EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52012PC0010
Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data
Proposta de DIRETIVA DO PARLAMENTO EUROPEU E DO CONSELHO relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados
Proposta de DIRETIVA DO PARLAMENTO EUROPEU E DO CONSELHO relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados
/* COM/2012/010 final - 2012/0010 (COD) */
Proposta de DIRETIVA DO PARLAMENTO EUROPEU E DO CONSELHO relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados /* COM/2012/010 final - 2012/0010 (COD) */
EXPOSIÇÃO DE MOTIVOS
1.
CONTEXTO DA PROPOSTA
A presente exposição de motivos apresenta mais
em pormenor o novo quadro jurídico proposto para a proteção dos dados pessoais
na União Europeia como consta da Comunicação COM (2012) 9 final. Este novo
quadro jurídico consiste em duas propostas legislativas: –
uma proposta de regulamento do Parlamento Europeu e
do Conselho relativo à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados (regulamento geral
de proteção de dados), e –
uma proposta de diretiva do Parlamento Europeu e do
Conselho relativa à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de
prevenção, investigação, deteção e repressão de infrações penais ou de execução
de sanções penais, e à livre circulação desses dados. A presente exposição de motivos diz respeito à
segunda proposta legislativa. O instrumento principal da atual legislação da
UE em matéria de proteção de dados pessoais, a Diretiva 95/46/CE[1], foi adotada em 1995 com dois objetivos em vista: proteger o direito
fundamental à proteção de dados e assegurar a livre circulação de dados
pessoais entre os Estados-Membros. Foi completada por vários instrumentos
contendo regras específicas de proteção dos dados pessoais no âmbito da
cooperação policial e judiciária em matéria penal[2] (antigo
terceiro pilar), nomeadamente a Decisão-Quadro 2008/977/JAI[3]. O Conselho Europeu convidou a Comissão a avaliar o
funcionamento dos instrumentos da UE relativos à proteção de dados e a
apresentar, se necessário, iniciativas adicionais, legislativas e não
legislativas[4]. Na sua resolução sobre o Programa de Estocolmo, o Parlamento Europeu[5] acolheu favoravelmente a proposta de um regime global de proteção de
dados na União e, designadamente, solicitou a revisão da decisão-quadro. No seu
Plano de Ação de aplicação do Programa de Estocolmo[6], a
Comissão insistiu sobre a necessidade de assegurar uma aplicação coerente do
direito fundamental à proteção de dados pessoais no contexto de todas as
políticas da União. O Plano de Ação sublinhou que «numa sociedade
globalizada, caracterizada por uma evolução tecnológica rápida em que o
intercâmbio de informações não conhece fronteiras, é particularmente importante
respeitar a esfera privada dos cidadãos. A União
deve assegurar que o direito fundamental à proteção de dados é aplicado de
forma sistemática. É necessário reforçar a posição da UE em matéria de proteção
dos dados pessoais no contexto de todas as políticas da União Europeia,
incluindo nos domínios da aplicação da lei e da prevenção da criminalidade, bem
como nas nossas relações internacionais». Na sua Comunicação intitulada «Uma abordagem
global da proteção de dados pessoais na União Europeia»[7], a
Comissão concluiu que a UE carece de uma política mais ampla e coerente
relativa ao direito fundamental à proteção dos dados pessoais. A Decisão-Quadro 2008/977/JAI tem um âmbito de
aplicação limitado, uma vez que apenas se aplica ao tratamento transfronteiriço
de dados, excluindo as atividades de tratamento realizadas pelas autoridades
policiais e judiciárias a nível meramente nacional. Este fator é suscetível de
criar dificuldades às autoridades policiais e a outras autoridades competentes
no domínio da cooperação judiciária em matéria penal e da cooperação policial.
Estas autoridades nem sempre conseguem distinguir facilmente o tratamento
meramente nacional do tratamento transfronteiriço, nem prever se determinados
dados pessoais poderão vir a ser objeto de um intercâmbio transfronteiriço numa
fase ulterior (ver ponto 2 infra). Além disso, por força da sua natureza e
conteúdo, a decisão-quadro deixa uma ampla margem de manobra aos
Estados-Membros na transposição das suas disposições para o direito nacional.
Por outro lado, a decisão-quadro não prevê qualquer mecanismo ou grupo
consultivo análogo ao Grupo de Trabalho do artigo 29.º, que dê apoio a uma interpretação
comum das suas disposições, nem qualquer competência de execução a favor da Comissão
para assegurar uma abordagem comum na sua execução. O artigo 16.º, n.º 1, do Tratado sobre o
Funcionamento da União Europeia (TFUE), estabelece o princípio de que todas as
pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.
Além disso, com o artigo 16.º, n.° 2, do TFUE, o Tratado de Lisboa introduziu
uma base jurídica específica para a adoção de regras em matéria de proteção de
dados pessoais, que se aplica igualmente à cooperação judiciária em matéria
penal e à cooperação policial. O artigo 8.º da Carta dos Direitos Fundamentais
da UE consagra a proteção de dados pessoais como um direito fundamental. O
artigo 16.º do TFUE exige que o legislador estabeleça regras relativas à
proteção das pessoas singulares no que respeita ao tratamento de dados pessoais
também nos domínios da cooperação judiciária em matéria penal e da cooperação
policial, abrangendo o tratamento de dados pessoais quer a nível
transfronteiriço quer a nível nacional. Isto permitirá proteger os direitos e
as liberdades fundamentais das pessoas singulares e, em especial, o seu direito
à proteção de dados pessoais, garantindo simultaneamente o intercâmbio de dados
pessoais para efeitos de prevenção, investigação, deteção e repressão de
infrações penais ou de execução de sanções penais, o que contribuirá para
facilitar a cooperação a nível da luta contra a criminalidade na Europa. Devido
à natureza específica do domínio da cooperação policial e judiciária em matéria
penal, foi reconhecido na Declaração 21[8], anexada ao TFUE, que poderão ser
necessárias disposições específicas sobre a proteção de dados pessoais e sobre a
livre circulação desses dados, nos domínios da cooperação judiciária em matéria
penal e da cooperação policial, com base no artigo 16.º do TFUE.
2.
RESULTADOS DAS CONSULTAS DAS PARTES INTERESSADAS E DA AVALIAÇÃO DE
IMPACTO
A presente iniciativa é o resultado de
consultas exaustivas a todas as principais partes interessadas sobre a
oportunidade de rever o quadro jurídico atual da proteção de dados pessoais,
que incluiu duas fases de consulta pública: –
De 9 de julho a 31 de dezembro de 2009, a «consulta
sobre o quadro jurídico aplicável ao direito fundamental à proteção dos dados
pessoais». A Comissão recebeu 168 respostas, 127
das quais de pessoas singulares, de organizações e de associações, e 12 de autoridades
públicas. Os contributos não confidenciais podem ser consultados no sítio web
da Comissão[9]. –
De 4 de novembro de 2010 a 15 de janeiro de 2011, a
«consulta sobre a abordagem global da Comissão em matéria de proteção de dados
pessoais na União Europeia». A Comissão recebeu 305
respostas, 54 das quais provenientes de cidadãos, 31 de autoridades públicas e
220 de organizações privadas, nomeadamente associações empresariais e
organizações não governamentais. Os contributos não confidenciais poderão ser
consultados no sítio web da Comissão[10]. Uma vez que essas consultas incidiram
essencialmente sobre a revisão da Diretiva 95/46/CE, foram organizadas
consultas dirigidas especialmente aos responsáveis pela aplicação lei; em
particular, foi realizada uma sessão de trabalho em 29 de junho de 2010, com as
autoridades dos Estados-Membros sobre a aplicação das regras de proteção de
dados pessoais às entidades públicas, incluindo no domínio da cooperação policial
e judiciária em matéria penal. Além disso, em 2 de
fevereiro de 2011, a Comissão reuniu autoridades dos Estados-Membros numa
sessão de trabalho com vista a debater a execução da Decisão-Quadro
2008/977/JAI e, mais em geral, questões de proteção de dados no domínio da
cooperação policial e judiciária em matéria penal. Os cidadãos da União foram
consultados através de um inquérito do Eurobarómetro realizado entre novembro e
dezembro de 2010[11]. Foi igualmente lançado um conjunto de estudos[12]. O Grupo
de Trabalho do artigo 29.º[13] emitiu vários pareceres e contributos úteis dirigidos à Comissão[14]. A Autoridade Europeia para a Proteção de Dados emitiu também um
parecer exaustivo relativo às questões suscitadas na Comunicação da Comissão de
novembro de 2010[15]. O Parlamento Europeu aprovou, através da sua
resolução de 6 de julho de 2011, um relatório que apoiava a abordagem da
Comissão quanto à reforma do quadro legislativo de proteção de dados[16]. O Conselho da União Europeia adotou, em 24 de fevereiro de 2011,
conclusões que apoiam em grande medida a intenção da Comissão de reformar o
quadro da proteção de dados e aprova muitos dos elementos da sua abordagem. O Comité Económico e Social Europeu declarou-se igualmente
favorável a uma revisão adequada da Diretiva 95/46/CE[17], apoiando o objetivo geral da Comissão no sentido
de assegurar uma aplicação mais coerente das regras europeias de proteção de
dados em todos os Estados‑Membros. Em consonância com a sua
política «Legislar melhor», a Comissão realizou uma avaliação de impacto das
diferentes opções estratégicas[18]. A avaliação de impacto baseou-se nos três
objetivos de melhorar a dimensão «mercado interno» da proteção de dados, tornar
o exercício do direito à proteção de dados pelas pessoas singulares mais eficaz
e criar um quadro global e coerente que abranja todos os domínios de
competência da União, incluindo a cooperação policial e judiciária em matéria
penal. No que diz respeito ao último objetivo em especial, foram examinadas
duas opções: a primeira opção consistia em alargar simplesmente o alcance das regras
de proteção de dados a esse domínio e colmatar as lacunas e outras questões
suscitadas pela decisão-quadro, enquanto a segunda opção, mais completa,
consistia em adotar regras muito normativas e estritas que implicariam, aliás,
a alteração imediata de todos os instrumentos abrangidos pelo «antigo terceiro
pilar». Uma terceira opção, «minimalista», baseada em grande medida em
comunicações interpretativas e medidas de apoio, tais como programas de
financiamento e ferramentas técnicas, com uma intervenção legislativa mínima,
não foi considerada adequada para resolver os problemas registados neste
domínio em relação à proteção de dados. Em conformidade com a
metodologia estabelecida pela Comissão, cada opção foi avaliada, com a ajuda de
um grupo diretor interserviços, quanto à sua eficácia para atingir os objetivos
fixados, ao impacto económico sobre as partes interessadas (incluindo sobre o
orçamento das instituições da UE), bem como ao impacto e efeitos sobre os
direitos fundamentais. Não foi avaliado o impacto ambiental. Essa análise do impacto
global permitiu desenvolver a opção preferida que é parte integrante da
presente proposta. Segundo a avaliação de impacto, a aplicação dessa opção deve
permitir reforçar a proteção dos dados neste domínio, nomeadamente através da
inclusão do tratamento de dados nacional, bem como aumentar a segurança
jurídica para as autoridades competentes nos domínios da cooperação judiciária
em matéria penal e da cooperação policial. O comité das avaliações de impacto emitiu um
parecer relativo ao projeto de avaliação de impacto em 9 de setembro de 2011, na sequência do qual foram introduzidas as seguintes
alterações: –
foram clarificados os objetivos do quadro jurídico
atual (em que medida foram ou não atingidos), bem como os objetivos da reforma
prevista; –
foram acrescentados elementos factuais e
explicações/esclarecimentos adicionais na secção sobre a definição dos
problemas. A Comissão preparou também um relatório sobre
a execução da Decisão-Quadro 2008/977/JAI, com base no artigo 29.º, n.º 2, que
deve ser adotado no quadro do presente pacote de medidas sobre a proteção de
dados[19]. As conclusões desse relatório, que tiveram por base os contributos
dos Estados-Membros, foram igualmente integradas na preparação da avaliação de
impacto.
3.
ELEMENTOS JURÍDICOS DA PROPOSTA
3.1.
Base jurídica
A presente proposta baseia-se no artigo 16.º,
.° 2, do TFUE, que constitui a nova base jurídica específica, introduzida pelo
Tratado de Lisboa, para a adoção de regras em matéria de proteção das pessoas singulares no que diz respeito ao tratamento de
dados pessoais pelas instituições, órgãos, organismos e agências da União, bem
como pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de
aplicação do direito da União, e de regras relativas à livre circulação desses
dados. A proposta visa assegurar um nível coerente e
elevado de proteção de dados neste domínio, favorecendo deste modo a confiança
mútua entre as autoridades policiais e judiciárias dos diferentes
Estados-Membros e facilitando a livre circulação dos dados e a cooperação entre
as referidas autoridades.
3.2.
Subsidiariedade e proporcionalidade
Segundo o princípio da subsidiariedade (artigo
5.º, n.º 3, do TUE), devem ser adotadas medidas a nível da União apenas se e na
medida em que os objetivos previstos não possam ser suficientemente alcançados
pelos Estados-Membros, podendo, contudo, ser mais bem alcançados a nível da
União devido à dimensão ou aos efeitos da ação proposta. Atendendo aos problemas acima mencionados, a análise da
subsidiariedade indica a necessidade de uma ação a nível da UE nos domínios
policial e da justiça penal pelas seguintes razões: –
o direito à proteção de dados pessoais, consagrado
no artigo 8.º da Carta dos Direitos Fundamentais, e no artigo 16.°, n.° 1, do
TFUE, exige o mesmo nível de proteção dos dados no conjunto da União. Requer o
mesmo nível de proteção para os dados trocados e tratados a nível nacional; –
torna-se cada vez mais necessário que as
autoridades de aplicação da lei nos Estados‑Membros possam tratar e
trocar os dados mais rapidamente, a fim de prevenir e lutar contra a
criminalidade transnacional e o terrorismo. Neste contexto, regras claras e
coerentes em matéria de proteção de dados a nível da UE contribuirão para
desenvolver a cooperação entre as referidas autoridades; –
além disso, existem
desafios práticos que se colocam à correta aplicação da legislação sobre a
proteção de dados e a necessidade de cooperação entre os Estados-Membros e as
suas autoridades competentes, que deve ser organizada a nível da UE de forma a
assegurar a uniformidade de aplicação do direito da União. Em certas situações,
a UE está também melhor posicionada para assegurar, de forma eficaz e coerente,
o mesmo nível de proteção às pessoas singulares quando os seus dados pessoais
são transferidos para países terceiros; –
os Estados-Membros não podem, por si só, reduzir os
problemas na situação atual, particularmente os que se devem à fragmentação das
legislações nacionais. Assim, existe uma necessidade
especial de criação de um quadro harmonizado e coerente que permita uma
transferência fácil dos dados pessoais para além das fronteiras nacionais a
nível da UE, assegurando simultaneamente a proteção efetiva de todas as pessoas
singulares no conjunto da União; –
as ações legislativas propostas a nível da UE têm
melhores probabilidades de serem eficazes do que ações similares dos
Estados-Membros devido à natureza e à dimensão dos problemas, que não se
restringem a um ou vários Estados-Membros. O princípio da proporcionalidade exige que
qualquer intervenção seja específica e não exceda o necessário para alcançar os
objetivos definidos. Este princípio orientou a preparação da presente proposta
legislativa, desde a identificação e a avaliação das diferentes opções até à
sua redação. Uma diretiva é, portanto, o instrumento mais
adequado para assegurar uma harmonização a nível da UE neste domínio, deixando
aos Estados-Membros a flexibilidade necessária na execução dessas regras e
princípios, bem como das suas derrogações a nível nacional. Tendo em conta a
complexidade das regras nacionais atuais relativas à proteção de dados pessoais
tratados no domínio da cooperação policial e da cooperação judiciária em
matéria penal, bem como do objetivo de harmonização global dessas regras por
via de uma diretiva, a Comissão solicitará aos Estados-Membros que lhe forneçam
os documentos explicativos sobre a relação entre os elementos da diretiva e as
partes correspondentes dos instrumentos nacionais de transposição, a fim de
poder cumprir a missão de que está investida de acompanhamento da transposição
da presente diretiva.
3.3.
Resumo dos aspetos relativos aos direitos
fundamentais
O direito à proteção dos dados pessoais está
consagrado no artigo 8.º da Carta dos Direitos Fundamentais da UE e no artigo
16.º do TFUE, bem como no artigo 8.º da Convenção Europeia dos Direitos do
Homem (CEDH). Conforme sublinhado pelo Tribunal de
Justiça da UE[20], o direito à proteção dos dados pessoais não é absoluto, mas deve ser
considerado em relação à sua função na sociedade[21]. A
proteção de dados está profundamente relacionada com o respeito pela vida
privada e familiar, protegido pelo artigo 7.º da Carta. Tal encontra-se
refletido no artigo 1.º, n.º 1, da Diretiva 95/46/CE, que prevê que os Estados-Membros
devem assegurar os direitos e liberdades fundamentais das pessoas singulares e,
em especial, o direito à privacidade no que diz respeito ao tratamento de dados
pessoais. Os outros direitos fundamentais consagrados na
Carta suscetíveis de serem afetados são, entre outros, a proibição de
discriminação em razão da raça, origem étnica, características genéticas,
religião ou convicções, opiniões políticas ou outras, deficiência ou orientação
sexual (artigo 21.º), os direitos da criança (artigo 24.º) e o direito à ação e
a um tribunal imparcial (artigo 47.º).
3.4.
Explicação pormenorizada da proposta
3.4.1.
