|
|
Council Framework Decision 2008/977/JHA
|
Decisão-Quadro 2008/977/JAI do Conselho
|
|
of 27 November 2008
|
de 27 de Novembro de 2008
|
|
on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters
|
relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal
|
|
THE COUNCIL OF THE EUROPEAN UNION,
|
O CONSELHO DA UNIÃO EUROPEIA,
|
|
Having regard to the Treaty on European Union, and in particular Articles 30, 31 and 34(2)(b) thereof,
|
Tendo em conta o Tratado da União Europeia, nomeadamente os artigos 30.o e 31.o e a alínea b) do n.o 2 do artigo 34.o,
|
|
Having regard to the proposal from the Commission,
|
Tendo em conta a proposta da Comissão,
|
|
Having regard to the opinion of the European Parliament [1],
|
Tendo em conta o parecer do Parlamento Europeu [1],
|
|
Whereas:
|
Considerando o seguinte:
|
|
(1) The European Union has set itself the objective of maintaining and developing the Union as an area of freedom, security and justice in which a high level of safety is to be provided by common action among the Member States in the fields of police and judicial cooperation in criminal matters.
|
(1) A União Europeia prossegue o objectivo de manter e desenvolver um espaço de liberdade, segurança e justiça, o qual implica que deva ser proporcionado aos cidadãos um elevado nível de segurança, mediante acções em comum entre os Estados-Membros nos domínios da cooperação policial e judiciária em matéria penal.
|
|
(2) Common action in the field of police cooperation under Article 30(1)(b) of the Treaty on European Union and common action on judicial cooperation in criminal matters under Article 31(1)(a) of the Treaty on European Union imply a need to process the relevant information which should be subject to appropriate provisions on the protection of personal data.
|
(2) As acções em comum no domínio da cooperação policial, nos termos da alínea b) do n.o 1 do artigo 30.o do Tratado da União Europeia, e a acção em comum no domínio da cooperação judiciária em matéria penal, nos termos da alínea a) do n.o 1 do artigo 31.o do Tratado da União Europeia, implicam a necessidade de tratar informações relevantes, devendo este tratamento estar sujeito às disposições existentes em matéria de protecção de dados pessoais.
|
|
(3) Legislation falling within the scope of Title VI of the Treaty on European Union should foster police and judicial cooperation in criminal matters with regard to its efficiency as well as its legitimacy and compliance with fundamental rights, in particular the right to privacy and to the protection of personal data. Common standards regarding the processing and protection of personal data processed for the purpose of preventing and combating crime contribute to the achieving of both aims.
|
(3) A legislação abrangida pelo título VI do Tratado da União Europeia deverá promover a cooperação policial e judiciária em matéria penal em termos de eficácia, legitimidade e respeito pelos direitos fundamentais, em especial pelos direitos ao respeito pela vida privada e pela protecção de dados pessoais. O estabelecimento de critérios comuns em matéria de protecção e tratamento de dados pessoais, pode contribuir para a prossecução dos objectivos de prevenção e combate ao crime.
|
|
(4) The Hague Programme on strengthening freedom, security and justice in the European Union, adopted by the European Council on 4 November 2004, stressed the need for an innovative approach to the cross-border exchange of law-enforcement information under the strict observation of key conditions in the area of data protection and invited the Commission to submit proposals in this regard by the end of 2005 at the latest. This was reflected in the Council and Commission Action Plan implementing the Hague Programme on strengthening freedom, security and justice in the European Union [2].
|
(4) O Programa da Haia relativo ao reforço da liberdade, da segurança e da justiça na União Europeia, adoptado pelo Conselho Europeu em 4 de Novembro de 2004, sublinhou a necessidade de uma abordagem inovadora no domínio da transferência de dados transfronteiras com o propósito de garantir uma eficaz aplicação da lei, com respeito escrupuloso pelas regras fundamentais de protecção de dados, e convidou a Comissão a apresentar propostas nesta matéria até ao final de 2005. Esta iniciativa teve como resultado o Plano de Acção do Conselho e da Comissão de aplicação do Programa da Haia sobre o reforço da liberdade, da segurança e da justiça na União Europeia [2].
|
|
(5) The exchange of personal data within the framework of police and judicial cooperation in criminal matters, notably under the principle of availability of information as laid down in the Hague Programme, should be supported by clear rules enhancing mutual trust between the competent authorities and ensuring that the relevant information is protected in a way that excludes any discrimination in respect of such cooperation between the Member States while fully respecting fundamental rights of individuals. Existing instruments at the European level do not suffice; Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data [3] does not apply to the processing of personal data in the course of an activity which falls outside the scope of Community law, such as those provided for by Title VI of the Treaty on European Union, nor, in any case, to processing operations concerning public security, defence, state security or the activities of the State in areas of criminal law.
|
(5) A transferência de dados pessoais no quadro da cooperação policial e judiciária em matéria penal, nomeadamente à luz do princípio da disponibilidade tal como estabelecido no Programa da Haia, deverá ser acompanhada de regras claras que reforcem a confiança mútua entre as autoridades competentes e garantam a protecção das informações relevantes, excluindo discriminações na forma de cooperação entre os Estados-Membros e ao mesmo tempo que garantam plenamente os direitos fundamentais. Os instrumentos em vigor a nível europeu não são suficientes. A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à sua livre circulação [3], não é aplicável ao tratamento de dados pessoais efectuado no exercício de actividades não abrangidas pelo âmbito de aplicação da legislação comunitária, como as previstas no título VI do Tratado da União Europeia, nem ao tratamento de dados relacionados com a segurança pública, a defesa, a segurança do Estado e as actividades do Estado no domínio do direito penal.
|
|
(6) This Framework Decision applies only to data gathered or processed by competent authorities for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. This Framework Decision should leave it to Member States to determine more precisely at national level which other purposes are to be considered as incompatible with the purpose for which the personal data were originally collected. In general, further processing for historical, statistical or scientific purposes should not be considered as incompatible with the original purpose of the processing.
|
(6) A presente decisão-quadro aplica-se unicamente aos dados recolhidos ou tratados pelas autoridades competentes com as finalidades de prevenção, investigação, detecção, repressão de infracções penais e execução de sanções penais. A presente decisão-quadro deverá deixar aos Estados-Membros a possibilidade de determinarem com exactidão, a nível nacional, quais as finalidades que devem ser consideradas incompatíveis com as que determinaram a recolha. De um modo geral, o tratamento posterior para fins históricos, estatísticos ou científicos não deverá ser considerado incompatível com a finalidade originária do tratamento.
|
|
(7) The scope of this Framework Decision is limited to the processing of personal data transmitted or made available between Member States. No conclusions should be inferred from this limitation regarding the competence of the Union to adopt acts relating to the collection and processing of personal data at national level or the expediency for the Union to do so in the future.
|
(7) O âmbito de aplicação da presente decisão-quadro deve limitar-se ao tratamento de dados pessoais transmitidos ou disponibilizados entre Estados-Membros. Esta limitação não permite tirar conclusões quanto à competência da União Europeia para adoptar actos relativos à recolha e ao tratamento de dados pessoais a nível nacional ou à conveniência de a União Europeia o vir a fazer no futuro.
|
|
(8) In order to facilitate data exchanges within the Union, Member States intend to ensure that the standard of data protection achieved in national data processing matches that provided for in this Framework Decision. With regard to national data processing, this Framework Decision does not preclude Member States from providing safeguards for the protection of personal data higher than those established in this Framework Decision.
|
(8) Para facilitar a transmissão de dados na União Europeia, os Estados-Membros devem assegurar que o grau de protecção alcançado no tratamento de dados a nível nacional corresponda ao previsto na presente decisão-quadro. No que diz respeito ao tratamento de dados pessoais pelas autoridades competentes, a presente decisão-quadro não impede que os Estados-Membros prevejam garantias de protecção mais alargadas do que as estabelecidas na presente decisão-quadro.
|
|
(9) This Framework Decision should not apply to personal data which a Member State has obtained within the scope of this Framework Decision and which originated in that Member State.
|
(9) A presente decisão-quadro não se aplicará aos dados pessoais obtidos por um Estado-Membro, no âmbito de aplicação da presente decisão-quadro, com origem nesse Estado-Membro.
|
|
(10) The approximation of Member States’ laws should not result in any lessening of the data protection they afford but should, on the contrary, seek to ensure a high level of protection within the Union.
|
(10) A aproximação das legislações dos Estados-Membros não deverá implicar uma diminuição da protecção dos dados pessoais, devendo, pelo contrário, ter por objectivo garantir um elevado nível da sua protecção na União.
|
|
(11) It is necessary to specify the objectives of data protection within the framework of police and judicial activities and to lay down rules concerning the lawfulness of processing of personal data in order to ensure that any information that might be exchanged has been processed lawfully and in accordance with fundamental principles relating to data quality. At the same time the legitimate activities of the police, customs, judicial and other competent authorities should not be jeopardised in any way.
|
(11) É necessário especificar os objectivos da protecção de dados no quadro das actividades policiais e judiciárias e estabelecer regras relativas à licitude do tratamento de dados pessoais, a fim de garantir que quaisquer informações eventualmente transmitidas foram tratadas licitamente e em conformidade com princípios fundamentais respeitantes à qualidade dos dados. Ao mesmo tempo, as actividades legítimas das autoridades policiais, aduaneiras, judiciárias e outras autoridades competentes não podem de modo algum ser prejudicadas.
|
|
(12) The principle of accuracy of data is to be applied taking account of the nature and purpose of the processing concerned. For example, in particular in judicial proceedings data are based on the subjective perception of individuals and in some cases are totally unverifiable. Consequently, the requirement of accuracy cannot appertain to the accuracy of a statement but merely to the fact that a specific statement has been made.
|
(12) O princípio da exactidão dos dados deve ser aplicado tendo em conta a natureza e a finalidade do tratamento em causa. Por exemplo, em processos judiciais os dados baseiam-se na percepção subjectiva e, em certos casos, de impossível verificação. Por conseguinte, o requisito da exactidão não pode estar associado à exactidão de uma afirmação, mas simplesmente ao facto de tal afirmação ter sido produzida.
|
|
(13) Archiving in a separate data set should be permissible only if the data are no longer required and used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. Archiving in a separate data set should also be permissible if the archived data are stored in a database with other data in such a way that they can no longer be used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. The appropriateness of the archiving period should depend on the purposes of archiving and the legitimate interests of the data subjects. In the case of archiving for historical purposes a very long period may be envisaged.
