Bilingual display

DA DE EL EN ES FI FR IT NL PT SV  DA DE EL EN ES FI FR IT NL PT SV 

en

pt
 
REPORT FROM THE COMMISSION - First report on the implementation of the Data Protection Directive (95/46/EC)
RELATÓRIO DA COMISSÃO - Primeiro relatório sobre a implementação da directiva relativa à protecção de dados (95/46/CE)
INDEX
ÍNDICE
1. The reasons for the report and the open consultation on the Implementation of directive 95/46/EC
1. Razões para a elaboração do relatório e da consulta aberta sobre a implementação da directiva 95/46/CE
2. The open review process preceding the preparation of this report
2. Processo de revisão aberta anterior à preparação do presente relatório
3. The main results of the review
3. Principais resultados da revisão
4. The main findings of the review in more detail
4. Principais resultados da revisão em mais pormenor
5. The processing of sound and image data
5. Tratamento de dados de som e imagem
6. work programme for a better implementation of the data protection directive (2003-2004)
6. Programa para uma melhor implementação da directiva relativa à protecção de dados (2003-2004)
7. Conclusion
7. Conclusão
1. The reasons for the report and the open consultation on the Implementation of directive 95/46/EC
1. Razões para a elaboração do relatório e da consulta aberta sobre a implementação da directiva 95/46/CE
'The Commission shall report to the Council and the European Parliament at regular intervals, starting not later than three years after the date referred to in Article 32 (1), on the implementation of this Directive, attaching to its report, if necessary, suitable proposals for amendments.' (Article 33 of EC Directive 95/46)
"A Comissão apresentará periodicamente ao Parlamento Europeu e ao Conselho, e pela primeira vez o mais tardar três anos após a data referida no n.º 1 do artigo 32.º, um relatório sobre a aplicação da presente directiva, eventualmente acompanhado de propostas de alteração adequadas." (Artigo 33.º da Directiva 95/46/CE)
The present report is the Commission's response to the above requirement. The Commission has delayed its report by 18 months because the Member States have been slow to transpose the Directive into national law [1].
O presente relatório constitui a resposta da Comissão ao requisito acima citado. A Comissão adiou o relatório 18 meses porque os Estados-Membros têm sido lentos na transposição da directiva para o direito nacional [1].
[1] The Commission decided in December 1999 to take France, Germany, Ireland, Luxembourg and the Netherlands to the European Court of Justice for failure to notify all the necessary measures to implement Directive 95/46. In 2001 the Netherlands and Germany notified and the Commission closed the cases against them. France notified the data protection law of 1978 so that the proceedings for non notification against that state were dropped. France announced at the same time its intention to pass a new law that is not yet adopted. In the case of Luxembourg, the Commission action has led to this Member State being condemned by the Court of Justice for failure to fulfil its obligations. The Directive was then implemented with a new law that entered into force in 2002. Ireland notified a partial implementation in 2001; a complete bill has however recently been passed. The implementation status in Member States is available at:
[1] Em Dezembro de 1999, a Comissão decidiu levar a França, a Alemanha, a Irlanda, o Luxemburgo e os Países Baixos ao Tribunal de Justiça Europeu por não terem notificado todas as medidas necessárias para implementar a Directiva 95/46/CE. Em 2001, os Países Baixos e a Alemanha fizeram essa notificação e a Comissão encerrou os processos contra eles. A França notificou a lei da protecção de dados de 1978 de modo que os procedimentos por falta de notificação contra este Estado foram encerrados. A França anunciou ao mesmo tempo a sua intenção de promulgar uma nova lei que ainda não foi adoptada. No caso do Luxemburgo, a acção da Comissão levou a que esse Estado-Membro fosse condenado pelo Tribunal de Justiça por não ter cumprido as suas obrigações. A directiva foi então implementada por uma nova lei que entrou em vigor em 2002. A Irlanda notificou uma implementação parcial em 2001; contudo, foi recentemente adoptada uma lei de transposição total. A situação relativa à implementação nos Estados-Membros está disponível no seguinte endereço: http://europa.int/comm/internal_market/ privacy/law/implementation_en.htm.
The Commission has approached the preparation of this report from a broad perspective. It has gone beyond the simple examination of the Member States' acts of implementation and has conducted in addition an open public debate, encouraging a wide participation on the part of stakeholders. This approach is not only in line with the Commission's approach to governance at the European level as set out in its White Paper of July 2001 [2]; it is also justified by first, the specific nature of Directive 95/46 and second, the rapid pace of technological development in the information society and other international developments which have brought about significant changes since the Directive was finalised in 1995.
A Comissão abordou a preparação do presente relatório numa perspectiva alargada. Foi além do simples exame das leis de implementação dos Estados-Membros, tendo organizado também um debate público aberto, encorajando uma grande participação por parte das partes interessadas. Esta abordagem não só se inscreve na linha da abordagem da Comissão relativamente à governança europeia, tal como indicado no seu Livro Branco de Julho de 2001 [2], como também se justifica, em primeiro lugar, pela natureza específica da Directiva 95/46/CE e, em segundo lugar, pelo ritmo acelerado de desenvolvimento tecnológico da sociedade da informação e de outros desenvolvimentos internacionais que provocaram mudanças significativas desde a finalização da directiva em 1995.
[2] COM(2001) 428 final http://europa.eu.int/eur-lex/en/com/cnc/ 2001/com2001_0428en01.pdf
[2] COM(2001) 428 final http://europa.eu.int/eur-lex/en/com/cnc/ 2001/com2001_0428en01.pdf
1.1. A Directive with very broad impact
1.1. Uma directiva com um grande impacto
Directive 95/46 enshrines two of the oldest ambitions of the European integration project: the achievement of an Internal Market (in this case the free movement of personal information) and the protection of fundamental rights and freedoms of individuals. In the Directive, both objectives are equally important.
A Directiva 95/46/CE consagra duas das mais antigas ambições do projecto de integração europeia: a realização de um mercado interno (neste caso, a livre circulação de informações pessoais) e a protecção dos direitos e das liberdades fundamentais das pessoas. Na directiva, os dois objectivos são igualmente importantes.
In legal terms, however, the existence of the Directive rests on Internal Market grounds. Legislation at the EU level was justified because differences in the way that Member States approached this issue impeded the free flow of personal data between the Member States [3]. Its legal base was thus Article 100a (now Article 95) of the Treaty. However, the proclamation of the Charter of Fundamental Rights of the European Union [4] by the European Parliament, the Council and the Commission in December 2000, and in particular Article 8 thereof which incorporates the right to data protection, has given added emphasis to the fundamental rights dimension of the Directive.
Em termos jurídicos, no entanto, a existência da directiva repousa no mercado interno. A elaboração de legislação ao nível comunitário justificava-se porque as diferenças no modo como os países abordavam esta questão impediam o livre fluxo de dados pessoais entre os Estados-Membros [3]. A sua base jurídica era, portanto, o artigo 100.º-A (agora artigo 95.º) do Tratado. Contudo, a proclamação da Carta dos Direitos Fundamentais da União Europeia [4] pelo Parlamento Europeu, o Conselho e a Comissão, em Dezembro de 2000, nomeadamente o seu artigo 8.º que incorpora o direito à protecção de dados, acrescentou um ênfase à dimensão que a directiva atribui aos direitos fundamentais.
[3] See COM (90) 314 final - SYN 287 AND 288, 13 September 1990, page 4: "The diversity of national approaches and the lack of a system of protection at Community level are an obstacle to completion of the internal market. If the fundamental rights of data subjects, in particular their right to privacy, are not safeguarded at Community level, the cross-border flow of data might be impeded..."
[3] Ver COM(90) 314 final- SYN 287 e 288, de 13 de Setembro de 1990, p. 4: "A diversidade das abordagens nacionais e a ausência de um sistema de protecção à escala comunitária constituem um obstáculo à realização do mercado interno. Com efeito, se os direitos fundamentais das pessoas em causa, nomeadamente, o direito à vida privada, não forem assegurados a nível comunitário, o fluxo transfronteiriço de dados poderia ser obstruído..."
[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html
[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html
Moreover, by its nature, the Directive has a very broad impact. Every individual is a data subject and entities in every sector of the economy are data controllers. Thus, even if its legal justification is rather specific, its effects are very wide and its implementation must be examined with that in mind.
Além disso, devido à sua natureza, a directiva tem um impacto muito amplo. Todas as pessoas são titulares de dados e todas as entidades nos sectores da economia são responsáveis pelo tratamento dos dados. Assim, mesmo que a sua justificação jurídica seja bastante específica, os seus efeitos são muito alargados e a sua implementação deve ser examinada tendo isto em consideração.
1.2. Developments in information technology and increased security concerns have sharpened the debate on data protection
1.2. O desenvolvimento da tecnologia da informação e o aumento das preocupações em termos de segurança activaram o debate sobre a protecção de dados
Since the adoption of the Directive in 1995, there has been an exponential growth in the number of households and businesses connected to the Internet and thus in the number of people leaving an increasing amount of personal information of all kinds on the web. At the same time, the means of collecting personal information has become increasingly sophisticated and less easily detectable: closed circuit TV systems monitoring public places; spyware installed in PCs by web-sites to which they have been connected which collect information about users' browsing habits, information that the sites often sell to others; or the monitoring of employees', including the use of emails and internet, at the workplace.
Desde a adopção da directiva em 1995, tem havido um crescimento exponencial do número de agregados familiares e empresas ligados à Internet e, como tal, do número de pessoas que deixam na web uma quantidade cada vez maior de informações pessoais de todo o tipo. Ao mesmo tempo, os meios de recolha de informações pessoais têm vindo a tornar-se cada vez mais sofisticados e cada vez menos fáceis de detectar: sistemas de televisão em circuito fechado a vigiarem os espaços públicos; websites que instalam nos computadores pessoais a eles ligados "software-espiões" para recolherem informações sobre os hábitos de navegação dos utilizadores e que vendem essas informações a outros sites; ou a monitorização dos empregados no local de trabalho, incluindo a utilização do correio electrónico e da Internet.
This "data explosion" inevitably raises the question whether legislation can fully cope with some of these challenges, especially traditional legislation which has a limited geographical field of application, with physical frontiers which the Internet is rapidly rendering increasingly irrelevant [5].
Esta "explosão de dados" levanta inevitavelmente a questão de a legislação ser ou não capaz de lidar adequadamente com alguns destes desafios, especialmente a legislação tradicional que tem um âmbito de aplicação geográfico limitado, com fronteiras físicas que a Internet está a tornar rapidamente cada vez mais irrelevantes [5].
[5] The report "Future bottlenecks in the information society" prepared for the Joint Research Centre of the Commission and the Institute for Prospective Technological Studies in June 2001 concludes that there are some emerging areas that do not fit easily with the provisions of the Directive and that it may therefore be necessary to revise it in the future. At the same time, the report notes that "although we have the Directive implemented in all Member States, there is increasing social anxiety with regard to the abuse and misuse of personal data within on-line information systems". Evidence gathered during the preparation of this report lends some support to this conclusion.
[5] O relatório "Future bottlenecks in the information society" (estrangulamentos futuros na sociedade da informação) elaborado para o Centro de Investigação Comum da Comissão e o Institute for Prospective Technological Studies concluiu que existem algumas áreas emergentes que não se enquadram facilmente nas disposições da directiva e que será provavelmente necessário revê-la no futuro. Ao mesmo tempo, o relatório assinala que "embora a directiva esteja implementada em todos os Estados-Membros, existe uma ansiedade social crescente relativamente à utilização abusiva ou ilegal de dados pessoais nos sistemas de informações em linha". As provas recolhidas durante a preparação do relatório dão algum apoio a esta conclusão. http://www.jrc.es/ FutureBottlenecksStudy.pdf
Notably as a response to technological developments, Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector [6] translated the principles set out in Directive 95/46/EC into specific rules for the telecommunications sector. Directive 2002/58/EC on privacy and electronic communications of 12 July 2002 [7] has recently updated Directive 97/66/EC to reflect developments in the markets and technologies for electronic communications services, such as the Internet, so as to provide an equal level of protection of personal data and privacy, regardless of the technologies used.
Nomeadamente, em resposta aos desenvolvimentos tecnológicos, a Directiva 97/66/CE do Parlamento Europeu e do Conselho, de 15 de Dezembro de 1997, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das telecomunicações [6] traduziu os princípios dispostos na Directiva 95/46/CE em regras específicas para o sector das telecomunicações. A Directiva 2002/58/CE relativa à privacidade e às comunicações electrónicas, de 12 de Julho de 2002 [7], actualizou recentemente a Directiva 97/66/CE para reflectir os desenvolvimentos nos mercados e tecnologias dos serviços de comunicações electrónicas, como a Internet, de modo a fornecer o mesmo nível de protecção de dados pessoais e de privacidade, independentemente das tecnologias utilizadas.
[6] OJ No L 24, 30.1.1998, p. 1-8
[6] JO L 24 de 30.1.1998, p. 1-8.
[7] OJ No L 201, 31 July 2002, p. 37-47. Member States have until 31 October 2003 to transpose the new Directive into national law.
[7] JO L 201 de 31 de Julho de 2002, p. 37-47. Os Estados-Membros devem transpor a nova directiva para o direito nacional até 31 de Outubro de 2003.
The emergence of a knowledge based economy combined with technological progress and the growing role attributed to human capital have intensified the collection of workers' personal data in the employment context. These developments gave rise to a number of concerns and risks and brought the issue of effective protection of workers' personal data into focus. The Commission noted, in its second stage consultation document addressed to the European social partners in October 2002, that there is scope for EU legislative action under Article 137 (2) of the Treaty, aiming at improving working conditions by establishing a European framework of principles and rules in this field. The Commission is currently reflecting on the follow-up to this consultation and intends to decide thereon before the end of 2003. Such a European framework would build on the existing general principles of Directive 95/46 EC while supplementing and clarifying these principles in the employment context.
A emergência de uma economia baseada no conhecimento, em conjugação com o progresso tecnológico e o papel crescente atribuído ao capital humano, intensificaram a recolha de dados pessoais dos trabalhadores no âmbito do emprego. Estes desenvolvimentos geraram algumas preocupações e alguns riscos, tendo sublinhado a questão da protecção dos dados pessoais dos trabalhadores. A Comissão assinalou no seu documento de consulta da segunda fase dirigido aos parceiros sociais, em Outubro de 2002, a pertinência de uma acção legislativa comunitária ao abrigo do n.º 2 do artigo 137.º do Tratado, destinada a melhorar as condições de trabalho mediante o estabelecimento de um quadro de princípios e regras nesta matéria. A Comissão está presentemente a reflectir sobre o seguimento a dar à referida consulta, tencionando decidir sobre esta questão antes do final de 2003. O quadro europeu mencionado basear-se-ia nos actuais princípios gerais estabelecidos na Directiva 95/46/CE, complementando-os e esclarecendo-os no âmbito do emprego.
As regards consumer credit, the Commission has set out, in its proposal for a European Parliament and Council Directive on the harmonisation of laws, regulations and administrative provisions of the Member States concerning credit for consumers [8], some specific provisions on data protection aimed at further strengthening the protection of consumers.