CAPÍTULO I – DISPOSIÇÕES GERAIS
O artigo 1.º define o objeto da diretiva, ou
seja, o estabelecimento de regras relativas ao tratamento de dados pessoais
para efeitos de prevenção, investigação, deteção e repressão de infrações
penais ou de execução de sanções penais, e enuncia os dois objetivos da diretiva,
ou seja, proteger os direitos e as liberdades fundamentais das pessoas
singulares e, em especial, os seus direitos à proteção dos dados pessoais,
assegurando simultaneamente um elevado nível de segurança pública, bem como
assegurar o intercâmbio de dados pessoais entre as autoridades competentes a nível
da União. O artigo 2.º define o
âmbito de aplicação da diretiva, que não está limitado ao tratamento de dados
transfronteiriço, mas que se aplica ao conjunto das atividades de tratamento efetuadas
pelas «autoridades competentes» (definidas no artigo 3.º, n.º 14) para efeitos
da diretiva. A diretiva não se aplica ao tratamento no contexto de uma
atividade não abrangida pelo âmbito de aplicação do direito da União, nem ao
tratamento de dados pelas instituições, órgãos, organismos, e agências da União
Europeia, abrangido pelo Regulamento (CE) n.° 45/2001 e outra legislação
específica. O artigo 3.º define os
termos utilizados na diretiva. Embora algumas definições tenham sido
transpostas da Diretiva 95/46/CE e da Decisão-Quadro 2008/977/JAI, outras foram
alteradas ou completadas por elementos suplementares, ou são novas. As novas
definições são a «violação de dados pessoais», «dados genéticos» e «dados
biométricos», «autoridades competentes» [esta última definição tem por base o
artigo 87.º do TFUE e o artigo 2.º, alínea h), da Decisão-Quadro 2008/977/JAI]
e «criança», definição baseada na Convenção das Nações Unidas sobre os Direitos
da Criança[22].
3.4.2.
CAPÍTULO II – PRINCÍPIOS
O artigo 4.º enuncia os princípios que regulam
o tratamento de dados pessoais, refletindo o artigo 6.º da Diretiva 95/46/CE e
o artigo 3.º da Decisão-Quadro 2008/977/JAI, adaptando estes princípios ao
contexto particular da presente diretiva. O artigo 5.º exige que os
Estados-Membros estabeleçam na medida do possível, uma distinção entre dados
pessoais de diferentes categorias de titulares de dados. Trata-se de uma
disposição nova, que não consta da Diretiva 95/46/CE nem da Decisão-Quadro
2008/977/JAI, mas que a Comissão tinha inserido na sua proposta inicial de
decisão-quadro[23]. Inspira-se na Recomendação n.° R (87)15 do Conselho da Europa. Já existem regras semelhantes para a Europol[24] e a Eurojust[25]. O artigo 6.º, relativo aos diferentes níveis
de exatidão e de fiabilidade dos dados pessoais, reflete o princípio 3.2 da
Recomendação n.º R (87)15 do Conselho da Europa. Existem
regras semelhantes para a Europol[26], igualmente incluídas na proposta da Comissão da decisão‑quadro. O artigo 7.º enuncia os motivos que
fundamentam o tratamento lícito quando necessário para a execução de uma missão
por uma autoridade competente ao abrigo do direito nacional, para o respeito de
uma obrigação legal à qual esteja sujeito o responsável pelo tratamento, para assegurar
os interesses vitais do titular de dados ou de um terceiro, ou para evitar uma
ameaça grave e imediata para a segurança pública. Os outros motivos que fundamentam o tratamento lícito, referidos no artigo 7.º da Diretiva
95/46/CE, não são pertinentes para efeitos do tratamento de dados em matéria
policial e penal. O artigo 8.º estabelece a
proibição geral de tratamento de categorias especiais de dados pessoais e as
exceções a esta regra geral, com base no artigo 8.º da Diretiva 95/46/CE,
acrescentando os dados genéticos, em conformidade com a jurisprudência do
Tribunal de Europeu dos Direitos do Homem (TEDH)[27]. O artigo 9.º estabelece uma proibição de medidas
exclusivamente baseadas no tratamento automatizado de dados pessoais, salvo se
estiver autorizado por lei que preveja as garantias adequadas, na aceção do
artigo 7.º da Decisão-Quadro 2008/977/JAI.
3.4.3.
CAPÍTULO III - DIREITOS DO TITULAR DOS DADOS
O artigo 10.º introduz a obrigação de os
Estados-Membros assegurarem informações de fácil acesso e compreensão, que se
inspira especialmente no princípio 10 da Resolução de Madrid sobre as regras
internacionais em matéria de proteção de dados pessoais e da vida privada[28], e imporem aos responsáveis pelo tratamento de dados que prevejam procedimentos
e mecanismos que facilitem o exercício dos direitos pelos titulares de dados. Tal inclui a obrigação de prever o exercício, em princípio
gratuito, desses direitos. O artigo 11.º enuncia a
obrigação que incumbe aos Estados-Membros de assegurar a informação do titular
de dados. Estas obrigações têm por base os artigos 10.º e 11.º da Diretiva
95/46/CE, sem artigos separados que especifiquem se as informações são ou não
recolhidas junto do titular de dados, alargando assim as informações a
fornecer. Este artigo prevê igualmente exceções à obrigação de informações sempre
que estas são necessárias e proporcionadas numa sociedade democrática para o exercício
das funções das autoridades competentes (com base no artigo 13.º da Diretiva
95/46/CE e no artigo 17.º da Decisão‑Quadro 2008/977/JAI). O artigo 12.° prevê
a obrigação de os Estados-Membros assegurarem o direito de acesso aos dados
pessoais do titular desses dados. Retoma o disposto no artigo 12.º, alínea a),
da Diretiva 95/46/CE, e acrescenta novos elementos, tais como a obrigação de
informar os titulares dos dados (sobre o período de conservação, o direito de
retificação, de apagamento ou de solicitar a limitação do tratamento, bem como
de apresentar uma queixa). O artigo 13.º prevê,
inspirado no artigo 17.º, n.os 2 e
3, da Decisão-Quadro 2008/977/JAI, que os Estados-Membros podem adotar medidas
legislativas que restrinjam o direito de acesso se a natureza específica do
tratamento de dados nos domínios policial e judiciário assim o exigirem, bem
como informar o titular de dados sobre a limitação de acesso. O artigo 14.º introduz a
regra segundo a qual, nos casos em que o acesso direto seja limitado, o titular
dos dados deve ser informado sobre a possibilidade de acesso indireto por
intermédio da autoridade de controlo, que deve exercer esse direito por conta
da referida pessoa e tem a obrigação de a informar sobre o resultado das suas
verificações. O artigo 15.º sobre o
direito de retificação, retoma o disposto no artigo 12.º, alínea b), da
Diretiva 95/46/CE e, no que diz respeito às obrigações impostas em caso de
recusa, o disposto no artigo 18.º, n.º 1, da Decisão-Quadro 2008/977/JAI. O artigo 16.º sobre o
direito de apagamento, retoma o disposto no artigo 12.º, alínea b), da Diretiva
95/46/CE, e, no que diz respeito às obrigações impostas em caso de recusa, o
disposto no artigo 18.º, n.º 1, da Decisão-Quadro 2008/977/JAI. Integra
igualmente o direito à marcação dos dados em determinados casos, evitando o
termo ambíguo «bloqueio», utilizado no artigo 12.º, alínea b), da Diretiva
95/46/CE e no artigo 18.º, n.º 1, da Decisão-Quadro 2008/977/JAI. O artigo 17.º sobre a retificação, o
apagamento e a limitação do tratamento em processos judiciais, fornece uma
clarificação com base no artigo 4.º, n.º 4, da Decisão-Quadro 2008/977/JAI.
3.4.4.
CAPÍTULO IV – RESPONSÁVEL PELO TRATAMENTO E
SUBCONTRATANTE
3.4.4.1.
SECÇÃO 1 OBRIGAÇÕES GERAIS
O artigo 18.º descreve as obrigações que
incumbem ao responsável pelo tratamento para se conformar com a presente
diretiva e assegurar a sua observância, incluindo através da adoção de regras
internas e mecanismos para esse efeito. O artigo 19.º estabelece
que os Estados-Membros devem assegurar que o responsável pelo tratamento
respeite as obrigações decorrentes dos princípios de proteção de dados desde a
conceção e de proteção de dados por defeito. O artigo 20.º relativo aos
responsáveis conjuntos pelo tratamento, clarifica o estatuto destes últimos no
que diz respeito às suas relações internas. O artigo 21.º clarifica a
função e as obrigações dos subcontratantes, retomando parcialmente o artigo
17.º, n.º 2, da Diretiva 95/46/CE, e acrescentando novos elementos,
designadamente o facto de um subcontratante que efetue o tratamento de dados de
uma forma diferente da prevista nas instruções do responsável pelo tratamento
dever ser considerado corresponsável pelo tratamento. O artigo 22.º sobre o
tratamento efetuado sob a autoridade do responsável pelo tratamento ou do
subcontratante, retoma o disposto no artigo 16.º da Diretiva 95/46/CE. O artigo 23.º introduz a
obrigação para os responsáveis pelo tratamento e subcontratantes de manterem documentação
relativa a todos os sistemas e procedimentos de tratamento sob a sua responsabilidade. O artigo 24.º diz respeito
à conservação de registos, em linha com o artigo 10.º, n.º 1, da Decisão-Quadro
2008/977, fornecendo, no entanto, clarificações adicionais. O artigo 25.º clarifica as
obrigações que incumbem ao responsável pelo tratamento e ao subcontratante
relativamente à cooperação com a autoridade de controlo. O artigo 26.º, inspirado
no artigo 23.º da Decisão-Quadro 2008/977/JAI, visa os casos em que é
obrigatória a consulta da autoridade de controlo previamente ao tratamento.
3.4.4.2.
SECÇÃO 2 SEGURANÇA DOS DADOS
O artigo 27.º sobre a segurança do tratamento,
é baseado no atual artigo 17.º, n.º 1, da Diretiva 95/46/CE, relativo à
segurança do tratamento, e no artigo 22.º da Decisão-Quadro 2008/977/JAI,
alargando aos subcontratantes as obrigações daí decorrentes, independentemente
do contrato que celebraram com o responsável pelo tratamento. Os artigos 28.º e 29.º
introduzem uma obrigação de notificação das violações de dados pessoais, inspirada
na notificação das violações de dados pessoais prevista no artigo 4.º, n.º 3,
da Diretiva 2002/58/CE (relativa à privacidade e às comunicações eletrónicas),
clarificando e distinguindo, por um lado, a obrigação de notificação à autoridade
de controlo (artigo 28.º) e, por outro, a obrigação de informação, em
determinadas circunstâncias, do titular dos dados (artigo 29.º). O artigo 29.º
prevê igualmente derrogações com base nos motivos enumerados no artigo 11.º,
n.º 4.
3.4.4.3.
SECÇÃO 3 DELEGADO PARA A PROTEÇÃO DE DADOS
O artigo 30.º introduz a obrigação, que incumbe
ao responsável pelo tratamento, de designar um delegado para a proteção de
dados encarregado das atribuições enumeradas no artigo 32.º. Sempre que várias autoridades competentes atuem sob o
controlo de uma autoridade central, que funciona como responsável pelo
tratamento, deve incumbir pelo menos esta autoridade central designar o
referido delegado. O artigo 18.º, n.º 2, da Diretiva 95/46/CE, prevê a
possibilidade de os Estados-Membros introduzirem esse requisito em vez da
obrigação de notificação geral imposta pela referida diretiva. O artigo 31.º define a
função do delegado para a proteção de dados. O artigo 32.º prevê as atribuições
do delegado para a proteção de dados.
3.4.5.
CAPÍTULO V – TRANSFERÊNCIA DE DADOS PESSOAIS PARA
PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS
O artigo 33.º enuncia os princípios gerais aplicáveis
às transferências de dados para países terceiros ou organizações internacionais
no domínio da cooperação policial e da cooperação judiciária em matéria penal,
incluindo as transferências ulteriores. Clarifica que
as transferências para países terceiros só podem ocorrer se forem necessárias
para a prevenção, investigação, deteção e repressão de infrações penais ou a
execução de sanções penais. O artigo 34.º autoriza as transferências para
países terceiros em relação aos quais a Comissão tiver adotado uma decisão sobre
o nível de proteção adequado por força do Regulamento .../.../201X, ou
decorrentes especificamente do domínio da cooperação policial e da cooperação
judiciária em matéria penal ou, na falta de tal decisão, se existirem as
garantias adequadas. Enquanto não tiver sido adotada uma decisão que declare o nível
de proteção adequado, a diretiva garante que as
transferências possam prosseguir com base em garantias adequadas e derrogações.
Estabelece, além disso, os critérios de avaliação, por parte da Comissão, de um
nível adequado ou inadequado de proteção, e inclui expressamente o primado do
estado de direito, o direito de recurso judicial e um controlo independente. O
artigo prevê igualmente a possibilidade de a Comissão avaliar o nível de
proteção assegurado por um território ou um setor de tratamento num país
terceiro. Estabelece que uma decisão geral relativa ao nível de proteção
adequado, adotada segundo os procedimentos previstos no artigo 38.º do regulamento
geral de proteção de dados, é aplicável nos limites da presente diretiva. Pode
ser igualmente adotada pela Comissão uma decisão sobre o nível de proteção
adequado para efeitos exclusivos da presente diretiva. O artigo 35.º define as garantias adequadas que,
na a falta de uma decisão da Comissão sobre o nível de proteção adequado, são
exigidas antes de qualquer transferência internacional. Essas garantias podem ser apresentadas através de um instrumento
juridicamente vinculativo, como um acordo internacional. O responsável pelo
tratamento pode igualmente, com base numa avaliação das circunstâncias
inerentes à transferência, concluir pela existência de tais garantias. O artigo 36.º define as derrogações autorizadas
para a transferência de dados, com base no artigo 26.º da Diretiva 95/46/CE e
no artigo 13.º da Decisão-Quadro 2008/977/JAI. O artigo 37.º obriga os
Estados-Membros a preverem que o responsável pelo tratamento informe o
destinatário de quaisquer restrições de tratamento e tome todas as medidas
razoáveis para assegurar o cumprimento dessas restrições pelos destinatários de
dados pessoais no país terceiro ou na organização internacional. O artigo 38.º prevê
expressamente a elaboração de mecanismos de cooperação internacionais no
domínio da proteção de dados pessoais entre a Comissão e as autoridades de
controlo dos países terceiros, nomeadamente os que se considera oferecerem um
nível de proteção adequado, tendo em conta a Recomendação da OCDE, relativa à
cooperação transfronteiriça na aplicação de legislações de proteção da
privacidade, de 12 de junho de 2007. CAPÍTULO VI – AUTORIDADES NACIONAIS DE
CONTROLO
3.4.5.1.
SECÇÃO 1 ESTATUTO INDEPENDENTE
O artigo 39.º obriga os Estados-Membros a
criarem autoridades de controlo, nos termos do artigo 28.º, n.º 1, da Diretiva
95/46/CE, e do artigo 25.º da Decisão-Quadro 2008/977/JAI, e alargarem a missão
dessas autoridades a fim de contribuírem para a aplicação coerente da diretiva
no conjunto da União, que poderá ser a autoridade de controlo criada por força
do regulamento geral de proteção de dados. O artigo 40.º clarifica as
condições que garantem a independência das autoridades de controlo, em
aplicação da jurisprudência do Tribunal de Justiça da UE[29], e
inspirando-se igualmente no artigo 44.º do Regulamento (CE) n.º 45/2001[30]. O artigo 41.º prevê as condições gerais para
os membros das autoridades de controlo, em aplicação da jurisprudência
relevante[31], baseando-se também no artigo 42.º, n.os 2 a 6, do Regulamento
(CE) 45/2001. O artigo 42.º define as regras relativas à
criação da autoridade de controlo, incluindo as aplicáveis aos seus membros,
que os Estados-Membros devem estabelecer por via legislativa. O artigo 43.º sobre o
sigilo profissional dos membros e do pessoal da autoridade de controlo, retoma
as disposições do artigo 28.º, n.º 7, da Diretiva 95/46/CE, e do artigo 25.º,
n.º 4, da Decisão-Quadro 2008/977/JAI.
3.4.5.2.
SECÇÃO 2 FUNÇÕES E PODERES
O artigo 44.º, baseado no artigo 28.º, n.º 6,
da Diretiva 95/46/CE, e no artigo 25.º, n.º 1, da Decisão-Quadro 2008/977/JAI,
define a competência das autoridades de controlo. Os
tribunais, quando atuam na qualidade de poder judiciário, são dispensados da
fiscalização pelas autoridades de controlo, mas não de aplicarem as regras
materiais relativas à proteção de dados. O artigo 45.º prevê a
obrigação de os Estados-Membros definirem as funções da autoridade de controlo,
que consistem nomeadamente em receber e examinar queixas, bem como promover a
sensibilização do público sobre os riscos, regras, garantias e direitos
existentes. Uma função própria às autoridades de controlo no contexto da
presente diretiva consiste, sempre que o acesso direto aos dados seja recusado
ou limitado, em exercer o direito de acesso por conta dos titulares de dados e em
verificar a licitude do tratamento desses dados. O artigo 46.º, baseado no
artigo 28.º, n.º 3, da Diretiva 95/46/CE, e no artigo 25.º, n.os 2 e 3 da Decisão-Quadro 2008/977/JAI, enuncia os
poderes da autoridade de controlo. O artigo 47.º estabelece a obrigação para as
autoridades de controlo de elaborarem relatórios de atividades anuais, com base
no artigo 28.º, n.º 5, da Diretiva 95/46/CE.
3.4.6.
CAPÍTULO VII – COOPERAÇÃO
O artigo 48.º introduz regras em matéria de
assistência mútua obrigatória, enquanto o artigo 28.º, n.º 6, segundo
parágrafo, da Diretiva 95/46/CE, previa uma mera obrigação geral de cooperação,
sem outra especificação. O artigo 49.º prevê que o
Comité Europeu para a Proteção de Dados, criado pelo regulamento geral de
proteção de dados, exerce as suas atribuições também no contexto dos
tratamentos abrangidos pelo âmbito de aplicação da presente diretiva. Tendo em
vista um apoio suplementar, a Comissão solicitará o parecer dos representantes
das autoridades dos Estados‑Membros competentes em matéria de prevenção,
investigação, deteção e repressão de infrações penais, bem como dos
representantes da Europol e da Eurojust, através de um grupo de peritos, sobre
os aspetos relacionados com a aplicação da lei no domínio da proteção de dados.
3.4.7.