|
(13) Apenas deverá ser permitido arquivar dados pessoais desagregados, se estes já não forem necessários, nem voltarem a ser utilizados para fins de prevenção, investigação, detecção ou repressão de infracções penais ou execução de sanções penais. Deverá ser igualmente permitido arquivar dados desagregados se os que se encontrarem arquivados estiverem armazenados juntamente com outros numa base de dados de uma forma que não permita a sua utilização para fins de prevenção, investigação, detecção ou repressão de infracções penais ou execução de sanções penais. A adequação do período de arquivamento dependerá dos fins a que se destina e dos interesses legítimos dos titulares. Pode prever-se um período longo de arquivamento se este for feito para fins históricos.
|
|
(14) Data may also be erased by destroying the data medium.
|
(14) Os dados podem igualmente ser apagados mediante destruição do respectivo suporte.
|
|
(15) As regards inaccurate, incomplete or no longer up-to-date data transmitted or made available to another Member State and further processed by quasi-judicial authorities, meaning authorities with powers to make legally binding decisions, its rectification, erasure or blocking should be carried out in accordance with national law.
|
(15) No que diz respeito a dados inexactos, incompletos ou que tenham deixado de estar actualizados e sejam transmitidos ou facultados a outros Estados-Membros e tratados posteriormente por autoridades parajudiciais — ou seja, autoridades com poderes para tomar decisões legalmente vinculativas — a respectiva rectificação, apagamento ou bloqueio deverá processar-se de acordo com a legislação nacional.
|
|
(16) Ensuring a high level of protection of the personal data of individuals requires common provisions to determine the lawfulness and the quality of data processed by competent authorities in other Member States.
|
(16) Garantir um elevado nível de protecção de dados pessoais exige que se estabeleçam disposições comuns para determinar a licitude e a qualidade dos dados tratados pelas autoridades competentes nos vários Estados-Membros.
|
|
(17) It is appropriate to lay down at the European level the conditions under which competent authorities of the Member States should be allowed to transmit and make available personal data received from other Member States to authorities and private parties in Member States. In many cases the transmission of personal data by the judiciary, police or customs to private parties is necessary to prosecute crime or to prevent an immediate and serious threat to public security or to prevent serious harm to the rights of individuals, for example, by issuing alerts concerning forgeries of securities to banks and credit institutions, or, in the area of vehicle crime, by communicating personal data to insurance companies in order to prevent illicit trafficking in stolen motor vehicles or to improve the conditions for the recovery of stolen motor vehicles from abroad. This is not tantamount to the transfer of police or judicial tasks to private parties.
|
(17) É conveniente definir a nível europeu as condições em que as autoridades competentes dos Estados-Membros deverão ser autorizadas a transmitir e facultar dados pessoais recebidos de outros Estados-Membros às autoridades e a particulares nos Estados-Membros. Em muitos casos, a transmissão de dados pessoais a particulares pelas autoridades judiciárias, policiais ou aduaneiras é necessária para reprimir a criminalidade ou evitar uma ameaça grave e imediata para a segurança pública e evitar que sejam gravemente afectados os direitos dos indivíduos, por exemplo alertando bancos e instituições de crédito sobre falsificações de valores mobiliários ou, no domínio da criminalidade associada a veículos, comunicando dados pessoais às companhias de seguros a fim de evitar o tráfico ilícito de veículos roubados ou melhorar as possibilidades de recuperar veículos roubados que se encontrem fora do país. Tal não equivale a transferir para particulares funções policiais ou judiciárias.
|
|
(18) The rules in this Framework Decision regarding the transmission of personal data by the judiciary, police or customs to private parties do not apply to the disclosure of data to private parties (such as defence lawyers and victims) in the context of criminal proceedings.
|
(18) As regras da presente decisão-quadro relativas à transmissão de dados pessoais a particulares pelas autoridades judiciárias, policiais ou aduaneiras não incidem sobre a comunicação de dados a particulares — como advogados de defesa e vítimas — no contexto de uma acção penal.
|
|
(19) The further processing of personal data received from, or made available by, the competent authority of another Member State, in particular the further transmission of or making available such data, should be subject to common rules at European level.
|
(19) O tratamento posterior de dados pessoais recebidos da autoridade competente de outro Estado-Membro ou por ela facultados, em especial a transmissão ou disponibilização posterior de tais dados, deverá ser sujeito a regras comuns a nível europeu.
|
|
(20) Where personal data may be further processed after the Member State from which the data were obtained has given its consent, each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or categories of further processing.
|
(20) Se os dados pessoais puderem ser tratados depois de o Estado-Membro que os transmitiu ter dado o seu consentimento, cada Estado-Membro poderá determinar as condições desse consentimento, nomeadamente, por exemplo, mediante consentimento geral em relação a certas categorias de dados ou em relação ao seu tratamento posterior.
|
|
(21) Where personal data may be further processed for administrative proceedings, these proceedings also include activities by regulatory and supervisory bodies.
|
(21) Se os dados pessoais puderem ser tratados posteriormente para fins administrativos, serão objecto de fiscalização e controlo pelas autoridades nacionais com competência de supervisão e regulamentação.
|
|
(22) The legitimate activities of the police, customs, judicial and other competent authorities may require that data are sent to authorities in third States or international bodies that have obligations for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties.
|
(22) As actividades da polícia, alfândegas, autoridades judiciárias e outras autoridades competentes podem tornar necessário que os dados sejam transmitidos a autoridades de Estados terceiros ou organismos internacionais que têm obrigações em matéria de prevenção, investigação, detecção ou perseguição judicial das infracções penais ou de execução de sanções penais.
|
|
(23) Where personal data are transferred from a Member State to third States or international bodies, these data should, in principle, benefit from an adequate level of protection.
|
(23) Quando são transmitidos dados pessoais de um Estado-Membro da União Europeia para Estados terceiros ou organismos internacionais, esses dados deverão, em princípio, beneficiar de um nível de protecção adequado.
|
|
(24) Where personal data are transferred from a Member State to third States or international bodies, such transfer should, in principle, take place only after the Member State from which the data were obtained has given its consent to the transfer. Each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or for specified third States.
|
(24) Quando são transmitidos dados pessoais de um Estado-Membro para Estados terceiros ou organismos internacionais, essa transmissão apenas poderá, em princípio, ser feita depois de o Estado-Membro de onde provêm os dados ter dado o seu consentimento. Cada Estado-Membro poderá determinar as modalidades desse consentimento, por exemplo mediante consentimento geral no que respeita a determinados Estados terceiros ou categorias de informações.
|
|
(25) The interests of efficient law enforcement cooperation require that where the nature of a threat to the public security of a Member State or a third State is so immediate as to render it impossible to obtain prior consent in good time, the competent authority should be able to transfer the relevant personal data to the third State concerned without such prior consent. The same could apply where other essential interests of a Member State of equal importance are at stake, for example where the critical infrastructure of a Member State could be the subject of an immediate and serious threat or where a Member State’s financial system could be seriously disrupted.
|
(25) Para que a cooperação em matéria de aplicação da lei seja eficaz é necessário que, nos casos em que a natureza da ameaça à segurança pública de um Estado-Membro ou de um Estado terceiro seja tão imediata que se torne impossível obter o referido consentimento prévio em tempo útil, a autoridade competente possa transmitir os dados pessoais pertinentes ao Estado terceiro em causa sem esse consentimento prévio. O mesmo se poderá aplicar nos casos em que estejam em causa outros interesses essenciais de um Estado-Membro que assumam igual importância, por exemplo quando uma infra-estrutura crítica possa ser objecto de ameaça imediata e grave ou o seu sistema financeiro possa ser gravemente afectado.
|
|
(26) It may be necessary to inform data subjects regarding the processing of their data, in particular where there has been particularly serious encroachment on their rights as a result of secret data collection measures, in order to ensure that data subjects can have effective legal protection.
|
(26) Pode ser necessário informar o titular dos dados sobre o tratamento destes, em especial no caso de se ter verificado uma violação particularmente grave dos seus direitos na sequência de medidas secretas de recolha, a fim de garantir ao titular uma protecção jurídica eficaz.
|
|
(27) Member States should ensure that the data subject is informed that the personal data could be or are being collected, processed or transmitted to another Member State for the purpose of prevention, investigation, detection, and prosecution of criminal offences or the execution of criminal penalties. The modalities of the right of the data subject to be informed and the exceptions thereto should be determined by national law. This may take a general form, for example, through the law or through the publication of a list of the processing operations.
|
(27) O Estado-Membro deverá garantir que o titular seja informado de que os seus dados pessoais estão a ser recolhidos, tratados ou transmitidos a outro Estado-Membro — ou podem vir a sê-lo — para efeitos de prevenção, investigação, detecção e repressão de infracções penais ou da execução de sanções penais. As modalidades do direito de informação e as suas excepções serão determinadas pela legislação nacional. Essas modalidades podem assumir uma forma geral, designadamente através de legislação ou da publicação de uma lista das operações de tratamento.
|
|
(28) In order to ensure the protection of personal data without jeopardising the interests of criminal investigations, it is necessary to define the rights of the data subject.
|
(28) A fim de garantir a protecção dos dados pessoais sem comprometer o objectivo das investigações penais, é necessário definir os direitos dos titulares.
|
|
(29) Some Member States have provided for the right of access of the data subject in criminal matters through a system where the national supervisory authority, in place of the data subject, has access to all the personal data related to the data subject without any restriction and may also rectify, erase or update inaccurate data. In such a case of indirect access, the national law of those Member States may provide that the national supervisory authority will inform the data subject only that all the necessary verifications have taken place. However, those Member States also provide for possibilities of direct access for the data subject in specific cases, such as access to judicial records, in order to obtain copies of own criminal records or of documents relating to own hearings by the police services.
|
(29) Alguns Estados-Membros asseguram o direito de acesso dos titulares em matéria penal através de um sistema em que a autoridade nacional de controlo, em lugar do titular, tem acesso a todos os dados pessoais que lhe dizem respeito, sem qualquer restrição, podendo igualmente rectificar, apagar ou bloquear os dados inexactos. Neste caso — de acesso indirecto — a legislação desses Estados-Membros pode prever que a autoridade nacional de controlo apenas informe a pessoa em causa de que foram efectuadas todas as diligências necessárias. Todavia, estes Estados-Membros também prevêem a possibilidade de acesso directo por parte do titular em determinados casos, como o acesso a registos judiciais a fim de obter cópias do registo criminal do próprio ou de audição pelos serviços policiais.
|
|
(30) It is appropriate to establish common rules on confidentiality and security of processing, on liability and penalties for unlawful use by competent authorities and on judicial remedies available to the data subject. It is, however, for each Member State to determine the nature of its tort rules and of the penalties applicable to violations of domestic data protection provisions.