No que diz respeito ao crédito ao consumo, a Comissão estabeleceu, na sua proposta de directiva do Parlamento Europeu e do Conselho relativa à harmonização das disposições legislativas, regulamentares e administrativas dos Estados-Membros em matéria de crédito aos consumidores [8], algumas disposições específicas relativamente à protecção dos dados, destinadas a reforçar a defesa dos consumidores.
[8] COM (2002) 443 final of 11.09.2002
[8] COM(2002) 443 final de 11.9.2002.
At the same time, increased concerns about security, especially following the events of 11 September 2001, have put civil liberties in general and the rights to privacy and the protection of personal data in particular under some pressure. This is neither new nor surprising. The European Court for Human Rights found it necessary to issue the following warning in 1978: "States may not..., in the name of the struggle against espionage and terrorism, adopt whatever measures they deem appropriate... the danger (is that) of undermining or even destroying democracy on the ground of defending it". [9]
Ao mesmo tempo, a crescente preocupação com a segurança, especialmente após os acontecimentos de 11 de Setembro de 2001, veio imprimir uma certa tensão à problemática das liberdades civis em geral e dos direitos à privacidade e à protecção dos dados pessoais em particular, o que não é uma novidade nem uma surpresa. O Tribunal Europeu dos Direitos do Homem achou necessário emitir o seguinte aviso em 1978: "Os Estados não podem..., em nome da luta contra a espionagem e o terrorismo, adoptar quaisquer medidas que estimem apropriadas ... o perigo (é o) de minar ou mesmo destruir a democracia com base na sua defesa ." [9]
[9] Klass and Others v. Germany judgment of 6 September 1978, Series A no. 28
[9] Acórdão Klass e Outros contra a Alemanha, de 6 de Setembro de 1978, Série A, n.º 28.
The Directive does not of course apply to the processing of personal data in the course of so-called "third pillar" activities [10] and data protection in these areas is not therefore covered by this report. The same distinction is however often not made in Member States laws. This raises a number of questions and problems, which have in particular been highlighted by the European Parliament and which deserve further debate.
A directiva não se aplica ao tratamento de dados pessoais no âmbito das designadas actividades do "terceiro pilar", [10] e a protecção de dados nestas áreas não se encontra abrangida pelo presente relatório. Porém, nem sempre as legislações dos Estados-Membros fazem esta distinção. Isto levanta várias questões e problemas que o Parlamento Europeu, em particular, teve oportunidade de destacar e que merecem debate mais aprofundado.
[10] Article 3.2. first indent excludes from the scope of the Directive "activity falling outside the scope of Community law... and in any case processing operations concerning public security, defence, State security (including the public well-being of the State when the processing operations relate to State security matters) and the activities of the States in areas of criminal law".
[10] O primeiro travessão do n.º 2 do artigo 3.º exclui do âmbito de aplicação da directiva as "actividades não sujeitas à aplicação do direito comunitário... e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado (incluindo o bem-estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as actividades do Estado no domínio do direito penal".
2. Processo de revisão aberta anterior à preparação do presente relatório
2. The open review process preceding the preparation of this report
Tendo em conta o panorama atrás descrito, a Comissão procurou organizar um debate aberto com a participação mais alargada possível para acompanhar a sua revisão da implementação da directiva. Todas as partes interessadas - governos, instituições, associações de empresas e de consumidores e até empresas e cidadãos individuais - tiveram a oportunidade de participar e exprimir as suas opiniões [11]. A Comissão considera este processo positivo. Enriqueceu as fontes de informação nas quais a Comissão fundamentou o presente relatório e as suas recomendações para futuras acções. Também confirmou a mudança de opinião que já tinha sido detectada entre os responsáveis pelo tratamento dos dados em geral [12] e os representantes da comunidade empresarial em particular: os responsáveis pelo tratamento dos dados estão agora empenhados construtivamente num diálogo sobre a forma de assegurar a protecção efectiva dos dados pessoais de uma forma eficaz, em vez de se oporem abertamente à regulamentação neste domínio.
Against the above background, the Commission sought to organise an open debate with the widest possible participation to accompany its review of the implementation of the Directive. All interested parties - governments, institutions, business and consumer associations, even individual companies and citizens - have been given the opportunity to participate and express their views [11]. The Commission regards this process as positive. It has enriched the sources of information on which the Commission has drawn for this report and the recommendations for future action that it makes. It has also confirmed the shift in opinion that had already been discerned among data controllers in general [12] and representatives of the business community in particular: data controllers are now constructively engaged in a dialogue about how to ensure the effective protection of personal data in an efficient way, instead of opposing regulation in this field outright.
[11] A Comissão dirigiu perguntas aos governos dos Estados-Membros e, separadamente, às entidades de controlo; encomendou dois estudo a peritos académicos; publicou um convite geral à apresentação de contribuições no Jornal Oficial e no website da Comissão; colocou no seu website dois questionários durante mais de dois meses, um destinado aos responsáveis pelo tratamento dos dados e outro aos titulares dos dados; e realizou uma conferência internacional na qual se discutiu um leque alargado de questões em seis workshops distintos.
[11] The Commission addressed questions to Member State governments and separately to supervisory authorities; commissioned two studies by academic experts; issued a general invitation to make contributions published in the Official Journal and on the Commission's web-site; placed two questionnaires on its web-site for over two months, one aimed at data controllers and the other at data subjects; held an international conference at which a wide range of issues were discussed in six separate workshops.
[12] Embora este relatório se refira geralmente aos responsáveis pelo tratamento de dados como "indústria" ou "representantes das empresas" (pois foram estes que mais contribuíram para os debates), as entidades públicas cujas actividades estejam sujeitas à aplicação do direito comunitário também são responsáveis pelo tratamento dos dados e, portanto, as recomendações e observações contidas neste relatório também lhes dizem respeito.
[12] Although this report usually refers to data controllers as "Industry" or "business representatives" (because they are those that most have contributed to the debates), public authorities carrying out activities within the scope of Community law are also data controllers and of course the recommendations and observations contained in this report also concern them.
A Comissão lamenta, por outro lado, a resposta limitada das organizações de consumidores ao processo de consulta [13].
The Commission regrets, on the other hand, the limited response of consumer organisations to the consultation process. [13]
[13] Apenas o BEUC, o Gabinete Europeu das Uniões de Consumidores, apresentou a sua posição num documento, afirmando, inter alia, em resposta aos que argumentavam que a directiva deveria ser adaptada aos imperativos do ambiente em linha, que do seu ponto de vista é o ambiente em linha que deve ser adaptado para assegurar o respeito estrito com os princípios da directiva.
[13] Only BEUC, the European Consumer's Organisation, submitted a position paper, stating i.al. that in response to those who have argued that the Directive needs to be adapted to the imperatives of the online environment, in their view it is the online environment that needs to be adapted to ensure full respect of the principles of the Directive.
O presente relatório resume as conclusões da Comissão à luz das informações que recolheu e as suas recomendações para a tomada de medidas. No entanto, a Comissão considera que se trata apenas de um primeiro passo num processo mais longo.
This report summarises the Commission's findings in the light of the input it has gathered and its recommendations for action. The Commission considers however that this can only be regarded as the first step in a longer process.
3. Principais resultados da revisão
3.1. A favor e contra a alteração da directiva
3. The main results of the review
A Comissão considera que os resultados da revisão, na generalidade, aconselham a que não se proponha uma alteração da directiva nesta fase.
3.1. For and against the amendment of the directive
Durante as consultas realizadas, poucos participantes advogaram explicitamente uma alteração da directiva. A excepção mais notável foi a apresentação em conjunto de propostas pormenorizadas de alterações pela Áustria, a Suécia, a Finlândia e o Reino Unido [14]. Estas propostas de alterações diziam respeito apenas a um pequeno número de disposições (nomeadamente, o artigo 4.º que determina a legislação aplicável, o artigo 8.º sobre dados sensíveis, o artigo 12.º sobre o direito de acesso, o artigo 18.º sobre a notificação e os artigos 25.º e 26.º sobre transferências para países terceiros), deixando a maioria das disposições e todos os princípios da directiva inalterados. As dificuldades específicas decorrentes destas disposições e de algumas outras serão examinadas em mais pormenor mais adiante no presente relatório.
The Commission considers that results of the review on balance militate against proposing modifications to the Directive at this stage.
[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm Os Países Baixos aderiram a estas propostas numa fase posterior.
In the course of the consultations conducted, few contributors explicitly advocated the modification of the Directive. The most notable exception was the detailed proposals for amendments submitted jointly by Austria, Sweden, Finland and the UK [14]. These proposals for amendments concerned only a small number of provisions (notably Article 4 which determines the applicable law, Article 8 on sensitive data, Article 12 on the right of access, Article 18 on notification and Articles 25 and 26 on transfers to third countries), leaving most of the provisions and all of the principles of the Directive untouched. The specific difficulties arising from these and some other provisions will be looked at in more detail later in this report.
A Comissão considera que seria insensato fazer propostas para alterar a directiva no futuro imediato, como demonstram as seguintes considerações gerais:
[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm. The Netherlands adhered to these proposals at a later stage.
- A experiência com a implementação da directiva tem sido até agora muito limitada. Só poucos Estados-Membros implementaram a directiva a tempo. A maior parte dos Estados-Membros só notificou as medidas de transposição à Comissão em 2000 e 2001, e a Irlanda ainda não notificou a sua implementação recente. Uma parte importante da legislação de implementação ainda está pendente em alguns Estados-Membros, o que constitui uma experiência insuficiente para uma proposta de revisão da directiva.
The Commission believes that the following general considerations make it unwise to make proposals to amend this Directive in the immediate future:
- Muitas das dificuldades que foram identificadas durante a revisão podem ser abordadas e resolvidas sem alterar a directiva. Nos casos em que os problemas são causados por uma incorrecta implementação da directiva, as dificuldades devem ser resolvidas por alterações específicas do direito de cada Estado-Membro. Noutros, a margem de manobra deixada pela directiva permite uma cooperação mais estreita entre as autoridades de controlo para obter a convergência necessária para ultrapassar as dificuldades que surgem de práticas demasiado divergentes entre Estados-Membros. Em todos os casos, tais medidas são passíveis de ter um efeito mais rápido do que uma alteração da directiva e deveriam ser primeiro exploradas completamente.
- Experience with the implementation of the Directive is so far very limited. Only few Member States implemented the Directive on time. Most Member States only notified implementing measures to the Commission in the years 2000 and 2001, and Ireland has still not notified its recent implementation. Important implementation legislation is still pending in some Member States. This constitutes an inadequate basis of experience for a proposal for a revised Directive.
- Quando as alterações são propostas pelos intervenientes, o objectivo é muitas vezes a redução dos encargos que o respeito pela conformidade impõe aos responsáveis pelo tratamento dos dados. Embora esta seja em si uma finalidade legítima e que a Comissão na verdade partilha, esta considera que muitas das propostas envolveriam também uma redução do nível de protecção fornecido. A Comissão é da opinião de que quaisquer alterações que possam vir ser consideradas posteriormente deveriam ter em vista manter o mesmo nível de protecção e ser compatíveis com o quadro geral dos instrumentos internacionais existentes [15].
- Many of the difficulties that have been identified during the review can be addressed and resolved without amending the Directive. In some cases, where problems are caused by incorrect implementation of the Directive, they must be solved by specific modifications of Member State law. In others, the margins of manoeuvre allowed by the Directive permit closer co-operation among supervisory authorities to achieve the convergence necessary to overcome difficulties arising from practices that diverge too widely from Member State to Member State. In any event, such means are likely to take effect more quickly than would an amendment of the Directive and so should be fully exploited first.
[15] Nas palavras do Comissário Bolkestein, na sessão de encerramento da conferência sobre a implementação da directiva: "Uma página de papel imaculada é coisa que certamente não existe quando se trata de fazer política no domínio da protecção de dados (...) Na elaboração do seu relatório, a Comissão terá ... de ter em conta o enquadramento jurídico e político mais alargado, em particular os princípios da Convenção 108 do Conselho da Europa".
- Where amendments have been proposed by stakeholders, the aim is often the reduction of compliance burdens for data controllers. While this is a legitimate end in itself and indeed one that the Commission espouses, the Commission believes that many of the proposals would also involve a reduction in the level of protection provided for. The Commission believes that any changes that might in due course be considered should aim to maintain the same level of protection and must be consistent with the overall framework provided by existing international instruments [15].
No seguimento das conversações com os Estados-Membros, a Comissão assinala que a sua opinião de que uma alteração da directiva não é presentemente necessária nem desejável é actualmente partilhada por uma maioria confortável de Estados-Membros e também de autoridades de controlo nacionais.
[15] In the words of Commissioner Bolkestein at the closing session of the Conference on the implementation of the Directive: "There is certainly no such thing as a clean sheet of paper when it comes to making policy in the field of data protection (...) In drafting its report the Commission will ... need to bear in mind the broader legal and political framework, in particular the principles of Convention 108 of the Council of Europe"
A Comissão considera que algumas das questões que surgiram e que são aqui apenas objecto de uma análise preliminar devem ser analisadas em mais profundidade e poderão ser, no seu devido tempo, objecto de uma proposta de revisão da directiva. Tal proposta beneficiaria de uma maior experiência entretanto ganha com a implementação da directiva.
Following discussions with the Member States, the Commission notes its view that a modification of the Directive is neither necessary nor desirable at present is shared by a comfortable majority of Member States and also of national supervisory authorities.
Além disso, como referido anteriormente, a implementação da actual directiva ainda pode ser melhorada de forma considerável, resolvendo assim várias dificuldades identificadas durante a revisão, algumas erroneamente atribuídas à própria directiva. A Comissão tem focado e continuará a focar a sua atenção em domínios particulares em que o direito comunitário está claramente a ser violado e em domínios em que interpretações e/ou práticas divergentes estão a causar dificuldades na realização do mercado interno.
The Commission considers that some of the issues that have emerged and which are here only the subject of a preliminary analysis need to be further analysed and may need in due course to be the subject of a proposal to revise the Directive. Such a proposal would benefit from the greater experience of the Directive's implementation which will have been gained in the meantime.
A Comissão também considera como prioritária a aplicação harmoniosa das regras relativas à transferência de dados para países terceiros com vista a facilitar as transferências legítimas e a evitar barreiras ou complicações desnecessárias.
Moreover, as stated above, there is considerable scope for improvement in the implementation of the present Directive which is likely to resolve a number of the difficulties identified during the review, some of them wrongly attributed to the Directive itself. The Commission's attention has been and will continue to be focussed in particular on areas where Community law is clearly being breached and on areas where divergent interpretations and/or practices are causing difficulties in the Internal Market.
3.2. Avaliação global da implementação da directiva nos Estados-Membros. O problema da divergência entre as legislações dos Estados-Membros
The Commission also considers as a priority the harmonious application of the rules relating to the transfer of data to third countries, with a view to facilitating legitimate transfers and avoiding unnecessary barriers or complexities.