CAPÍTULO VIII – VIAS DE RECURSO, RESPONSABILIDADE E
SANÇÕES
O artigo 50.º prevê o direito de qualquer
titular de dados apresentar uma queixa a uma autoridade de controlo, com base
no artigo 28.º, n.º 4, da Diretiva 95/46/CE, e visa qualquer infração à
diretiva relacionada com o queixoso. Especifica
também os organismos, organizações ou associações que podem apresentar uma
queixa em nome do titular dos dados ou, em caso de violação de dados pessoais,
independentemente da eventual queixa apresentada por um titular de dados. O artigo 51.º diz respeito
ao direito ao recurso aos tribunais contra uma autoridade de controlo. Tem por
base a disposição geral do artigo 28.º, n.º 3, da Diretiva 95/46/CE, e prevê
especificamente que o titular dos dados pode intentar uma ação em tribunal a
fim de obrigar a autoridade de controlo a dar seguimento a uma queixa. O artigo 52.º refere-se ao
direito a ação judicial contra um responsável pelo tratamento ou
subcontratante, com base no artigo 22.º da Diretiva 95/46/CE e no artigo 20.º
da Decisão‑Quadro 2008/977/JAI. O artigo 53.º introduz
regras comuns para os procedimentos judiciais, incluindo o direito conferido a
organismos, organizações ou associações de representar os titulares de dados
nos tribunais, e o direito de as autoridades de controlo intervirem em
processos judiciais. A obrigação que incumbe aos Estados-Membros de assegurarem
processos judiciais rápidos é inspirada no artigo 18.º, n.º 1, da Diretiva
2000/31/CE relativa ao comércio eletrónico[32]. O artigo 54.º obriga os Estados-Membros a preverem
um direito de indemnização. Tem por base o artigo
23.º da Diretiva 95/46/CE, e o artigo 19.º, n.º 1, da Decisão-Quadro
2008/977/JAI, alargando esse direito aos danos causados pelos subcontratantes e
clarificando a responsabilidade dos responsáveis conjuntos pelo tratamento e
dos subcontratantes que asseguram conjuntamente o tratamento. O artigo 55.º obriga os
Estados-Membros a estabelecer regras sobre sanções, a sancionar infrações à
diretiva e a assegurar a sua aplicação.
3.4.8.
CAPÍTULO IX - ATOS DELEGADOS E ATOS DE EXECUÇÃO
O artigo 56.º contém as disposições-tipo
aplicáveis ao exercício da delegação, nos termos do artigo 290.º do TFUE. Este
último permite ao legislador delegar na Comissão o
poder de adotar atos não legislativos de aplicação geral para completar ou
alterar determinados elementos não essenciais de um ato legislativo (atos
quase-legislativos). O artigo 57.º contém a disposição relativa ao procedimento de comité necessário para
conferir competências de execução à Comissão nos casos em que, em conformidade
com o artigo 291.º do TFUE, são necessárias condições uniformes para a execução
de atos juridicamente vinculativos da União. Aplica-se
o procedimento de exame.
3.4.9.
CAPÍTULO X - DISPOSIÇÕES FINAIS
O artigo 58.º revoga a Decisão-Quadro
2008/977/JAI. O artigo 59.º estabelece que as disposições
específicas no que respeita ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de prevenção, investigação,
deteção e repressão de infrações penais ou de execução de sanções penais, que
figuram nos atos da União que regulam o tratamento de
dados pessoais ou o acesso aos sistemas de informação abrangidos pelo âmbito de
aplicação da diretiva, e foram adotados antes da adoção da presente diretiva,
não serão afetados. O artigo 60.º clarifica a
relação da presente diretiva com acordos internacionais concluídos anteriormente
pelos Estados-Membros no domínio da cooperação judiciária em matéria penal e da
cooperação policial. O artigo 61.º estabelece a obrigação de a
Comissão avaliar e redigir um relatório sobre a execução da diretiva, a fim de
apreciar a necessidade de a harmonizar com disposições específicas anteriormente
adotadas, enunciadas no artigo 59.º da presente diretiva. O artigo 62.º estabelece a
obrigação de os Estados-Membros transporem a diretiva para o seu direito
nacional e notificarem à Comissão as disposições adotadas por força da
diretiva. O artigo 63.º fixa a data
de entrada em vigor da diretiva. O artigo 64.º estabelece os destinatários da
presente diretiva. 4. INCIDÊNCIA ORÇAMENTAL A ficha financeira legislativa que acompanha a
proposta de regulamento geral de proteção de dados cobre as incidências
orçamentais do regulamento e da presente diretiva. 2012/0010 (COD) Proposta de DIRETIVA DO PARLAMENTO EUROPEU E DO
CONSELHO relativa à proteção das pessoas singulares no
que diz respeito ao tratamento de dados pessoais pelas autoridades competentes
para efeitos de prevenção, investigação, deteção e repressão de infrações
penais ou de execução de sanções penais, e à livre circulação desses dados O PARLAMENTO EUROPEU E O CONSELHO DA
UNIÃO EUROPEIA, Tendo em conta o Tratado sobre o Funcionamento
da União Europeia, nomeadamente o artigo 16.º, n.º 2, Tendo em conta a proposta da Comissão
Europeia, Após transmissão do projeto de ato legislativo
aos parlamentos nacionais, Após consulta da Autoridade Europeia para a
Proteção de Dados[33],
Deliberando de acordo com o processo
legislativo ordinário, Considerando o seguinte: (1)
A proteção das pessoas singulares relativamente ao
tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da
Carta dos Direitos Fundamentais da União Europeia e o artigo 16.º, n.º 1, do
Tratado sobre o Funcionamento da União Europeia estabelecem que todas as
pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam
respeito. (2)
O tratamento dos dados pessoais é concebido para
servir as pessoas; os princípios e as regras em matéria de proteção das pessoas
singulares no que respeita ao tratamento dos seus dados pessoais devem
respeitar, independentemente da nacionalidade ou do local de residência dessas
pessoas, os seus direitos e liberdades fundamentais, particularmente o direito
à proteção dos dados pessoais. O tratamento dos dados deve
contribuir para a realização de um espaço de liberdade, segurança e justiça. (3)
A rápida evolução tecnológica e a globalização
criaram novos desafios em matéria de proteção de dados pessoais. A partilha e a
recolha de dados registaram um espetacular aumento. As
novas tecnologias permitem às autoridades competentes utilizar dados pessoais
numa escala sem precedentes no exercício das suas atividades. (4)
Esta evolução exige uma maior
facilidade na livre circulação de dados entre as autoridades competentes a
nível da União e na sua transferência para países terceiros e organizações
internacionais, assegurando paralelamente um elevado nível de proteção dos
dados pessoais. Este contexto obriga ao estabelecimento na União de um
quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação
rigorosa das regras. (5)
A Diretiva 95/46/CE do Parlamento Europeu e do
Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares
no que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados[34],
é aplicável a todas as atividades de tratamento de dados pessoais realizadas
nos Estados-Membros, nos setores público e privado. Não se aplica, porém, ao
tratamento de dados pessoais «no exercício de atividades não sujeitas à
aplicação do direito comunitário», como as atividades realizadas nos domínios
da cooperação judiciária em matéria penal e da cooperação policial. (6)
A Decisão-Quadro 2008/977/JAI do Conselho, de
27 de novembro de 2008, relativa à proteção dos dados pessoais tratados no
âmbito da cooperação policial e judiciária em matéria penal[35], é aplicável no domínio da
cooperação judiciária em matéria penal e da cooperação policial. O seu âmbito de aplicação limita-se ao tratamento de dados
pessoais transmitidos ou disponibilizados entre os Estados‑Membros. (7)
É crucial assegurar um nível elevado e coerente de
proteção dos dados pessoais das pessoas singulares e facilitar o intercâmbio de
dados pessoais entre as autoridades competentes dos Estados-Membros, a fim de assegurar
a eficácia da cooperação judiciária em matéria penal e da cooperação policial. Para tal, o nível de proteção dos direitos e liberdades das
pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de prevenção, investigação, deteção e
repressão de infrações penais ou de execução de sanções penais, tem de ser
equivalente em todos os Estados-Membros. A proteção efetiva dos dados pessoais
na União exige não só reforçar os direitos dos titulares de dados e as
obrigações dos responsáveis pelo tratamento de dados pessoais, mas também
poderes equivalentes para controlar e assegurar a conformidade com as regras de
proteção dos dados pessoais nos Estados-Membros. (8)
O artigo 16.º, n.º 2, do Tratado sobre o
Funcionamento da União Europeia prevê que o Parlamento Europeu e o Conselho
estabeleçam as regras relativas à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais, bem como as regras relativas à livre
circulação desses dados. (9)
Com base nessa orientação, o Regulamento UE
…../2012 do Parlamento Europeu e do Conselho, relativo à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados (regulamento geral de proteção de dados), estabelece
regras gerais visando proteger as pessoas singulares relativamente ao
tratamento de dados pessoais e assegurar a livre circulação de dados pessoais
na União. (10)
Na Declaração 21 sobre a proteção de dados pessoais
no domínio da cooperação judiciária em matéria penal e da cooperação policial,
anexada à ata final da Conferência Intergovernamental que adotou o Tratado de
Lisboa, a Conferência reconheceu que, atendendo à especificidade dos domínios
em causa, poderão ser necessárias disposições específicas sobre proteção de
dados pessoais e a livre circulação desses dados, nos domínios da cooperação
judiciária em matéria penal e da cooperação policial, com base no artigo 16.º
do Tratado sobre o Funcionamento da União Europeia. (11)
Por conseguinte, uma diretiva distinta deve
permitir responder à natureza específica destes domínios e estabelecer as
regras relativas à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de
prevenção, investigação, deteção e repressão de infrações penais ou de execução
de sanções penais. (12)
A fim de assegurar o mesmo nível de proteção para
as pessoas singulares através de direitos juridicamente protegidos no conjunto
da União e evitar que as divergências constituam um obstáculo ao intercâmbio de
dados pessoais entre as autoridades competentes, a diretiva prevê regras
harmonizadas para a proteção e a livre circulação de dados pessoais nos domínios
da cooperação judiciária em matéria penal e da cooperação policial. (13)
A presente diretiva permite tomar em consideração o
princípio do direito de acesso público aos documentos oficiais aquando da
aplicação das suas disposições. (14)
A proteção conferida pela presente diretiva diz
respeito a pessoas singulares, independentemente da sua nacionalidade ou lugar
de residência, relativamente ao tratamento de dados pessoais. (15)
A proteção das pessoas singulares deve ser neutra em
termos tecnológicos e independente das técnicas utilizadas, sob a pena de criar
um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados
pessoais por meios automatizados e manuais se os
dados estiverem contidos ou forem destinados a serem conservados num sistema de
ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não
estejam estruturadas de acordo com critérios específicos, não se incluem no
âmbito de aplicação da presente diretiva. A presente diretiva não se aplica ao
tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à
aplicação do direito da União, nomeadamente as relativas à segurança nacional,
nem aos dados tratados pelas instituições, organismos, serviços e agências da
União, designadamente a Europol ou a Eurojust. (16)
Os princípios da proteção de dados devem aplicar-se
a qualquer informação relativa a uma pessoa singular identificada ou
identificável. Para determinar se uma pessoa é
identificável, importa considerar o conjunto dos meios suscetíveis de serem
razoavelmente utilizados, quer pelo responsável pelo tratamento dos dados quer
por qualquer outra pessoa, para identificar a referida pessoa. Os princípios da
proteção de dados não se aplicam a dados tornados de tal forma anónimos que o
titular dos dados já não possa ser identificado. (17)
Os dados pessoais relativos à saúde devem incluir,
em especial, todos os dados relativos ao estado de saúde de um titular de dados,
informações sobre a inscrição da pessoa singular para a prestação de serviços
de saúde, informações sobre pagamentos ou elegibilidade para cuidados de saúde;
um número, símbolo ou sinal particular atribuído a uma pessoa singular para a
identificar de forma inequívoca para fins de cuidados de saúde; quaisquer
informações sobre a pessoa recolhidas no decurso de uma prestação de serviços
de saúde; informações obtidas a partir de testes ou exames de uma parte do
corpo ou de uma substância corporal, incluindo amostras biológicas;
identificação de uma pessoa enquanto prestador de cuidados de saúde ao doente;
ou quaisquer informações sobre, por exemplo, uma doença, deficiência, risco de
doença, historial clínico, tratamento clínico ou estado físico ou biomédico
atual do titular de dados, independentemente da sua fonte, por exemplo, um
médico ou outro profissional de saúde, um hospital, um aparelho médico ou um
teste de diagnóstico in vitro. (18)
Qualquer tratamento de dados pessoais deve ser
efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em
especial, as finalidades específicas do tratamento
devem ser explícitas. (19)
Para efeitos de prevenção, investigação e repressão
de infrações penais, é necessário que as autoridades competentes conservem e
tratem os dados pessoais, recolhidos no contexto da prevenção, investigação,
deteção e repressão de infrações penais específicas, e para além desse
contexto, a fim de obter uma melhor compreensão dos fenómenos criminais e das
tendências que os caracterizam, recolher informação específica sobre as redes
criminosas organizadas e estabelecer ligações entre as diferentes infrações
detetadas. (20)
Os dados pessoais não devem ser tratados para fins
incompatíveis com a finalidade para a qual foram recolhidos. Os dados pessoais tratados devem ser adequados, pertinentes
e não excessivos para as finalidades do tratamento. Devem ser adotadas todas as
medidas razoáveis para assegurar que os dados pessoais inexatos são retificados
ou apagados. (21)
É conveniente aplicar o princípio da exatidão dos
dados tendo em conta a natureza e a finalidade do tratamento em causa. Em
especial no caso de processos judiciais, as declarações que contêm dados
pessoais são baseadas em perceções pessoais subjetivas e nem sempre são
verificáveis. Este princípio não deve, portanto aplicar-se à exatidão da
própria declaração, mas simplesmente ao facto de tal declaração ter sido feita. (22)
Na interpretação e aplicação dos princípios gerais
relacionados com o tratamento de dados pessoais pelas autoridades competentes
para efeitos de prevenção, investigação, deteção e
repressão de infrações penais, ou de execução de sanções penais, deve atender-se às especificidades do setor, incluindo os objetivos
específicos prosseguidos. (23)
O tratamento de dados pessoais nos domínios da
cooperação judiciária em matéria penal e da cooperação policial implica
necessariamente o tratamento de dados pessoais relativos a categorias
diferentes de titulares de dados. Importa, portanto, estabelecer uma distinção
o mais clara possível entre dados pessoais de diferentes
categorias de titulares de dados, tais como suspeitos, pessoas condenadas por
um crime, vítimas e terceiros, designadamente testemunhas, pessoas que detenham
informações ou contactos úteis, e os cúmplices de pessoas suspeitas ou condenadas.