|
(30) Convirá estabelecer regras comuns em matéria de confidencialidade e segurança dos tratamentos, de responsabilidade e de sanções por uso ilícito por parte das autoridades competentes, bem como de recursos judiciais à disposição dos titulares. Compete, todavia, a cada Estado-Membro determinar a natureza das suas regras sobre ilícitos e das sanções aplicáveis às violações das disposições nacionais em matéria de protecção de dados.
|
|
(31) This Framework Decision allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Framework Decision.
|
(31) A presente decisão-quadro permite tomar em consideração o princípio do direito de acesso público aos documentos oficiais depois da introdução no Direito interno dos princípios nela estabelecidos.
|
|
(32) When necessary to protect personal data in relation to processing which by scale or by type holds specific risks for fundamental rights and freedoms, for example processing by means of new technologies, mechanisms or procedures, it is appropriate to ensure that the competent national supervisory authorities are consulted prior to the establishment of filing systems aimed at the processing of these data.
|
(32) Sempre que seja necessário proteger dados pessoais no contexto de um tratamento que, pela sua dimensão ou tipo, encerre riscos específicos para os direitos e liberdades fundamentais por exemplo o tratamento com mecanismos ou procedimentos próprios de novas tecnologias — é conveniente assegurar que as autoridades nacionais de controlo competentes sejam consultadas antes de serem criados ficheiros destinados ao tratamento de tais dados.
|
|
(33) The establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of personal data processed within the framework of police and judicial cooperation between the Member States.
|
(33) A criação, nos Estados-Membros, de autoridades de controlo que exerçam as suas funções com total independência constitui um elemento essencial da protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária entre Estados-Membros.
|
|
(34) The supervisory authorities already established in Member States under Directive 95/46/EC should also be able to assume responsibility for the tasks to be performed by the national supervisory authorities to be established under this Framework Decision.
|
(34) As autoridades de controlo já criadas nos Estados-Membros nos termos da Directiva 95/46/CE poderão, igualmente, assumir a responsabilidade pelas funções a desempenhar pelas autoridades nacionais de controlo que forem criadas ao abrigo da presente decisão-quadro.
|
|
(35) Such supervisory authorities should have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, or powers to engage in legal proceedings. These supervisory authorities should help to ensure transparency of processing in the Member States within whose jurisdiction they fall. However, their powers should not interfere with specific rules set out for criminal proceedings or the independence of the judiciary.
|
(35) Essas autoridades de controlo deverão ser dotadas dos meios necessários para desempenharem as suas funções, incluindo poderes de inquérito e de intervenção — especialmente em caso de queixas — e poderes para intervir em processos judiciais. Deverão também ajudar a garantir a transparência do tratamento de dados efectuado no Estado-Membro sob cuja jurisdição se encontram. Contudo, os poderes destas autoridades não deverão interferir nem com regras específicas fixadas para os processos penais, nem com a independência do poder judicial.
|
|
(36) Article 47 of the Treaty on European Union stipulates that nothing in it is to affect the Treaties establishing the European Communities or the subsequent Treaties and Acts modifying or supplementing them. Accordingly, this Framework Decision does not affect the protection of personal data under Community law, in particular as provided for in Directive 95/46/EC, in Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data [4] and in Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) [5].
|
(36) O artigo 47.o do Tratado da União Europeia prevê que nenhuma das suas disposições prejudica os Tratados que instituem as Comunidades Europeias, nem os Tratados e actos subsequentes que os alteraram ou completaram. Por conseguinte, a presente decisão-quadro não prejudica a protecção de dados pessoais no âmbito do direito comunitário, em especial tal como previsto na Directiva 95/46/CE, no Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados [4], e na Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas) [5].
|
|
(37) This Framework Decision is without prejudice to the rules pertaining to illicit access to data laid down in Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems [6].
|
(37) A presente decisão-quadro não prejudica as regras relativas ao acesso ilícito a dados previstas na Decisão-Quadro 2005/222/JAI do Conselho, de 24 de Fevereiro de 2005, relativa a ataques contra os sistemas de informação [6].
|
|
(38) This Framework Decision is without prejudice to existing obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States. Future agreements should comply with the rules on exchanges with third States.
|
(38) A presente decisão-quadro não prejudica as obrigações e compromissos já assumidos pelos Estados-Membros ou pela União por força de acordos bilaterais e/ou multilaterais com Estados terceiros. Os acordos futuros deverão observar as regras sobre transferências de dados pessoais para Estados terceiros.
|
|
(39) Several acts, adopted on the basis of Title VI of the Treaty on European Union, contain specific provisions on the protection of personal data exchanged or otherwise processed pursuant to those acts. In some cases these provisions constitute a complete and coherent set of rules covering all relevant aspects of data protection (principles of data quality, rules on data security, regulation of the rights and safeguards of data subjects, organisation of supervision and liability) and they regulate these matters in more detail than this Framework Decision. The relevant set of data protection provisions of those acts, in particular those governing the functioning of Europol, Eurojust, the Schengen Information System (SIS) and the Customs Information System (CIS), as well as those introducing direct access for the authorities of Member States to certain data systems of other Member States, should not be affected by this Framework Decision. The same applies in respect of the data protection provisions governing the automated transfer between Member States of DNA profiles, dactyloscopic data and national vehicle registration data pursuant to the Council Decision 2008/615/JHA of 23 June 2008 on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime [7].
|
(39) Vários actos adoptados com base no título VI do Tratado da União Europeia contêm disposições específicas sobre a protecção de dados pessoais objecto de transferência ou de qualquer outro modo de tratamento a que se tenha procedido ao abrigo desses mesmos actos. Em alguns casos, tais disposições constituem um conjunto completo e coerente de regras que contemplam todos os aspectos relevantes da protecção de dados (princípios da qualidade dos dados, regras aplicáveis à sua segurança, regulamentação sobre os direitos e garantias das pessoas visadas, organização do controlo e responsabilidade), matérias que regulamentam de forma mais pormenorizada do que a presente decisão-quadro. A presente decisão-quadro também não prejudica as disposições relevantes em matéria de protecção de dados contidas nos referidos actos, designadamente as que regulam o funcionamento da Europol, da Eurojust, do Sistema de Informação Schengen (SIS) e do Sistema de Informação Aduaneiro (SIA), bem como as que prevêem o acesso directo das autoridades dos Estados-Membros a determinados sistemas de dados de outros Estados-Membros. O mesmo se aplica às disposições em matéria de protecção de dados que regulamentam a transferência automatizada entre Estados-Membros de perfis de DNA, dados dactiloscópicos e dados nacionais do registo de matrícula de veículos em conformidade com a Decisão 2008/615/JAI do Conselho, de 23 de Junho de 2008, relativa ao aprofundamento da cooperação transfronteiras, em particular no domínio da luta contra o terrorismo e da criminalidade transfronteiras [7].
|
|
(40) In other cases the provisions on data protection in acts, adopted on the basis of Title VI of the Treaty on European Union, are more limited in scope. They often set specific conditions for the Member State receiving information containing personal data from other Member States as to the purposes for which it can use those data, but refer for other aspects of data protection to the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 28 January 1981 or to national law. To the extent that the provisions of those acts imposing conditions on receiving Member States as to the use or further transfer of personal data are more restrictive than those contained in the corresponding provisions of this Framework Decision, the former provisions should remain unaffected. However, for all other aspects the rules set out in this Framework Decision should be applied.
|
(40) Noutros casos, as disposições em matéria de protecção de dados contidas em actos adoptados com base no título VI do Tratado da União Europeia têm um âmbito de aplicação mais restrito. Muitas vezes, estabelecem para os Estados-Membros que recebem de outros Estados-Membros informações contendo dados pessoais condições específicas quanto aos fins para os quais estes poderão ser utilizados, remetendo, no que toca a outros aspectos da protecção de dados, para a Convenção do Conselho da Europa, de 28 de Janeiro de 1981, para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal ou simplesmente para a legislação nacional. No caso de as disposições contidas nos actos que impõem aos Estados-Membros receptores condições quanto à utilização ou transmissão de dados pessoais serem mais restritivas do que as estabelecidas nas disposições correspondentes da presente decisão-quadro, as primeiras continuarão também a ser aplicáveis. No entanto, em relação a todos os outros aspectos, aplicam-se as regras estabelecidas na presente decisão-quadro.
|
|
(41) This Framework Decision does not affect the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, the Additional Protocol to that Convention of 8 November 2001 or the Council of Europe conventions on judicial cooperation in criminal matters.
|
(41) A presente decisão-quadro não prejudica a Convenção do Conselho da Europa para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal, nem o Protocolo Adicional a essa Convenção, de 8 de Novembro de 2001, nem as convenções do Conselho da Europa relativas à cooperação judiciária em matéria penal.
|
|
(42) Since the objective of this Framework Decision, namely the determination of common rules for the protection of personal data processed in the framework of police and judicial cooperation in criminal matters, cannot be sufficiently achieved by the Member States, and can therefore, by reason of the scale and effects of the action, be better achieved at the Union level, the Union may adopt measures in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty establishing the European Community and referred to in Article 2 of the Treaty on European Union. In accordance with the principle of proportionality as set out in Article 5 of the Treaty establishing the European Community, this Framework Decision does not go beyond what is necessary to achieve that objective.
|
(42) Dado que o objectivo da presente decisão-quadro, a saber, a definição de regras comuns para a protecção dos dados pessoais tratados no quadro da cooperação policial e judiciária em matéria penal, não pode ser concretizado de forma suficiente pelos Estados-Membros e pode, por conseguinte, devido à dimensão ou aos efeitos da acção prevista, ser melhor realizado pela União, a União pode adoptar medidas em conformidade com o princípio da proporcionalidade, consagrado no artigo 5.o do Tratado CE e referido no artigo 2.o do Tratado UE. Em conformidade com o princípio da proporcionalidade, consagrado no artigo 5.o do Tratado que institui a Comunidade Europeia, a presente decisão-quadro não excede o necessário para atingir aquele objectivo.
|
|
(43) The United Kingdom is taking part in this Framework Decision, in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 8(2) of Council Decision 2000/365/EC of 29 May 2000 concerning the request of the United Kingdom of Great Britain and Northern Ireland to take part in some of the provisions of the Schengen acquis [8].
|
(43) O Reino Unido participa na presente decisão-quadro, nos termos do artigo 5.o do Protocolo que integra o acervo de Schengen no âmbito da União Europeia, anexo ao Tratado da União Europeia e ao Tratado que institui a Comunidade Europeia, e do n.o 2 do artigo 8.o da Decisão 2000/365/CE do Conselho, de 29 de Maio de 2000, sobre o pedido do Reino Unido da Grã-Bretanha e da Irlanda do Norte para participar em algumas das disposições do acervo de Schengen [8].