Os serviços da Comissão fizeram uma análise exaustiva da implementação nos quinze Estados-Membros com base na informação recolhida. A cooperação dos Estados-Membros e das autoridades de controlo nacionais a este respeito foi muito útil. Os resultados iniciais desta análise estão incluídos no presente relatório e num anexo técnico que será publicado separadamente, mas o processo de recolha de informações e a análise da implementação nos Estados-Membros terão de continuar durante 2003.
3.2. Overall assessment of the implementation of the directive in the Member States. The problem of the divergences between the Member States' legislation.
The Commission's services have made a thorough analysis of the implementation in the fifteen Member States on the basis of the information collected. The co-operation of the Member States and the national supervisory authorities in this regard has been of great help. The initial results of this analysis are contained in this report and in a technical annex that will be published separately, but the process of collection of information and analysis of the implementation in the Member States will need to continue during 2003.
RESULTADOS DOS QUESTIONÁRIOS EM LINHA
Utilizando a ferramenta de consulta em linha de elaboração interactiva de políticas, a Comissão colocou dois questionários no seu website em Junho e convidou titulares de dados (consulta pública) e responsáveis pelo tratamento dos dados (grupo-alvo) a darem as suas opiniões sobre vários aspectos da protecção de dados. Quando os questionários foram encerrados, tinham respondido 9156 pessoas e 982 entidades responsáveis pelo tratamento dos dados. Os resultados completos das consultas estão disponíveis em http://europa.eu.int/comm/internal_market/ en/dataprot/lawreport/consultation_en.hm
RESULTS FROM THE ON-LINE QUESTIONNAIRES
A Comissão considera os seguintes resultados particularmente interessantes:
Using Inter-Active Policy Making on-line consultation-tool, the Commission placed two questionnaires on its web-site in June and invited data subjects (public consultation) and data controllers (target group) to give their views on various aspects of data protection. By the time the questionnaires were closed, 9156 individuals and 982 data controllers had replied. The full results of the consultations are available at:
- Embora a directiva relativa à protecção de dados institua níveis elevados de protecção, a maioria das pessoas (4113 em 9156, ou seja, 44,9%) considerou mínimo o nível de protecção.
http://europa.eu.int/comm/internal_market/ privacy/lawreport/consultation_en.htm
- 81% dos indivíduos indicaram que o nível de sensibilização sobre a protecção de dados era insuficiente, mau ou muito mau, enquanto só 10,3% indicaram que era suficiente e só 3,46% indicaram que era bom ou muito bom. Entre os responsáveis pelo tratamento dos dados, a opinião foi quase igualmente negativa relativamente à sensibilização dos cidadãos: a maioria dos inquiridos (30%) considerou que o grau de sensibilização dos cidadãos quanto à protecção dos dados era insuficiente, enquanto apenas 2,95% consideraram que o nível era bom.
The Commission finds the following results to be of particular interest:
- Existe agora entre as empresas uma maior aceitação das regras de protecção de dados. Por exemplo, 69,1% dos inquiridos (responsáveis pelo tratamento dos dados) consideraram que os requisitos em matéria de protecção de dados eram necessários na nossa sociedade, enquanto apenas 2,64% indicaram que os consideravam completamente desnecessários e que deveriam ser retirados.
- Although the Data Protection Directive incorporates high standards of protection, most individuals (4113 out of 9156 or 44.9%) considered the level of protection a minimum.
- Uma grande maioria dos responsáveis pelo tratamento dos dados que responderam ao questionário (62,1%) não considerou que responder aos pedidos de acesso das pessoas aos seus dados pessoais envolvesse um grande esforço para a sua empresa. Na realidade, a maioria dos responsáveis pelo tratamento dos dados que responderam ao questionário não tinha números disponíveis ou recebeu menos de 10 pedidos durante o ano de 2001.
- 81% of individuals thought the level of awareness about data protection was insufficient, bad or very bad, whereas only 10.3% thought it was sufficient and only 3.46% thought it was good or very good. Among controllers there was an almost equally negative view on awareness among citizens: Most of the respondents (30%) thought that citizens' awareness about data protection is insufficient whilst only 2.95% thought that the level was very good.
A Comissão reconhece que estes resultados não podem ser considerados tão representativos como os resultados de inquéritos baseados em amostras cientificamente seleccionadas. A Comissão propõe realizar outro inquérito em 2003, não só para testar a fiabilidade dos resultados do questionário aberto, mas também para determinar um marco em relação ao qual seja possível medir a evolução de várias opiniões ou indicadores no futuro.
- There is greater acceptance of data protection rules now among businesses. For example, 69.1% of the respondents (data controllers) considered data protection requirements necessary in our society whilst only a 2.64% regarded them as completely unnecessary and needing to be removed.
Implementação tardia
- A large majority of the data controllers that responded to the questionnaire (62.1%) did not consider that responding to requests from individuals for access to their personal data involved an important effort for their organisation. Indeed, most of the data controllers responding to the questionnaire either did not have figures available or received fewer than 10 requests during the year 2001.
A implementação de uma directiva deste género, ou seja, uma directiva que deixa uma margem considerável aos Estados-Membros, mas que também os obriga a respeitar uma quantidade significativa de pormenores, é, sem dúvida, uma tarefa complicada. Mas os atrasos graves na implementação da directiva ocorridos na maioria dos Estados-Membros constituem a primeira e principal lacuna que a Comissão tem o dever de registar no que respeita à implementação da directiva - e que condena de forma inequívoca. Tomou, pois, as medidas apropriadas nos termos do artigo 226.º do Tratado, como descrito atrás.
The Commission recognises that these results cannot be considered representative in the way that survey results based on a scientifically selected sample can. The Commission proposes to conduct another survey in 2003, both to test the reliability of the results of the open questionnaire and to establish a yardstick against which to measure the evolution of various views or indicators in the future.
Assegurar a livre circulação da informação
Apesar dos referidos atrasos e falhas de implementação, a directiva cumpriu o seu objectivo principal de remover as barreiras à livre circulação de dados pessoais entre os Estados-Membros. De facto, a principal dificuldade anterior à adopção da directiva surgiu porque, enquanto a maioria dos Estados-Membros tinha adoptado legislação em matéria de protecção de dados, um pequeno número não o tinha feito. Em 1995, apenas a Itália e Grécia não tinham essa legislação, mas esses dois Estados-Membros foram dos primeiros a transpor a directiva, removendo assim a principal dificuldade. Desde a adopção da directiva, a Comissão não teve conhecimento de qualquer caso em que a transferência de dados pessoais entre Estados-Membros tenha sido bloqueada ou recusada por motivos de protecção de dados.
Late implementation
É claro que os obstáculos à livre circulação de dados pessoais podem ser mais subtis do que as proibições flagrantes contidas nos direitos nacionais ou as decisões de bloqueio tomadas pelas autoridades de controlo nacionais: pode haver casos, por exemplo, em que uma regra desnecessariamente restritiva num Estado-Membro limite, em primeiro lugar, o tratamento interno de dados pessoais nesse Estado-Membro e, consequentemente, a exportação dos mesmos dados para outros Estados-Membros. Por outras palavras, embora a Comissão esteja em termos gerais satisfeita com o impacto da directiva, no que diz respeito à livre circulação de informações na Comunidade, uma maior experiência com a sua implementação pode revelar problemas que precisem de ser resolvidos [16].
The implementation of a Directive of this kind, that is a Directive leaving a considerable latitude to the Member States, but also requiring them to fill in a significant amount of detail, is undoubtedly a complex task. But the serious delays in implementation that occurred in most Member States is the first and main shortcoming which the Commission has the duty to register as regards the implementation of the Directive which it unequivocally condemns. It has of course taken the appropriate action under Article 226 of the Treaty, as described above.
[16] Por exemplo, diferentes abordagens da protecção de dados das pessoas colectivas.
Free movement of information secured
Nível de protecção elevado
Despite these delays and gaps in implementation, the Directive has fulfilled its principal objective of removing barriers to the free movement of personal data between the Member States. In fact, the main difficulty prior to the adoption of the Directive arose because, while most Member States had adopted data protection legislation, a small number had not. By 1995, only Italy and Greece did not have such legislation, but these two Member States were among the first to transpose the Directive, thus removing the main difficulty. Since the adoption of the Directive, no case has been drawn to the attention of the Commission in which the transfer of personal data between Member States has been blocked or refused on data protection grounds.
Como previsto no considerando 10, a aproximação das legislações nacionais pretendida pela directiva deve procurar assegurar um nível de protecção elevado na Comunidade. A Comissão acredita que este objectivo tenha sido atingido. De facto, a própria directiva estabelece alguns dos níveis mais elevados de protecção de dados a nível mundial. Contudo, os resultados do inquérito em linha sugerem que a percepção dos cidadãos a este respeito é diferente. Este paradoxo exige maior reflexão. Uma análise preliminar indicaria que este problema se deve parcialmente, pelo menos, a uma aplicação incompleta das regras (ver secção adiante, relativa a execução, cumprimento e sensibilização).
Of course, obstacles to the free circulation of personal data can be more subtle than blatant prohibitions in the national laws or blocking decisions taken by national supervisory authorities: there might for example be cases where an unnecessarily restrictive rule in one Member State limits the internal processing of personal data in that Member State in the first place and, thus the exportation of the same data to other Member States. In other words, while the Commission is broadly satisfied with the impact of the Directive as regards the free movement of information within the Community, further experience with its implementation may produce evidence of problems that need to be tackled [16].
Outros objectivos da política do mercado interno têm tido menos êxito
[16] For example different approaches as regards protection for data of legal persons.
A Comissão tem uma perspectiva dos objectivos políticos globais a atingir pela legislação do mercado interno que ultrapassa a mera livre circulação, devendo proporcionar condições equitativas aos operadores económicos nos diferentes Estados-Membros; ajudar a simplificar o enquadramento regulamentar no interesse, quer da boa governança, quer da competitividade; e tentar incentivar, em vez de restringir, a actividade transfronteiras no interior da UE.
High level of protection
Apreciadas em função destes critérios, as divergências que ainda marcam a legislação dos Estados-Membros em matéria de protecção de dados são demasiado grandes. Esta foi a mensagem prevalecente daqueles que contribuíram para a revisão, em particular daqueles que representam os interesses das empresas, que se queixaram de que as actuais disparidades impedem as empresas multinacionais de desenvolver políticas pan-europeias de protecção de dados. A Comissão lembra que a ambição da directiva é a aproximação e não a uniformidade absoluta e que, de forma a respeitar o princípio da subsidiariedade, o processo de aproximação não deve ir além do necessário. Não obstante, considera que os intervenientes têm razão em exigir mais convergência na legislação e na forma como é aplicada pelos Estados-Membros e, em particular, pelas autoridades de controlo nacionais.
As provided for in Recital 10, the aproximation of the national laws pursued by the Directive must seek to ensure a high level of protection in the Community. The Commission believes that this has been achieved. Indeed the Directive itself sets out some of the highest standards of data protection in the world. However, the results of the on-line survey suggest that the perception of citizens at this regard is different. This paradox requires further reflection. A preliminary analysis would suggest that at least part of the problem is attributable to an incomplete application of the rules (see further section on "enforcement, compliance and awareness")
Algumas entidades que contribuíram para a revisão propuseram uma alteração da directiva no sentido de incluir mais pormenor ou especificação para alcançar esta convergência. A Comissão prefere proceder, pelo menos inicialmente, por outros meios. Além disso, a natureza global da referida directiva, isto é, o facto de se aplicar a um grande número de sectores e contextos, desaconselha em geral o aditamento de mais pormenores ou especificações.
Other Internal Market policy objectives less well served
As divergências entre os direitos nacionais exigem soluções variadas
The Commission takes a view of the overall policy objectives to be pursued by Internal Market legislation that goes beyond mere free movement. This should provide a level playing field for economic operators in different Member States; help to simplify the regulatory environment in the interests of both good governance and competitiveness; and tend to encourage rather than hinder cross-border activity within the EU.
Uma vez que as divergências entre os direitos dos Estados-Membros têm causas diferentes e diferentes consequências, também exigem uma gama de soluções diferentes.
Judged against these criteria, the divergences that still mark the data protection legislation of the Member States are too great. This was the prevalent message received from the contributors to the review, in particular those representing business interests, who complained that present disparities prevent multinational organisations from developing pan-European policies on data protection. The Commission recalls that the ambition of a Directive is approximation and not complete uniformity and that, in order to respect the subsidiarity principle, the process of approximation should not go further than is necessary. Nevertheless, it thinks that stakeholders are right to demand more convergence in legislation and in the way it is applied by the Member States and the national supervisory authorities in particular.
Afigura-se claro que quando um Estado-Membro tenha ultrapassado os limites da directiva ou não tenha cumprido os seus requisitos, cria uma divergência que tem de ser remediada pela alteração da lei do Estado-Membro em questão. Há certas disposições que deixam pouca ou nenhuma margem aos Estados-Membros e em relação às quais, mesmo assim, ocorreram divergências - ver por exemplo certas definições ou requisitos enumerados na directiva, tais como no artigo 7.º (fundamentos legítimos para o tratamento), no n.º 1 do artigo 8.º (dados sensíveis), no artigo 10.º (informação aos titulares dos dados), 13.º (excepções), 26.º (excepções no que se refere a transferências para países terceiros, etc.) -, o que denota alguns problemas de conformidade com o direito comunitário. O artigo 4.º (direito aplicável) também foi incorrectamente transposto em vários casos.
Some contributors to the review proposed the amendment of the Directive to add more detail or specification to achieve this convergence. The Commission prefers to proceed at least initially by other means. Furthermore, the general nature of this Directive, i.e. the fact that it applies to a large number of sectors and contexts, generally argues against adding more detail or specification.
A Comissão está, é claro, disposta a recorrer às competências que lhe são conferidas nos termos do artigo 226.º do Tratado para fazer impor estas alterações, mas espera não ser necessário lançar procedimentos formais. Manter-se-ão conversações bilaterais e multilaterais com os Estados-Membros com vista a chegar a soluções concertadas que sejam consentâneas com a directiva.
Divergences in Member States laws call for a range of solutions
Outras divergências podem ser legitimamente resultantes da implementação correcta por um Estado-Membro que tomou uma direcção diferente dentro da margem de manobra permitida pela directiva. Para efeitos do presente relatório, a Comissão toma em consideração a existência de tais diferenças apenas na medida em que tenham consequências negativas significativas no mercado interno ou do ponto de vista de uma "melhor regulamentação"; é, por exemplo, o caso da imposição de encargos administrativos injustificados aos operadores.
Since the divergences between Member States' laws have different causes and different consequences, they also call for a range of different solutions.