(24)
Na medida do possível, os dados pessoais devem ser
distinguidos em função do seu grau de precisão e de fiabilidade. Os factos devem ser distinguidos de apreciações pessoais, a
fim de assegurar simultaneamente a proteção das pessoas singulares e a
qualidade e a fiabilidade da informação tratada pelas autoridades competentes. (25)
Para ser lícito, o tratamento de dados pessoais tem
de ser necessário para o respeito de uma obrigação legal à qual o responsável
pelo tratamento esteja sujeito, bem como para a execução de uma missão de
interesse público por uma autoridade competente prevista na lei, ou para a proteção
dos interesses vitais do titular dos dados ou de outra pessoa, ou para a
prevenção de uma ameaça grave e imediata para a segurança pública. (26)
Os dados pessoais que sejam, devido à sua natureza,
especialmente sensíveis do ponto de vista dos direitos fundamentais ou da
privacidade, designadamente os dados genéticos, merecem proteção específica. Estes dados não devem ser objeto de tratamento, salvo se
essa operação for especificamente autorizada por uma lei que preveja medidas
adequadas de proteção dos interesses legítimos do titular dos dados, ou se for
necessário para proteger os interesses vitais do titular dos dados ou de outra
pessoa, ou se estiver relacionado
com dados que tenham sido manifestamente tornados públicos pelo titular dos dados. (27)
Qualquer pessoa singular deve ter o direito a não
estar sujeita a uma medida baseada exclusivamente no tratamento automatizado,
se este produzir efeitos negativos na esfera jurídica dessa pessoa, salvo se
autorizada por lei e subordinada a medidas adequadas que garantam os interesses
legítimos do titular de dados. (28)
A fim de permitir aos titulares de dados exercer os
seus direitos, quaisquer informações que lhe sejam dirigidas devem ser de fácil
acesso e compreensão e, nomeadamente, formuladas em termos claros e simples. (29)
Devem ser previstas modalidades para facilitar o
exercício pelo titular de dados dos direitos conferidos pela presente diretiva,
incluindo mecanismos para solicitar, a título gratuito, em especial o acesso
aos dados, a sua retificação e apagamento. O
responsável pelo tratamento deve ser obrigado a responder aos pedidos do
titular de dados sem demora injustificada. (30)
Os princípios de tratamento leal e transparente
exigem que o titular dos dados seja informado, em especial, da existência da
operação de tratamento de dados e das suas finalidades, do período de
conservação dos dados, da existência do direito de acesso, retificação ou apagamento,
bem como do seu direito de apresentar uma queixa. Sempre
que os dados forem recolhidos junto do titular dos dados, este deve ser também
informado da obrigatoriedade de fornecer esses dados e das respetivas
consequências, caso não os faculte. (31)
As informações sobre o tratamento de dados pessoais
devem ser fornecidas ao titular dos dados no momento da sua recolha ou, se a
recolha não foi obtida junto da pessoa em causa, no momento do seu registo ou
num prazo razoável após a sua recolha, dependendo das circunstâncias do caso. (32)
Qualquer pessoa deve ter o direito de acesso aos
dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer
e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado,
em especial, das finalidades a que se destinam os dados tratados, da duração da
sua conservação, bem como da identidade dos destinatários, incluindo em países
terceiros. Os titulares de dados devem poder obter uma cópia dos seus
dados pessoais objeto de tratamento. (33)
Os Estados-Membros devem ser autorizados a adotar
medidas legislativas visando atrasar ou limitar a informação dos titulares de
dados ou o acesso aos dados pessoais que lhes digam respeito, ou a não fornecer
essas informações ou esse acesso, desde que tal limitação, parcial ou total,
represente uma medida necessária e proporcional numa sociedade democrática,
tendo devidamente em conta os interesses legítimos do titular de dados, a fim
de evitar que tal constitua um obstáculo para os inquéritos, investigações e
procedimentos oficiais ou legais, para evitar prejudicar a prevenção,
investigação, deteção e repressão de infrações penais ou a execução de sanções
penais, para proteger a segurança pública ou a segurança nacional ou proteger o
titular de dados ou os direitos e as liberdades de terceiros. (34)
Qualquer recusa ou restrição do acesso deve ser
comunicada por escrito ao titular dos dados, indicando simultaneamente os
motivos factuais ou jurídicos que fundamentam a decisão adotada. (35)
Sempre que os Estados-Membros tiverem adotado
medidas legislativas para limitar total ou parcialmente o direito de acesso, o
titular de dados deve ter o direito de solicitar à autoridade nacional de
controlo competente que verifique a licitude do tratamento. O titular de dados deve ser informado desse direito. Quando o direito de
acesso for exercido pela autoridade de controlo em nome do titular de dados, a
autoridade de controlo deve pelo menos informar o interessado de que foram
realizadas todas as verificações necessárias e do resultado relativamente à
licitude do tratamento em questão. (36)
Qualquer pessoa deve ter o direito a que os dados
que lhe digam respeito sejam retificados e o «direito a ser esquecido», quando
o tratamento não for conforme com os princípios gerais enunciados na presente
diretiva. Sempre que os dados pessoais forem tratados
no âmbito de uma investigação criminal ou de um processo penal, o direito à
informação, o direito de acesso, de retificação e de apagamento, bem como o
direito de limitação do tratamento, podem ser exercidos em conformidade com as
regras nacionais aplicáveis aos processos judiciais. (37)
Deve ser definida uma responsabilidade global do
responsável pelo tratamento por qualquer tratamento de dados pessoais que ele
próprio realize ou que seja realizado por sua conta. Em especial, o responsável
pelo tratamento deve assegurar a conformidade das operações de tratamento de
dados com o disposto na presente diretiva. (38)
A proteção dos direitos e liberdades dos titulares
de dados relativamente ao tratamento dos seus dados pessoais exige a adotada de
medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento
dos requisitos da presente diretiva. A fim de
assegurar a conformidade com a presente diretiva, o responsável pelo tratamento
deve adotar regras internas e aplicar medidas apropriadas conformes, em
especial, com os princípios de proteção de dados desde a conceção e de proteção
de dados por defeito. (39)
A proteção dos direitos e liberdades dos titulares
de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos
subcontratantes, exige uma clara repartição das responsabilidades nos termos da
presente diretiva, nomeadamente quando o responsável pelo tratamento determina
as finalidades, as condições e os meios do tratamento conjuntamente com outros
responsáveis, ou quando uma operação de tratamento de dados é efetuada por
conta de um responsável pelo tratamento. (40)
A fim de comprovar a observância da presente
diretiva, o responsável pelo tratamento ou o subcontratante deve documentar
cada operação de tratamento de dados. Cada
responsável pelo tratamento e subcontratante deve ser obrigado a cooperar com a
autoridade de controlo e a disponibilizar essa documentação, quando tal lhe for
solicitado, para que possa servir ao controlo dessas operações de tratamento. (41)
A fim de assegurar a proteção efetiva dos direitos
e liberdades dos titulares de dados através de ações preventivas, o responsável
pelo tratamento ou o subcontratante deve, em determinados casos, consultar a
autoridade de controlo previamente à operação de tratamento. (42)
A violação de dados pessoais pode, se não forem adotadas
medidas adequadas e oportunas, causar danos, nomeadamente à reputação da pessoa
singular em causa. Assim, logo que o responsável pelo tratamento tenha
conhecimento da ocorrência de uma violação, deve comunicá-la à autoridade
nacional competente. As pessoas singulares cujos
dados pessoais possam ter sido afetados negativamente por tal violação, devem
ser avisadas sem demora injustificada, para que possam adotar as precauções
necessárias. Deve considerar-se que uma violação afeta negativamente os dados
pessoais ou a privacidade de um titular de dados sempre que daí possa resultar,
por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou
danos significativos contra a reputação, consecutivos ao tratamento de dados
pessoais. (43)
Ao estabelecer regras pormenorizadas relativamente
ao formato e aos procedimentos aplicáveis à notificação das violações de dados
pessoais, deve ter-se devidamente em conta as circunstâncias da violação,
nomeadamente a existência ou não de proteção dos dados pessoais através de
medidas técnicas de proteção adequadas para reduzir eficazmente a probabilidade
de utilização abusiva. Além disso, tais regras e procedimentos devem ter em
conta os legítimos interesses das autoridades de aplicação da lei nos casos em
que uma divulgação precoce de informações possa dificultar desnecessariamente a
investigação das circunstâncias de uma violação. (44)
O responsável pelo tratamento, ou o subcontratante,
deve designar uma pessoa para o ajudar a controlar a conformidade das
disposições adotadas por força da presente diretiva. Um
delegado para a proteção de dados pode ser designado conjuntamente por diversas
entidades da autoridade competente. Os delegados para a proteção de dados devem
estar em condições de desempenhar as suas funções e atribuições de forma
efetiva e com total independência. (45)
Os Estados-Membros devem assegurar que uma
transferência para um país terceiro só possa ser realizada se for necessária
para efeitos de prevenção, investigação, deteção e repressão de infrações
penais ou para a execução de sanções penais, e se o responsável pelo tratamento
no país terceiro ou na organização internacional for uma autoridade competente
na aceção da presente diretiva. Uma transferência
pode realizar-se nos casos em que a Comissão tiver decidido que o país
terceiro, ou a organização internacional em questão, garante um nível de
proteção adequado, ou se tiverem sido apresentadas garantias adequadas. (46)
A Comissão pode decidir, com efeitos no conjunto da
União, que determinados países terceiros, um território ou um setor de
tratamento de dados de um país terceiro, ou uma organização internacional, asseguram
um nível de proteção de dados adequado, garantindo assim a segurança jurídica e
a uniformidade a nível da União relativamente a países terceiros ou
organizações internacionais que sejam consideradas aptas a assegurar tal nível
de proteção. Nestes casos, podem realizar-se
transferências de dados pessoais para esses países sem que para tal seja
necessário qualquer outra autorização. (47)
Em consonância com os valores fundamentais sobre os
quais assenta a União, particularmente a proteção dos direitos humanos, a
Comissão deve ter em consideração em que medida esse país respeita o primado do
Estado de direito, garante o acesso à justiça e observa as regras e normas
internacionais no domínio dos direitos humanos. (48)
A Comissão deve igualmente poder reconhecer que um
país terceiro, ou um território ou um setor de tratamento de um país terceiro,
ou uma organização internacional, não assegura um nível de proteção adequado de
dados. Se for esse no caso, deve ser proibida a
transferência de dados pessoais para esse país terceiro, salvo se tiver por
base um acordo internacional, garantias adequadas ou uma derrogação. É
conveniente prever procedimentos de consulta entre a Comissão e o país terceiro
ou a organização internacional. Todavia, tal decisão da Comissão não prejudica
a possibilidade de realizar transferências com base em garantias adequadas ou
numa derrogação prevista na diretiva. (49)
As transferências que não se basearem numa decisão sobre
o nível adequado da proteção só devem ser autorizadas se forem apresentadas
garantias apropriadas num instrumento juridicamente vinculativo que garanta a
proteção dos dados pessoais, ou se o responsável pelo tratamento ou o
subcontratante tiver avaliado todas as circunstâncias inerentes à transferência
de dados ou ao conjunto de operações de transferências de dados e, com base nessa
avaliação, considerar existirem garantias adequadas relativamente à proteção de
dados pessoais. Caso não existam fundamentos para a
autorização de transferência, devem ser permitidas derrogações se forem necessárias
para proteger os interesses vitais do titular de dados ou de um terceiro, ou
para assegurar os interesses legítimos dessa pessoa, desde que a legislação do
Estado-Membro que efetua a transferência dos dados assim o preveja, ou se for
essencial para a prevenção de uma ameaça imediata e grave para a segurança
pública de um Estado-Membro ou de um país terceiro ou, em certos casos, para
efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de
execução de sanções penais, ou em casos especiais, tendo em vista a declaração,
o exercício ou a defesa de um direito num processo judicial. (50)
Sempre que os dados pessoais atravessam fronteiras
há um risco acrescido de que as pessoas singulares não possam exercer o seu
direito à proteção de dados, nomeadamente para se proteger da utilização
ilícita ou da divulgação dessas informações. Paralelamente,
as autoridades de controlo podem ser incapazes de apreciar as queixas ou
conduzir investigações relacionadas com atividades exercidas fora das suas
fronteiras. Os seus esforços para colaborar no contexto transfronteiriço podem
ser também restringidos por competências insuficientes ou regimes jurídicos
incoerentes. Por conseguinte, é necessário promover uma cooperação mais
estreita entre as autoridades de controlo da proteção de dados a fim de que
possam efetuar o intercâmbio de informações e realizar investigações com as
suas homólogas internacionais. (51)
A criação de autoridades de controlo nos
Estados-Membros, que exerçam as suas funções com total independência, constitui
um elemento essencial da proteção das pessoas singulares no que respeita ao
tratamento dos seus dados pessoais. As autoridades de controlo devem supervisionar
a aplicação das disposições da presente diretiva e contribuir para a sua
aplicação coerente no conjunto da União, a fim de proteger as pessoas
singulares relativamente ao tratamento dos seus dados pessoais. Para esse efeito, as autoridades de controlo devem cooperar
entre si e com a Comissão. (52)
Os Estados Membros podem confiar a uma autoridade
de controlo já criada nos Estados-Membros nos termos do Regulamento (UE)
.../2012 a responsabilidade pelas funções a desempenhar pelas autoridades
nacionais de controlo a instituir por força da presente diretiva. (53)
Deve ser permitido aos Estados-Membros criarem
várias autoridades de controlo de modo a refletir a sua estrutura
constitucional, organizacional e administrativa. É conveniente que cada
autoridade de controlo disponha dos recursos
financeiros e humanos adequados, bem como de instalações e infraestruturas,
necessários a um exercício eficaz das suas funções, incluindo as relacionadas
com a assistência e a cooperação mútuas com outras autoridades de controlo a
nível da União. (54)
As condições gerais aplicáveis aos membros da
autoridade de controlo devem ser definidas por lei em cada Estado-Membro e
devem prever, em especial, que esses membros são nomeados pelo parlamento ou
pelo governo nacional, e incluir disposições sobre a qualificação e as funções
desses membros. (55)
Embora a presente diretiva se aplique também às
atividades dos tribunais nacionais, a competência das autoridades de controlo
não abrange o tratamento de dados pessoais quando os tribunais atuam no âmbito
dessas funções, a fim de assegurar a independência dos juízes no exercício das
suas funções jurisdicionais. Todavia, esta exceção
deve ser estritamente limitada às atividades meramente judiciais relativas a
processos em tribunal e não ser aplicável a outras atividades a que os juízes
possam estar associados por força do direito nacional. (56)
A fim de assegurar o controlo e a aplicação
coerentes da presente diretiva no conjunto da União, as autoridades de controlo
devem ter, em cada Estado-Membro, os mesmos deveres e poderes efetivos,
incluindo os poderes de investigação, de intervenção juridicamente vinculativa,
de deliberação e de sanção, particularmente em caso de queixas apresentadas por
pessoas singulares, bem como o poder de intervir em processos judiciais. (57)
Cada autoridade de controlo deve receber as queixas
apresentadas por qualquer titular de dados e investigar a matéria. A investigação decorrente de uma queixa deve ser realizada,
embora sujeita a revisão judicial, na medida adequada ao caso específico. A
autoridade de controlo deve informar a pessoa em causa da evolução e do
resultado da queixa num prazo razoável. Se o caso exigir uma investigação mais
aprofundada ou a coordenação com outra autoridade de controlo, devem ser
fornecidas informações intercalares ao titular dos dados. (58)
As autoridades de controlo devem prestar-se
mutuamente assistência no desempenho das suas funções, por forma a assegurar a
execução e aplicação coerentes das disposições adotadas em conformidade com a
presente diretiva. (59)
O Comité Europeu para a
Proteção de Dados, instituído pelo Regulamento (UE)
.../2012, deve contribuir para a aplicação coerente
da presente diretiva no conjunto da União, nomeadamente no aconselhamento da
Comissão e na promoção da cooperação das autoridades de controlo na União.
(60)
Qualquer titular de dados deve ter o direito de
apresentar uma queixa à autoridade de controlo em qualquer Estado-Membro e
dispor do direito de recurso aos tribunais se considerar que os direitos que
lhe confere a presente diretiva não são respeitados, se a autoridade de
controlo não responder à queixa, ou não agir conforme necessário para proteger
os direitos da pessoa em causa. (61)
Qualquer organismo, organização ou associação que
vise proteger os direitos e interesses dos titulares de dados no que respeita à
proteção dos dados que lhe digam respeito, e seja constituído(a) ao abrigo do
direito de um Estado-Membro, deve ter o direito de apresentar aos tribunais queixa
junto de uma autoridade de controlo ou de exercer o direito de recurso aos
tribunais em nome das pessoas em causa, mediante mandato nesse sentido, ou de
apresentar, independentemente da queixa apresentada pela pessoa em causa, uma
queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de
dados pessoais. (62)
Qualquer pessoa, singular ou coletiva, deve ter o
direito de ação judicial contra as decisões que lhes digam respeito emitidas
por uma autoridade de controlo. As ações contra uma autoridade de controlo
devem ser intentadas nos tribunais do Estado‑Membro no território do qual
se encontra estabelecida a autoridade de controlo. (63)
Os Estados-Membros devem assegurar que as ações
judiciais, para serem eficazes, permitam a adoção rápida de medidas visando a
reparação ou a prevenção de uma violação prevista na presente diretiva. (64)
Qualquer dano de que uma pessoa possa ser vítima em
resultado de um tratamento ilícito deve ser ressarcido pelo responsável pelo
tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua
responsabilidade se provar que o facto causador do dano não lhe é imputável,
nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de
força maior. (65)
Devem ser aplicadas sanções a qualquer pessoa
singular ou coletiva, regida pelo direito privado ou público, que não respeite
o disposto na presente diretiva. Os Estados-Membros
devem assegurar que as sanções sejam efetivas, proporcionadas e dissuasivas, e
tomar todas as medidas necessárias à sua aplicação. (66)
Por forma a cumprir os objetivos da presente
diretiva, nomeadamente proteger os direitos e liberdades fundamentais das
pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais,
e assegurar a livre circulação desses dados pelas autoridades competentes na
União, o poder de adotar atos em conformidade com o artigo 290.º do Tratado
sobre o Funcionamento da União Europeia deve ser delegado à Comissão. Em
especial, devem ser adotados atos delegados em
relação à notificação de violações de dados pessoais à autoridade controlo. É
especialmente importante que a Comissão proceda a consultas adequadas ao longo
dos seus trabalhos preparatórios, incluindo a nível de peritos. A Comissão,
aquando da preparação e elaboração dos atos delegados, deve assegurar uma
transmissão simultânea, em tempo útil e em devida forma, dos documentos
relevantes ao Parlamento Europeu e ao Conselho. (67)
Por forma a assegurar condições uniformes para a
execução da presente diretiva no que respeita à documentação mantida pelos
responsáveis pelo tratamento e subcontratantes, à segurança do tratamento,
designadamente em relação às normas de codificação, à notificação de uma
violação de dados pessoais à autoridade de controlo, e ao nível de proteção
adequado assegurado por um país terceiro, um território ou um setor dentro
desse país terceiro, ou uma organização internacional, devem ser conferidas
competências de execução à Comissão. Essas competências devem ser exercidas em
conformidade com o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do
Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios
gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício
das competências de execução pela Comissão[36]. (68)
O procedimento de exame deve ser utilizado para a
adoção de medidas relativas à documentação mantida pelos responsáveis pelo
tratamento e subcontratantes, à segurança do tratamento, à notificação de uma
violação de dados pessoais à autoridade de controlo, e ao nível de proteção
adequado garantido por um país terceiro, um território ou um setor dentro desse
país terceiro, ou uma organização internacional, uma vez que esses atos são de
âmbito geral. (69)
A Comissão deve adotar atos de execução imediatamente
aplicáveis quando, em casos devidamente fundamentados relacionados com um país
terceiro, um território ou um setor de tratamento de dados nesse país terceiro,
ou uma organização internacional, que não assegure um nível de proteção
adequado, imperativos urgentes assim o exijam. (70)
Dado que os objetivos da presente diretiva, nomeadamente
proteger os direitos e liberdades fundamentais das pessoas singulares e, em
especial, o seu direito à proteção de dados pessoais, e assegurar o livre
intercâmbio desses dados pelas autoridades competentes na União Europeia, não
podem ser suficientemente realizados pelos Estados-Membros e podem pois, em
razão da dimensão e dos efeitos da ação, ser melhor realizados a nível da
União, esta última pode tomar medidas, em conformidade com o princípio da
subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em
conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a
presente diretiva não excede o necessário para atingir esse objetivo. (71)
A Decisão-Quadro 2008/977/JAI é revogada pela
presente diretiva. (72)
As disposições específicas no que respeita ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou de
execução de sanções penais, mencionadas nos atos da União
adotados antes da data de adoção da presente diretiva, que regulem o tratamento
de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas
dos Estados-Membros aos sistemas de informação criados nos termos de Tratados,
mantêm-se inalteradas. A Comissão deverá examinar a
situação quanto à relação entre a presente diretiva e os atos adotados anteriormente
à adoção da presente diretiva que regulem o tratamento de dados pessoais entre
Estados-Membros ou o acesso de autoridades designadas dos Estados-Membros a
sistemas de informação criados por força dos Tratados, a fim de avaliar a
necessidade de harmonização dessas disposições específicas com a presente
diretiva. (73)
A fim de assegurar uma proteção global e coerente
dos dados pessoais na União, os acordos internacionais celebrados pelos
Estados-Membros anteriormente à entrada em vigor da presente diretiva devem ser
alterados em conformidade com a presente diretiva. (74)
A presente diretiva não prejudica as disposições
relativas à luta contra o abuso sexual e a exploração sexual de crianças, bem
como a pornografia infantil, previstas na Diretiva 2011/92/UE do Parlamento
Europeu e do Conselho de 13 de dezembro de 2011[37]. (75)
Nos termos do artigo 6.º-A do Protocolo relativo à
posição do Reino Unido e da Irlanda em relação ao espaço de liberdade,
segurança e justiça, anexo ao Tratado da União Europeia e ao Tratado sobre o
Funcionamento da União Europeia, o Reino Unido e a Irlanda não ficam vinculados
pelas regras estabelecidas na presente diretiva sempre que o Reino Unido e a
Irlanda não estejam vinculados por regras que regulem formas de cooperação
judiciária em matéria penal ou de cooperação policial no âmbito das quais devam
ser observadas as disposições definidas com base no artigo 16.º do Tratado
sobre o Funcionamento da União Europeia. (76)
Nos termos dos artigos 2.º e 2.º-A do Protocolo
relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao
Tratado sobre o Funcionamento da União Europeia, a Dinamarca não fica vinculada
nem sujeita à aplicação da pela presente diretiva. Uma vez que da presente
diretiva desenvolve o acervo de Schengen, por força
do disposto no Título V, Parte III, do Tratado sobre o Funcionamento da União
Europeia, a Dinamarca decidirá, nos termos do artigo 4.º do referido Protocolo,
no prazo de seis meses a contar da data de adoção da presente diretiva, se
procederá à transposição da diretiva para o seu direito nacional. (77)
No que diz respeito à Islândia e à Noruega, a
presente diretiva constitui um desenvolvimento das disposições do acervo de
Schengen, na aceção do Acordo celebrado entre o Conselho da União Europeia e a
República da Islândia e o Reino da Noruega, relativo à associação desses
Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen[38]. (78)
No que diz respeito à Suíça, a presente diretiva
constitui um desenvolvimento das disposições do acervo de Schengen, na aceção
do Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça
relativo à associação da Confederação Suíça à execução, à aplicação e ao
desenvolvimento do acervo de Schengen[39].