|
|
(44) Ireland is taking part in this Framework Decision in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 6(2) of Council Decision 2002/192/EC of 28 February 2002 concerning Ireland’s request to take part in some of the provisions of the Schengen acquis [9].
|
(44) A Irlanda participa na presente decisão-quadro, nos termos do artigo 5.o do Protocolo que integra o acervo de Schengen no âmbito da União Europeia, anexo ao Tratado da União Europeia e ao Tratado que institui a Comunidade Europeia, e do n.o 2 do artigo 6.o da Decisão 2002/192/CE do Conselho, de 28 de Fevereiro de 2002, sobre o pedido da Irlanda para participar em algumas das disposições do acervo de Schengen [9].
|
|
(45) As regards Iceland and Norway, this Framework Decision constitutes a development of provisions of the Schengen acquis within the meaning of the Agreement concluded by the Council of the European Union and the Republic of Iceland and the Kingdom of Norway concerning the latter’s association with the implementation, application and development of the Schengen acquis [10], which fall within the area referred to in Article 1, points H and I of Council Decision 1999/437/EC [11] on certain arrangements for the application of that Agreement.
|
(45) Em relação à Islândia e à Noruega, a presente decisão-quadro constitui um desenvolvimento das disposições do acervo de Schengen, na acepção do Acordo celebrado pelo Conselho da União Europeia e a República da Islândia e o Reino da Noruega relativo à associação destes Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen [10], que se insere no domínio a que se referem os pontos H e I do artigo 1.o da Decisão 1999/437/CE do Conselho [11] relativa a determinadas regras de aplicação desse Acordo.
|
|
(46) As regards Switzerland, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis [12], which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/149/JHA [13] on the conclusion of that Agreement on behalf of the European Union.
|
(46) Em relação à Suíça, a presente decisão-quadro constitui um desenvolvimento das disposições do acervo de Schengen, na acepção do Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen [12], que é abrangido pelo domínio referidos nos pontos H e I do artigo 1.o da Decisão 1999/437/CE, em articulação com o artigo 3.o da Decisão 2008/149/JAI do Conselho [13], respeitante à aprovação daquele Acordo em nome da União Europeia.
|
|
(47) As regards Liechtenstein, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Protocol signed between the European Union, the European Community, the Swiss Confederation and the Principality of Liechtenstein on the accession of the Principality of Liechtenstein to the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis, which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/262/JHA [14] on the signature of that Protocol on behalf of the European Union.
|
(47) Em relação ao Listenstaine, a presente decisão-quadro constitui um desenvolvimento das disposições do acervo de Schengen, na acepção do Protocolo entre a União Europeia, a Comunidade Europeia, a Confederação Suíça e o Principado do Listenstaine relativo à adesão do Principado do Listenstaine ao Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen, que se insere no domínio a que se refere os pontos H e I do artigo 1.o da Decisão 1999/437/CE, conjugado com o artigo 3.o da Decisão 2008/262/JAI do Conselho [14] relativa à assinatura desse Protocolo em nome da União Europeia.
|
|
(48) This Framework Decision respects the fundamental rights and observes the principles recognised in particular by the Charter of Fundamental Rights of the European Union [15]. This Framework Decision seeks to ensure full respect for the rights to privacy and the protection of personal data reflected in Articles 7 and 8 of the Charter,
|
(48) A presente decisão-quadro respeita os direitos fundamentais e os princípios estabelecidos, em especial na Carta dos Direitos Fundamentais da União Europeia [15]. A presente decisão-quadro procura garantir o cumprimento integral dos direitos ao respeito pela vida privada e à protecção de dados pessoais consignados nos artigos 7.o e 8.o da Carta,
|
|
HAS ADOPTED THIS FRAMEWORK DECISION:
|
APROVOU A PRESENTE DECISÃO-QUADRO:
|
|
Article 1
|
Artigo 1.o
|
|
Purpose and scope
|
Objectivo e âmbito de aplicação
|
|
1. The purpose of this Framework Decision is to ensure a high level of protection of the fundamental rights and freedoms of natural persons, and in particular their right to privacy, with respect to the processing of personal data in the framework of police and judicial cooperation in criminal matters, provided for by Title VI of the Treaty on European Union, while guaranteeing a high level of public safety.
|
1. A presente decisão-quadro tem por finalidade garantir um elevado nível de protecção dos direitos e liberdades fundamentais das pessoas singulares e, nomeadamente, do seu direito à privacidade, no que diz respeito ao tratamento de dados pessoais no quadro da cooperação policial e judiciária em matéria penal, prevista no título VI do Tratado da União Europeia, garantindo simultaneamente um elevado nível de segurança pública.
|
|
2. In accordance with this Framework Decision, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy when, for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, personal data:
|
2. De acordo com a presente decisão-quadro, os Estados-Membros protegem os direitos e as liberdades fundamentais das pessoas singulares e, nomeadamente, o seu direito à privacidade quando, para efeitos de prevenção, investigação, detecção ou repressão de infracções penais ou de execução de sanções penais, os dados pessoais:
|
|
(a) are or have been transmitted or made available between Member States;
|
a) São ou foram transmitidos ou disponibilizados entre Estados-Membros;
|
|
(b) are or have been transmitted or made available by Member States to authorities or to information systems established on the basis of Title VI of the Treaty on European Union; or
|
b) São ou foram transmitidos ou disponibilizados pelos Estados-Membros às autoridades ou aos sistemas de informação criados com base no título VI do Tratado da União Europeia; ou
|
|
(c) are or have been transmitted or made available to the competent authorities of the Member States by authorities or information systems established on the basis of the Treaty on European Union or the Treaty establishing the European Community.
|
c) São ou foram transmitidos ou disponibilizados às autoridades competentes dos Estados-Membros pelas autoridades ou sistemas de informação criados com base no Tratado da União Europeia ou no Tratado que institui a Comunidade Europeia.
|
|
3. This Framework Decision shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means, of personal data which form part of a filing system or are intended to form part of a filing system.
|
3. A presente decisão-quadro aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiro ou a ele destinados.
|
|
4. This Framework Decision is without prejudice to essential national security interests and specific intelligence activities in the field of national security.
|
4. A presente decisão-quadro não prejudica interesses essenciais de segurança nacional nem actividades específicas de informação no domínio da segurança nacional.
|
|
5. This Framework Decision shall not preclude Member States from providing, for the protection of personal data collected or processed at national level, higher safeguards than those established in this Framework Decision.
|
5. A presente decisão-quadro não impede os Estados-Membros de preverem, para a protecção de dados pessoais recolhidos ou tratados a nível nacional, garantias mais alargadas do que as que nela são estabelecidas.
|
|
Article 2
|
Artigo 2.o
|
|
Definitions
|
Definições
|
|
For the purposes of this Framework Decision:
|
Para efeitos da presente decisão-quadro, entende-se por:
|
|
(a) "personal data" mean any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
|
a) "Dados pessoais", qualquer informação relativa a uma pessoa singular, identificada ou identificável (titular); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
|
|
(b) "processing of personal data" and "processing" mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
|
b) "Tratamento de dados pessoais" e "tratamento", qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o bloqueio, o apagamento ou a destruição;
|
|
(c) "blocking" means the marking of stored personal data with the aim of limiting their processing in future;
|
c) "Bloqueio", a anotação de dados pessoais arquivados em ficheiro com o objectivo de limitar o seu tratamento no futuro;
|
|
(d) "personal data filing system" and "filing system" mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
|
d) "Ficheiro de dados pessoais" e "ficheiro", qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
|
|
(e) "processor" means any body which processes personal data on behalf of the controller;
|
e) "Subcontratante" qualquer organismo que trata os dados pessoais por conta do responsável pelo tratamento;
|
|
(f) "recipient" means any body to which data are disclosed;
|
f) "Destinatário", qualquer organismo a quem os dados sejam divulgados;
|
|
(g) "the data subject’s consent" means any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed;
|
g) "Consentimento do titular", qualquer manifestação de vontade, livre, específica e informada, aceita que os dados pessoais que lhe dizem respeito sejam objecto de tratamento;
|
|
(h) "competent authorities" mean agencies or bodies established by legal acts adopted by the Council pursuant to Title VI of the Treaty on European Union, as well as police, customs, judicial and other competent authorities of the Member States that are authorised by national law to process personal data within the scope of this Framework Decision;
|
h) "Autoridades competentes", organismos criados pelo Conselho nos termos do título VI do Tratado da União Europeia, bem como as autoridades policiais, aduaneiras, judiciárias e outras autoridades competentes dos Estados-Membros autorizadas pelo direito nacional a tratar dados pessoais para efeitos de aplicação da presente decisão-quadro;
|
|
(i) "controller" means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data;
|
i) "Responsável pelo tratamento", a pessoa singular ou colectiva, autoridade pública, agência ou qualquer outro órgão que, por si ou em conjunto, determina as finalidades e os meios de tratamento de dados pessoais;
|
|
(j) "referencing" means the marking of stored personal data without the aim of limiting their processing in future;
|
j) "Anotação", a inserção de uma marca nos dados pessoais armazenados, sem o propósito de limitar o seu futuro tratamento;
|
|
(k) "to make anonymous" means to modify personal data in such a way that details of personal or material circumstances can no longer or only with disproportionate investment of time, cost and labour be attributed to an identified or identifiable natural person.
|
k) "Anonimizar", a transformação de dados pessoais por forma a que não seja possível relacionar dados sobre uma situação pessoal ou material com um titular identificado ou identificável, salvo se for feito um desproporcionado investimento de custos, tempo e mão-de-obra.
|
|
Article 3
|
Artigo 3.o
|
|
Principles of lawfulness, proportionality and purpose
|
Princípios da licitude, proporcionalidade e finalidade
|
|
1. Personal data may be collected by the competent authorities only for specified, explicit and legitimate purposes in the framework of their tasks and may be processed only for the same purpose for which data were collected. Processing of the data shall be lawful and adequate, relevant and not excessive in relation to the purposes for which they are collected.
|
1. Os dados pessoais podem ser recolhidos pelas autoridades competentes apenas para finalidades especificadas, explícitas e legítimas, no âmbito das suas funções, e podem ser tratados exclusivamente para a finalidade para que foram recolhidos. O tratamento dos dados deve ser lícito e adequado, pertinente e não excessivo em relação à finalidade para que foram recolhidos.
