita experiência desde a adopção da referida decisão. Além disso, um grupo de associações empresariais [3] apresentou um conjunto de regras contratuais típicas alternativas concebidas de modo a fornecer um nível de protecção de dados equivalente ao assegurado pelas cláusulas contratuais típicas fixadas na Decisão 2001/497/CE, recorrendo a mecanismos diferentes.

(3) Dado que a utilização de cláusulas contratuais típicas para a transferência internacional de dados é voluntária, constituindo apenas uma das várias alternativas previstas na Directiva 95/46/CE no que se refere à transferência legal de dados pessoais para países terceiros, os exportadores comunitários de dados e os seus importadores em países terceiros devem ter a faculdade de escolher um dos conjuntos de cláusulas contratuais típicas ou outra base legal para a transferência de dados. Uma vez que cada conjunto no seu todo constitui um modelo, os exportadores de dados não devem, por isso, ter legitimidade para os alterar ou fundir, parcialmente ou na íntegra, seja de que modo for.

(4) As cláusulas contratuais típicas apresentadas pelas associações empresariais visam o aumento da utilização de cláusulas contratuais entre os operadores, através de mecanismos como a maior flexibilidade dos requisitos em matéria de auditorias ou regras mais minuciosas em matéria de direito de acesso.

(5) Por outro lado, enquanto alternativa ao sistema de responsabilidade conjunta e solidária previsto na Decisão 2001/497/CE, o novo conjunto agora apresentado inclui um regime de responsabilidade baseado em obrigações de diligência devida, segundo as quais o exportador de dados e o seu importador seriam responsáveis perante as pessoas em causa em caso de violação das respectivas obrigações contratuais; o exportador de dados é igualmente responsável por não envidar os esforços razoáveis para que o importador de dados possa cumprir as obrigações legais decorrentes das cláusulas (culpa in eligendo) e as pessoas em causa podem agir judicialmente contra o exportador a este respeito. A aplicação da cláusula I, alínea b), do novo conjunto de cláusulas contratuais típicas é particularmente importante neste caso, em especial ligado à possibilidade de os exportadores de dados realizarem auditorias às instalações dos importadores de dados ou de exigirem provas quanto a recursos financeiros suficientes para cumprimento das respectivas responsabilidades.

(6) No que se refere ao exercício dos direitos de terceiros beneficiários por parte das pessoas em causa, prevê-se maior participação do exportador de dados na apreciação das queixas daquelas pessoas, sendo o exportador obrigado a contactar o importador de dados e, se for o caso, executar o contrato no prazo normal de um mês. Se o exportador de dados se recusar a executar o contrato e a violação do importador de dados se mantiver, o titular dos dados pode então recorrer às cláusulas para agir contra o importador de dados e até proceder judicialmente contra ele num Estado-Membro. A aceitação desta jurisdição e o acordo no sentido de cumprir uma decisão de um tribunal competente ou de uma autoridade de protecção de dados não prejudicam os eventuais direitos processuais dos importadores de dados previstos em países terceiros, tal como o direito de recurso.

(7) Todavia, a fim de prevenir abusos decorrentes desta flexibilidade adicional, é conveniente prever que as autoridades de protecção de dados podem, com maior facilidade, proibir ou suspender as transferências de dados com base no novo conjunto de cláusulas contratuais típicas nos casos em que o exportador de dados se recusar a dar os passos necessários para executar as obrigações contratuais contra o importador de dados ou naqueles em que este último se recusar a cooperar de boa fé com as autoridades competentes de supervisão em matéria de protecção de dados.

(8) A utilização de cláusulas contratuais típicas não afectará a aplicação das disposições nacionais aprovadas nos termos das Directivas 95/46/CE ou 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (directiva sobre a privacidade e as comunicações electrónicas) [4], em especial no que toca ao envio de comunicações comerciais a cidadãos da União Europeia.

(9) Com esta base, as garantias previstas nas cláusulas contratuais típicas apresentadas podem considerar-se adequadas, na acepção do n.o 2 do artigo 26.o da Directiva 95/46/CE.