(79)
No que diz respeito ao Liechtenstein, o presente
regulamento constitui um desenvolvimento das disposições do acervo de Schengen,
na aceção do Protocolo entre a União Europeia, a Comunidade Europeia, a
Confederação Suíça e o Principado do Liechtenstein relativo à adesão do
Principado do Liechtenstein ao Acordo entre a União Europeia, a Comunidade
Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à
execução, aplicação e ao desenvolvimento do acervo de Schengen[40]. (80)
A presente diretiva respeita os direitos
fundamentais e observa os princípios reconhecidos na Carta dos Direitos
Fundamentais da União Europeia, consagrados pelo Tratado, nomeadamente o
direito ao respeito da vida privada e familiar, o direito à proteção dos dados
pessoais, o direito à ação e a um tribunal imparcial. As
restrições introduzidas a estes direitos são conformes com o artigo 52.º, n.º
1, da Carta, uma vez que são necessários para cumprir os objetivos de interesse
geral reconhecidos pela União Europeia ou satisfazer a necessidade de proteger
os direitos e as liberdades de outrem. (81)
Em conformidade com a Declaração Política Conjunta
dos Estados-Membros e da Comissão sobre os documentos explicativos, de 28 de
setembro de 2011, os Estados‑Membros assumiram o compromisso de fazer
acompanhar, nos casos em que tal se justifique, a notificação das suas medidas
de transposição de um ou mais documentos explicando a relação entre os
componentes da diretiva e as partes correspondentes dos instrumentos de
transposição nacional. Em relação à presente diretiva, o legislador considera
que a transmissão desses documentos se justifica. (82)
A presente diretiva não obsta a que os
Estados-Membros possam aplicar disposições respeitantes ao exercício dos
direitos dos titulares de dados em matéria de informação, acesso, retificação,
apagamento e limitação do tratamento dos seus dados pessoais no âmbito de procedimentos
penais, bem como eventuais restrições desses direitos, na legislação processual
penal nacional, ADOTARAM A PRESENTE DIRETIVA: CAPÍTULO I DISPOSIÇÕES GERAIS Artigo 1.º
Objeto e objetivos 1. A presente diretiva estabelece
as regras relativas à proteção das pessoas quanto ao tratamento de dados
pessoais pelas autoridades competentes para efeitos de prevenção,
investigação, deteção, repressão de infrações penais ou de execução de sanções
penais. 2. Em conformidade com a
presente diretiva, os Estados-Membros devem assegurar: (a) A proteção dos direitos e das liberdades
fundamentais das pessoas singulares e, em especial, o seu direito à proteção
dos dados pessoais; e (b) Que o intercâmbio de dados pessoais pelas
autoridades competentes da União não seja restringido nem proibido por razões relacionadas
com a proteção das pessoas singulares no que respeita ao tratamento de dados
pessoais. Artigo 2.º
Âmbito de aplicação 1. A presente diretiva aplica-se
ao tratamento de dados pessoais pelas autoridades competentes para os efeitos
referidos no artigo 1.º, n.º 1. 2. A
presente diretiva aplica-se ao tratamento de dados pessoais por meios total ou
parcialmente automatizados, bem como ao tratamento por meios não automatizados
de dados pessoais contidos num ficheiro ou a ele destinados. 3. A
presente diretiva não se aplica ao tratamento de dados pessoais: (a) Efetuado no exercício de atividades não
sujeitas à aplicação do direito da União, nomeadamente no que se refere à
segurança nacional; (b) Efetuado pelas instituições, organismos, serviços
e agências da União. Artigo 3.º
Definições Para efeitos da presente diretiva, entende-se
por: (1)
«Titular de dados», uma pessoa singular
identificada ou identificável, direta ou indiretamente, por meios com razoável
probabilidade de serem utilizados pelo responsável pelo tratamento ou por
qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um
número de identificação, a dados de localização, a um identificador em linha ou
a um ou mais elementos específicos próprios à sua identidade física, fisiológica,
genética, psíquica, económica, cultural ou social; (2)
«Dados pessoais», qualquer informação relativa a um
titular de dados; (3)
«Tratamento de dados pessoais»,
qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com
ou sem meios automatizados, tais como a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou a alteração, a recuperação, a
consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra
forma de disponibilização, a comparação ou interconexão, o apagamento ou a
destruição; (4)
«Limitação do tratamento», a
inserção de uma marca nos dados pessoais conservados com o objetivo de limitar
o seu tratamento no futuro; (5)
«Ficheiro», qualquer conjunto
estruturado de dados pessoais, acessível segundo critérios específicos, quer
seja centralizado, descentralizado ou repartido de modo funcional ou
geográfico; (6)
«Responsável pelo
tratamento», a autoridade pública competente que, por si
ou em conjunto, determina as finalidades, as condições e os meios de tratamento
de dados pessoais; sempre que as finalidades, as condições e os meios de
tratamento sejam determinados pelo direito da União ou pela legislação dos
Estados Membros, o responsável pelo tratamento ou os critérios específicos
aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela
legislação de um Estado-Membro; (7)
«Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou
qualquer outro organismo que trata dados pessoais por conta do responsável pelo
tratamento; (8)
«Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo
que receba comunicações de dados pessoais; (9)
«Violação de dados
pessoais», uma violação da segurança que provoca, de modo
acidental ou ilícito, a destruição, a perda, a alteração, a divulgação, ou o
acesso, não autorizados, de dados pessoais transmitidos, conservados ou
tratados de outro modo; (10)
«Dados genéticos», todos os
dados, independentemente do tipo, relacionados com as características de uma
pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu
desenvolvimento pré-natal; (11)
«Dados biométricos», quaisquer
dados relativos às características físicas, fisiológicas ou comportamentais de
uma pessoa singular que permitam a sua identificação única, nomeadamente
imagens faciais ou dados dactiloscópicos; (12)
«Dados relativos à saúde», quaisquer
informações relacionadas com a saúde física ou psíquica de uma pessoa singular,
ou com a prestação de serviços de saúde a essa pessoa; (13)
«Criança», qualquer pessoa com menos de 18 anos; (14)
«Autoridades competentes», qualquer autoridade
pública competente para efeitos de prevenção, investigação,
deteção e repressão de infrações penais, ou de execução de sanções penais; (15)
«Autoridade de controlo», a autoridade pública
instituída por um Estado-Membro nos termos do artigo 39.º. CAPÍTULO II PRINCÍPIOS Artigo 4.º
Princípios relativos ao tratamento de dados pessoais Os Estados-Membros devem prever que os dados
pessoais serão: (a) Objeto de um tratamento leal e lícito; (b) Recolhidos para finalidades
determinadas, explícitas e legítimas e não ser posteriormente tratados de forma
incompatível com essas finalidades; (c) Adequados,
pertinentes e limitados ao mínimo necessário relativamente às
finalidades para que são tratados; (d) Exatos e, se necessário, atualizados; devem ser adotadas todas as medidas razoáveis para que os
dados inexatos, tendo em conta as finalidades para que são tratados, sejam
apagados ou retificados sem demora; (e) Conservados de forma a permitir a
identificação dos titulares de dados apenas durante o período necessário para a prossecução das
finalidades para que são tratados; (f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que
deve assegurar a conformidade com as disposições adotadas por força da presente
diretiva. Artigo 5.º
Distinção entre diferentes categorias de titulares de
dados 1. Os Estados-Membros devem
prever que o responsável pelo tratamento estabeleça, na medida do possível, uma
distinção clara entre os dados pessoais de diferentes categorias de titulares
de dados, tais como: (a) Pessoas relativamente às quais existam
motivos fundados para crer que cometeram ou vão cometer uma infração penal; (b) Pessoas
condenadas por uma infração penal; (c) Vítimas de uma infração penal ou pessoas
relativamente às quais certos factos levam a crer que podem vir a ser vítimas
de uma infração penal; (d) Terceiros envolvidos numa infração penal,
designadamente pessoas suscetíveis de serem chamadas a testemunhar em
investigações penais relacionadas com a infrações penais, ou em processos
penais subsequentes, ou uma pessoa que possa fornecer informações sobre
infrações penais, ou um contacto ou associado de uma das pessoas mencionadas
nas alíneas a) e b); e (e) Pessoas não abrangidas por qualquer das
categorias acima referidas. Artigo 6.º
Níveis diferentes de exatidão e de fiabilidade de dados
pessoais 1. Os Estados-Membros devem assegurar
que seja estabelecida uma distinção, na medida do possível, entre as diferentes
categorias de dados pessoais objeto de tratamento, em função do seu nível de
precisão e de fiabilidade. 2. Os
Estados-Membros devem assegurar que os dados pessoais baseados em factos sejam,
na medida do possível, distinguidos dos dados pessoais baseados em apreciações
pessoais. Artigo 7.º
Licitude do tratamento Os Estados-Membros devem prever que o
tratamento de dados pessoais só é lícito se e na medida em que for necessário
para: (a)
O exercício de uma função pela autoridade
competente, por força da legislação, tendo em vista as finalidades enunciadas
no artigo 1.º, n.º 1; ou (b)
O respeito de uma obrigação jurídica a que o
responsável pelo tratamento esteja sujeito; ou (c)
A proteção dos interesses vitais do titular de
dados ou de um terceiro; ou (d)
A prevenção de uma ameaça grave e imediata para a segurança
pública. Artigo 8.º
Tratamento de categorias especiais de dados pessoais 1. Os Estados-Membros devem
proibir o tratamento de dados pessoais que revelem a origem racial ou étnica,
as opiniões políticas, as convicções religiosas ou filosóficas, a filiação
sindical, bem como o tratamento de dados genéticos ou dados relativos à saúde
ou à situação médica ou à orientação sexual. 2. O n.º 1 não se aplica sempre
que: (a) O tratamento for autorizado por uma legislação
que preveja garantias adequadas; ou (b) O tratamento
for necessário para a proteção dos interesses vitais do titular de dados ou de
um terceiro; ou (c) O tratamento estiver
relacionado com dados manifestamente tornados públicos pelo
seu titular. Artigo 9.º
Medidas baseadas na definição de
perfis e no tratamento automatizado 1. Os Estados-Membros devem
prever a proibição de medidas que produzam efeitos adversos na esfera jurídica
do titular de dados ou que o afetem de modo significativo e que se baseiem
unicamente no tratamento automatizado de dados pessoais destinado a avaliar
determinados aspetos próprios dessa pessoa, salvo se forem autorizadas por uma
lei que preveja igualmente medidas destinadas a assegurar os interesses
legítimos do titular de dados. 2. O tratamento
automatizado dos dados pessoais destinado a avaliar determinados aspetos
pessoais próprios ao titular de dados não se deve basear exclusivamente nas
categorias especiais de dados pessoais referidas no artigo 8.º. CAPÍTULO III DIREITOS DO TITULAR
DOS DADOS
Artigo 10.º
Modalidades de exercício dos direitos do titular dos
dados 1. Os Estados-Membros devem
prever que o responsável pelo tratamento adote todas as medidas razoáveis a fim
de aplicar regras internas transparentes e facilmente acessíveis no que diz
respeito ao tratamento de dados pessoais, tendo em vista o exercício dos
direitos pelos titulares de dados. 2. Os Estados-Membros devem
prever que o responsável pelo tratamento faculte todas as informações e
comunicações relativas ao tratamento de dados pessoais ao titular de dados de
uma forma inteligível e numa linguagem clara e simples. 3. Os
Estados-Membros devem prever que o responsável pelo tratamento adote todas as
medidas razoáveis para estabelecer os procedimentos de informação referidos no
artigo 11.º e os procedimentos para o exercício dos direitos pelos titulares de
dados referidos nos artigos 12.º a 17.º. 4. Os
Estados-Membros devem prever que o responsável pelo tratamento informe, sem demora injustificada, o titular de dados do seguimento
dado ao seu pedido. 5. Os
Estados-Membros devem prever que as informações e eventuais medidas adotadas pelo
responsável pelo tratamento na sequência de um pedido previsto nos n.os 3 e 4 sejam gratuitas. Sempre que os pedidos sejam abusivos, particularmente
devido ao seu caráter repetitivo, ou à dimensão ou volume do pedido, o
responsável pelo tratamento pode exigir o pagamento de uma taxa pela prestação
de informações ou adoção da medida solicitada, ou pode abster-se de a adotar.
Neste caso, incumbe ao responsável pelo tratamento provar o caráter abusivo do
pedido. Artigo 11.º
Informação do titular dos dados 1. Sempre que os dados pessoais
de uma pessoa forem recolhidos, os Estados-Membros devem assegurar que o
responsável pelo tratamento adote todas as medidas adequadas para fornecer ao
titular dos dados pelo menos as seguintes informações: (a) Identidade e contactos do responsável
pelo tratamento e do delegado para a proteção de dados; (b) Finalidades do
tratamento a que os dados pessoais se destinam; (c) Período de
conservação dos dados pessoais; (d) Existência
do direito de solicitar ao responsável pelo
tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua
retificação ou apagamento, ou a limitação do seu tratamento; (e) Direito de apresentar
uma queixa à autoridade de controlo referida no artigo 39.º, e de obter os
contactos desta autoridade; (f) Destinatários ou
categorias de destinatários dos dados pessoais, incluindo nos países terceiros
ou a nível das organizações internacionais; (g) Quaisquer outras informações, na medida
em que sejam necessárias para assegurar à pessoa em causa um tratamento leal,
tendo em conta as circunstâncias específicas em que os dados pessoais são tratados. 2. Sempre que os dados pessoais
tiverem sido recolhidos junto do titular de dados, o responsável pelo
tratamento deve informá-lo, para além da informação referida no n.º 1, do
caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das
eventuais consequências de não fornecer esses dados. 3. O responsável pelo tratamento
deve comunicar as informações referidas no n.º 1: (a) No momento da recolha dos dados pessoais
junto do titular de dados; ou (b) Sempre que os dados
não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a
recolha dos dados, tendo em conta as circunstâncias específicas em que os dados
foram tratados. 4. Os Estados-Membros podem
adotar medidas legislativas prevendo o adiamento, a limitação da prestação das
informações, ou a sua não prestação, aos titulares de dados na medida e
enquanto tal limitação, parcial ou total, constitua uma medida necessária e
proporcionada numa sociedade democrática, tendo devidamente em conta os
interesses legítimos do titular de dados: (a)
Para evitar que constituam um entrave a
inquéritos, investigações, ou procedimentos oficiais ou judiciais; (b)
Para evitar prejudicar a prevenção, deteção,
investigação, repressão de infrações penais ou a execução de sanções penais; (c)
Para proteger a segurança pública; (d)
Para proteger a segurança nacional; (e)
Para proteger os direitos e as liberdades de outrem. 5. Os
Estados-Membros podem determinar categorias de tratamento de dados suscetíveis
de serem objeto, na sua integralidade em parte, das derrogações previstas no
n.º 4. Artigo 12.º
Direito de acesso do titular dos dados 1. Os Estados-Membros devem
prever o direito de o titular de dados poder obter do responsável pelo
tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou
não objeto de tratamento. Sempre que esses dados
pessoais forem objeto de tratamento, o responsável pelo tratamento deve
fornecer as seguintes informações: (a) Finalidades do tratamento; (b) Categorias de dados pessoais envolvidos; (c) Destinatários ou
categorias de destinatários a quem os dados pessoais foram divulgados, em
especial quando os destinatários estão estabelecidos em países terceiros; (d) Período de
conservação dos dados pessoais; (e) A existência do direito de solicitar à
autoridade de controlo a retificação, o apagamento ou a limitação do tratamento
dos dados pessoais do titular de dados; (f) O direito de
apresentar uma queixa à autoridade de controlo e de obter os contactos desta
autoridade; (g) Comunicação
dos dados pessoais em fase de tratamento e quaisquer
informações disponíveis sobre a origem desses dados. 2. Os Estados-Membros devem
prever o direito do titular de dados de obter do responsável pelo tratamento uma
cópia dos dados pessoais em fase de tratamento. Artigo 13.º
Limitações do direito de acesso 1.
Os Estados-Membros podem adotar medidas
legislativas para limitar, total ou parcialmente, o direito de acesso do
titular de dados, na medida em que tal limitação total ou parcial constitua uma
medida necessária e proporcionada numa sociedade democrática, tendo devidamente
em conta os interesses legítimos do titular de dados: (a)
Para evitar que constituam um entrave a inquéritos,
investigações, ou procedimentos oficiais ou judiciais; (b)
Para evitar prejudicar a prevenção, deteção,
investigação, repressão de infrações penais ou a execução de sanções penais; (c)
Para proteger a segurança pública; (d)
Para proteger a segurança nacional; (e)
Para proteger os direitos e as liberdades de outrem. 2.
Os Estados-Membros podem, por via legislativa,
determinar categorias de tratamento de dados suscetíveis de ser objeto, no todo
ou em parte, das derrogações previstas no n.º 1. 3.