|
|
2. Further processing for another purpose shall be permitted in so far as:
|
2. O tratamento posterior para outras finalidades é admissível desde que:
|
|
(a) it is not incompatible with the purposes for which the data were collected;
|
a) Não seja incompatível com a finalidade determinante da recolha dos dados;
|
|
(b) the competent authorities are authorised to process such data for such other purpose in accordance with the applicable legal provisions; and
|
b) As autoridades competentes estejam autorizadas a tratar esses dados em conformidade com as disposições legislativas que lhes são aplicáveis; e
|
|
(c) processing is necessary and proportionate to that other purpose.
|
c) O tratamento seja necessário e proporcionado para a prossecução dessa finalidade.
|
|
The competent authorities may also further process the transmitted personal data for historical, statistical or scientific purposes, provided that Member States provide appropriate safeguards, such as making the data anonymous.
|
Além disso, os dados pessoais transmitidos podem também ser posteriormente tratados, pelas autoridades competentes, para fins históricos, estatísticos ou científicos, desde que os Estados-Membros prevejam garantias adequadas, tais como, anonimizar os dados.
|
|
Article 4
|
Artigo 4.o
|
|
Rectification, erasure and blocking
|
Rectificação, apagamento e bloqueio
|
|
1. Personal data shall be rectified if inaccurate and, where this is possible and necessary, completed or updated.
|
1. Os dados pessoais devem ser rectificados se forem inexactos e, se for possível e necessário, completados e actualizados.
|
|
2. Personal data shall be erased or made anonymous when they are no longer required for the purposes for which they were lawfully collected or are lawfully further processed. Archiving of those data in a separate data set for an appropriate period in accordance with national law shall not be affected by this provision.
|
2. Os dados pessoais são apagados ou anonimizados quando já não forem necessários aos fins para que legalmente foram recolhidos ou posteriormente tratados. O arquivamento destes dados de forma separada e por um período adequado, de acordo com a legislação nacional, não deve ser prejudicado por esta disposição.
|
|
3. Personal data shall be blocked instead of erased if there are reasonable grounds to believe that erasure could affect the legitimate interests of the data subject. Blocked data shall be processed only for the purpose which prevented their erasure.
|
3. Os dados pessoais não são apagados, mas apenas bloqueados, se existirem motivos razoáveis para crer que o seu apagamento pode prejudicar interesses legítimos do titular. Os dados bloqueados só podem ser tratados para as finalidades que impediram o seu apagamento.
|
|
4. When the personal data are contained in a judicial decision or record related to the issuance of a judicial decision, the rectification, erasure or blocking shall be carried out in accordance with national rules on judicial proceedings.
|
4. Quando os dados pessoais constarem de uma decisão judicial ou de um registo relacionado com uma decisão judicial, a rectificação, o apagamento ou o bloqueio processam-se de acordo com as regras nacionais aplicáveis aos processos judiciais.
|
|
Article 5
|
Artigo 5.o
|
|
Establishment of time limits for erasure and review
|
Prazos de apagamento e verificação
|
|
Appropriate time limits shall be established for the erasure of personal data or for a periodic review of the need for the storage of the data. Procedural measures shall ensure that these time limits are observed.
|
Devem ser estabelecidos prazos adequados para o apagamento de dados pessoais ou para a fiscalização periódica da necessidade do seu armazenamento. Devem ser previstas modalidades processuais que garantam o cumprimento desses prazos.
|
|
Article 6
|
Artigo 6.o
|
|
Processing of special categories of data
|
Tratamento de categorias específicas de dados
|
|
The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life shall be permitted only when this is strictly necessary and when the national law provides adequate safeguards.
|
O tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual, apenas é admissível quando tal for absolutamente necessário e desde que a legislação nacional preveja garantias adequadas.
|
|
Article 7
|
Artigo 7.o
|
|
Automated individual decisions
|
Decisões individuais automatizadas
|
|
A decision which produces an adverse legal effect for the data subject or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to the data subject shall be permitted only if authorised by a law which also lays down measures to safeguard the data subject’s legitimate interests.
|
Uma decisão que produza efeitos negativos na esfera jurídica do titular dos dados ou que afecte de modo significativo, e seja tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, apenas é admissível se o respeito dos interesses legítimos do titular dos dados estiver salvaguardada por lei.
|
|
Article 8
|
Artigo 8.o
|
|
Verification of quality of data that are transmitted or made available
|
Verificação da qualidade dos dados transmitidos ou disponibilizados
|
|
1. The competent authorities shall take all reasonable steps to provide that personal data which are inaccurate, incomplete or no longer up to date are not transmitted or made available. To that end, the competent authorities shall, as far as practicable, verify the quality of personal data before they are transmitted or made available. As far as possible, in all transmissions of data, available information shall be added which enables the receiving Member State to assess the degree of accuracy, completeness, up-to-dateness and reliability. If personal data were transmitted without request the receiving authority shall verify without delay whether these data are necessary for the purpose for which they were transmitted.
|
1. As autoridades competentes tomam todas as medidas adequadas para permitir que os dados pessoais inexactos ou incompletos, ou que tenham deixado de estar actualizados, não sejam transmitidos nem disponibilizados. Para o efeito, devem verificar, na medida do possível, a qualidade dos dados pessoais antes de estes serem transmitidos ou disponibilizados. Assim, em todas as transmissões de dados, devem ser fornecidas, na medida do possível, as informações disponíveis para que o Estado-Membro que as recebe possa apreciar até que ponto os dados são exactos, completos, actuais ou fiáveis. Se os dados pessoais foram transmitidos sem pedido, a autoridade receptora verifica sem demora se esses dados são necessários para os fins para os quais foram transmitidos.
|
|
2. If it emerges that incorrect data have been transmitted or data have been unlawfully transmitted, the recipient must be notified without delay. The data must be rectified, erased, or blocked without delay in accordance with Article 4.
|
2. Quando se verifique que foram transmitidos dados inexactos ou que foram transmitidos dados indevidamente, o destinatário deve ser imediatamente informado. Os dados devem ser rectificados, apagados ou bloqueados sem demora de acordo com o artigo 4.o
|
|
Article 9
|
Artigo 9.o
|
|
Time limits
|
Prazos
|
|
1. Upon transmission or making available of the data, the transmitting authority may in line with the national law and in accordance with Articles 4 and 5, indicate the time limits for the retention of data, upon the expiry of which the recipient must erase or block the data or review whether or not they are still needed. This obligation shall not apply if, at the time of the expiry of these time limits, the data are required for a current investigation, prosecution of criminal offences or enforcement of criminal penalties.
|
1. Ao transmitir ou disponibilizar dados, a autoridade que os transmite pode indicar os respectivos prazos de conservação, de acordo com a legislação nacional e com o disposto nos artigos 4.o e 5.o, findos os quais o destinatário deve apagar ou bloquear os dados ou verificar se ainda são necessários. Esta obrigação não se aplica se, no momento da expiração destes prazos, os dados forem necessários para uma investigação em curso, para instaurar uma acção penal ou para a aplicação de sanções penais.
|
|
2. Where the transmitting authority has not indicated a time limit in accordance with paragraph 1, the time limits referred to in Articles 4 and 5 for the retention of data provided for under the national law of the receiving Member State shall apply.
|
2. Se a autoridade que transmitiu os dados não tiver indicado um prazo de acordo com o n.o 1, aplicam-se, de acordo com o disposto nos artigos 4.o e 5.o, os prazos de conservação de dados previstos na legislação nacional dos Estados-Membros destinatários.
|
|
Article 10
|
Artigo 10.o
|
|
Logging and documentation
|
Registo e documentação
|
|
1. All transmissions of personal data are to be logged or documented for the purposes of verification of the lawfulness of the data processing, self-monitoring and ensuring proper data integrity and security.
|
1. Toda a transmissão de dados pessoais deve ser registada ou documentada para efeitos de verificação da licitude do tratamento, de acompanhamento e de garantia da integridade e segurança dos dados.
|
|
2. Logs or documentation prepared under paragraph 1 shall be communicated on request to the competent supervisory authority for the control of data protection. The competent supervisory authority shall use this information only for the control of data protection and for ensuring proper data processing as well as data integrity and security.
|
2. Os registos ou a documentação previstos no n.o 1 são transmitidos, a pedido, à autoridade competente para a protecção de dados para efeitos de controlo. A autoridade de supervisão competente só utiliza estas informações para efeitos de controlo e para garantir o seu tratamento adequado, bem como a respectiva integridade e segurança.
|
|
Article 11
|
Artigo 11.o
|
|
Processing of personal data received from or made available by another Member State
|
Tratamento de dados pessoais transmitidos ou disponibilizados por outro Estado-Membro
|
|
Personal data received from or made available by the competent authority of another Member State may, in accordance with the requirements of Article 3(2), be further processed only for the following purposes other than those for which they were transmitted or made available:
|
Os dados pessoais transmitidos ou disponibilizados pela autoridade competente de outro Estado-Membro, de acordo com o disposto no n.o 2 do artigo 3.o, apenas podem ser tratados posteriormente para fins que não aqueles para os quais foram transmitidos ou disponibilizados nos seguintes casos:
|
|
(a) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties other than those for which they were transmitted or made available;
|
a) Prevenção, investigação, detecção ou repressão de infracções penais ou execução de sanções penais diferentes das que deram origem à transmissão ou disponibilização;
|
|
(b) other judicial and administrative proceedings directly related to the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
b) Outros processos judiciais ou administrativos directamente relacionados com a prevenção, investigação, detecção ou repressão de infracções penais ou execução de sanções penais;
|
|
(c) the prevention of an immediate and serious threat to public security; or
|
c) Prevenção de ameaças imediatas e graves à segurança pública; ou
|
|
(d) any other purpose only with the prior consent of the transmitting Member State or with the consent of the data subject, given in accordance with national law.
|
d) Para quaisquer outros fins, neste caso só com o consentimento prévio do Estado-Membro transmissor ou com o consentimento do titular dos dados, fornecido de acordo com a legislação nacional.
|
|
The competent authorities may also further process the transmitted personal data for historical, statistical or scientific purposes, provided that Member States provide appropriate safeguards, such as, for example, making the data anonymous.
|
Os dados pessoais transmitidos podem ser também posteriormente tratados pelas autoridades competentes para fins históricos, estatísticos ou científicos, desde que os Estados-Membros prevejam garantias adequadas, como por exemplo, a anonimização dos dados.
|
|
Article 12
|
Artigo 12.o
|
|
Compliance with national processing restrictions
|
Cumprimento de restrições de tratamento nacionais
|
|
1. Where, under the law of the transmitting Member State, specific processing restrictions apply in specific circumstances to data exchanges between competent authorities within that Member State, the transmitting authority shall inform the recipient of such restrictions. The recipient shall ensure that these processing restrictions are met.