Resumindo:
It is clear that when a Member State has gone beyond the limits of the Directive or fallen short of its requirements, it creates a divergence that must be remedied by the modification of the Member State law in question. There are certain provisions which leave little or no margin to the Member States and where divergences have nevertheless occurred - see for example "definitions" or closed lists in the Directive such as in Articles 7 (grounds for legitimate processing), 8.1 (sensitive data), 10 (information to data subjects), 13 (exceptions), 26 (exceptions as regards transfers to third countries, etc). This points to non-compliance with Community law. Article 4 (applicable law) has also been badly transposed in a number of cases.
a) Em termos gerais, uma grande parte das divergências detectadas pelos serviços da Comissão não pode ser considerada como violação do direito comunitário, nem como tendo um impacto negativo significativo no mercado interno, mas quando isso acontecer, a Comissão fará o necessário para resolver a situação;
The Commission is of course prepared to use its powers under Article 226 of the Treaty to bring about such changes, but it hopes that it will not be necessary to proceed by way of formal action. Bilateral and multilateral discussions will be held with the Member States with a view to arriving at agreed solutions in line with the Directive.
b) Muitas das divergências detectadas impedem, não obstante, a criação de um sistema regulamentar flexível e simplificado, sendo, portanto, ainda problemáticas (veja-se, por exemplo, a diferença nos requisitos de notificação ou as condições das transferências internacionais).
Other divergences may be the legitimate result of correct implementation by a Member State that has taken a different direction within the margin of manoeuvre allowed by the Directive. For the purposes of this report, the Commission considers the existence of such differences only in so far as they have significant negative consequences in the Internal Market or from the "better regulation" point of view, for example the creation of unjustified administrative burdens for operators.
Existe um espectro alargado de acções possíveis para as resolver, tal como indicado no programa de trabalho incluído na secção 6. A procura destas soluções no futuro imediato não significa, contudo, que a Comissão exclua a possibilidade de, subsequentemente, fazer uma alteração apropriada à directiva se as dificuldades persistirem. A cooperação mais estreita entre as autoridades de controlo dos Estados-Membros e a vontade geral de reduzir o impacto negativo das divergências poderia constituir uma alternativa; a introdução de alterações à directiva no sentido de reduzir a margem de escolha deixada ao legislador nacional e às autoridades de controlo nacionais seria outra. Os Estados-Membros e as suas autoridades de controlo preferirão, sem dúvida, a primeira opção, cabendo-lhes a eles demonstrar a sua viabilidade.
Summing up:
Execução, cumprimento e consciencialização
a) Overall, a large proportion of the divergences detected by the Commission's services cannot be considered as a violation of Community law nor as having a significant negative impact on the Internal Market, but when this is the case, the Commission will do the necessary to remedy the situation;
Antes de proceder a uma análise mais aprofundada de algumas áreas problemáticas da implementação da directiva, há um outro aspecto geral que merece atenção, ou seja, o nível geral de cumprimento da legislação de protecção de dados na UE e a questão do controlo da sua execução. Dado o (ou apesar do) carácter ubíquo do tratamento de dados pessoais, é difícil obter informações precisas ou completas sobre a sua conformidade com a lei. As informações que a Comissão recebeu em resposta ao seu apelo a contribuições não lançaram muita luz sobre esta questão. No entanto, alguns indícios, combinados com vários elementos de informação "concreta" de que a Comissão dispõe [17], sugerem a presença de três fenómenos inter-relacionados:
b) Many of the divergences detected nevertheless do stand in the way of a flexible and simplified regulatory system and are still therefore of concern (see for example the differences in the notification requirements or the conditions for international transfers).
[17] Por exemplo, um número relativamente reduzido de queixas individuais recebidas pela própria Comissão e o baixo número de autorizações concedidas pelas autoridades nacionais para a realização de transferências para países terceiros notificadas à Comissão em conformidade com o n.º 3 do artigo 26.º
There is a broad spectrum of possible actions to address these, as indicated in the work programme in section 6. The pursuit of these solutions in the immediate future does not mean, however, that the Commission excludes the possibility of appropriate amendment to the Directive subsequently, if the difficulties persist. Closer co-operation among the supervisory authorities of the Member States and a general willingness to reduce the negative impact of divergences are therefore to be seen as one alternative, while amendments to the Directive reducing the amount of choice left to the national legislator and to national supervisory authorities are the other. The Member States and their supervisory authorities will no doubt prefer the first option and it is up to them to show that it can work.
- Os recursos atribuídos ao controlo da execução são insuficientes e as acções coercitivas têm uma prioridade um tanto baixa entre as muitas tarefas das autoridades de controlo.
Enforcement, compliance and awareness
- Um cumprimento muito fragmentário das regras por parte dos responsáveis pelo tratamento dos dados, sem dúvida relutantes em alterar as suas práticas correntes para cumprir regras que podem parecer complexas e onerosas, quando o risco de serem penalizados parece reduzido.
Before proceeding to a closer examination of some of the problematic areas of the Directive's implementation, one other general issue deserves attention, which is that of the general level of compliance with data protection law in the EU and the related question of enforcement. Given (or despite) the ubiquitous character of personal data processing, it is hard to obtain accurate or complete information about its compliance with the law. The input which the Commission received in response to its call for contributions did not cast much new light on this issue. Anecdotal evidence, however, combined with various elements of "hard" information available to the Commission [17] suggests the presence of three inter-related phenomena:
- Um nível aparentemente baixo de conhecimento dos seus direitos entre os titulares dos dados, que pode estar na base do fenómeno anterior.
[17] For example the relatively small number of individual complaints received by the Commission itself and the low number of authorisations by national authorities for transfers to third countries notified to the Commission in accordance with Article 26 (3)
As próprias autoridades de controlo em muitos Estados-Membros estão também preocupadas com estes fenómenos, em particular com a sua falta de recursos. As dificuldades em termos de recursos podem afectar a independência. A independência na tomada de decisões é uma condição sine qua non para o funcionamento correcto do sistema.
- An under-resourced enforcement effort and supervisory authorities with a wide range of tasks, among which enforcement actions have a rather low priority;
Este aspecto requer um exame mais aprofundado, mas se estas tendências forem confirmadas, há motivos para uma preocupação séria e para que se faça uma reflexão entre a Comissão, os Estados-Membros e as autoridades de controlo para determinar as suas causas e elaborar soluções viáveis.
- Very patchy compliance by data controllers, no doubt reluctant to undertake changes in their existing practices to comply with what may seem complex and burdensome rules, when the risks of getting caught seem low;
O facto de estes três aspectos estarem ligados significa que abordar um deles com êxito pode ter um efeito positivo sobre os outros. A conformidade com a legislação será incrementada com a aplicação de medidas coercitivas mais vigorosas e eficazes. Uma conformidade acrescida implicará que responsáveis pelo tratamento dos dados prestem mais e melhores informações aos titulares dos dados sobre a existência do tratamento e os seus direitos ao abrigo da lei, com um efeito benéfico sobre o nível de sensibilização dos cidadãos em geral em matéria de protecção de dados.
- An apparently low level of knowledge of their rights among data subjects, which may be at the root of the previous phenomenon.
Países candidatos
The supervisory authorities themselves in many Member States are also concerned about this, in particular their lack of resources. Resource difficulties may affect independence. Independence in the taking of decisions is a sine qua non for the correct functioning of the system.
De acordo com os critérios de Copenhaga, todos os países candidatos se comprometeram a transpor a Directiva 95/46/CE até à data de adesão. Até agora, todos adoptaram legislação neste domínio, excepto a Turquia, onde está em curso a elaboração de uma lei de protecção de dados. Nos dez países que assinaram os Tratados de adesão, a legislação em vigor incorpora a maioria dos elementos-chave da directiva. No entanto, são necessários mais esforços para alinhar plenamente esta legislação com todas as disposições da directiva.
This aspect requires further investigation, but if these tendencies are confirmed, they are reasons for serious concern and reflections need to be undertaken between the Commission and the Member States and the supervisory authorities to determine their causes and design feasible solutions.
A este respeito, a criação de autoridades de controlo independentes responsáveis pela protecção de dados é de grande importância. A independência de algumas autoridades de controlo é exemplar, embora, em alguns países, seja claramente insuficiente. Por outro lado, falta a todas as outras autoridades de controlo os recursos necessários e também algumas das competências necessárias para assegurar a implementação efectiva da legislação em matéria de protecção de dados.
The fact that the three aspects are linked means that addressing one of them successfully can have positive spill-over on the others. More vigorous and effective enforcement will improve compliance with the legislation. Better compliance will result in data controllers providing more and better information to data subjects about the existence of the processing and their rights under the law, with a beneficial effect on the level of awareness about data protection among citizens in general.
4. Principais resultados da revisão em mais pormenor [18]
The candidate countries
[18] Os leitores devem recorrer ao anexo técnico para obterem uma visão mais completa.
In line with the Copenhagen criteria, all candidate countries are commited to transposing Directive 95/46/EC by the time of accession. To date, all have passed legislation in this field, except for Turkey, where preparation of a Data Protection Act is well under way. In the 10 countries that have signed the Treaties of Accession, the legislation in place incorporates most of the key elements of the Directive. However, further efforts are needed to bring this legislation fully into line with all provisions of the Directive.
Esta secção analisa mais profundamente e dá exemplos mais concretos das principais questões que a Comissão considera precisarem de atenção à luz da sua revisão.
In this regard, the establishment of independent data protection supervisory authorities is of utmost importance. The independence of some supervisory authorities is exemplary, whilst in other countries it is clearly insufficient. On the other hand, all the supervisory authorities lack the necessary resources and some also the necessary powers to ensure effective implementation of data protection legislation.
4.1. Necessidade de completar a implementação da directiva
4. The main findings of the review in more detail [18]
A total implementação da directiva requer normalmente (além da adopção da legislação de implementação) uma segunda fase que consiste na revisão de outra legislação que possa entrar em conflito com os requisitos da directiva e/ou a especificação de certas regras gerais, bem como a disponibilidade de garantias apropriadas quando sejam utilizadas excepções previstas pela directiva.
[18] Readers should refer to the technical annex for a more complete picture.
Em termos gerais, esta segunda fase da implementação ainda nem sequer começou em alguns Estados-Membros e, naqueles em que começou, alguns há onde ainda está pouco avançada. Algumas leis nacionais referem a necessidade de elaborar legislação complementar para clarificar alguns aspectos, como, por exemplo, no que respeita à aplicação da alínea f) do artigo 7.º (cláusula do equilíbrio de interesses), mas até agora isto ainda não aconteceu [19].
This section looks more closely at and provides more concrete examples of the main issues which the Commission considers require attention in the light of its review.
[19] Várias contribuições - ver por exemplo a da Clifford Chance - sublinharam a importância desta disposição que acrescenta um elemento importante de flexibilidade às condições de "equidade" do tratamento. Uma implementação incompleta ou pouco clara desta disposição causa uma rigidez desnecessária no enquadramento regulamentar.
4.1. The need to complete the implementation of the Directive
Outra disposição cuja implementação é muitas vezes incompleta é a alínea b) do n.º 2 do artigo 8.º, que permite aos Estados-Membros fazer excepções à regra geral de que os dados sensíveis não podem ser tratados, ou seja, admitir o tratamento quando for necessário para o cumprimento das obrigações e dos direitos do responsável pelo tratamento no domínio da legislação do trabalho, desde que protegido por garantias adequadas. Nalguns Estados-Membros, estes requisitos são cumpridos através de legislação específica em matéria de protecção de dados no contexto do trabalho, que pode ser bastante abrangente (p. ex., na Finlândia) ou que regula questões específicas (p. ex., a legislação relativa à saúde na Dinamarca ou nos Países Baixos). Noutros Estados-Membros, a situação é menos clara. Nem todos os Estados-Membros adoptaram disposições que prevêem garantias e as que existem são muitas vezes insatisfatórias. A situação é semelhante no que respeita ao n.º 4 e ao n.º 5 do artigo 8.º - o tratamento de dados sensíveis por motivos de interesse público importante ou relacionados com condenações penais. A ausência de garantias significa que o nível requerido de protecção dos indivíduos não está a ser respeitado, o que deveria ser motivo de preocupação para os Estados-Membros, tal como é para a Comissão. Isto será abordado em particular no âmbito da acção 1 do programa de trabalho. Além disso, no caso do tratamento de dados pessoais num sector ou contexto particular, tal como no do trabalho, poderá também ser abordado através da acção comunitária sectorial [20].
A full implementation of the Directive normally requires (besides the enactment of implementing legislation) a second stage which mainly consists in the review of other legislation that may conflict with the Directive's requirements and/or the specification of certain general rules and the provision of appropriate safeguards where exceptions foreseen by the Directive have been used.
[20] Cf., a este respeito, o ponto 1.2 supra.
In general terms, this second stage of the implementation has not even started in some Member States and among those that have started, some are not very far advanced. Several national laws make reference to further clarification being issued, for example as regards the application of Article 7 (f) (balance of interest clause) but this has not happened yet. [19]
4.2. Necessidade de uma interpretação razoável e flexível
[19] Several submissions - see for example that from Clifford Chance - highlighted the importance of this provision which adds an important element of flexibility to the conditions of "fairness" of processing. An incomplete or unclear implementation of this provision causes unnecessary rigidity in the regulatory framework.
Muitas contribuições advogaram uma interpretação razoável e flexível de certas disposições da directiva [21]. Um bom exemplo é a questão dos dados sensíveis [22]. É necessário encontrar uma interpretação que seja consentânea, quer com a protecção reforçada prevista pela directiva para esta categoria de dados, quer com as realidades das actividades empresariais quotidianas, das operações de tratamento de rotina e dos riscos efectivos que certas operações colocam à protecção dos direitos e das liberdades fundamentais das pessoas [23].
Another provision where implementation is often incomplete is Article 8 (2) (b). This provision allows Member States to make exceptions from the general rule that sensitive data should not be processed, where such processing is necessary to carry out the obligations and specific rights of the controller in the field of employment law, but only subject to adequate safeguards being put in place. In some Member States, these requirements are met through specific data protection legislation in the employment context, which is either quite comprehensive (eg. Finland) or regulates particular issues (eg. health legislation in Denmark and the Netherlands). In other Member States, the situation is less clear. The provisions containing safeguards have not been adopted by all Member States. Where they exist, they are often unsatisfactory. The situation is similar as regards Article 8 (4) and (5) - the processing of sensitive data for reasons of public interest or with regard to criminal convictions. The absence of safeguards means the required level of protection for individuals is not being met, which should be a matter of concern for the Member States, as it is for the Commission. This will be addressed in particular under Action 1 of the work programme. Furthermore, where personal data are processed in a particular sector or context, such as in employment, this may be addressed through sectoral Community action [20].
[21] A contribuição do European Privacy Officers Forum (EPOF) é particularmente interessante a este respeito, por exemplo, no que toca à necessidade de se fazer uma interpretação razoável de noções como "dados anónimos" ou "dados sensíveis".
[20] Cf., in this regard, point 1.2 supra.
[22] A contribuição da FEDMA, por exemplo, contém alguns exemplos práticos das diferentes interpretações desta noção nos Estados-Membros, como no Reino Unido, em França ou em Portugal.
4.2. The need for a reasonable and flexible interpretation
[23] O pedido de interpretação razoável também pode ser encontrado na proposta de alteração do considerando 33 apresentada pela Áustria, Finlândia, Suécia e pelo Reino Unido.