Nos casos previstos nos n.os 1 e 2, os Estados-Membros devem prever que em caso
de recusa ou de limitação do acesso aos dados, o responsável pelo tratamento
informe o titular de dados, por escrito, dos motivos da recusa e das
possibilidades de apresentar uma queixa à autoridade de controlo e de intentar
uma ação judicial. Os motivos de facto ou de direito em que se baseia a decisão
podem ser omitidos sempre que a sua comunicação seja suscetível de prejudicar
um dos objetivos enunciados no n.º 1. 4.
Os Estados-Membros devem
assegurar que o responsável pelo tratamento documente os fundamentos para não
comunicar os motivos de facto ou de direito em que baseou a decisão. Artigo 14.º
Modalidades de exercício do direito de acesso 1. Os Estados-Membros devem
prever o direito de o titular de dados solicitar à autoridade de controlo, em
especial nos casos referidos no artigo 13.º, a verificação da licitude do
tratamento. 2. O Estado-Membro deve prever
que o responsável pelo tratamento informe o titular de dados do seu direito de
solicitar a intervenção da autoridade de controlo por força do n.º 1. 3. Sempre
que o direito a que se refere o n.º 1 for exercido, a autoridade de controlo
deve informar o titular de dados, pelo menos, de que foram realizadas todas as
verificações necessárias que incumbem à referida autoridade e do resultado
quanto à licitude do tratamento em causa. Artigo 15.º
Direito de retificação 1. Os Estados-Membros devem prever
o direito de o titular de dados obter do responsável pelo tratamento a
retificação dos dados pessoais inexatos que lhe digam respeito. O titular de
dados tem o direito de obter, nomeadamente através de
uma declaração retificativa, que os seus dados pessoais incompletos sejam
completados. 2. Os
Estados-Membros devem prever que, em caso de recusa de ratificação dos dados, o
responsável pelo tratamento informe o titular de dados, por escrito, dos
motivos da recusa e das possibilidades de apresentar uma queixa à autoridade de
controlo e de intentar uma ação judicial. Artigo 16.º
Direito de apagamento 1.
Os Estados-Membros devem prever o direito de o titular
de dados obter do responsável pelo tratamento o apagamento dos dados pessoais
que lhe digam respeito sempre que o tratamento não seja conforme com as
disposições adotadas nos termos do artigo 4.º, alínea a) a e), e dos artigos
7.º e 8.º, da presente diretiva. 2.
O responsável pelo tratamento deve efetuar esse
apagamento sem demora. 3.
Em vez de proceder ao apagamento,
o responsável pelo tratamento deve marcar os dados pessoais sempre que: (a)
A sua exatidão for contestada pelo titular dos
dados, durante um período que permita ao responsável pelo tratamento verificar
a exatidão dos dados; (b)
Os dados pessoais devam ser conservados para
efeitos de prova; (c)
O titular dos dados se opuser
ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização; 4.
Os Estados-Membros devem prever que o responsável
pelo tratamento informe o titular de dados, por escrito, de qualquer recusa de
apagamento ou de marcação dos dados tratados, dos motivos de recusa e das
possibilidades de apresentar uma queixa à autoridade de controlo e de intentar
uma ação judicial. Artigo 17.º
Direitos do titular dos dados no âmbito de investigações
e ações penais Os Estados-Membros podem prever, sempre que
dados pessoais constem de uma decisão ou de um registo criminal objeto de
tratamento no âmbito de uma investigação ou ação penal, que os direitos de
informação, acesso, retificação, apagamento e limitação do tratamento,
previstos nos artigos 11.º a 16.º, sejam exercidos em conformidade com as
regras processuais penais nacionais. CAPÍTULO IV
RESPONSÁVEL
PELO TRATAMENTO E SUBCONTRATANTE SECÇÃO
1
OBRIGAÇÕES
GERAIS Artigo 18.º
Obrigações do responsável pelo tratamento 1. Os Estados-Membros devem
prever que o responsável pelo tratamento adote regras internas e execute as
medidas adequadas para assegurar que o tratamento dos dados pessoais é
realizado no respeito das disposições adotadas em conformidade com a presente
diretiva. 2. As
medidas referidas no n.º 1 devem incluir, nomeadamente: (a) Conservar a documentação, nos termos do
artigo 23.º; (b) Respeitar a obrigação de consulta prévia,
nos termos do artigo 26.º; (c) Aplicar os requisitos de segurança
previstos no artigo 27.º; (d) Designar um delegado para a proteção de
dados, nos termos do artigo 30.º. 3. O responsável pelo tratamento deve aplicar mecanismos de
verificação da eficácia das medidas referidas no n.º 1. Sob reserva da sua proporcionalidade, essa verificação deve ser
realizada por auditores independentes internos ou externos. Artigo 19.º
Proteção de dados desde a
conceção e por defeito 1. Os Estados-Membros devem
prever que, tendo em conta as técnicas mais recentes e os custos associados à
sua aplicação, o responsável pelo tratamento aplique as medidas e procedimentos
técnicos e organizativos adequados, a fim de que o tratamento respeite as
disposições adotadas em conformidade com a presente diretiva e garanta a
proteção dos direitos do titular de dados. 2. O
responsável pelo tratamento deve aplicar mecanismos que garantam, por defeito,
que apenas são tratados os dados pessoais necessários para as finalidades do
tratamento. Artigo 20.º
Responsáveis conjuntos pelo
tratamento Os Estados-Membros devem prever, sempre que um
responsável pelo tratamento definir, em conjunto com outros, as finalidades, as
condições e os meios do tratamento de dados pessoais, os responsáveis conjuntos
pelo tratamento devem definir, por acordo, as respetivas obrigações, a fim de
respeitarem as disposições adotadas em conformidade com a presente diretiva,
nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o
exercício de direitos do titular de dados. Artigo 21.º
Subcontratante 1.
Os Estados-Membros devem prever que o responsável
pelo tratamento, em caso de tratamento por sua conta, escolha um subcontratante
que apresente garantias suficientes de execução das medidas e procedimentos
técnicos e organizativos apropriados, de forma a que esse tratamento respeite
as disposições adotadas em conformidade com a presente diretiva e garanta a
proteção dos direitos do titular de dados. 2.
Os Estados-Membros devem prever que a realização de
operações de tratamento por um subcontratante sejam reguladas por um ato
jurídico que vincule o subcontratante ao responsável pelo tratamento e que
preveja, nomeadamente, que o subcontratante atue apenas mediante instruções do
responsável pelo tratamento, em especial quando a transferência de dados
pessoais utilizados for proibida. 3.
Se um subcontratante proceder ao tratamento de
dados pessoais de forma diferente da que foi definida nas instruções do
responsável pelo tratamento, o subcontratante é considerado responsável pelo
tratamento em relação ao referido tratamento, ficando sujeito às disposições
aplicáveis aos responsáveis conjuntos pelo tratamento previstas no artigo 20.º. Artigo 22.º
Tratamento sob a autoridade do responsável pelo
tratamento e do subcontratante Os Estados-Membros devem prever que o subcontratante,
bem como qualquer pessoa, agindo sob a autoridade do responsável pelo
tratamento ou do subcontratante, que tenha acesso a dados pessoais, só pode efetuar
o seu tratamento mediante instruções do responsável pelo tratamento ou se exigido
pela legislação da União ou de um Estado-Membro. Artigo 23.º
Documentação 1. Os Estados-Membros devem
prever que cada responsável pelo tratamento e cada subcontratante, mantenha a
documentação de todos os sistemas e procedimentos de tratamento sob a sua
responsabilidade. 2. Essa documentação
deve consistir, pelo menos, nas seguintes informações: (a) Nome e contactos do responsável pelo
tratamento, ou de qualquer responsável conjunto pelo tratamento ou
subcontratante; (b) Finalidades do
tratamento; (c) Destinatários ou
categorias de destinatários dos dados pessoais; (d) Transferências de
dados para um país terceiro ou uma organização internacional, incluindo o nome
desse país terceiro ou dessa organização internacional. 3. O responsável pelo tratamento
e o subcontratante devem disponibilizar a documentação existente à autoridade
de controlo, quando por esta solicitado. Artigo 24.º
Conservação de registos das operações de tratamento 1. Os Estados-Membros devem
assegurar que são conservados registos de, pelo menos, as seguintes operações:
recolha, alteração, consulta, comunicação, interconexão ou apagamento. Os registos das operações de consulta e de comunicação
indicarão, em especial, a finalidade, a data e hora dessas operações e, na
medida do possível, a identificação da pessoa que consultou ou comunicou dados
pessoais. 2. Os registos só podem ser
utilizados para efeitos de verificação da licitude do tratamento de dados, de
autocontrolo e de garantia da integridade e segurança dos dados. Artigo 25.º
Cooperação com a autoridade de controlo 1. Os
Estados-Membros devem prever que o responsável
pelo tratamento e o subcontratante cooperem, mediante pedido, com a
autoridade de controlo no exercício das suas funções, comunicando nomeadamente
todas as informações de que esta necessite para esse efeito. 2. Sempre que autoridade de controlo exerça os poderes que lhe
são conferidos por força do artigo 46.º, alíneas a) e b), o responsável pelo
tratamento e o subcontratante devem responder à autoridade de controlo
num prazo razoável a fixar por esta última. A
resposta deve incluir uma descrição das medidas adotadas e dos resultados
obtidos, tendo em conta as observações formuladas pela autoridade de controlo. Artigo 26.º
Consulta prévia da autoridade de controlo 1.
Os Estados-Membros devem assegurar que o
responsável pelo tratamento ou o subcontratante consulta a autoridade de
controlo antes de proceder ao tratamento de dados pessoais que farão parte de
um novo ficheiro a criar, sempre que: (a) O tratamento visar categorias especiais
de dados referidas no artigo 8.º; (b) Devido à utilização, em especial, de
novos mecanismos, tecnologias ou procedimentos, o tipo de tratamento apresente
riscos específicos para os direitos e liberdades fundamentais e, em particular,
para a proteção de dados pessoais do seu titular. 2.
Os Estados-Membros podem prever que a autoridade de
controlo estabeleça uma lista das operações de tratamento de dados sujeitas a
consulta prévia nos termos do n.º 1. SECÇÃO
2
SEGURANÇA DOS
DADOS Artigo 27.º
Segurança do tratamento 1. Os
Estados-Membros devem prever que o responsável pelo tratamento e o
subcontratante apliquem as medidas técnicas e organizativas necessárias para assegurar
um nível de segurança adaptado aos riscos que o tratamento representa e à
natureza dos dados pessoais a proteger, atendendo às técnicas mais recentes e
aos custos resultantes da sua aplicação. 2. No
que respeita ao tratamento automatizado de dados, cada Estado-Membro deve
prever que o responsável pelo tratamento ou o subcontratante, na sequência de
uma avaliação de riscos, aplique medidas destinadas a: (a)
Impedir o acesso de pessoas não autorizadas ao
equipamento utilizado para o tratamento de dados pessoais (controlo de acesso
ao equipamento); (b)
Impedir que os suportes de dados possam ser lidos,
copiados, alterados ou retirados sem autorização (controlo dos suportes de
dados); (c)
Impedir a introdução não autorizada de dados, bem
como qualquer inspeção, alteração ou apagamento não autorizados de dados
pessoais registados (controlo da conservação); (d)
Impedir que os sistemas de tratamento automatizado
de dados sejam utilizados por pessoas não autorizadas por meio de equipamentos
de transmissão de dados (controlo dos utilizadores); (e)
Assegurar que as pessoas autorizadas a utilizar o
sistema de tratamento automatizado de dados apenas tenham acesso aos dados
abrangidos pela sua autorização de acesso (controlo de acesso aos dados); (f)
Assegurar que possa ser verificado e determinado a
que instâncias os dados pessoais foram ou podem ser transmitidos ou facultados
utilizando equipamentos de comunicação de dados (controlo da comunicação); (g)
Assegurar que possa ser verificado e estabelecido a
posteriori quais foram os dados pessoais introduzidos nos sistemas de
tratamento automatizado de dados, quando e por quem (controlo da introdução); (h)
Impedir que, durante as transferências de dados
pessoais ou o transporte de suportes de dados, os dados possam ser lidos,
copiados, alterados ou suprimidos de forma não autorizada (controlo do
transporte); (i)
Assegurar que os sistemas utilizados possam ser
restaurados em caso de interrupção (recuperação); (j)
Assegurar que as funções do sistema funcionem, que
os erros de funcionamento sejam assinalados (fiabilidade) e que os dados
pessoais conservados não possam ser falseados por um disfuncionamento do
sistema (integridade). 3. A
Comissão pode adotar, se necessário, atos de execução a fim de especificar os
requisitos previstos nos n.os 1 e 2 aplicáveis às várias situações, particularmente normas de
cifragem. Esses atos de execução são adotados em
conformidade com o procedimento de exame previsto no artigo 57.º, n.º 2. Artigo 28.º
Notificação da violação de
dados pessoais à autoridade de controlo 1. Os Estados-Membros devem
prever que, em caso de violação de dados pessoais, o responsável pelo
tratamento notifique desse facto a autoridade de controlo, sem demora
injustificada e, sempre que possível, o mais tardar 24 horas após ter tido
conhecimento da mesma. Caso a notificação seja
transmitida após esse prazo, o responsável pelo tratamento deve apresentar uma
justificação à autoridade de controlo, a pedido desta. 2. O subcontratante deve alertar
e informar o responsável pelo tratamento imediatamente após ter conhecimento de
uma violação de dados pessoais. 3. A
notificação referida no n.º 1 deve, pelo menos: (a) Descrever a natureza
de violação dos dados pessoais, incluindo as categorias e o número de titulares
de dados afetados, bem como as categorias e o número de registos de dados em
causa; (b) Comunicar
a identidade e os contactos do delegado para a proteção de dados referido no
artigo 30.°, ou de outro ponto de contacto onde possam ser obtidas informações
adicionais; (c) Recomendar
medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados
pessoais; (d) Descrever
as consequências eventuais da violação de dados pessoais; (e) Descrever
as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar
a violação de dados pessoais. 4. Os Estados-Membros devem
prever que o responsável pelo tratamento conserve documentação sobre qualquer violação de dados pessoais, incluindo os factos
relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada.
Essa documentação deve permitir à autoridade de controlo verificar o respeito
do disposto no presente artigo. A documentação deve incluir apenas as
informações necessárias para esse efeito. 5. São conferidas competências à
Comissão para adotar atos delegados nos termos do artigo 56.º, a fim de
especificar mais concretamente os critérios e requisitos aplicáveis à
determinação da violação de dados referida nos n.os 1 e 2, e às
circunstâncias particulares em que um responsável pelo tratamento e um
subcontratante são obrigados a notificar a violação de dados pessoais. 6. A Comissão pode definir um formato normalizado para essa
notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito
de notificação, bem como o formulário e as modalidades para a documentação
referida no n.º 4, incluindo os prazos para o apagamento das informações aí
contidas. Os atos de execução correspondentes são
adotados em conformidade com o procedimento de exame referido no artigo 57.º,
n.º 2. Artigo 29.º
Comunicação de uma violação de
dados pessoais ao titular dos dados 1. Os Estados-Membros devem
prever que, sempre que a violação de dados pessoais for suscetível de afetar
negativamente a proteção dos dados pessoais ou a privacidade do titular dos
dados, o responsável pelo tratamento, após a notificação a que se refere o
artigo 28.º, comunica a violação de dados pessoais à pessoa em causa sem demora
injustificada. 2. A comunicação
ao titular dos dados referida no n.º 1 deve descrever a natureza da violação
dos dados pessoais e incluir, pelo menos, as informações e recomendações
previstas no artigo 28.º, n.º 3, alíneas b) e c). 3. A comunicação de uma violação
de dados pessoais ao seu titular não deve ser exigida
se o responsável pelo tratamento demonstrar cabalmente, a contento da
autoridade competente, que adotou as medidas de proteção tecnológica adequadas e que estas foram
aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados
incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a
esses dados. 4. A comunicação ao titular dos
dados pode ser adiada, limitada ou omitida pelos motivos referidos no artigo
11.º, n.º 4. SECÇÃO 3
DELEGADO PARA A
PROTEÇÃO DE DADOS Artigo 30.º
Designação do delegado para a proteção de dados 1.
Os Estados-Membros devem prever que o responsável
pelo tratamento ou o subcontratante designem um delegado para a proteção de
dados. 2.
O delegado para a
proteção de dados é designado com base nas suas qualidades profissionais e, em
especial, nos seus conhecimentos especializados no domínio da legislação e das práticas
a nível da proteção de dados, e na sua capacidade para cumprir as funções
referidas no artigo 32.º. 3.
O delegado para a proteção de
dados pode ser designado para várias entidades, tendo em conta a estrutura organizativa da autoridade competente. Artigo 31.º
Função do delegado para a proteção de dados 1.
Os Estados-Membros devem prever que o responsável
pelo tratamento ou o subcontratante assegure que o delegado para a proteção de
dados seja associado, de forma adequada e em tempo útil, a todas as matérias
relacionadas com a proteção de dados pessoais. 2.