|
1. Quando a legislação do Estado-Membro que transmite os dados prevê, em determinadas circunstâncias, restrições particulares de tratamento aplicáveis à transmissão de dados entre autoridades competentes neste Estado-Membro, a autoridade que transmite os dados informa o destinatário das restrições em vigor. O destinatário deve assegurar que essas restrições ao tratamento sejam cumpridas.
|
|
2. When applying paragraph 1, Member States shall not apply restrictions regarding data transmissions to other Member States or to agencies or bodies established pursuant to Title VI of the Treaty on European Union other than those applicable to similar national data transmissions.
|
2. Ao aplicarem o n.o 1, os Estados-Membros devem abster-se de aplicar a outros Estados-Membros ou organismos criados nos termos do título VI do Tratado da União Europeia restrições em matéria de transmissão de dados diferentes das aplicáveis a transmissões semelhantes efectuadas a nível nacional.
|
|
Article 13
|
Artigo 13.o
|
|
Transfer to competent authorities in third States or to international bodies
|
Transmissão às autoridades competentes de Estados terceiros ou a organismos internacionais
|
|
1. Member States shall provide that personal data transmitted or made available by the competent authority of another Member State may be transferred to third States or international bodies, only if:
|
1. Os Estados-Membros providenciam por que os dados pessoais transmitidos ou disponibilizados pela autoridade competente de outro Estado-Membro só possam ser transmitidos a Estados terceiros ou a organismos internacionais se:
|
|
(a) it is necessary for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
a) Tal for necessário para a prevenção, investigação, detecção ou repressão de infracções penais ou para a execução de sanções penais;
|
|
(b) the receiving authority in the third State or receiving international body is responsible for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
b) A autoridade receptora no Estado terceiro ou o organismo internacional de recepção for responsável pela prevenção, investigação, detecção ou repressão de infracções penais ou pela execução de sanções penais;
|
|
(c) the Member State from which the data were obtained has given its consent to transfer in compliance with its national law; and
|
c) O Estado-Membro que forneceu os dados tiver consentido na transferência, de acordo com a sua legislação nacional; e
|
|
(d) the third State or international body concerned ensures an adequate level of protection for the intended data processing.
|
d) O Estado terceiro ou o organismo internacional em causa assegurar um nível de protecção adequado para o tratamento previsto dos dados.
|
|
2. Transfer without prior consent in accordance with paragraph 1(c) shall be permitted only if transfer of the data is essential for the prevention of an immediate and serious threat to public security of a Member State or a third State or to essential interests of a Member State and the prior consent cannot be obtained in good time. The authority responsible for giving consent shall be informed without delay.
|
2. A transmissão sem consentimento prévio, nos termos da alínea c) do n.o 1, só é permitida se for essencial para prevenir uma ameaça imediata e grave à segurança pública de um Estado-Membro ou de um Estado terceiro, ou se for do interesse fundamental de um Estado-Membro e o consentimento prévio não puder ser obtido em tempo útil. A autoridade responsável por dar tal consentimento deve ser informada do facto sem demora.
|
|
3. By way of derogation from paragraph 1(d), personal data may be transferred if:
|
3. Em derrogação da alínea d) do n.o 1, os dados pessoais podem ser transmitidos se:
|
|
(a) the national law of the Member State transferring the data so provides because of:
|
a) A legislação nacional do Estado-Membro que transmite os dados assim o previr tendo em conta:
|
|
(i) legitimate specific interests of the data subject; or
|
i) interesses legítimos específicos do titular dos dados, ou
|
|
(ii) legitimate prevailing interests, especially important public interests; or
|
ii) interesses superiores legítimos, especialmente interesses públicos importantes; ou
|
|
(b) the third State or receiving international body provides safeguards which are deemed adequate by the Member State concerned according to its national law.
|
b) O Estado terceiro ou o organismo internacional de recepção previr as salvaguardas que sejam consideradas adequadas pelo Estado-Membro transmissor de acordo com a sua legislação nacional.
|
|
4. The adequacy of the level of protection referred to in paragraph 1(d) shall be assessed in the light of all the circumstances surrounding a data transfer operation or a set of data transfer operations. Particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the State of origin and the State or international body of final destination of the data, the rules of law, both general and sectoral, in force in the third State or international body in question and the professional rules and security measures which apply.
|
4. A adequação do nível de protecção referido na alínea d) do n.o 1 é apreciada em função de todas as circunstâncias inerentes à transmissão ou o conjunto de operações de transmissão de dados. São, especialmente, tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, o país de origem e o Estado ou organismo internacional de destino final dos dados, as regras de direito — gerais ou sectoriais — em vigor no Estado terceiro ou organismo internacional em causa, bem como as regras profissionais e as medidas de segurança aplicáveis.
|
|
Article 14
|
Artigo 14.o
|
|
Transmission to private parties in Member States
|
Transmissão a particulares nos Estados-Membros
|
|
1. Member States shall provide that personal data received from or made available by the competent authority of another Member State may be transmitted to private parties only if:
|
1. Os Estados-Membros providenciam por que os dados pessoais recebidos ou disponibilizados pela autoridade competente de outro Estado-Membro só possam ser transmitidos a particulares se:
|
|
(a) the competent authority of the Member State from which the data were obtained has consented to transmission in compliance with its national law;
|
a) A autoridade competente do Estado-Membro que forneceu os dados tiver consentido em que estes sejam transmitidos de acordo com a sua legislação;
|
|
(b) no legitimate specific interests of the data subject prevent transmission; and
|
b) Não existirem interesses legítimos específicos do titular dos dados que impeçam a transmissão dos dados; e
|
|
(c) in particular cases transfer is essential for the competent authority transmitting the data to a private party for:
|
c) Em determinados casos, a transferência for essencial à autoridade competente que transmite os dados a um particular tendo em vista:
|
|
(i) the performance of a task lawfully assigned to it;
|
i) o desempenho das funções que lhe incubem legitimamente,
|
|
(ii) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
ii) a prevenção, investigação, detecção ou repressão de infracções penais ou a execução de sanções penais,
|
|
(iii) the prevention of an immediate and serious threat to public security; or
|
iii) a prevenção de uma ameaça imediata e grave à segurança pública, ou
|
|
(iv) the prevention of serious harm to the rights of individuals.
|
iv) a prevenção de danos graves aos direitos dos indivíduos.
|
|
2. The competent authority transmitting the data to a private party shall inform the latter of the purposes for which the data may exclusively be used.
|
2. A autoridade competente que transmita dados a particulares informa-os das finalidades para as quais os dados podem ser utilizados.
|
|
Article 15
|
Artigo 15.o
|
|
Information on request of the competent authority
|
Informações a pedido da autoridade competente
|
|
The recipient shall, on request, inform the competent authority which transmitted or made available the personal data about their processing.
|
O destinatário pode, a pedido, prestar à autoridade competente que transmitiu ou disponibilizou os dados pessoais informações sobre o seu tratamento.
|
|
Article 16
|
Artigo 16.o
|
|
Information for the data subject
|
Informação do titular dos dados
|
|
1. Member States shall ensure that the data subject is informed regarding the collection or processing of personal data by their competent authorities, in accordance with national law.
|
1. Os Estados-Membros garantem que o titular dos dados seja informado da recolha ou tratamento dos seus dados pessoais pelas autoridades competentes do seu Estado de origem, em conformidade com a legislação nacional respectiva.
|
|
2. When personal data have been transmitted or made available between Member States, each Member State may, in accordance with the provisions of its national law referred to in paragraph 1, ask that the other Member State does not inform the data subject. In such case the latter Member State shall not inform the data subject without the prior consent of the other Member State.
|
2. Se tiverem sido transmitidos ou disponibilizados dados pessoais entre Estados-Membros, cada um deles pode, de acordo com as disposições da sua legislação nacional a que se refere o n.o 1, solicitar ao outro Estado-Membro que não informe o titular dos dados. Nesse caso, este último não informa o titular dos dados sem o consentimento prévio do primeiro.
|
|
Article 17
|
Artigo 17.o
|
|
Right of access
|
Direito de acesso
|
|
1. Every data subject shall have the right to obtain, following requests made at reasonable intervals, without constraint and without excessive delay or expense:
|
1. A seu pedido, os titulares dos dados têm o direito de receber, a intervalos razoáveis, sem entraves, sem demora indevida e sem custos:
|
|
(a) at least a confirmation from the controller or from the national supervisory authority as to whether or not data relating to him have been transmitted or made available and information on the recipients or categories of recipients to whom the data have been disclosed and communication of the data undergoing processing; or
|
a) Pelo menos a confirmação do responsável pelo tratamento ou da autoridade nacional de controlo de que tenham ou não sido transmitidos ou disponibilizados dados que lhes digam respeito, bem como informações sobre os destinatários ou categorias de destinatários aos quais foram comunicados os dados e a natureza dos dados sujeitos a tratamento; ou
|
|
(b) at least a confirmation from the national supervisory authority that all necessary verifications have taken place.
|
b) Pelo menos, a confirmação da autoridade nacional de controlo de que foram efectuadas todas as verificações necessárias.
|
|
2. The Member States may adopt legislative measures restricting access to information pursuant to paragraph 1(a), where such a restriction, with due regard for the legitimate interests of the person concerned, constitutes a necessary and proportional measure:
|
2. Os Estados-Membros podem adoptar medidas legislativas que restrinjam o acesso às informações, nos termos da alínea a) do n.o 1, caso tais restrições, tendo devidamente em conta os interesses legítimos do titular dos dados, constituam uma medida necessária e proporcionada:
|
|
(a) to avoid obstructing official or legal inquiries, investigations or procedures;
|
a) Para evitar que constituam um entrave aos inquéritos, investigações ou procedimentos oficiais ou legais;
|
|
(b) to avoid prejudicing the prevention, detection, investigation and prosecution of criminal offences or for the execution of criminal penalties;
|
b) Para evitar prejudicar a prevenção, detecção, investigação ou repressão de infracções penais ou a execução de sanções penais;
|
|
(c) to protect public security;
|
c) Para proteger a segurança pública;
|
|
(d) to protect national security;
|
d) Para proteger a segurança nacional;
|
|
(e) to protect the data subject or the rights and freedoms of others.
|
e) Para proteger o titular dos dados ou os direitos e liberdades de terceiros.