Many submissions have advocated a reasonable and flexible interpretation of certain provisions of the Directive [21]. A good example is the issue of sensitive data [22]. It is necessary to find an interpretation consistent both with the reinforced protection foreseen for this category of data by the Directive and the realities of daily business, routine processing operations and the effective risks that certain operations pose for the protection of the fundamental rights and freedoms of individuals. [23]
A disposição do artigo 12.º da directiva (direito dos titulares dos dados de acederem à informação que lhes diz respeito) também tem sido alvo de pedidos de interpretação flexível em relação ao exercício do direito de acesso e da possibilidade de recusa. Argumenta-se que para responder aos pedidos de acesso relativos a dados tratados em redes de informação extensas e complexas pode ser extremamente difícil e oneroso para o responsável pelo tratamento dos dados.
[21] The submission of the European Privacy Officers Forum (EPOF) is particularly interesting in this regard, for example on the need for a reasonable interpretation of notions like "anonymous data" or "sensitive data".
A contribuição da Áustria, da Suécia, da Finlândia e do Reino Unido pretende uma alteração da directiva no sentido de clarificar que se o pedido de acesso disser respeito a informações extremamente difíceis de recuperar e claramente excluídas das operações normais do responsável pelo tratamento dos dados, este pode pedir ao titular dos dados que lhe dê assistência na procura dos seus dados [24]. A Comissão lembra que a possibilidade de pedir esta assistência já está em conformidade com a directiva na sua forma actual. A Comissão não está convencida de que a implementação desta disposição da directiva levante, na realidade, problemas práticos graves. De qualquer forma, o número de pedidos de acesso parece permanecer baixo [25]. A Comissão considera que as interpretações e as orientações fornecidas pelas autoridades de controlo nacionais têm sido até agora totalmente razoáveis.
[22] The submission of FEDMA, for example, contains some practical examples of the different interpretations of this notion in Member States such as the United Kingdom, France or Portugal.
[24] Tal assistência já está prevista na legislação Britânica e Austríaca.
[23] The call for a reasonable interpretation can also be found in the suggested amendment to recital 33 submitted by Austria, Finland, Sweden and the United Kingdom.
[25] Ver, em cima, os números e as respostas dos responsáveis pelo tratamento dos dados aos questionários em linha sobre esta questão.
Article 12 of the Directive (right of data subjects to have access to information held about them) is another provision that has prompted calls for a flexible interpretation in relation to the exercise of the right of access and the possibility of refusals. It is argued that meeting access requests concerning data processed in enormous and complex information networks could be extremely difficult and costly for the data controller.
O artigo 5.º da directiva dispõe que os Estados-Membros especificarão, dentro dos limites do disposto no Capítulo II (artigos 6.º a 21.º), as condições em que é lícito o tratamento de dados pessoais. Quanto a este aspecto, a Comissão regista os receios que a Suécia manifestou durante a revisão da sua legislação, relativamente à aplicação dos princípios da protecção de dados a texto corrido ou a dados de som e imagem. A Comissão considera que o objectivo de simplificar as condições para o tratamento de dados, quando esse tratamento não colocar, em princípio, quaisquer riscos para os direitos individuais, pode ser prosseguido com mais eficácia mediante o recurso à margem de manobra deixada pela directiva e, em particular, às possibilidades permitidas pela alínea f) do artigo 7.º e pelos artigos 9.º e 13.º.
The submission from Austria, Sweden, Finland and the United Kingdom seeks a change in the Directive to make clear that if the access request concerns information extremely difficult to retrieve and clearly excluded from the normal operations of the controller, the data controller may ask the data subject to assist the organisation in searching for his data. [24] The Commission recalls that the possibility of asking for such assistance is already in conformity with the Directive in its present form. The Commission is not convinced that the implementation of this provision of the Directive is in fact posing serious practical problems. In any case, the number of access requests seems to remain low. [25] The Commission considers the interpretations and guidance provided by national supervisory authorities so far to be wholly reasonable.
4.3. Promoção e encorajamento das tecnologias que aumentam a privacidade
[24] Such assistance is already foreseen under British and Austrian law.
O objectivo das tecnologias que aumentam a privacidade (TAP) é conceber sistemas e tecnologias de informação e de comunicação de maneira a minimizar a recolha e a utilização de dados pessoais e impedir formas ilegais de tratamento. A Comissão considera que o uso de medidas tecnológicas apropriadas é um complemento essencial das acções jurídicas e deveria ser uma parte integrante de quaisquer esforços para atingir um nível suficiente de protecção da privacidade.
[25] See figures and responses of data controllers to the on-line questionnaire on this issue above
Os produtos tecnológicos deveriam ser em todos os casos desenvolvidos em conformidade com as regras aplicáveis de protecção de dados. Mas esta conformidade é apenas o primeiro passo. O objectivo deveria ser o desenvolvimento de produtos que não só respeitem e favoreçam a privacidade como também, se possível, aumentem a privacidade [26].
Article 5 of the Directive states that Member States shall, within the limits of the provisions of Chapter II (Articles 6 to 21), determine more precisely the conditions under which the processing of personal data is lawful. In this respect, the Commission notes the concerns expressed by Sweden in the framework of the ongoing review of their legislation as regards the application of data protection principles to continuous text or sound and image data. The Commission considers that the aim of simplifying the conditions for data processing where such processing is not likely to pose any substantial risks to individual's rights can be better met by making use of the margin of manoeuvre that the Directive provides and in particular of the possibilities allowed by articles 7 (f), 9, and 13.
[26] Ver, a este respeito, as conclusões do documento WP 37 do Grupo de Trabalho do artigo 29.º, de Novembro de 2000: "Privacidade na Internet - Uma abordagem integrada da UE no domínio da protecção de dados em linha". Os produtos que respeitam a privacidade são produtos desenvolvidos em total conformidade com a directiva. Os produtos que favorecem a privacidade vão um pouco mais longe introduzindo alguns elementos que tornam os aspectos da privacidade mais facilmente acessíveis aos utilizadores, como, por exemplo, prestando informações muito conviviais aos titulares dos dados ou proporcionando formas muito fáceis de estes exercerem os seus direitos. O produtos que aumentam a privacidade são os produtos que foram concebidos de uma forma que visa conseguir a maior utilização possível de dados verdadeiramente anónimos.
4.3. Promotion and encouragement of Privacy Enhancing Technologies
Durante as discussões sobre as TAP na conferência de 2002 da Comissão sobre a implementação da directiva, foi assinalado que a utilização de certas ferramentas técnicas torna impossível o cumprimento da lei por parte dos responsáveis pelo tratamento dos dados. Um problema adicional que surgiu é a dificuldade de reconhecer quais os produtos que são genuinamente TAP. Alguns participantes pediram uma espécie de certificação ou selo baseado numa verificação independente do produto. Actualmente, alguns sistemas que se apresentam como TAP nem sequer respeitam a privacidade.
The idea of Privacy Enhancing Technologies is to design information and communication systems and technologies in a way that minimises the collection and use of personal data and hinders unlawful forms of processing. The Commission considers that the use of appropriate technological measures is an essential complement to legal means and should be an integral part in any efforts to achieve a sufficient level of privacy protection.
Assim, uma das questões-chave é não só a de saber como criar tecnologias que aumentem realmente a privacidade, mas também como assegurar que essas tecnologias sejam adequadamente identificadas e reconhecidas como tal pelos utilizadores. Os regimes de certificação desempenham um papel crucial e a Comissão continuará a seguir os desenvolvimentos nesta área [27].
Technological products should be in all cases developed in compliance with the applicable data protection rules. But being in compliance is only the first step. The aim should be to have products that are not only privacy-compliant and privacy-friendly but if possible also privacy-enhancing [26].
[27] Por exemplo, no Canadá, onde o governo federal foi o primeiro governo nacional a tornar obrigatórias as avaliações do impacto na privacidade (Privacy Impact Assessments - PIA) para todos os departamentos e agências federais relativamente a todos os programas e serviços onde as questões da privacidade pudessem ser inerentes. Esta política requer que as agências dêem início às PIA nas fases iniciais da concepção ou reconcepção de um programa ou serviço, de modo a influenciar o processo de desenvolvimento e assegurar que a protecção da privacidade seja uma consideração fundamental. O Land alemão de Schleswig-Holstein introduziu um regime de certificação que envolve o sector público e o sector privado numa abordagem semelhante.
[26] See in this sense the conclusions of the document WP 37 of the Article 29 Working Party, November 2000:"Privacy on the Internet - An integrated EU Approach to On-line Data Protection". Privacy-compliant products are products developed in full compliance with the Directive, privacy-friendly products go one step further by introducing some elements that make the privacy aspects more easily-accessible to the users like for instance by providing very user-friendly information to the data subject or very easy ways of exercising their rights. Privacy-enhancing products are those that have been designed in a way that aims at accomplishing the largest possible use of truly anonymous data. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm
A Comissão considera que estes regimes devem realmente ser encorajados e desenvolvidos. O objectivo não se limita à obtenção de melhores práticas de privacidade, pretende-se também aumentar a transparência e, deste modo, a confiança dos utilizadores e dar àqueles que investem na conformidade e até no aumento da protecção uma oportunidade de demonstrar as suas capacidades neste domínio, bem como de as explorar como uma vantagem competitiva.
During the discussions on PETs at the Commission's 2002 conference on the implementation of the Directive, it was pointed out that the use of certain technical tools makes it impossible for controllers to comply with the law. An additional problem that emerged is the difficulty of recognising which products are genuinely PETs. Some participants called for some form of certification or seal based on an independent verification of the product. At present, some systems presenting themselves as PETs are not even privacy-compliant.
4.4. Observações sobre algumas disposições específicas
The key-issue is therefore not only how to create technologies that are really privacy-enhancing, but how to make sure that these technologies are properly identified and recognised as such by the users. Certification schemes play a crucial role and the Commission will continue to follow developments in this area [27].
O presente relatório apenas indica as principais conclusões em cada caso. Os pormenores estarão disponíveis num anexo técnico a publicar separadamente [28].
[27] For instance in Canada, where the Federal Government became the first national government to make Privacy Impact Assessments (PIAs) mandatory for all federal departments and agencies for all programmes and services where privacy issues might be inherent. This policy requires agencies to initiate PIAs in the early stages of the design or redesign of a programme or service, so as to influence the development process and make sure that privacy protection is a core consideration. The German Land of Schleswig-Holstein has introduced a certification scheme involving both the public and private sector on similar lines.
[28] www.europa.eu.int/comm/privacy
The Commission believes that such schemes should indeed be encouraged and further developed. The objective is not just better privacy practices, but also to increase transparency and therefore the trust of users and to give those investing in compliance and even enhanced protection an opportunity to demonstrate their performance in this respect and exploit this to their competitive advantage.
4.4.1. Artigo 4.º: direito aplicável
4.4. Comments on some specific provisions
Esta é uma das disposições mais importantes da directiva, na perspectiva do mercado interno, e a sua implementação correcta é crucial para o funcionamento do sistema. A implementação desta disposição é deficiente em diversos casos, permitindo a manifestação do tipo de conflitos jurídicos que o artigo mencionado pretende evitar. Alguns Estados-Membros terão de alterar a sua legislação a este respeito.
This report only indicates the main findings in each case. Details will be made available in a technical annex to be published separately [28].
A referida disposição foi uma das mais criticadas durante o processo de revisão. As contribuições argumentaram a favor da adopção da regra do país de origem que permitisse às empresas multinacionais operarem com um só conjunto de regras em toda a UE. Muitos também argumentaram que o facto de "recorrer, para tratamento de dados pessoais, a meios, automatizados ou não" não era um critério apropriado nem viável para determinar a aplicação do direito comunitário aos responsáveis pelo tratamento dos dados fora da UE.
[28] www.europa.eu.int/comm/privacy
No que respeita à regra do país de origem, a directiva já permite a organização das operações de tratamento por um único responsável pelo tratamento dos dados, o que significa a conformidade apenas com a legislação de protecção de dados do país de estabelecimento do responsável pelo tratamento dos dados. Isto não se aplica, é claro, quando uma empresa exercer o seu direito de estabelecimento em mais do que um Estado-Membro.
4.4.1. Article 4: Applicable law
No que respeita a "recorrer [...] a meios", a Comissão está consciente de que este critério pode não ser fácil de pôr em prática e que precisa de mais clarificação. Se essa clarificação não for suficiente para garantir a sua aplicação prática, pode vir a ser necessário, no seu devido tempo, propor uma alteração que crie um factor diferente de ligação para determinar o direito aplicável.
This is one of the most important provisions of the Directive from the perspective of the Internal Market and its correct implementation is crucial for the functioning of the system. The implementation of this provision is deficient in several cases with the result that the kind of conflicts of law this Article seeks to avoid could arise. Some Member States will have to amend their legislation in this regard.
A prioridade da Comissão é, no entanto, assegurar a implementação correcta, pelos Estados-Membros, da disposição actual. Uma maior experiência com a sua aplicação e uma reflexão mais aprofundada são necessárias para ter em conta os desenvolvimentos tecnológicos, antes de se poder fazer qualquer proposta de alteração da alínea c) do n.º 1 do artigo 4.º. Não obstante a necessidade desta reflexão, seria errado dar a impressão de que todo o artigo 4.º é contestado. Pelo contrário, muitos aspectos da sua aplicação não são contestados e são objecto de acordo unânime entre todas as autoridades responsáveis pela protecção de dados e a Comissão.
The provision was one of the most criticised during the review process. Submissions argued for a country of origin rule that would allow multinational organisations to operate with one set of rules across the EU. Many also argued that the "use of equipment" was not an appropriate or workable criterion for determining the application of EU law to controllers established outside the EU.
4.4.2. Artigos 6.º e 7.º: qualidade dos dados e critérios de legitimidade do tratamento
As regards the country of origin rule, the Directive already allows for the organisation of processing under a single data controller, which means complying only with the data protection law of the controller's country of establishment. This of course does not apply where a company has chosen to exercise its right of establishment in more than one Member State.
A análise das legislações nacionais indica que a implementação destas disposições é, por vezes, insatisfatória. A alínea b) do n.º 1 do artigo 6.º permite o tratamento posterior para fins históricos, estatísticos ou científicos, mas apenas quando se estabeleçam garantias adequadas. Nem todos os Estados-Membros estabeleceram garantias, enquanto o tratamento posterior é geralmente autorizado. Alguns Estados-Membros ultrapassaram ou ficaram aquém da lista dos motivos legítimos para o tratamento indicados no artigo 7.º e terão de alterar a sua legislação. A noção de "consentimento inequívoco" (alínea a) do artigo 7.º) em particular, se comparada com a noção de "consentimento explícito" do artigo 8.º, precisa de uma maior clarificação e de uma interpretação uniforme. É necessário que os operadores saibam o que constitui o consentimento válido, especialmente no contexto dos casos em linha.
As regards the "use of equipment" the Commission is aware that this criterion may not be easy to operate in practice and that it needs further clarification. Should such clarification not be sufficient to ensure its practical application, it might in due course be necessary to propose an amendment creating a different connection factor in order to determine the applicable law.