O responsável pelo tratamento ou o subcontratante
deve assegurar que o delegado para a proteção de dados dispõe dos meios para
desempenhar as suas funções e atribuições referidas no artigo 32.º, de forma
eficaz e independente, e que não recebe quaisquer instruções relativas ao
exercício da sua função. Artigo 32.º
Atribuições do delegado para
a proteção de dados Os Estados-Membros devem prever que o
responsável pelo tratamento ou o subcontratante confie ao delegado para a
proteção de dados, pelo menos, as seguintes atribuições: (a)
Informar e aconselhar o responsável pelo tratamento
ou o subcontratante sobre as suas obrigações em aplicação das disposições
adotadas em conformidade com a presente diretiva, e conservar documentação
sobre esta atividade e as respostas recebidas; (b)
Controlar a execução e a
aplicação das regras internas em matéria de proteção de dados, incluindo a
repartição das responsabilidades, a formação do pessoal que participa nas
operações de tratamento e nas auditorias correspondentes; (c)
Controlar a execução e a
aplicação das disposições adotadas em conformidade com a presente diretiva, em
especial quanto aos requisitos relacionados com a proteção de dados desde a
conceção, a proteção de dados por defeito e a segurança de dados, bem como às
informações dos titulares dos dados e exame dos pedidos para exercer os seus
direitos ao abrigo das disposições adotadas em conformidade com a presente
diretiva; (d)
Assegurar que a documentação
referida no artigo 23.º é conservada; (e)
Acompanhar a documentação, a
notificação e a comunicação relativas a violações de dados pessoais, nos termos
dos artigos 28.º e 29.º; (f)
Verificar se os pedidos de
consulta prévia foram apresentados à autoridade de controlo, caso esta seja
necessária nos termos do artigo 26.º; (g)
Acompanhar a resposta aos
pedidos da autoridade de controlo e, no âmbito da competência do delegado para
a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou
por iniciativa do próprio delegado para a proteção de dados; (h)
Atuar como ponto de contacto para a autoridade de
controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua
própria iniciativa. CAPÍTULO V
TRANSFERÊNCIA
DE DADOS PESSOAIS PARA PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS Artigo 33.º
Princípios gerais das transferências de dados pessoais Os Estados-Membros devem prever que qualquer transferência, pelas
autoridades competentes, de dados pessoais objeto de tratamento ou que se
destinem a ser tratadas após a sua transferência para um país terceiro, ou para
uma organização internacional, incluindo uma transferência ulterior para outro
país terceiro ou outra organização internacional, só pode ser efetuada se: (a) A transferência for necessária para fins
de prevenção, investigação, deteção e repressão de infrações penais ou de
execução de sanções penais; e (b) As condições estabelecidas no presente capítulo
forem cumpridas pelo responsável pelo tratamento e pelo subcontratante. Artigo 34.º
Transferências acompanhadas de uma decisão de adequação 1. Os Estados-Membros devem
prever que uma transferência de dados pessoais para um país terceiro ou uma
organização internacional pode ser efetuada sempre que a Comissão tiver declarado,
mediante decisão, em conformidade com o artigo 41.º do Regulamento (UE) …./2012,
ou em conformidade com o n.º 3 deste artigo, que o país terceiro, um território
ou um setor de tratamento nesse país terceiro, ou a organização internacional
em causa, garante um nível de proteção adequado. Essa
transferência não exige qualquer autorização suplementar. 2. Na falta de uma decisão
adotada por força do artigo 41.º do Regulamento (UE) …./2012, a Comissão deve avaliar
a adequação do nível de proteção tendo em conta os seguintes elementos: (a) O primado do Estado de direito, a
legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança
pública, à defesa, à segurança nacional e ao direito penal, e às medidas de
segurança que são respeitadas nesse país ou por essa organização internacional,
bem como a existência de direitos efetivos e oponíveis, incluindo vias de
recurso administrativo e judicial para os titulares de dados, nomeadamente para
as pessoas residentes na União cujos dados pessoais sejam objeto de
transferência; (b) A
existência e o funcionamento efetivo de uma ou mais
autoridades de controlo independentes no país terceiro ou na organização
internacional em causa, responsáveis por assegurar o respeito das regras de
proteção de dados, assistir e aconselhar o titular de dados no exercício dos
seus direitos, e cooperar com as autoridades de controlo da União e dos
Estados-Membros; e (c) Os
compromissos internacionais assumidos pelo país terceiro ou a organização
internacional. 3. A Comissão pode decidir, nos
limites da presente diretiva, que um país terceiro, um território, ou um setor
de tratamento dentro desse país terceiro, ou uma organização internacional,
garante um nível de proteção adequado na aceção do n.º 2. Os atos de execução correspondentes são adotados em
conformidade com o procedimento de exame referido no artigo 57.º, n.º 2. 4. O
ato de execução deve especificar o âmbito de aplicação geográfico e setorial e,
se for caso disso, identificar a autoridade de controlo referida no n.º 2,
alínea b). 5. A Comissão pode decidir, nos
limites da presente diretiva, que um país terceiro,
um território ou um setor de tratamento nesse país terceiro, ou uma organização
internacional, não assegura um nível de proteção adequado na aceção do n.º 2,
em especial nos casos em que a legislação relevante, quer de caráter geral ou
setorial, em vigor no país terceiro ou na organização internacional, não
assegura direitos efetivos e oponíveis, incluindo vias de recurso
administrativo e judicial para os titulares de dados, nomeadamente para as
pessoas residentes no território da União cujos dados pessoais sejam objeto de
transferência. Os atos de execução correspondentes são adotados em conformidade
com o procedimento de exame referido no artigo 57.º, n.º 2, ou, em casos de
extrema urgência para as pessoas singulares no que se refere ao seu direito de
proteção de dados pessoais, em conformidade com o procedimento referido no
artigo 57.º, n.º 3. 6. Os
Estados-Membros devem assegurar que, sempre que a Comissão adote uma
decisão por força do n.º 5, segundo a qual qualquer transferência de dados
pessoais para o país terceiro, um território ou um setor de tratamento nesse
país terceiro, ou organização internacional em causa é proibida, tal decisão não prejudique transferências efetuadas nos
termos do artigo 35.º, n.º 1, ou em conformidade com o artigo 36.º. Em momento
oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização
internacional com vista a remediar a situação resultante da decisão adotada nos
termos do n.º 5. 7. A Comissão publica no Jornal
Oficial da União Europeia uma lista dos países terceiros, territórios e
setores de tratamento num país terceiro e de
organizações internacionais relativamente aos quais tenha declarado, mediante
decisão, que asseguram ou não um nível de proteção adequado. 8. A
Comissão deve acompanhar a aplicação dos atos de execução referidos nos n.os 3 e 5. Artigo 35.º
Transferências mediante garantias
adequadas 1. Sempre que a Comissão não
tenha tomado qualquer decisão nos termos do artigo 34.º, os Estados-Membros
devem prever que uma transferência de dados pessoais para um país terceiro uma
organização internacional só pode ser efetuada: (a) Tiverem sido apresentadas garantias
adequadas no que diz respeito à proteção de dados pessoais mediante um
instrumento juridicamente vinculativo; ou (b) O responsável pelo
tratamento ou o subcontratante tiver avaliado todas as circunstâncias inerentes
à operação de transferência de dados pessoais e concluir existirem garantias
adequadas relativamente à proteção de dados pessoais. 1. A decisão de transferência
nos termos do n.º 1, alínea b), deve ser adotada por pessoal devidamente
autorizado. Qualquer transferência desse tipo deve fundamentada
mediante documentação, que deve ser disponibilizada à autoridade de controlo, se
solicitada. Artigo 36.º
Derrogações Em derrogação aos
artigos 34.º e 35.º, os Estados-Membros devem prever que uma transferência de
dados pessoais para um país terceiro ou uma organização internacional só pode ser
efetuada: (a) Se for necessária para proteger os
interesses vitais do titular dos dados ou de outra pessoa; ou (b) Se for necessária para proteger os
interesses legítimos do titular dos dados sempre que a legislação do
Estado-Membro que transfere os dados pessoais o preveja; ou (c) Se for essencial para
a prevenção de uma ameaça imediata e grave contra a segurança pública de um
Estado-Membro ou de um país terceiro; ou (d) Se for necessária em casos particulares para efeitos de
prevenção, investigação, deteção e repressão de infrações penais ou de execução
de sanções penais; ou (e) Se for necessária em
casos particulares tendo em vista a confirmação, exercício ou defesa de um
direito no âmbito de um processo judicial relacionado com a prevenção,
investigação, deteção ou repressão de uma infração penal específica ou a
execução de uma sanção penal específica. Artigo 37.º
Condições específicas aplicáveis à transferência de
dados pessoais Os Estados-Membros devem prever que o
responsável pelo tratamento informe o destinatário dos dados pessoais de qualquer
limitação do tratamento e que adote todas as medidas razoáveis a fim de
assegurar que tais limitações sejam respeitadas. Artigo 38.º
Cooperação internacional no domínio da proteção de
dados pessoais 1. Em relação a países terceiros
e a organizações internacionais, a Comissão e os Estados-Membros devem adotar
as medidas necessárias para: (a)
Elaborar mecanismos de cooperação internacionais
eficazes visando facilitar a aplicação da legislação relativa à proteção de
dados pessoais; (b)
Prestar assistência mútua a
nível internacional no domínio da aplicação da legislação de proteção de dados
pessoais, incluindo através da notificação, transmissão das queixas,
assistência na investigação e intercâmbio de informações, sob reserva das
garantias adequadas para a proteção dos dados pessoais e outros direitos e
liberdades fundamentais; (c)
Associar as partes interessadas
relevantes nas discussões e atividades com vista à promoção da cooperação
internacional na aplicação da legislação relativa à proteção de dados pessoais;
(d)
Promover o intercâmbio e a documentação
da legislação e das práticas em matéria de proteção de dados pessoais. 2. Para efeitos da aplicação do
n.º 1, a Comissão deve adotar as medidas necessárias para intensificar as
relações com os países terceiros ou as organizações internacionais e, em
especial, as suas autoridades de controlo, sempre que a Comissão tiver
declarado, mediante decisão, que asseguram um nível de proteção adequado na
aceção do artigo 34.º, n.º 3. CAPÍTULO VI
AUTORIDADES DE CONTROLO INDEPENDENTES SECÇÃO
1
ESTATUTO
INDEPENDENTE Artigo 39.º
Autoridade de controlo 1.
Cada Estado-Membro deve prever que uma ou mais
autoridades públicas sejam responsáveis pela fiscalização da aplicação das
disposições adotadas nos termos da presente diretiva e por contribuir para a
sua aplicação coerente no conjunto da União, a fim de proteger os direitos e
liberdades fundamentais das pessoas singulares relativamente ao tratamento dos
seus dados pessoais e facilitar a livre circulação desses dados na União. Para esse efeito, as autoridades de controlo devem cooperar
entre si e com a Comissão. 2.
Os Estados-Membros podem prever que a autoridade de
controlo instituída nos Estados-Membros em conformidade com o Regulamento
(EU)…./2012 assuma as funções de autoridade de controlo a definir nos termos do
n.º 1 do presente artigo. 3.
Sempre que um Estado-Membro institui várias
autoridades de controlo, deve designar aquela que funciona como ponto de
contacto único tendo em vista uma participação efetiva dessas autoridades no
Comité Europeu para a Proteção de Dados. Artigo 40.º
Independência 1. Os Estados-Membros devem assegurar
que a autoridade de controlo exerça com total independência as funções e poderes
que lhe forem atribuídos. 2. Cada
Estado-Membro deve prever que os membros da autoridade de controlo, no
exercício das suas funções, não solicitam nem recebem instruções de outrem. 3. Os
membros da autoridade de controlo devem abster-se de praticar qualquer ato
incompatível com as suas funções e, durante o seu mandato, não podem desempenhar
qualquer atividade profissional, remunerada ou não. 4. Após
cessarem as suas funções, os membros da autoridade de controlo devem agir com
integridade e discrição relativamente à aceitação de determinadas funções e
benefícios. 5. Cada
Estado-Membro deve assegurar que a autoridade de controlo dispõe de recursos
humanos, técnicos e financeiros apropriados, bem como de instalações e
infraestruturas, necessários à execução eficaz das suas funções e poderes,
incluindo os executados no contexto da assistência mútua, cooperação e
participação ativa no Comité Europeu para a Proteção de Dados. 6 Cada Estado-Membro deve assegurar
que a autoridade de controlo dispõe do seu próprio
pessoal, que é designado pelo diretor da autoridade de controlo e está sujeito
às suas ordens. 7. Os Estados-Membros devem assegurar
que a autoridade de controlo fica sujeita a um
controlo financeiro que não afete a sua independência. Os Estados-Membros
garantem que a autoridade de controlo disponha de orçamentos anuais próprios.
Os orçamentos serão objeto de publicação. Artigo 41.º
Condições gerais aplicáveis aos membros da autoridade
de controlo 1. Os Estados-Membros devem
prever que os membros da autoridade de controlo sejam nomeados pelos respetivos
parlamentos ou governos. 2. Os membros são escolhidos de
entre pessoas que ofereçam todas as garantias de independência e cuja
experiência e conhecimentos técnicos necessários para o exercício das suas
funções seja comprovada. 3. As
funções de um membro cessam findo o termo do seu mandato, demissão ou
destituição, nos termos do n.º 5. 4. Um membro
pode ser declarado demissionário ou privado do seu direito à pensão ou a outros
benefícios equivalentes por decisão de um tribunal nacional competente se
deixar de preencher os requisitos necessários ao exercício das suas funções ou
tiver cometido uma falta grave. 5. Um membro
cujo mandato termine ou que se demita deve continuar a exercer as suas funções
até à nomeação de um novo membro. Artigo 42.º
Regras relativas à constituição da autoridade de
controlo Cada
Estado-Membro deve prever, por via legislativa: (a) A constituição e o estatuto da
autoridade de controlo, nos termos dos artigos 39.º e 40.º; (b) As
qualificações, a experiência e as competências para o exercício das funções de
membro da autoridade de controlo; (c) As regras e os
procedimentos para a nomeação dos membros da autoridade de controlo, bem como
as regras relativas a ações ou atividades profissionais incompatíveis com a
função; (d) A duração do
mandato dos membros da autoridade de controlo, que não pode ser inferior a
quatro anos, salvo no que se refere ao primeiro mandato após a entrada em vigor
da presente diretiva, que pode ter uma duração mais curta; (e) O caráter
renovável ou não do mandato dos membros da autoridade de controlo; (f) O estatuto e as
condições comuns que regulam as funções dos membros e do pessoal da autoridade
de controlo; (g) As regras e os
procedimentos relativos à cessação das funções dos membros da autoridade de
controlo, incluindo quando deixem de preencher os requisitos necessários ao
exercício das suas funções ou se tiverem cometido uma falta grave. Artigo 43.º
Sigilo profissional Os Estados-Membros devem prever que os membros
e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo
mandato e após a sua cessação, à obrigação de sigilo profissional quanto a
quaisquer informações confidenciais a que tenham tido acesso no desempenho das
suas funções oficiais. SECÇÃO
2
FUNÇÕES
E PODERES Artigo 44.º
Competência 1. Os Estados-Membros devem
prever que cada autoridade de controlo exerce, no território do seu
Estado-Membro, os poderes que lhe são conferidos em conformidade com a presente
diretiva. 2. Os
Estados-Membros devem prever que a autoridade de controlo não tem competência
para controlar operações de tratamento efetuadas por
tribunais que atuem no exercício da sua função jurisdicional. Artigo 45.º
Funções 1. Os Estados-Membros devem
prever que incumbe à autoridade de controlo: (a)
Controlar e assegurar a aplicação das disposições
adotadas em conformidade com a presente diretiva e das suas medidas de execução; (b)
Receber as queixas apresentadas
por qualquer titular de dados ou por uma associação que o represente nos termos
do artigo 50.º, examinar a
matéria, na medida do necessário, e informar a pessoa em causa ou a associação
do andamento e do resultado da queixa num prazo razoável, em especial se forem
necessárias operações de investigação ou de coordenação complementares com
outra autoridade de controlo; (c)
Verificar a licitude do
tratamento dos dados nos termos do artigo 14.º, e informar o titular de dados
num período razoável do resultado da verificação ou dos motivos que impediram a
sua realização; (d)
Prestar assistência mútua a
outras autoridades de controlo e assegurar a coerência da aplicação e execução
das disposições adotadas nos termos da presente diretiva; (e)
Conduzir investigações, por sua
própria iniciativa ou com base numa queixa ou a pedido de outra autoridade de
controlo, e informar o titular dos dados, num prazo razoável, do resultado das
operações de investigação; (f)
Acompanhar factos novos
relevantes, na medida em que tenham incidência na proteção de dados pessoais,
particularmente a evolução a nível das tecnologias da informação e das
comunicações e das práticas comerciais; (g)
Ser consultada pelas
instituições e organismos do Estado-Membro quanto a medidas legislativas e
administrativas relacionadas com a proteção dos direitos e liberdades no que
diz respeito ao tratamento de dados pessoais; (h)
Ser consultada sobre as operações
de tratamento nos termos do artigo 26.º; (i)
Participar nas atividades do Comité Europeu para a
Proteção de Dados. 2. Cada autoridade de controlo
deve promover a sensibilização do público sobre os riscos, regras, garantias, e
direitos associados ao tratamento de dados pessoais. As
atividades especificamente dedicadas às crianças devem ser objeto de uma
atenção especial. 3. A autoridade de controlo
deve, a pedido, aconselhar qualquer titular de dados
sobre o exercício dos seus direitos decorrentes da presente diretiva e,
se for caso disso, coopera com as autoridades de controlo de outros
Estados-Membros para esse efeito. 4. No que respeita às queixas
referidas no n.º 1, alínea b), a autoridade de controlo deve fornecer um
formulário de queixa, que possa ser preenchido eletronicamente, sem excluir
outros meios de comunicação. 5. Os Estados-Membros devem
prever que o desempenho das funções da autoridade de controlo é gratuito para o
titular dos dados. 6. Sempre
que os pedidos sejam manifestamente abusivos, particularmente devido ao seu
caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma
taxa, ou não adotar as medidas solicitadas pelo titular dos dados. Incumbe à
autoridade de controlo o ónus de provar o caráter manifestamente abusivo do
pedido. Artigo 46.º
Poderes Os Estados-Membros devem prever que cada
autoridade de controlo esteja habilitada a exercer os seguintes poderes: (a) Poder de investigação, nomeadamente aceder
aos dados objeto de tratamento e recolher todas as informações necessárias ao desempenho
das suas funções de controlo; (b) Poder efetivo de intervenção, nomeadamente
emitir pareceres previamente ao tratamento de dados e assegurar a publicação
adequada desses pareceres, ordenar a limitação, o apagamento ou a destruição
dos dados, proibir temporária ou definitivamente um tratamento, dirigir uma
advertência ou uma admoestação ao responsável pelo tratamento ou remeter a
questão para os parlamentos nacionais ou para outras instituições políticas; (c) Poder de intervir em
processos judiciais em caso de violação das disposições nacionais adotadas em
aplicação da presente diretiva ou de levar essa violação ao conhecimento das
autoridades judiciais. Artigo 47.º
Relatório de atividades Os Estados-Membros devem prever que cada
autoridade de controlo elabore um relatório anual de atividades. O relatório é disponibilizado à Comissão e ao Comité
Europeu para a Proteção de Dados. CAPÍTULO VII
COOPERAÇÃO Artigo 48.º
Assistência mútua 1. Os Estados-Membros devem
prever que as autoridades de controlo prestem entre si assistência mútua, a fim
de executar e aplicar de forma coerente as disposições adotadas em conformidade
com a presente diretiva, e que ponham em prática medidas para cooperar
eficazmente entre si. A assistência mútua deve cobrir,
em especial, pedidos de informação e de medidas de controlo, tais como pedidos
de consulta prévia, de inspeção e de investigação. 2. Os
Estados-Membros devem prever que a autoridade de controlo adote todas as
medidas adequadas necessárias para satisfazer o pedido de outra autoridade de
controlo. 3. A autoridade de controlo
requerida deve informar a autoridade de controlo requerente dos resultados obtidos
ou, consoante o caso, do andamento do dossiê ou das medidas adotadas para
satisfazer o pedido da autoridade de controlo requerente. Artigo 49.º
Atribuições do Comité Europeu para a Proteção de Dados 1. O Comité Europeu para a
Proteção de Dados, instituído pelo Regulamento (UE)…./2012, exerce as seguintes
atribuições no que diz respeito ao tratamento de dados no âmbito de aplicação da
presente diretiva: (a)
Aconselhar a Comissão sobre qualquer questão
relacionada com a proteção de dados pessoais na UE, nomeadamente sobre qualquer
projeto de alteração da presente diretiva; (b)
Analisar, a pedido da Comissão ou por sua própria
iniciativa ou por iniciativa de um dos seus membros, qualquer
questão relativa à aplicação das disposições adotadas nos termos da
presente diretiva e emitir diretrizes, recomendações
e boas práticas destinadas às autoridades de controlo, a fim de incentivar a
aplicação coerente dessas disposições; (c)
Examinar a aplicação prática
das diretrizes, recomendações e boas práticas referidas na alínea b) e informar
regularmente a Comissão sobre esta matéria; (d)
Comunicar à Comissão um parecer
sobre a o nível de proteção assegurado por países terceiros ou por organizações
internacionais; (e)
Promover a cooperação e o
intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as
autoridades de controlo; (f)
Promover programas de formação
comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo,
bem como com as autoridades de controlo de países terceiros ou de organizações
internacionais, se for caso disso; (g)
Promover o intercâmbio de
conhecimentos e de documentação em relação a práticas e legislação no domínio
da proteção de dados com autoridades de controlo de todos os países. 2. Sempre que a Comissão consultar o Comité
Europeu para a Proteção de Dados, pode fixar um prazo para a formulação do
referido parecer, tendo em conta a urgência da questão. 3. O Comité
Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes e boas
práticas à Comissão e ao comité referido no artigo 57.º, n.º 1, e procede à sua publicação. 4. A
Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas
em sequência de pareceres, diretrizes, recomendações e boas práticas, emitidos
pelo referido comité. CAPÍTULO VIII
VIAS
DE RECURSO,
RESPONSABILIDADE E SANÇÕES Artigo 50.º
Direito de apresentar uma queixa a uma autoridade de
controlo 1. Sem prejuízo de qualquer
outra via de recurso administrativo ou judicial, os Estados‑Membros devem
prever que qualquer titular de dados tem o direito de apresentar queixa a uma
autoridade de controlo em qualquer Estado-Membro se considerar que o tratamento
dos seus dados pessoais não respeita as disposições adotadas nos termos da
presente diretiva. 2. Os Estados-Membros devem prever que qualquer organismo, organização
ou associação que vise proteger os direitos e interesses dos titulares de dados
em relação à proteção dos seus dados pessoais e que esteja devidamente
constituído ao abrigo do direito de um Estado-Membro, tem o direito de
apresentar queixa a uma autoridade de controlo em qualquer Estado‑Membro
por conta de uma ou mais pessoas em causa, se considerar que os direitos de que
beneficia um titular de dados por força da presente diretiva foram violados na
sequência do tratamento dos seus dados pessoais. A
organização ou associação tem de ser devidamente mandatada pelo(s) titular(es) de
dados. 3. Os Estados-Membros devem prever que qualquer organismo,
organização ou associação referidos no n.º 2, independentemente de uma queixa
do titular dos dados, pode apresentar uma queixa a uma autoridade de controlo
em qualquer Estado‑Membro, se considerar ter havido uma violação de dados
pessoais. Artigo 51.º
Direito de ação judicial
contra uma autoridade de controlo 1.