|
|
3. Any refusal or restriction of access shall be set out in writing to the data subject. At the same time, the factual or legal reasons on which the decision is based shall also be communicated to him. The latter communication may be omitted where a reason under paragraph 2(a) to (e) exists. In all of these cases the data subject shall be advised that he may appeal to the competent national supervisory authority, a judicial authority or to a court.
|
3. Qualquer recusa ou restrição de acesso é comunicada por escrito ao titular dos dados, que é simultaneamente informado dos motivos factuais ou legais em que se baseia a decisão tomada. Esta comunicação pode não ser obrigatória caso se verifique algum dos motivos invocados nas alíneas a) a e) do n.o 2. Em todos os outros casos, o titular dos dados deve ser informado de que pode recorrer para a autoridade nacional de controlo competente, uma autoridade judiciária ou um tribunal.
|
|
Article 18
|
Artigo 18.o
|
|
Right to rectification, erasure or blocking
|
Direito de rectificação, apagamento ou bloqueamento
|
|
1. The data subject shall have the right to expect the controller to fulfil its duties in accordance with Articles 4, 8 and 9 concerning the rectification, erasure or blocking of personal data which arise from this Framework Decision. Member States shall lay down whether the data subject may assert this right directly against the controller or through the intermediary of the competent national supervisory authority. If the controller refuses rectification, erasure or blocking, the refusal must be communicated in writing to the data subject who must be informed of the possibilities provided for in national law for lodging a complaint or seeking judicial remedy. Upon examination of the complaint or judicial remedy, the data subject shall be informed whether the controller acted properly or not. Member States may also provide that the data subject shall be informed by the competent national supervisory authority that a review has taken place.
|
1. O titular dos dados tem o direito de esperar que o responsável pelo tratamento cumpra as suas obrigações, estabelecidas nos artigos 4.o, 8.o e 9.o, de rectificar, apagar ou bloquear os dados pessoais em conformidade com a presente decisão-quadro. Os Estados-Membros devem estipular se o titular dos dados pode invocar esse direito directamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente. Se o responsável pelo tratamento recusar a rectificação, apagamento ou bloqueamento, essa recusa deve ser comunicada por escrito e o titular dos dados deve ser informado das possibilidades previstas na legislação nacional de apresentar queixa ou de interpor recurso. Quando se proceder à análise da queixa ou do pedido de recurso, a pessoa em causa deve ser informada se o responsável pelo tratamento agiu correctamente ou não. Os Estados-Membros podem igualmente prever que a pessoa em causa só seja informada pela autoridade nacional de controlo competente de que foi efectuada uma revisão.
|
|
2. If the accuracy of an item of personal data is contested by the data subject and its accuracy or inaccuracy cannot be ascertained, referencing of that item of data may take place.
|
2. Se o titular dos dados contestar a exactidão de um dado pessoal e não possa ser apurado se o dado é exacto ou não, pode ser efectuada uma anotação.
|
|
Article 19
|
Artigo 19.o
|
|
Right to compensation
|
Direito a indemnização
|
|
1. Any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Framework Decision shall be entitled to receive compensation for the damage suffered from the controller or other authority competent under national law.
|
1. Qualquer pessoa que tenha sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto incompatível com as disposições nacionais de execução da presente decisão-quadro tem o direito de obter do responsável pelo controlo ou de outra autoridade competente nos termos da legislação nacional a reparação devida pelo prejuízo sofrido.
|
|
2. Where a competent authority of a Member State has transmitted personal data, the recipient cannot, in the context of its liability vis-à-vis the injured party in accordance with national law, cite in its defence that the data transmitted were inaccurate. If the recipient pays compensation for damage caused by the use of incorrectly transmitted data, the transmitting competent authority shall refund to the recipient the amount paid in damages, taking into account any fault that may lie with the recipient.
|
2. Se uma autoridade responsável de um Estado-Membro tiver transmitido dados pessoais, o destinatário não pode invocar a inexactidão dos dados transmitidos para se ilibar da responsabilidade que lhe incumbe face ao lesado nos termos do seu direito nacional. Se o destinatário pagar uma indemnização por danos causados pela utilização de dados indevidamente transmitidos, a autoridade transmissora reembolsa o destinatário do montante da indemnização paga por danos, tendo em conta qualquer falta que possa ser imputada a este último.
|
|
Article 20
|
Artigo 20.o
|
|
Judicial remedies
|
Recursos
|
|
Without prejudice to any administrative remedy for which provision may be made prior to referral to the judicial authority, the data subject shall have the right to a judicial remedy for any breach of the rights guaranteed to him by the applicable national law.
|
Sem prejuízo de quaisquer recursos administrativos previamente a um recurso contencioso, deve assistir ao titular dos dados pessoais o direito de recorrer judicialmente em caso de violação dos direitos garantidos pela legislação nacional.
|
|
Article 21
|
Artigo 21.o
|
|
Confidentiality of processing
|
Confidencialidade do tratamento
|
|
1. Any person who has access to personal data which fall within the scope of this Framework Decision may process such data only if that person is a member of, or acts on instructions of, the competent authority, unless he is required to do so by law.
|
1. As pessoas que tenham acesso a dados pessoais abrangidos pelo âmbito de aplicação da presente decisão-quadro só podem proceder ao seu tratamento na qualidade de membros ou mediante instruções da autoridade competente, a não ser que actuem no cumprimento de obrigações legais.
|
|
2. Persons working for a competent authority of a Member State shall be bound by all the data protection rules which apply to the competent authority in question.
|
2. As pessoas encarregadas de trabalhar para a autoridade competente de um Estado-Membro estão sujeitas a todas as disposições em matéria de protecção de dados aplicáveis à autoridade competente em causa.
|
|
Article 22
|
Artigo 22.o
|
|
Security of processing
|
Segurança do tratamento
|
|
1. Member States shall provide that the competent authorities must implement appropriate technical and organisational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission over a network or the making available by granting direct automated access, and against all other unlawful forms of processing, taking into account in particular the risks represented by the processing and the nature of the data to be protected. Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
|
1. Os Estados-Membros estabelecem que as autoridades competentes devem pôr em prática medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por uma rede ou a sua disponibilização através da concessão de acesso directo automatizado, e contra qualquer outra forma de tratamento ilícito. Neste contexto, há que tomar em consideração, em especial, os riscos apresentados pelo tratamento e a natureza dos dados a proteger. Estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
|
|
2. In respect of automated data processing each Member State shall implement measures designed to:
|
2. No que diz respeito ao tratamento automatizado de dados, cada Estado-Membro aplica medidas destinadas a:
|
|
(a) deny unauthorised persons access to data-processing equipment used for processing personal data (equipment access control);
|
a) Impedir o acesso de qualquer pessoa não autorizada ao equipamento utilizado para o tratamento de dados pessoais (controlo do acesso ao equipamento);
|
|
(b) prevent the unauthorised reading, copying, modification or removal of data media (data media control);
|
b) Impedir que os suportes de dados possam ser lidos, copiados, alterados ou retirados por uma pessoa não autorizada (controlo dos suportes de dados);
|
|
(c) prevent the unauthorised input of data and the unauthorised inspection, modification or deletion of stored personal data (storage control);
|
c) Impedir a introdução não autorizada de dados no arquivo, bem como qualquer tomada de conhecimento, alteração ou apagamento não autorizados de dados pessoais inseridos no arquivo (controlo do arquivo de dados);
|
|
(d) prevent the use of automated data-processing systems by unauthorised persons using data communication equipment (user control);
|
d) Impedir que os sistemas de tratamento automatizado de dados sejam utilizados por pessoas não autorizadas por meio de equipamento de transmissão de dados (controlo da utilização);
|
|
(e) ensure that persons authorised to use an automated data-processing system only have access to the data covered by their access authorisation (data access control);
|
e) Garantir que as pessoas autorizadas a utilizar o sistema de tratamento automatizado de dados apenas tenham acesso aos dados abrangidos pela sua autorização de acesso (controlo do acesso aos dados);
|
|
(f) ensure that it is possible to verify and establish to which bodies personal data have been or may be transmitted or made available using data communication equipment (communication control);
|
f) Garantir que seja possível verificar e estabelecer a que instâncias os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados (controlo da transmissão);
|
|
(g) ensure that it is subsequently possible to verify and establish which personal data have been input into automated data-processing systems and when and by whom the data were input (input control);
|
g) Garantir que seja possível verificar e estabelecer a posteriori quais os dados pessoais introduzidos nos sistemas de tratamento automatizado de dados, quando e por quem (controlo da introdução);
|
|
(h) prevent the unauthorised reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (transport control);
|
h) Impedir que os dados pessoais possam ser lidos, copiados, alterados ou suprimidos por uma pessoa não autorizada durante transferências de dados pessoais ou durante o transporte de suportes de dados (controlo do transporte);
|
|
(i) ensure that installed systems may, in case of interruption, be restored (recovery);
|
i) Assegurar que os sistemas utilizados possam ser reparados em caso de avaria (recuperação do equipamento); e
|
|
(j) ensure that the functions of the system perform, that the appearance of faults in the functions is reported (reliability) and that stored data cannot be corrupted by means of a malfunctioning of the system (integrity).
|
j) Assegurar que o sistema funcione, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados arquivados não sejam falseados por quaisquer erros de funcionamento do sistema (integridade).
|
|
3. Member States shall provide that processors may be designated only if they guarantee that they observe the requisite technical and organisational measures under paragraph 1 and comply with the instructions under Article 21. The competent authority shall monitor the processor in those respects.
|
3. Os Estados-Membros estabelecem que o subcontratante só pode ser designado se oferecer garantias suficientes de que toma as medidas de segurança técnica e de organização necessárias a que se refere o n.o 1 e cumpre as instruções previstas no artigo 21.o. Nesse sentido, a autoridade competente deve fiscalizar o subcontratante.
|
|
4. Personal data may be processed by a processor only on the basis of a legal act or a written contract.
|
4. Os dados pessoais só podem ser tratados por um subcontratante com base num acto jurídico ou num contrato escrito.
|
|
Article 23
|
Artigo 23.o
|
|
Prior consultation
|
Consulta prévia
|
|
Member States shall ensure that the competent national supervisory authorities are consulted prior to the processing of personal data which will form part of a new filing system to be created where:
|
Os Estados-Membros asseguram que as autoridades nacionais competentes sejam consultadas antes de se proceder ao tratamento de dados pessoais que farão parte de um novo ficheiro a criar, sempre que:
|
|
(a) special categories of data referred to in Article 6 are to be processed; or
|
a) Sejam tratadas categorias específicas de dados a que se refere o artigo 6.o; ou
|
|
(b) the type of processing, in particular using new technologies, mechanism or procedures, holds otherwise specific risks for the fundamental rights and freedoms, and in particular the privacy, of the data subject.