(10) O parecer emitido pelo grupo de protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, instituído pelo artigo 29.o da Directiva 95/46/CE [5], relativo ao nível de protecção previsto nas cláusulas contratuais típicas apresentadas foi tido em conta.

(11) A fim de avaliar a aplicação das alterações à Decisão 2001/497/CE, é conveniente que a Comissão as aprecie três anos após a respectiva notificação aos Estados-Membros.

(12) A Decisão 2001/497/CE deve ser alterada em conformidade.

(13) As medidas previstas na presente decisão são conformes com o parecer do comité instituído pelo artigo 31.o da Directiva 95/46/CE,

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

A Decisão 2001/497/CE é alterada do seguinte modo:

1. Ao artigo 1.o, é aditado o seguinte parágrafo:

"Os responsáveis pelo tratamento de dados podem escolher entre os conjuntos I e II constantes do anexo. Não podem, porém, alterar as cláusulas nem combinar separadamente as cláusulas ou os conjuntos.".

2. No artigo 4.o, os n.os 2 e 3 passam a ter a seguinte redacção:

"2. Para efeitos do n.o 1, sempre que o responsável pelo tratamento de dados alegar garantias adequadas com base nas cláusulas contratuais típicas do conjunto II do anexo, as autoridades competentes para a protecção de dados podem exercer os respectivos poderes previstos para proibir ou suspender os fluxos de dados se:

a) O importador de dados se recusar a cooperar de boa fé com as autoridades de protecção de dados ou a cumprir as respectivas obrigações que decorrem claramente do contrato;

b) O exportador de dados se recusar a adoptar as medidas apropriadas para executar o contrato contra o importador de dados no prazo normal de um mês, após o aviso da autoridade competente responsável pela protecção dos dados ao exportador de dados.

Para efeitos da primeira alínea, a recusa de má fé ou a recusa de execução do contrato por parte do importador de dados não inclui os casos em que a cooperação ou a execução entrariam em conflito com as exigências da legislação nacional aplicáveis ao importador de dados, que não ultrapassem o necessário numa sociedade democrática com base num dos interesses enunciados no n.o 1 do artigo 13.o da Directiva 95/46/CE, em especial as sanções, fixadas em instrumentos internacionais e/ou nacionais, a obrigação de apresentar declarações de rendimentos ou relativas ao branqueamento de capitais.

Para efeitos da alínea a) do n.o 1, a cooperação pode incluir, nomeadamente, a apresentação dos meios de processamento de dados do importador para auditoria ou a obrigação de respeitar o parecer da autoridade de controlo da protecção de dados da Comunidade.

3. A proibição ou suspensão, nos termos dos n.os 1 e 2, serão levantadas assim que os seus fundamentos deixem de se verificar.

4. Sempre que os Estados-Membros adoptarem medidas nos termos dos n.os 1, 2 e 3, devem informar sem demora a Comissão, que do facto dará conhecimento aos outros Estados-Membros.".

3. A primeira frase do artigo 5.o passa a ter a seguinte redacção:

"A Comissão apreciará da aplicação da presente decisão, com base nas informações disponíveis, três anos após a sua notificação e após a notificação das eventuais alterações aos Estados-Membros.".

4. O anexo é alterado do seguinte modo:

1. A expressão "CONJUNTO I" é inserida após o título.

2. É aditado o texto constante do anexo da presente decisão.

Artigo 2.o

A presente decisão é aplicável a partir de 1 de Abril de 2005.

Artigo 3.o

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 27 de Dezembro de 2004.

Pela Comissão

Charlie McCreevy

Membro da Comissão

--------------------------------------------------

[1] JO L 281 de 23.11.1995, p. 31. Directiva alterada pelo Regulamento (CE) n.o 1883/2003 (JO L 284 de 31.10.2003, p. 1).

[2] JO L 181 de 4.7.2001, p. 19.

[3] International Chamber of Commerce (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce In Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) e Federation of European Direct Marketing Associations (FEDMA).

[4] JO L 201 de 31.7.2002, p. 37.

[5] Parecer n.o 8/2003, disponível em http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++