Os Estados-Membros devem prever o direito de ação
judicial contra as decisões de uma autoridade de controlo. 2.
Qualquer titular de dados tem o
direito de ação judicial a fim de obrigar a autoridade de controlo a dar
seguimento a uma queixa, na falta de uma decisão necessária para proteger os
seus direitos, ou se a autoridade de controlo não informar a pessoa em causa,
no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos
termos do artigo 45.º, n.º 1. 3.
Os Estados-Membros devem prever
que as ações contra uma autoridade de controlo são intentadas nos tribunais do
Estado-Membro no território do qual se encontra estabelecida a autoridade de
controlo. Artigo 52.º
Direito de ação judicial contra um responsável pelo
tratamento ou um subcontratante Os Estados-Membros devem prever que, sem prejuízo
de um eventual recurso administrativo disponível, nomeadamente o direito de
apresentar queixa a uma autoridade de controlo, qualquer pessoa singular tem o
direito de ação judicial se considerar ter havido violação dos direitos que lhe
confere a presente diretiva, na sequência do tratamento dos seus dados pessoais
efetuado em violação das disposições da referida diretiva. Artigo 53.º
Regras comuns aplicáveis aos processos judiciais 1. Os Estados-Membros devem
prever que qualquer organismo, organização ou associação referido no artigo
50.º, n.º 2, pode exercer os direitos referidos nos artigos 51.º e 52.º, por
conta de um ou mais titulares de dados. 2. Cada
autoridade de controlo pode intervir em processos judiciais e intentar uma ação
em tribunal a fim de fazer respeitar as disposições adotadas em conformidade
com a presente diretiva ou assegurar a coerência da proteção de dados pessoais na
União. 3. Os
Estados-Membros devem assegurar que quaisquer vias judiciais disponíveis no
direito nacional permitam a adoção rápida de medidas, incluindo medidas provisórias,
visando fazer cessar qualquer alegada violação e prevenir qualquer novo
prejuízo contra os interesses envolvidos. Artigo 54.º
Responsabilidade e direito a indemnização 1. Os Estados-Membros devem
prever que qualquer pessoa que tenha sofrido um prejuízo devido ao tratamento ilícito
ou outro ato incompatível com as disposições adotadas nos termos da presente
diretiva tem o direito de receber uma indemnização do responsável pelo
tratamento ou do subcontratante pelo prejuízo sofrido. 2. Sempre
que vários responsáveis pelo tratamento ou subcontratantes estiverem envolvidos
no tratamento de dados, cada um deles é conjunta e solidariamente responsável
pelo montante total dos danos. 3. O
responsável pelo tratamento ou o subcontratante pode ser exonerado dessa
responsabilidade, total ou parcialmente, se provar que o
facto que causou o dano não lhe é imputável. Artigo 55.º
Sanções Os Estados-Membros devem prever as disposições
relativas às sanções aplicáveis às violações das disposições adotadas nos termos
da presente diretiva e adotar todas as medidas necessárias para assegurar a sua
aplicação. As sanções previstas devem ser eficazes,
proporcionadas e dissuasivas. CAPÍTULO IX
ATOS DELEGADOS E ATOS DE EXECUÇÃO Artigo 56.º
Exercício de delegação 1. É conferido à Comissão o
poder de adotar atos delegados, sob reserva das condições estabelecidas no
presente artigo. 2. A delegação de poderes a que
se refere o artigo 28.º, n.º 5, é conferida à Comissão por um período
indeterminado a contar da data de entrada em vigor da presente diretiva. 3. A delegação de poderes a que se refere o artigo 28.º, n.º 5
pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes
nela especificados. A revogação produz efeitos no dia seguinte ao da sua
publicação no Jornal Oficial da União Europeia ou numa data posterior
nela especificada. A decisão de revogação não prejudica a validade dos atos
delegados já em vigor. 4. Logo que adote um ato delegado, a Comissão notifica-o
simultaneamente ao Parlamento Europeu e ao Conselho. 5. Um ato delegado adotado em
conformidade com o artigo 28.º, n.º 5, só pode entrar em vigor se não forem
formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois
meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho ou
se, antes do termo do referido prazo, o Parlamento Europeu e o Conselho tiverem
informado a Comissão de que não pretendem formular objeções. Esse prazo é prorrogável por dois meses por iniciativa do
Parlamento Europeu ou do Conselho. Artigo 57.º
Procedimento de comité 1.
A Comissão é assistida por um comité. Esse comité é
um comité na aceção do Regulamento (UE) n.º 182/2011. 2.
Sempre que se faça referência ao presente número, é
aplicável o artigo 5.º do Regulamento (UE) n.º 182/2011. 3.
Sempre que se faça referência ao presente número, é
aplicável o artigo 8.º do Regulamento (UE) n.º 182/2011, conjugado com o seu artigo
5.º. CAPÍTULO X
DISPOSIÇÕES FINAIS Artigo 58.º
Revogações 1. É revogada a Decisão-Quadro
2008/977/JAI do Conselho. 2. As referências à decisão-quadro revogada, referida no n.º 1, são
consideradas referências à presente diretiva. Artigo 59.º
Relação com atos da União Europeia adotados
anteriormente no domínio da cooperação judiciária em matéria penal e da
cooperação policial As disposições específicas para a proteção de
dados pessoais no que respeita ao tratamento desses dados pelas autoridades
competentes para efeitos de prevenção, investigação,
deteção e repressão de infrações penais ou de execução de sanções penais, previstas
nos atos da União Europeia adotados antes da data de
adoção da presente diretiva que regulam o tratamento de dados pessoais entre os
Estados-Membros e o acesso das autoridades dos Estados‑Membros designadas
aos sistemas informáticos criados por força dos Tratados, no âmbito da presente
diretiva, continuam inalteradas. Artigo 60.º
Relação com acordos internacionais concluídos
anteriormente no domínio da cooperação judiciária em matéria penal e da
cooperação policial. Os acordos internacionais concluídos pelos
Estados-Membros antes da entrada em vigor da presente diretiva são alterados,
sempre que necessário, no prazo de cinco anos a contar da sua entrada em vigor. Artigo 61.º
Avaliação 1. A Comissão deve avaliar a
aplicação da presente diretiva. 2. A
Comissão deve proceder ao reexame, no prazo de três anos a contar da entrada em
vigor da presente diretiva, de outros atos adotados pela União Europeia que
regulam o tratamento de dados pessoais pelas autoridades competentes para
efeitos de prevenção, investigação, deteção e repressão de
infrações penais ou de execução de sanções penais, em
especial os atos adotados pela União que são mencionados no artigo 59.º, a fim
de avaliar a necessidade de os harmonizar com a presente diretiva e apresentar,
se for caso disso, as propostas necessárias à alteração desses atos de forma a assegurar
uma abordagem coerente da proteção de dados pessoais no âmbito da presente
diretiva. 3. A Comissão apresenta
periodicamente ao Parlamento Europeu e ao Conselho relatórios sobre a avaliação
e reexame da presente diretiva nos termos do n.º 1. O
primeiro relatório deve ser apresentado o mais tardar quatro anos após a
entrada em vigor da presente diretiva. Os relatórios subsequentes devem ser
apresentados com uma periodicidade de quatro anos. A Comissão apresentará, se
necessário, propostas adequadas com vista à alteração da presente diretiva e à harmonização
de outros instrumentos jurídicos. O relatório é objeto de publicação. Artigo 62.º
Transposição 1. Os Estados-Membros devem adotar
e publicar, até [data/dois anos após a entrada em vigor], as disposições
legislativas, regulamentares e administrativas necessárias para dar cumprimento
à presente diretiva. Os Estados-Membros devem comunicar
imediatamente à Comissão o texto dessas disposições. Os Estados-Membros devem aplicar as referidas disposições
a partir de xx.xx.201x [data/dois anos após a entrada em vigor]. As disposições adotadas pelos
Estados-Membros devem fazer referência à presente diretiva ou ser acompanhadas
dessa referência aquando da sua publicação oficial. As modalidades da
referência são estabelecidas pelos Estados‑Membros. 2. Os Estados-Membros devem
comunicar à Comissão o texto das principais disposições de direito interno que
adotarem no domínio abrangido pela presente diretiva. Artigo 63.º
Entrada em vigor e
aplicação A presente diretiva entra em vigor no primeiro
dia seguinte ao da sua publicação no Jornal Oficial da União Europeia. Artigo 64.º
Destinatários Os
destinatários da presente diretiva são os Estados-Membros. Feito em Bruxelas, em 25.1.2012 Pelo Parlamento Europeu Pelo
Conselho O Presidente O
Presidente [1] Diretiva 95/46/CE do Parlamento Europeu e do Conselho,
de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados, JO
L 281 de 23.11.1995, p. 31. [2] Ver a lista completa no Anexo 3 da avaliação de impacto
[SEC(2012) 72]. [3] Decisão-Quadro 2008/977/JAI do Conselho, de 27 de
novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da
cooperação policial e judiciária em matéria penal, JO L 350 de 30.12.2008, p.
60 (a seguir designada «decisão-quadro»). [4] «O Programa de Estocolmo - Uma Europa aberta e segura
que sirva e proteja os cidadãos», JO C 115 de 4.5.2010, p. 1. [5] Ver a Resolução do Parlamento Europeu, de 25 de novembro
de 2009, relativa à Comunicação da Comissão ao Parlamento Europeu e ao Conselho
– Um espaço de liberdade, segurança e justiça ao serviço dos cidadãos –
Programa de Estocolmo (P7_TA (2009)0090). [6] COM(2010) 171 final. [7] Comissão Europeia, Comunicação sobre «Uma abordagem
global da proteção de dados pessoais na União Europeia», COM(2010) 609 final de
4 de novembro de 2010. [8] Declaração 21 sobre a proteção de dados pessoais no
domínio da cooperação judiciária em matéria penal e da cooperação policial
(anexada à Ata Final da Conferência Intergovernamental que adotou o Tratado de
Lisboa, de 13.12.2007). [9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [11] Eurobarómetro Especial (EB)
359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.. [12] Ver o estudo sobre os benefícios económicos das
tecnologias de proteção da privacidade ou o estudo comparativo sobre as
abordagens diferentes relativamente a novos desafios em matéria de privacidade,
em espacial à luz dos desenvolvimentos tecnológicos, janeiro de 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[13] O Grupo de Trabalho do artigo 29.º foi criado em 1996 (por
força do artigo 29.º da Diretiva). Tem natureza consultiva e é composto por
representantes das autoridades nacionais de controlo em matéria de proteção de
dados, da Autoridade Europeia para a Proteção de Dados (AEPD) e da Comissão.
Para mais informações sobre as suas atividades, consultar http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [14] Consultar, em especial, os seguintes pareceres: relativo
ao «Futuro da Privacidade» (2009, WP 168); relativo aos conceitos de
«responsável pelo tratamento» e «subcontratante» (1/2010, WP 169); relativo a
publicidade comportamental em linha (2/2010, WP 171); relativo ao princípio da
responsabilidade (3/2010, WP 173); relativo à legislação aplicável (8/2010, WP
179); e relativo ao consentimento (15/2011, WP 187). A pedido da Comissão,
adotou também os três documentos seguintes sobre, notificações, dados sensíveis
e execução prática do artigo 28.º, n.º 6, da Diretiva 95/46/CE. Estes
documentos podem ser consultados em: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. [15] Disponível no sítio web da AEPD: http://www.edps.europa.eu/EDPSWEB/. [16] Resolução do PE, de 6 de julho de 2011, relativa a uma
abordagem global sobre a proteção dos dados pessoais na União Europeia
(2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(relator: DPE Axel Voss (PPE/DE). [17] CESE 999/2011. [18] SEC(2012) 72. [19] COM(2012) 12. [20] Tribunal de Justiça da UE, acórdão de 9.11.2010 nos
processos apensos C-92/09 e C‑93/09, Volker e Markus Schecke, Coletânia
2010, p. I‑0000. [21] Nos termos do artigo 52.º, n.º 1, da Carta, podem ser
impostas restrições ao exercício do direito à proteção de dados, desde que as
restrições sejam estipuladas por lei, respeitem a essência do direito e das
liberdades e, sem prejuízo do princípio da proporcionalidade, sejam necessárias
e cumpram genuinamente objetivos de interesse geral reconhecidos pela União
Europeia ou a necessidade de assegurar os direitos e liberdades de terceiros. [22] A que se refere também o artigo 2.º, alínea a), da
Diretiva 2011/92/UE, do Parlamento Europeu e do Conselho, de 13 de dezembro de
2011, relativa à luta contra o abuso sexual e a exploração sexual de crianças e
a pornografia infantil, e que substitui a Decisão-Quadro 2004/68/JAI do
Conselho, JO L 335 de 17.12.2011, p. 1. [23] COM (2005) 475 final [24] Artigo 14.º da Decisão 2009/371/JAI da Europol. [25] Artigo 15.º da Decisão 2009/426/JAI da Eurojust. [26] Artigo 14.º da Decisão 2009/371/JAI da Europol. [27] Acórdão do TEDH de 4.12.2008, S. e Marper/UK (pedidos n.os 30562/04 e
30566/04). [28] Adotada pela Conferência internacional dos comissários
para a proteção de dados e da vida privada em 5.11.2009. [29] Tribunal de Justiça da União Europeia, acórdão de 9 de
março de 2010 no processo C-518/07, Comissão/Alemanha (Coletânea 2010, p.
I-1885). [30] Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do
Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares
relativamente ao tratamento de dados pessoais pelas instituições e organismos
comunitários e sobre a livre circulação desses dados; JO L 8 de 12.1.2001, p. 1. [31] Cit. nota de pé de página 27. [32] Diretiva 2000/31/CE do Parlamento Europeu e do Conselho,
de 8 de junho de 2000, relativa a certos aspetos legais dos serviços da
sociedade de informação, em especial do comércio eletrónico, no mercado interno
(«Diretiva relativa ao comércio eletrónico»); JO L 178 de 17.7.2000, p. 1. [33] JO C , , p. . [34] JO L 281 de 23.11.1995, p. 31. [35] JO L 350 de 30.12.2008, p. 60. [36] JO L 55 de 28.2.2011, p. 13. [37] JO L 335 de 17.12.2011, p. 1. [38] JO L 176 de 10.7.1999, p. 36. [39] JO L 53 de 27.2.2008, p. 52. [40] JO L 160 de 18.6.2011, p. 19.