4.4.3. Artigos 10.º e 11.º: prestação de informações ao titular dos dados
The Commission's priority is, however, to secure the correct implementation by the Member States of the existing provision. More experience with its application and more reflection is needed, taking into account technological developments, before any proposal to change Article 4 (1) (c) might be made. Notwithstanding the need for this further reflection, it would be wrong to give the impression that the whole of Article 4 is contested. On the contrary, large areas of its application are uncontested and are the subject of unanimous agreement among all data protection authorities and the Commission.
A implementação dos artigos 10.º e 11.º da directiva apresentou uma série de divergências. Em certa medida, estas são o resultado de uma implementação incorrecta, por exemplo, quando uma lei estipula que deve ser sempre dada informação adicional ao titular dos dados, independentemente do teste de necessidade previsto pela directiva, mas também surgem devido a interpretações e práticas divergentes das autoridades de controlo. As contribuições sublinharam as dificuldades resultantes dessas divergências que se colocam às empresas multinacionais que operam a nível pan-europeu [29].
4.4.2. Articles 6 and 7: Data quality and criteria for legitimate processing
[29] Ver, por exemplo, as opiniões do EPOF (European Privacy Officers Forum):
The analysis of national legislation shows that the implementation of these provisions is sometimes unsatisfactory. Article 6 (1)(b) allows further processing for historical, statistical or scientific purposes, but only when appropriate safeguards are in place. Safeguards have not been provided for in all Member States, whilst such further processing is generally authorised. Some Member States have gone beyond or fallen short of the list of grounds for legitimate processing in Article 7 and they will have to amend their legislation. The notion of "unambiguous consent" (Article 7 (a)) in particular, as compared with the notion of "explicit consent" in Article 8, needs further clarification and more uniform interpretation. It is necessary that operators know what constitutes valid consent, in particular in on-line scenarios.
4.4.4. Artigos 18.º e 19.º: requisitos de notificação
4.4.3. Articles 10 and 11: Provision of information to data subjects
Muitas contribuições argumentam a favor da necessidade de simplificar e aproximar os requisitos nos Estados-Membros no que respeita à notificação das operações de tratamento por responsáveis pelo tratamento dos dados. A Comissão partilha este ponto de vista, mas lembra que a directiva já oferece aos Estados-Membros a possibilidade de prever uma gama alargada de derrogações à obrigação de notificação em casos de risco reduzido ou quando o responsável pelo tratamento dos dados tenha nomeado um encarregado da protecção dos dados. Estas derrogações permitem uma flexibilidade suficiente sem afectar o nível de protecção garantido. Lamentavelmente, alguns Estados-Membros não têm aproveitado estas possibilidades. No entanto, a Comissão concorda que, além de uma utilização mais alargada das derrogações existentes, uma maior simplificação seria útil e deveria ser possível sem alterar os actuais artigos.
The implementation of Articles 10 and 11 of the Directive showed a number of divergences. To some extent this is the result of incorrect implementation, for instance when a law stipulates that additional information must always be provided to the data subject, irrespective of the necessity test the Directive foresees, but also stems from divergent interpretation and practice by supervisory authorities. Submissions stressed the difficulties for multinational companies operating on a pan-European level that arise from these divergences [29].
4.4.5. Artigos 25.º e 26.º: dimensão externa
[29] See for example the views of the EPOF (European Privacy Officers Forum):
As divergências entre as leis dos Estados-Membros quanto à implementação destas duas disposições são excessivas. A abordagem adoptada por alguns Estados-Membros, onde a avaliação da adequação do nível de protecção fornecida pelo destinatário deve ser feita pelo responsável pelo tratamento dos dados, com um controlo muito limitado dos Estados ou da autoridade de controlo nacional sobre os fluxos de dados, parece não preencher o requisito imposto aos Estados-Membros no n.º 1 do artigo 25.º [30].
4.4.4. Articles 18 and 19: Notification requirements
[30] "Os Estados-Membros estabelecerão que a transferência para um país terceiro de dados pessoais (....) só pode realizar-se se (....) o país terceiro em questão assegurar um nível de protecção adequado".
Many submissions argue for the need to simplify and approximate the requirements in Member States as regards the notification of processing operations by data controllers. The Commission shares this view, but recalls that the Directive already offers the Member States the possibility to provide for wide exemptions from notification in cases where low risk is involved or when the controller has appointed a data protection official. These exemptions allow for sufficient flexibility while not affecting the level of protection guaranteed. Regrettably, some Member States have not availed themselves of these possibilities. However, the Commission agrees that, in addition to wider use of the existent exemptions, some further simplification would be useful and should be possible without amending the existing Articles.
A abordagem adoptada por alguns outros Estados-Membros de submeter todas as transferências para países terceiros a uma autorização administrativa [31] também parece não se adequar ao Capítulo IV da Directiva, que pretende garantir tanto uma protecção adequada como o fluxo de dados pessoais para países terceiros sem encargos desnecessários. Apesar de as notificações às autoridades de controlo nacionais serem requeridas nos termos do artigo 19.º, não podem ser transformadas em autorizações de facto nos casos em que a transferência para um país terceiro seja claramente permitida porque o destinatário se encontra num país que garante um nível de protecção adequado, tal como confirmado por uma decisão vinculativa da Comissão, porque é signatário das cláusulas contratuais-tipo aprovadas pela Comissão ou porque o responsável pelo tratamento dos dados declara que a transferência beneficia de uma das derrogações dispostas no artigo 26.º da directiva. Embora a autoridade responsável pela protecção dos dados possa legitimamente requerer a notificação dessas transferências [32], não há necessidade de as autorizar porque já estão autorizadas pelo direito comunitário.
4.4.5. Articles 25 and 26: The external dimension.
[31] As transferências que beneficiam das excepções do n.º 1 do artigo 26.º ou mesmo as transferências para outros Estados-Membros ou países terceiros declarados adequados pela Comissão Europeia, precisam de uma autorização em alguns Estados-Membros.
Divergences between Member States laws on the implementation of these two provisions are very broad indeed. The approach adopted by some Member States, where the assessment of the adequacy of protection provided for by the recipient is supposed to be made by the data controller, with very limited control of the data flows by the State or the national supervisory authority, does not seem to meet the requirement placed on Member States by the first paragraph of Article 25 (1) [30].
[32] Para verificar, por exemplo, que o modelo-tipo corresponde integralmente ao modelo aprovado pela Comissão ou que o destinatário é efectivamente abrangido pela decisão relativa à adequação.
[30] "The Member States shall provide that the transfer to a third country of personal data (....) may take place only if (....) the third country in question ensures an adequate level of protection"
Uma atitude demasiado laxista em alguns Estados-Membros - além de entrar em conflito com a directiva - ameaça enfraquecer a protecção de dados no conjunto da UE uma vez que, sendo a livre circulação garantida pela directiva, os fluxos de dados dirigir-se-iam certamente para o ponto de exportação com "menor sobrecarga". Uma abordagem demasiado rigorosa, por outro lado, não poderia respeitar as necessidades legítimas do comércio internacional e a realidade das redes globais de telecomunicações, além de ameaçar criar uma lacuna entre a lei e a prática que seria prejudicial para a credibilidade da directiva e para o direito comunitário em geral.
The approach taken by some other Member States, submitting all transfers to third countries to an administrative authorisation [31], also seems inconsistent with Chapter IV of the Directive, which aims at guaranteeing both adequate protection and flows of personal data to third countries without unnecessary burdens. Notifications to national supervisory authorities may be required under Article 19, but notifications cannot be turned into de facto authorisations in those cases where the transfer to a third country is clearly permitted, either because the recipient is a destination providing adequate protection as confirmed in a binding Commission decision, or is a party to the standard contractual clauses approved by the Commission, or because the data controller declares that the transfer benefits from one of the exceptions provided for in Article 26 of the Directive. Whilst the data protection authority may legitimately require the notification of these transfers [32], there is no need to authorise these transfers because they are already authorised by Community law.
Na realidade, as transferências internacionais parecem situar-se numa área em que a falta de medidas coercitivas cria este tipo de lacuna. As autoridades nacionais devem notificar a Comissão quando autorizam transferências ao abrigo do n.º 2 do artigo 26.º da directiva. Desde que esta entrou em vigor em 1998, a Comissão só recebeu um número muito limitado de notificações neste sentido. Embora haja outras vias de transferência legais, além do n.º 2 do artigo 26.º, este número de notificações é irrisório em comparação com o que poderia razoavelmente esperar-se. Juntamente com outras provas que apontam nessa direcção [33], isto sugere a realização de muitas transferências não autorizadas e possivelmente ilegais para destinos ou destinatários que não garantem uma protecção adequada. No entanto, há poucos ou nenhum sinal da aplicação de medidas coercitivas pelas autoridades de controlo.
[31] Transfers benefiting from the exceptions of Article 26 (1) or even to other Member States or third countries declared adequate by the European Commission need an authorisation in some Member States.
[33] O relatório aprovado na Conferência da Primavera das autoridades de controlo responsáveis pela protecção de dados, realizada em Maio de 2001, revelou que a maioria das autoridades de controlo nacionais era incapaz de indicar o número de operações de tratamento que envolvia a transferência internacional de dados. Quando havia números disponíveis, estes eram insignificantes (600 transferências da França, 1352 de Espanha e 150 da Dinamarca).
[32] To check, for example, that the model contract fully corresponds with the model approved by the Commission or that the recipient is effectively covered by the adequacy decision.
As transferências que requerem autorização e notificação criam sem dúvida um encargo administrativo considerável, tanto para os exportadores de dados como para as autoridades de controlo. É desejável, portanto, que se utilizem mais as "autorizações em bloco" previstas no n.º 6 do artigo 25.º e no n.º 4 do artigo 26.º da directiva. Até agora, estas autorizações produziram apenas quatro verificações do nível de adequação para terceiros países (Hungria, Suíça, Canadá e o porto seguro dos Estados Unidos [34]) e dois conjuntos de cláusulas contratuais-tipo, um relativo a transferências para responsáveis pelo tratamento de dados em países terceiros e outro a transferências para subcontratantes. É necessário mais trabalho no domínio da simplificação das condições aplicáveis às transferências internacionais.
An overly lax attitude in some Member States - in addition to being in contravention of the Directive - risks weakening protection in the EU as a whole, because with the free movement guaranteed by the Directive, data flows are likely to switch to the "least burdensome" point of export. An overly strict approach, on the other hand, would fail to respect the legitimate needs of international trade and the reality of global telecommunications networks and risks creating a gap between law and practice which is damaging for the credibility of the Directive and for Community law in general.
[34] Existe também uma decisão da Comissão relativa à adequação do nível de protecção na Argentina, na última fase de finalização.
Indeed, international transfers appear to be an area where the lack of enforcement action creates such a gap. National authorities are supposed to notify the Commission when they authorise transfers under Article 26 (2) of the Directive. Since the Directive came into operation in 1998, the Commission has received only a very limited number of such notifications. Although there are other legal transfer routes apart from Article 26 (2), this number is derisory by comparison with what might reasonably be expected. Combined with other evidence pointing in the same direction [33], this suggests that many unauthorised and possibly illegal transfers are being made to destinations or recipients not guaranteeing adequate protection. Yet there is little or no sign of enforcement actions by the supervisory authorities.
5. Tratamento de dados de som e imagem
[33] The report approved by the Spring Conference of Data Protection Authorities in May 2001 showed that most national supervisory authorities were unable to indicate the number of processing operations that affected international transfer of data. Where figures were available, they were insignificant (600 transfers from France, 1352 from Spain and 150 from Denmark)
Durante a preparação da directiva, algumas pessoas recearam que ela não fosse capaz de fazer face aos desenvolvimentos tecnológicos futuros. A dimensão desses desenvolvimento tecnológicos era incerta, receando-se que algo elaborado apenas a pensar no tratamento de texto pudesse encontrar dificuldades quando aplicado ao tratamento de dados de som e imagem. Por esta razão, o artigo 33.º contém uma referência específica ao som e à imagem.
Transfers requiring authorisation and notification do of course create a considerable administrative burden, both for data exporters and for supervisory authorities. It is therefore desirable that more use be made of the "block authorisations" provided for in Articles 25(6) and 26(4) of the Directive. These have so far produced only four adequacy findings for third countries (Hungary, Switzerland, Canada, and the US Safe Harbor [34]) and two sets of standard contractual clauses, one for transfers to data controllers in third countries and one for transfers to processors. More work is needed on the simplification of the conditions for international transfers.
A Comissão baseou a presente revisão num estudo realizado por um adjudicatário externo para analisar a situação nos Estados-Membros, bem como nas contribuições dos próprios Estados-Membros e das autoridades de controlo nacionais. A informação recebida mostra que o tratamento de dados de som e imagem é abrangido pelo âmbito de aplicação de todas as leis nacionais que implementam a directiva e que a aplicação da directiva a essas categorias de tratamento não foi especialmente problemática.
[34] There is also a Commission decision on adequate protection in Argentina close to finalisation.
Na maior parte dos Estados-Membros, aplicam-se ao tratamento de dados de som e imagem as mesmas disposições (gerais) aplicadas a outros dados pessoais. Só dois Estados-Membros (Alemanha e Luxemburgo) incluíram disposições específicas relativas ao tratamento de dados de som e imagem nas suas leis de implementação da directiva. Três Estados-Membros (Dinamarca, Suécia e Portugal), têm disposições especiais relativas à videovigilância em leis separadas. Apesar das dúvidas levantadas durante a negociação da directiva, os Estados-Membros chegaram assim à conclusão de que a ambição da directiva - ser neutra em termos tecnológicos - foi alcançada, pelo menos no que respeita ao tratamento de dados de som e imagem.
Nenhum Estado-Membro ou contribuinte propôs alterações à directiva neste sentido. As propostas conjuntas apresentadas pela Áustria, a Finlândia, a Suécia e o Reino Unido exprimem alguma preocupação quanto à capacidade de a directiva fazer face a certos desenvolvimento tecnológicos, mas não contêm quaisquer propostas concretas directamente relacionadas com esta questão.
5. The processing of sound and image data
Um dos workshops da conferência sobre a implementação da directiva foi totalmente dedicado a esta questão. O tema principal foi a videovigilância, a questão (seguida da biometria) que recebeu mais atenção até agora das autoridades de controlo nacionais. Os participantes consideraram que o debate público sobre os limites que deveriam ser impostos à utilização da videovigilância de modo a garantir certos direitos e liberdades numa sociedade democrática tinha sido até então insuficiente. O Grupo de Trabalho do artigo 29.º também dedicou energias consideráveis a esta questão e aprovou um projecto de documento de trabalho que foi publicado no website da Comissão dedicado à protecção de dados, convidando as partes interessadas a enviarem os seus comentários.
During the Directive's preparation, some people were concerned that it might not be able to cope with future technological developments. The extent of such technological developments was uncertain, but there was concern that a text drafted mainly with text processing in mind could encounter difficulties when applied to the processing of sound and image data. For this reason, Article 33 contains a specific reference to sound and image data.