|
b) O tipo de tratamento, nomeadamente em virtude do recurso a novas tecnologias, mecanismos ou procedimentos, encerre outros riscos específicos para os direitos e as liberdades fundamentais e, em particular, para a vida privada das pessoas em causa.
|
|
Article 24
|
Artigo 24.o
|
|
Penalties
|
Sanções
|
|
Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Framework Decision and shall in particular lay down effective, proportionate and dissuasive penalties to be imposed in case of infringements of the provisions adopted pursuant to this Framework Decision.
|
Os Estados-Membros tomam as medidas adequadas para garantir a aplicação integral das disposições da presente decisão-quadro e determinam, nomeadamente, sanções efectivas, proporcionadas e dissuasivas, a aplicar em caso de violação das disposições de execução aprovadas nos termos da presente decisão-quadro.
|
|
Article 25
|
Artigo 25.o
|
|
National supervisory authorities
|
Autoridades nacionais de controlo
|
|
1. Each Member State shall provide that one or more public authorities are responsible for advising and monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Framework Decision. These authorities shall act with complete independence in exercising the functions entrusted to them.
|
1. Os Estados-Membros estabelecem que uma ou várias autoridades públicas são responsáveis pelo aconselhamento e pela fiscalização da aplicação no seu território das disposições adoptadas pelos Estados-Membros nos termos da presente decisão-quadro. Essas autoridades agem com total independência no exercício das funções que lhes são atribuídas.
|
|
2. Each authority shall in particular be endowed with:
|
2. Cada autoridade de controlo dispõe, nomeadamente:
|
|
(a) investigative powers, such as powers of access to data forming the subject matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties;
|
a) De poderes de inquérito, tais como o poder de aceder aos dados objecto de tratamento e de recolher todas as informações necessárias ao desempenho das suas funções de controlo;
|
|
(b) effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions;
|
b) De poderes efectivos de intervenção, tais como, por exemplo, o de emitir pareceres antes de se proceder ao tratamento de dados e de garantir a publicação adequada desses pareceres, o de ordenar o bloqueamento, o apagamento ou a destruição dos dados, o de proibir temporária ou definitivamente o tratamento, o de dirigir uma advertência ou uma censura ao responsável pelo tratamento ou o de remeter a questão para os parlamentos nacionais ou para outras instituições políticas;
|
|
(c) the power to engage in legal proceedings where the national provisions adopted pursuant to this Framework Decision have been infringed or to bring this infringement to the attention of the judicial authorities. Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.
|
c) Do poder de intervir em processos judiciais em caso de violação das disposições nacionais aprovadas nos termos da presente decisão-quadro, ou de levar essas infracções ao conhecimento das autoridades judiciais. As decisões da autoridade de controlo que ocasionem a apresentação de queixas são passíveis de recurso jurisdicional.
|
|
3. Each supervisory authority shall hear claims lodged by any person concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.
|
3. Qualquer pessoa pode apresentar à autoridade de controlo um pedido de protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais. A pessoa em causa é informada do seguimento dado ao seu pedido.
|
|
4. Member States shall provide that the members and staff of the supervisory authority are bound by the data protection provisions applicable to the competent authority in question and, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.
|
4. Os Estados-Membros determinam que os membros e agentes das autoridades de controlo também fiquem sujeitos às disposições em matéria de protecção de dados aplicáveis às respectivas autoridades competentes e, mesmo após a cessação das suas actividades, à obrigação de segredo profissional em relação às informações confidenciais a que tenham acesso.
|
|
Article 26
|
Artigo 26.o
|
|
Relationship to agreements with third States
|
Relação com acordos celebrados com Estados terceiros
|
|
This Framework Decision is without prejudice to any obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States existing at the time of adoption of this Framework Decision.
|
A presente decisão-quadro não prejudica as obrigações nem os compromissos assumidos pelos Estados-Membros ou pela União Europeia em virtude de acordos bilaterais e/ou multilaterais com Estados terceiros existentes à data de aprovação da presente decisão-quadro.
|
|
In the application of these agreements, the transfer to a third State of personal data obtained from another Member State, shall be carried out while respecting Article 13(1)(c) or (2), as appropriate.
|
Em aplicação desses acordos, a transferência de dados pessoais obtidos de outro Estado-Membro para um Estado terceiro é efectuada respeitando, consoante aplicável, o disposto na alínea c) do n.o 1 ou no n.o 2 do artigo 13.o
|
|
Article 27
|
Artigo 27.o
|
|
Evaluation
|
Avaliação
|
|
1. Member States shall report to the Commission by 27 November 2013 on the national measures they have taken to ensure full compliance with this Framework Decision, and particularly with regard to those provisions that already have to be complied with when data is collected. The Commission shall examine in particular the implications of those provisions for the scope of this Framework Decision as laid down in Article 1(2).
|
1. Até 27 de Novembro de 2013 os Estados-Membros apresentam à Comissão um relatório sobre as medidas nacionais que tenham adoptado para assegurar plena conformidade com a presente decisão-quadro, incluindo as disposições que haverá que cumprir no momento da recolha dos dados. A Comissão analisa, em particular, as implicações das disposições sobre o âmbito de aplicação da presente decisão-quadro, previstas no n.o 2 do artigo 1.o
|
|
2. The Commission shall report to the European Parliament and the Council within one year on the outcome of the evaluation referred to in paragraph 1, and shall accompany its report with any appropriate proposals for amendments to this Framework Decision.
|
2. No prazo de um ano a contar da avaliação a que se refere o n.o 1, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório acompanhando-o das propostas de alteração adequadas à presente decisão-quadro.
|
|
Article 28
|
Artigo 28.o
|
|
Relationship to previously adopted acts of the Union
|
Relação com actos anteriormente aprovados pela União
|
|
Where in acts, adopted under Title VI of the Treaty on European Union prior to the date of entry into force of this Framework Decision and regulating the exchange of personal data between Member States or the access of designated authorities of Member States to information systems established pursuant to the Treaty establishing the European Community, specific conditions have been introduced as to the use of such data by the receiving Member State, these conditions shall take precedence over the provisions of this Framework Decision on the use of data received from or made available by another Member State.
|
Sempre que, em actos aprovados ao abrigo do título VI do Tratado da União Europeia antes da data de entrada em vigor da presente decisão-quadro e que regulamentem a transferência de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas pelos Estados-Membros a sistemas de informação criados ao abrigo do Tratado que institui a Comunidade Europeia, sejam estabelecidas condições específicas quanto à utilização desses dados pelo Estado-Membro a que se destinam, essas condições prevalecem sobre as disposições da presente decisão-quadro que digam respeito à utilização de dados fornecidos ou disponibilizados por outro Estado-Membro.
|
|
Article 29
|
Artigo 29.o
|
|
Implementation
|
Execução
|
|
1. Member States shall take the necessary measures to comply with the provisions of this Framework Decision before 27 November 2010.
|
1. Os Estados-Membros tomam as medidas necessárias para dar cumprimento à presente decisão-quadro antes de 27 de Novembro de 2010.
|
|
2. By the same date Member States shall transmit to the General Secretariat of the Council and to the Commission the text of the provisions transposing into their national law the obligations imposed on them under this Framework Decision, as well as information on the supervisory authorities referred to in Article 25. On the basis of a report established using this information by the Commission, the Council shall, before 27 November 2011, assess the extent to which Member States have complied with the provisions of this Framework Decision.
|
2. Até essa data, os Estados-Membros transmitirão ao Secretariado-Geral do Conselho e à Comissão o texto das disposições que transpõem para o direito nacional as obrigações que lhes incumbem por força da presente decisão-quadro, bem como as informações sobre a autoridade ou as autoridades de controlo a que se refere o artigo 25.o. Com base nessas informações e num relatório da Comissão, o Conselho examinará, antes de 27 de Novembro de 2011, em que medida os Estados-Membros tomaram as iniciativas necessárias para dar cumprimento à presente decisão-quadro.
|
|
Article 30
|
Artigo 30.o
|
|
Entry into force
|
Entrada em vigor
|
|
This Framework Decision shall enter into force on the 20th day following its publication in the Official Journal of the European Union.
|
A presente decisão-quadro entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
|
|
|
|
|
Done at Brussels, 27 November 2008.
|
Feito em Bruxelas, em 27 de Novembro de 2008.
|
|
For the Council
|
Pelo Conselho
|
|
The President
|
A Presidente
|
|
M. Alliot-Marie
|
M. Alliot-Marie
|
|
[1] OJ C 125 E, 22.5.2008, p. 154.
|
[1] JO C 125 E de 22.5.2008, p. 154.
|
|
[2] OJ C 198, 12.8.2005, p. 1.
|
[2] JO C 198 de 12.8.2005, p. 1.
|
|
[3] OJ L 281, 23.11.1995, p. 31.
|
[3] JO L 281 de 23.11.1995, p. 31.
|
|
[4] OJ L 8, 12.1.2001, p. 1.
|
[4] JO L 8 de 12.1.2001, p. 1.
|
|
[5] OJ L 201, 31.7.2002, p. 37.
|
[5] JO L 201 de 31.7.2002, p. 37.
|
|
[6] OJ L 69, 16.3.2005, p. 67.
|
[6] JO L 69 de 16.3.2005, p. 67.
|
|
[7] OJ L 210, 6.8.2008, p. 1.
|
[7] JO L 210 de 6.8.2008, p. 1.
|
|
[8] OJ L 131, 1.6.2000, p. 43.
|
[8] JO L 131 de 1.6.2000, p. 43.
|
|
[9] OJ L 64, 7.3.2002, p. 20.
|
[9] JO L 64 de 7.3.2002, p. 20.
|
|
[10] OJ L 176, 10.7.1999, p. 36.
|
[10] JO L 176 de 10.7.1999, p. 36.
|
|
[11] OJ L 176, 10.7.1999, p. 31.
|
[11] JO L 176 de 10.7.1999, p. 31.
|
|
[12] OJ L 53, 27.2.2008, p. 52.
|
[12] JO L 53 de 27.2.2008, p. 52.
|
|
[13] OJ L 53, 27.2.2008, p. 50.
|
[13] JO L 53 de 27.2.2008, p. 50.
|
|
[14] OJ L 83, 26.3.2008, p. 5.
|
[14] JO L 83 de 26.3.2008, p. 5.
|
|
[15] OJ C 303, 14.12.2007, p. 1.
|
[15] JO C 303 de 14.12.2007, p. 1.
|
|
--------------------------------------------------
|
--------------------------------------------------
|