Existem além disso várias questões jurídicas e práticas, resultantes da implementação da directiva nos Estados-Membros no que respeita aos dados de som e imagem, que cria alguma incerteza aos operadores que devem cumprir a legislação e aos particulares que têm direito a exercer os seus direitos em matéria de protecção de dados.
The Commission has based this review on a study carried out by an external contractor to analyse the situation in the Member States and on contributions from the Member States themselves and the national supervisory authorities. The information received shows that the processing of sound and image data falls within the scope of all national laws implementing the Directive and that the application of the Directive to these categories of processing has not been particularly problematic.
Existem, por exemplo, incertezas no que toca às definições da directiva, nomeadamente, em que medida uma imagem isolada ou uma impressão digital podem ser consideradas dados pessoais nos casos em que seja impossível ou extremamente improvável que o responsável pelo tratamento dos dados possa identificar um indivíduo; se uma simples monitorização constitui uma operação de tratamento; ou como conseguir uma interpretação razoável do conceito de dados sensíveis. A Comissão reconhece que todas estas questões têm resposta na legislação nacional que transpõe a directiva, mas considera necessária uma maior orientação. Esta orientação deve ser realista e pragmática se pretender melhorar a conformidade e deve, na medida do possível, ser coordenada entre os Estados-Membros. A Comissão congratula-se com os esforços envidados pelo Grupo de Trabalho do artigo 29.º neste domínio e encoraja-o a continuar a fornecer orientações úteis, com a participação adequada das partes interessadas.
In most Member States the same (general) provisions apply to the processing of sound and image data as apply to other personal data. Only two Member States (Germany and Luxembourg) have included specific provisions on the processing of sound and image in their laws implementing the Directive. Three Member States (Denmark, Sweden and Portugal) have special provisions on video surveillance in separate laws. Despite the doubts raised during the negotiation of the Directive, Member States have thus reached the conclusion that the Directive's ambition to be technology-neutral is achieved, at least as regards the processing of sound and image data.
6. Programa para uma melhor implementação da directiva relativa à protecção de dados (2003-2004)
No Member State or other contributor has proposed modifications to the Directive in this regard. The joint proposals tabled by Austria, Finland, Sweden and the United Kingdom express some concern about the ability of the Directive to cope with certain technological developments, but do not contain any concrete proposals directly related to this issue.
A análise da implementação nos Estados-Membros contida no presente relatório revela problemas que precisam de ser abordados para que a directiva produza integralmente os efeitos pretendidos. O plano de trabalho que se segue compreende acções que se realizarão a partir da adopção do presente relatório até ao final de 2004 e irá requerer os esforços conjuntos da Comissão Europeia, dos Estados-Membros (incluindo os países candidatos) e das suas autoridades de controlo nacionais, bem como, nalguns casos, dos representantes dos responsáveis pelo tratamento dos dados.
One of the workshops of the conference on the implementation of the Directive was entirely devoted to this issue. The main topic was video surveillance, the issue (followed by biometrics) that has received most attention so far from the national supervisory authorities. Participants believed that there has so far been insufficient public debate about the limits that needed to be placed on the use of video surveillance in order to safeguard certain rights and freedoms in a democratic society. The Article 29 Working Party has also devoted considerable energies to this issue and has approved a draft working document which has been published in the data protection web-site of the Commission, inviting comments from interested parties.
Uma preocupação séria e global indicada diz respeito ao facto de os níveis de cumprimento, execução e sensibilização não atingirem aparentemente valores aceitáveis. Enquanto elemento de acção aplicável a todas as iniciativas em seguida indicadas, a Comissão trabalhará em conjunto com os Estados-Membros, as autoridades de controlo e as partes interessadas no sentido de determinar as causas e definir soluções exequíveis para este conjunto de problemas.
There is in addition a number of legal and practical issues resulting from the implementation of the Directive in the Member States as regards sound and image data that create some uncertainty for operators called on to comply with the legislation and for individuals entitled to exercise their data protection rights.
Iniciativas da Comissão
There are for instance uncertainties as regards the definitions of the Directive, for example, to what extent an isolated image or a finger print can be considered personal data in those cases where the data controller is unable or extremely unlikely to identify an individual; or whether simple monitoring constitutes a processing operation or how to achieve a reasonable interpretation of the concept of sensitive data. The Commission acknowledges that there are answers to all these questions in the national legislation transposing the Directive, but considers it necessary that more guidance is provided. This guidance needs to be realistic and pragmatic if it is to help improve compliance and should as far as possible be co-ordinated between the Member States. The Commission welcomes the Article 29 Working Party's work in this area so far and encourages it to continue to provide useful guidance, with appropriate input from interested parties.
Acção 1: conversações com os Estados-Membros e as autoridade responsáveis pela protecção de dados
Durante 2003, os serviços da Comissão realizarão reuniões bilaterais com os Estados-Membros com o objectivo principal de discutir as alterações necessárias para tornar a legislação nacional inteiramente conforme com os requisitos da directiva. O envolvimento da autoridade competente responsável pela protecção de dados pode ser necessário em certas questões. A necessidade de se aplicar com mais vigor medidas coercitivas talvez venha a ser um tema nessas discussões bilaterais. A escassez dos recursos atribuídos às autoridades de controlo deverá também ser debatida.
6. work programme for a better implementation of the data protection directive (2003-2004)
Estas reuniões podem ser complementadas por discussões sobre a incorrecta implementação da directiva nas "reuniões-pacote" que são periodicamente organizadas com os Estados-Membros, pelo Secretariado Geral da Comissão e/ou a DG Mercado Interno.
The analysis of the implementation in the Member States contained in this report reveals problems which need to be addressed if the Directive is to have its full intended effects. The work plan that follows comprises actions that will take place from the adoption of this report until the end of 2004 and will require the joint efforts of the European Commission, the Member States (including the candidate countries) and their national supervisory authorities and in some cases also those of data controllers' representatives.
As discussões no âmbito do Grupo de Trabalho do artigo 29.º e do Comité do artigo 31.º permitirão abordar a nível multilateral certas questões que afectam um grande número de Estados-Membros, sendo claro que estas discussões não poderão, de modo algum, conduzir a uma alteração de facto da directiva. Além de discussões ad hoc sobre questões específicas, a Comissão propõe que cada grupo dedique uma reunião inteira a este assunto durante 2003.
A general, serious concern indicated above is that the level of compliance, enforcement and awareness appears not to be at an acceptable level. As a general action point applicable to all initiatives listed below, the Commission will work with the Member States, supervisory authorities and interested parties to determine the causes of and design feasible solutions for this set of problems.
Acção 2: participação dos países candidatos nos esforços para se conseguir uma melhor e mais uniforme implementação da directiva
Commission's initiatives
O presente relatório centrou-se quase exclusivamente na situação dos 15 Estados-Membros. Antes do plano de trabalho estar concluído, 10 membros novos terão aderido à União. Os representantes das autoridades de controlo de vários países candidatos têm assistido às reuniões do Grupo de Trabalho do artigo 29.º desde 2002. A partir da data de assinatura dos Tratados de Adesão, os países candidatos serão convidados para todas as reuniões, tanto do Grupo de Trabalho do artigo 29.º, como do Comité do artigo 31.º. Na medida em que seja razoavelmente possível, as discussões bilaterais e possivelmente revisões pelos pares continuarão até e além da adesão, de modo a atingir a maior conformidade possível da legislação dos novos Estados-Membros com a directiva e limitar ao máximo os processos formais por infracção.
Action 1 : Discussions with Member States and Data Protection Authorities
Acção 3: melhorar a notificação de todos os actos jurídicos de transposição da directiva e as notificações de autorizações concedidas nos termos do n.º 2 do artigo 26.º da directiva
During 2003 the Commission services will hold bilateral meetings with the Member States with the main purpose of discussing necessary changes to bring national legislation fully in line with the requirements of the Directive. The involvement of the competent data protection authority may be necessary on some issues. The need for more vigorous enforcement may also be a topic in these bilateral discussions. The lack of resources allocated to supervisory authorities should also be discussed.
Os serviços da Comissão, em estreita cooperação com as autoridades responsáveis pela protecção de dados e os Estados-Membros, continuarão a recolher informações sobre a implementação da directiva e identificarão, em particular, as áreas em que existem lacunas claras nas medidas de implementação notificadas, bem como procurarão a cooperação dos Estados-Membros para preencher estas lacunas o mais depressa possível. A Comissão facilitará o intercâmbio de melhores práticas onde seja útil.
Such meetings may be supplemented by discussions on the incorrect implementation of the Directive at the "package meetings" that are periodically organised with Member States by the Secretariat General of the Commission and/or DG Internal Market.
A Comissão recorrerá às competências formais que lhe são atribuídas por força do artigo 226.º do Tratado se esta abordagem de cooperação (6.1, 6.2 e 6.3) não produzir os resultados necessários.
Discussions in the Article 29 Working Party and in the Article 31 Committee will enable certain issues affecting a large number of Member States to be tackled on a multilateral basis, it being understood that there can be no question of such discussions leading to a de facto amendment of the Directive. In addition to ad hoc discussions on specific issues, the Commission proposes that each group devotes one complete meeting to this subject in the course of 2003.
Os Estados-Membros e as suas autoridades de controlo precisam também de aplicar as disposições necessárias para notificar (como requerido pelo n.º 3 do artigo 26.º da directiva) as autorizações nacionais para as transferências internacionais permitidas no termos do n.º 2 do artigo 26.º da directiva. A Comissão discutirá este assunto com os Estados-Membros e as suas autoridades de controlo e assegurará o intercâmbio de melhores práticas.
Action 2 : Association of the candidate countries with efforts to achieve a better and more uniform implementation of the Directive
A Comissão criará uma nova página no seu website [35], onde publicará de forma estruturada não só todas as informações recolhidas para a preparação do presente relatório, mas também as informações sobre o trabalho a efectuar no âmbito do plano de trabalho. Também convidará as autoridades de controlo nacionais a disponibilizarem para inclusão no website as decisões e recomendações adoptadas pelas autoridades responsáveis pela protecção de dados e os pontos significativos de orientação que tenham emitido, com ênfase nas áreas em que são necessárias uma interpretação e uma aplicação mais uniforme da lei.
This report has focused almost entirely on the situation in the 15 Member States. Before the work plan has been completed, 10 new Member States will have joined the Union. Representatives of the supervisory authorities of several candidate countries have been attending meetings of the Article 29 Working Party since 2002. From the date of signature of the Treaties of Accession the acceding countries will be invited to all meetings of both the Working Party and the Article 31 Committee. To the extent reasonably possible, bilateral discussions and possibly peer reviews will also be continued up to and beyond accession, in order to achieve the best possible alignment of the legislation of the new Member States with the Directive and to keep formal infringement procedures to a minimum.
[35] www.europa.eu.int/comm/privacy
Action 3 : Improving the notification of all legal acts transposing the Directive and notifications of authorisations granted under Article 26(2) of the Directive
Contribuição do Grupo de Trabalho do artigo 29.º [36]
The Commission's services, in close co-operation with the Data Protection Authorities and the Member States, will continue with the collection of information about the implementation of the Directive and will in particular identify the areas where there are clear gaps in the implementing measures notified and seek the co-operation of the Member States in filling these gaps as quickly as possible. The Commission will facilitate the exchange of best practice where this might help.
[36] A presente lista não prejudica o disposto no programa de trabalho geral do Grupo de Trabalho do artigo 29.º, disponível no seguinte endereço:
The Commission will use its formal powers under Article 226 of the Treaty if this co-operative approach (6.1, 6.2 and 6.3) fails to produce the necessary results.
A Comissão congratula-se com a contribuição do Grupo de Trabalho para se conseguir uma aplicação mais uniforme da directiva. Deseja lembrar a importância da transparência neste processo e encoraja os esforços que o Grupo de Trabalho está a envidar neste momento para aumentar ainda mais a transparência dos trabalhos que desenvolve.
The Member States and their supervisory authorities also need to put in place the necessary arrangements to notify (as required by Article 26(3) of the Directive) national authorisations for international transfers granted under Article 26(2) of the Directive. The Commission will discuss this with the Member States and their supervisory authorities and ensure the exchange of best practice.
Acção 4: execução
The Commission will create a new page on its web-site [35] where it will post in a structured form not only all information collected for the preparation of this report, but also information about the work to be carried out under this work plan. It will also invite national supervisory authorities to make available for inclusion in this web-site decisions and recommendations adopted by data protection authorities and significant items of guidance issued by them, with an emphasis on areas where a more even interpretation and application of the law is necessary.
A Comissão convida o Grupo de Trabalho do artigo 29.º a realizar discussões periódicas sobre a questão de um melhor controlo da execução na sua globalidade. Isto deveria conduzir inter alia ao intercâmbio e à adopção de melhores práticas. O Grupo de Trabalho também deveria considerar abrir inquéritos sectoriais a nível da UE e a proceder à aproximação de normas neste domínio. O objectivo destes inquéritos conjuntos seria fornecer uma imagem mais precisa da implementação da legislação em matéria de protecção de dados na Comunidade e elaborar recomendações comuns e orientações práticas para os sectores em causa, com vista a melhorar a conformidade da maneira menos onerosa possível.
[35] www.europa.eu.int/comm/privacy
Acção 5: notificação e divulgação das operações de tratamento
Article 29 Working Party's contribution [36]
A Comissão Europeia concorda, em larga medida, com as críticas expressas pelos responsáveis pelo tratamento dos dados durante a revisão no que respeita ao conteúdo divergente das obrigações de notificação a que estão sujeitos os responsáveis pelo tratamento. A Comissão recomenda que se utilizem com mais frequência as derrogações e, em particular, a possibilidade prevista no n.º 2 do artigo 18.º da directiva, ou seja, a nomeação de um encarregado da protecção dos dados, que cria uma derrogação ao requisito da obrigação de notificação.
[36] This list is without prejudice to the general work programme of the Article 29 Working Party, available at http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf
A Comissão convida o Grupo de Trabalho do artigo 29.º a contribuir para uma implementação mais uniforme da directiva, apresentando propostas para a simplificação substancial dos requisitos de notificação nos Estados-Membros e para mecanismos de cooperação que facilitem as notificações das empresas multinacionais com estabelecimentos em vários Estados-Membros. É provável que estas propostas requeiram a inclusão de propostas de alteração da legislação nacional. A própria Comissão está disposta a fazer propostas se o Grupo de Trabalho for incapaz de o fazer dentro de um prazo razoável (doze meses).
The Commission welcomes the Working Party's contributions to achieving a more uniform application of the Directive. It wishes to recall the importance of transparency in this process and encourages the efforts the Working Party is currently undertaking further to enhance the transparency of its work.
Acção 6: prestação mais harmonizada da informação
Action 4 : Enforcement
A Comissão partilha da opinião de que a actual diversidade de requisitos diferentes e sobrepostos, no que respeita à informação que os responsáveis pelo tratamento dos dados têm de prestar aos titulares do dados, é desnecessária e onerosa para os operadores económicos, sem contribuir para o aumento do nível de protecção.
The Commission calls on the Article 29 Working Party to hold periodic discussions on the overall question of better enforcement. This should inter alia lead to the exchange and adoption of best practices. The Working Party should also consider the launching of sectoral investigations at EU level and the approximation of standards in this regard. The aim of such joint investigations would be to provide a more accurate picture of the implementation of data protection law in the Community and make agreed recommendations and practical guidance to the sectors concerned with a view to improving compliance in the least burdensome ways possible.
Na medida em que os requisitos de informação impostos aos responsáveis pelo tratamento dos dados são incompatíveis com a directiva, espera-se que isto possa ser remediado rapidamente através do diálogo com os Estados-Membros e da respectiva acção legislativa correctiva. Adicionalmente, a Comissão convida o Grupo de Trabalho do artigo 29.º a cooperar na procura de uma interpretação mais uniforme do artigo 10.º
Action 5 : Notification and publicising of processing operations
Acção 7: simplificação dos requisitos para as transferências internacionais
The European Commission shares to a large extent the criticism expressed by data controllers during the review concerning the divergent content of notification obligations placed on data controllers. The Commission recommends a wider use of the exceptions and in particular of the possibility foreseen in Article 18(2) of the Directive, that is the appointment of a data protection officer which creates an exemption from notification requirements.
Paralelamente às discussões que se destinam a introduzir as alterações necessárias no direito nacional dos Estados-Membros para assegurar a conformidade com a directiva, a Comissão convida o Grupo de Trabalho do artigo 29.º a utilizar o último relatório do workshop internacional sobre tratamento de queixas como base para o prosseguimento das discussões com vista a uma aproximação substancial das práticas existentes nos Estados-Membros e para a simplificação das condições aplicáveis às transferências internacionais de dados.
The Commission calls on the Article 29 Working Party to contribute to a more uniform implementation of the Directive by putting forward proposals for a substantial simplification of the notification requirements in the Member States and for co-operation mechanisms to facilitate notifications by multinational companies with establishments in several Member States. These proposals may need to include proposed amendments to national legislation. The Commission is prepared itself to make proposals if the Working Party is unable to do so within a reasonable period (12 months).
A própria Comissão tenciona utilizar em maior medida as competências que lhe são atribuídas por força do n.º 6 do artigo 25.º e do n.º 4 do artigo 26.º, que constituem a melhor forma de simplificar o enquadramento regulamentar para os operadores económicos, assegurando simultaneamente uma protecção adequada dos dados transferidos para fora da UE.
Action 6 : More harmonised information provisions
Com a cooperação do Grupo de Trabalho do artigo 29.º e do Comité do artigo 31.º, a Comissão espera ver progressos em quatro áreas:
The Commission shares the view that the present patchwork of varying and overlapping requirements as regards the information that controllers have to provide to data subjects is unnecessarily burdensome for economic operators, without adding to the level of protection.
a) um recurso mais frequente às verificações do nível de adequação da protecção no que respeita aos países terceiros, nos termos do n.º 6 do artigo 25.º, mantendo, é claro, uma abordagem justa vis-à-vis dos países terceiros em conformidade com as obrigações da UE para com a OMC;
In so far as information requirements placed on data controllers are inconsistent with the Directive, it is hoped that this can be remedied expeditiously through dialogue with the Member States and corrective legislative action by them. In addition, the Commission calls on the Article 29 Working Party to co-operate in the search for a more uniform interpretation of Article 10.
b) mais decisões fundamentadas no n.º 4 do artigo 26.º, de modo a que os operadores económicos tenham uma escolha mais alargada de cláusulas contratuais-tipo, na medida do possível com base em cláusulas apresentadas por representantes de empresas, por exemplo, a Câmara de Comércio Internacional e outras associações de empresas;
Action 7 : Simplification of the requirements for international transfers
c) o papel das regras vinculativas das companhias (regras que vinculam grupos de empresas em várias jurisdições diferentes, tanto dentro como fora da UE) na provisão de garantias adequadas para transferências intra-grupos de dados pessoais;
In parallel to the discussions that are intended to bring about the necessary changes in Member State law to ensure conformity with the Directive, the Commission calls on the Article 29 Working Party to use the last report of the international complaint handling workshop as a basis for further discussions with a view to a substantial approximation of existing practices in the Member States and the simplification of the conditions for international data transfers.
d) a interpretação mais uniforme do n.º 1 do artigo 26.º da directiva (excepções autorizadas aos requisitos de adequação da protecção para transferências para países terceiros) e das disposições nacionais que o implementam.
The Commission itself intends to make more extensive use of its powers under Articles 25(6) and 26(4) which provide the best means of simplifying the regulatory framework for economic operators, while ensuring adequate protection for data transferred outside the EU.
Todo este trabalho deve ser realizado com um grau apropriado de transparência e com a contribuição periódica dos intervenientes.
With the co-operation of the Article 29 Working Party and the Article 31 Committee, the Commission expects to see progress in four areas:
Outras iniciativas
a) a more extensive use of findings of adequate protection in respect of third countries under Article 25(6), while maintaining of course an even-handed approach vis-à-vis third countries in line with the EU's WTO obligations;
Acção 8: promoção das tecnologias que aumentam a privacidade
b) further decisions on the basis of Article 26(4) so that economic operators have a wider choice of standard contractual clauses, to the extent possible based on clauses submitted by business representatives, for example those submitted by the International Chamber of Commerce and other business associations;
A Comissão já está a trabalhar no domínio das tecnologias que aumentam a privacidade, especialmente a nível da investigação, através, por exemplo, de projectos como o RAPID [37] e o PISA [38].
c) the role of binding (intra) corporate rules (e.g. internal rules that bind a given multi-national corporate group doing business in several different jurisdictions, both inside and outside the EU) in providing adequate safeguards for intra-group transfers of personal data;
[37] Roadmap for Advanced Research in Privacy and Identity Management (Plano para a investigação avançada na gestão da privacidade e da identidade).
d) the more uniform interpretation of Article 26(1) of the Directive (permitted exceptions to the adequate protection requirement for transfers to third countries) and the national provisions implementing it.
[38] Privacy-Enhancing Intelligent Software Agents (agentes de software inteligente que aumenta a privacidade).
All this work should be carried out with an appropriate degree of transparency and with periodic input from stakeholders.
Propõe organizar um workshop técnico em 2003 de modo a aumentar a sensibilização no que respeita às TAP e a proporcionar uma oportunidade de discutir em profundidade as medidas que podem ser tomadas para promover o seu desenvolvimento e a sua utilização, como, por exemplo, o papel que os selos, os sistemas de certificação ou as PIA [39] podem desempenhar na Europa.
Other initiatives
[39] PIA-Privacy Impact Assessments (avaliações do impacto na privacidade).
Action 8 : Promotion of Privacy Enhancing Technologies
Convida o Grupo de Trabalho a continuar a discutir a questão das TAP e a reflectir sobre as medidas possíveis que as autoridades de controlo nacionais podem tomar para promover o uso dessas tecnologias a nível nacional.
The Commission is already doing work in the field of privacy-enhancing technologies, especially at the research level, like for instance the RAPID [37] and PISA [38] projects.
Depois da realização do workshop técnico e tendo em conta as contribuições recebidas, a Comissão fará mais propostas para a promoção a nível europeu das tecnologias que aumentam a privacidade. Estas propostas prestarão uma atenção especial à necessidade de encorajar os governos e as instituições do sector público a darem um bom exemplo utilizando as TAP nas suas próprias operações de tratamento, por exemplo, com as aplicações electrónicas da administração pública.
[37] Roadmap for Advanced Research in Privacy and Identity Management
Acção 9: promoção da auto-regulação e dos códigos de conduta europeus
[38] Privacy-Enhancing Intelligent Software Agents
A Comissão está desiludida com o facto de tão poucas organizações terem apresentado códigos de conduta sectoriais para aplicação a nível comunitário. Continuará a incentivar e a prestar aconselhamento (dentro dos limites impostos pelos recursos disponíveis) no que respeita aos projectos de códigos de conduta apresentados para consideração ao Grupo de Trabalho do artigo 29.º [40]. Encoraja os sectores e grupos interessados a desempenharem um papel muito mais pró-activo, pois considera que a auto-regulação e, em particular, os códigos de conduta, deveriam desempenhar um papel importante no desenvolvimento futuro da protecção de dados na UE e no exterior, e também para evitar uma legislação excessivamente pormenorizada.
It proposes to organise a technical workshop in 2003 in order to increase awareness regarding PETs and to offer an opportunity to discuss in depth the measures that could be taken to promote the development and use of PETs, such as for instance the role that seals, certification systems or PIAs [39] could play in Europe.
[40] O Grupo de Trabalho do artigo 29.º está a considerar actualmente as seguintes contribuições: código de conduta sobre marketing directo apresentado pela FEDMA; código de conduta sobre o tratamento de dados pessoais por empresas de pesquisa de executivos (head-hunters) apresentado pela AESC e código de conduta sobre a identificação pan-europeia da linha de chamada apresentada pela ETP. Um anterior pedido da IATA não preencheu os requisitos para um código de conduta nos termos do artigo 27.º da directiva, mas recebeu um comentário positivo do Grupo de Trabalho do artigo 29.º no seu parecer WP 49 adoptado em 13 Setembro de 2001.
[39] Privacy Impact Assessments
Com o mesmo objectivo, a Comissão expressou no seu documento de consulta sobre a protecção de dados pessoais no âmbito do emprego, dirigido aos parceiros sociais europeus, uma esperança forte de que os Estados-Membros iniciem negociações com vista à celebração de um acordo europeu nesta matéria. A Comissão lamenta que os parceiros sociais não tenham acordado negociar sobre esta questão e espera que o recurso aos acordos colectivos neste domínio venha a ser melhor explorado.
It invites the Working Party to continue discussing the issue of PETs and to reflect on possible measures the national supervisory authorities could take in order to promote the use of these technologies at national level.
Acção 10: incrementar a sensibilização
After the technical workshop, and taking on board the input received, the Commission will make further proposals for the promotion of privacy-enhancing technologies at European level. These proposals will pay special attention to the need to encourage governments and public sector institutions to set a good example by using PETs in their own processing operations, for instance in e-government applications.
A Comissão tenciona lançar um inquérito Eurobarómetro com uma estrutura semelhante às das perguntas contidas na consulta em linha realizada em 2002. Espera que algumas autoridades responsáveis pela protecção de dados se associem a esta iniciativa e que se envidem esforços conjuntos para levar as questões relativas à protecção de dados a debate público. Encoraja também os Estados-Membros a dedicar mais recursos ao incremento da sensibilização, nomeadamente através dos orçamentos das autoridades de controlo nacionais.
7. Conclusão
Action 9 : Promotion of self-regulation and European Codes of Conducts
O presente relatório constitui uma primeira fase da análise das informações relativas à implementação da Directiva 95/46/CE e da identificação das acções necessárias para fazer face aos principais problemas que têm surgido. A Comissão espera que esta análise ajude os governos, as autoridades responsáveis pela protecção dos dados e os operadores a esclarecer o que é necessário fazer para conseguir uma melhor aplicação da directiva na UE, com um controlo mais vigoroso da execução, um melhor cumprimento e uma maior sensibilização dos titulares dos dados e dos responsáveis pelo tratamento dos dados quanto aos seus direitos e às suas obrigações.
The Commission is disappointed that so few organisations have come forward with sectoral Codes of Conduct for application at Community level. It will keep on encouraging and giving advice on (within the limits imposed by the resources available) draft codes of conduct submitted for the consideration of the Article 29 Working Party [40]. It encourages sectors and interest groups to take a much more pro-active role, as it believes that self-regulation, and in particular codes of conduct should play an important role in the future development of data protection in the EU and outside, not least in order to avoid excessively detailed legislation.
A Comissão espera que, quando necessário, os Estados-Membros alterem a sua legislação para conseguirem a conformidade com as disposições da directiva e forneçam às autoridades de controlo recursos suficientes. A Comissão espera também que os Estados-Membros e as autoridades de controlo envidem os esforços necessários para criar um enquadramento em que os responsáveis pelo tratamento dos dados - especialmente aqueles que operam a nível pan-europeu e/ou internacional - possam cumprir as suas obrigações de forma menos complexa e onerosa e para evitar impor requisitos que poderiam ser eliminados sem efeitos prejudiciais para o elevado nível de protecção garantido pela directiva.
[40] The Article 29 Working Party is considering at the moment the following submissions: Code of conduct on direct marketing submitted by FEDMA; Code of conduct on the processing of personal data by executive search consultants (head-hunters) submitted by AESC and Code of conduct on pan-European calling line identification submitted by ETP. A previous request from IATA did not fulfil the requirements for a code of conduct under Article 27 of the Directive but received a positive comment from the Article 29 Working on its opinion WP 49 adopted on 13 September 2001. http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2001/wp49en.pdf
A Comissão encoraja os cidadãos a tirarem partido dos direitos que lhes são conferidos pela legislação e os responsáveis pelo tratamento dos dados a tomarem as medidas necessárias para garantir o cumprimento da legislação. A Comissão acompanhará de perto os desenvolvimentos tecnológicos e os resultados do programa de trabalho contido no presente relatório e fará propostas para prosseguir este acompanhamento no final de 2004, altura em que tanto a Comissão como os Estados-Membros terão tido a vantagem de uma experiência consideravelmente mais alargada do que têm actualmente com a implementação da directiva.
To the same end, the Commission expressed, in its consultation document addressed to the European social partners on personal data protection in the employment context, its strong hope that they will engage in negotiations with a view to concluding a European agreement in this field. The Commission regrets that the social partners did not agree to negotiate on this issue and hopes that the avenue of collective agreements in this field will be further explored.
Action 10 : Awareness raising
The Commission intends to launch a Eurobarometer survey along the lines of the questions contained in the on-line consultation carried out in 2002. It hopes that some data protection authorities will be associated with this initiative and that there will be joint efforts to make data protection issues the subject of public debate. It encourages Member States to devote more resources in awareness raising, in particular via the budgets of the national supervisory authorities.
7. Conclusion
This report constitutes a first step in the analysis of information concerning the implementation of Directive 95/46/EC and the identification of the actions necessary to address the main problems that have emerged. The Commission hopes that this analysis will help governments, data protection authorities and operators to clarify what needs to be done to achieve a better application of the Directive in the EU, with more vigorous enforcement, better compliance and greater awareness of their rights and obligations among data subjects and data controllers.
The Commission expects that, where necessary, Member States will amend their legislation to achieve compliance with the provisions of the Directive and provide supervisory authorities with sufficient resources. The Commission also expects that Member States and supervisory authorities will make all reasonable efforts to create an environment in which data controllers - and not least those operating on a pan-European level and/or international level - can conform with their obligations in a less complex and burdensome way and to avoid imposing requirements that could be dropped without any detrimental effects for the high level of protection guaranteed by the Directive.
The Commission encourages citizens to make use of the rights conferred by the legislation and data controllers to take all necessary steps to guarantee compliance with the legislation. The Commission will closely monitor further technological developments and the results of the work programme contained in this report and make proposals for further follow-up towards the end of 2004, by which time both the Commission and the Member States will have the benefit of considerably more experience than at present with the implementation of the Directive.
Top

Managed by the Publications Office