Parecer do Comité Económico e Social Europeu sobre a «Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões: Uma abordagem global da protecção de dados pessoais na União Europeia»

Em 4 de Novembro de 2010, a Comissão Europeia decidiu, nos termos do artigo 304.o do Tratado sobre o Funcionamento da União Europeia, consultar o Comité Económico e Social Europeu sobre a

Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões –«Uma abordagem global da protecção de dados pessoais na União Europeia»

Foi incumbida da preparação dos correspondentes trabalhos a Secção Especializada de Emprego, Assuntos Sociais e Cidadania, que emitiu parecer em 27 de Maio de 2011.

Na 472.a reunião plenária de 15 e 16 de Junho de 2011 (sessão de 16 de Junho), o Comité Económico e Social Europeu adoptou, por 155 votos a favor, 9 votos contra e 12 abstenções, o seguinte parecer:

1.1 A legislação da União Europeia em matéria de protecção de dados baseia-se na Directiva 95/46/CE, que tinha os seguintes dois objectivos:

É essencial um equilíbrio entre estes dois objectivos, para que não entrem em conflito. Qualquer nova legislação deverá criar um enquadramento jurídico que contribua para a consecução ambos.

1.2 O CESE congratula-se com a comunicação em apreço, que apresenta a abordagem da Comissão relativamente à actualização da Directiva 95/46/CE referente à protecção dos dados. O desenvolvimento vertiginoso de novas tecnologias está a causar um aumento exponencial do volume de dados processados em linha, o que requer um reforço paralelo da protecção dos dados pessoais, para evitar intrusões em larga escala na privacidade de cada um. A recolha, cruzamento e gestão dos dados provenientes de várias fontes devem ser cuidadosamente circunscritos. O sector público dispõe de vários ficheiros sobre aspectos da relação entre os cidadãos e o Estado. Os dados recolhidos devem limitar-se ao mínimo necessário para cada objectivo e deverá ser proibido reuni-los todos numa única base de dados do tipo «big brother».

1.3 Ao mesmo tempo, o CESE recomenda prudência. A legislação que regula a actividade empresarial deve manter-se estável e previsível. O CESE apoia, por conseguinte, uma revisão apropriada da directiva relativa à protecção dos dados.

1.4 A comunicação reconhece que uma das principais preocupações recorrentes das partes interessadas, e em particular das empresas multinacionais, é a insuficiente harmonização das legislações dos Estados-Membros em matéria de protecção de dados, apesar da existência de um quadro jurídico comum da UE. O CESE propõe que a nova legislação assegure uma protecção mais consistente dos dados pessoais dos trabalhadores em toda a UE, com um enquadramento europeu que reforce a clareza e a segurança jurídicas. Neste sentido, o CESE acolhe com particular satisfação a intenção de tornar obrigatória a nomeação de um responsável pela protecção de dados independente e de harmonizar as normas relativas às suas funções e competências.

1.5 Dado o possível conflito entre a privacidade das pessoas e a exploração comercial dos seus dados e tendo em conta a importância do que está em jogo, importa que as pessoas estejam mais bem informadas sobre os fins para os quais os seus dados são recolhidos e sobre o poder de que dispõem para controlar essa informação depois de reunida. Assim, o CESE considera que uma aplicação eficaz e a possibilidade efectiva de recurso são indispensáveis para que este projecto seja verdadeiramente «global». Além disso, haverá que incluir a dimensão transfronteiriça.

1.6 No que respeita aos cidadãos da UE, a legislação aplicável na União Europeia deverá ser a do Estado-Membro do responsável pelo tratamento dos dados, independentemente do local onde estes estão armazenados. No que diz respeito a pessoas vulneráveis, em especial os trabalhadores e os consumidores, deve ser aplicável a legislação em matéria de protecção dos dados pessoais em vigor no seu local de residência habitual.

1.7 A referência às crianças é demasiado superficial. É necessária uma atenção particular às questões da privacidade relacionadas com crianças. O «direito a ser esquecido» permitirá apagar o registo de disparates infantis ou de pequenos delitos cometidos na adolescência, mas pode não ser realizável na prática.

1.8 É preciso esclarecer a actual definição de dados sensíveis face à contínua expansão das categorias de dados electrónicos sobre as pessoas. A utilização generalizada e indiscriminada de câmaras de vigilância é um motivo de preocupação para o CESE. É essencial aplicar a legislação que limita a utilização indevida destas imagens. Os dados obtidos através do sistema GPRS relativos à localização de pessoas constituem outra questão controversa. A recolha de dados biométricos é cada vez mais frequente. A definição de dados sensíveis deverá incluir estas novas tecnologias e metodologias e ter em conta novos desenvolvimentos tecnológicos. Poderá ser necessário estabelecer princípios em função dos contextos. O CESE é a favor de uma utilização adequada destas novas tecnologias.

1.9 Embora reconhecendo que a cooperação policial entre Estados é uma questão delicada, o CESE considera essencial que os direitos fundamentais, incluindo a protecção dos dados pessoais, sejam sempre objecto do máximo cuidado.

1.10 Apoia o propósito geral da Comissão de garantir uma aplicação mais coerente das normas da UE em matéria de protecção de dados em todos os Estados-Membros. Preocupa-o, no entanto, o facto de possivelmente nem todos os 12 novos Estados-Membros terem ainda concluído a plena e efectiva transposição da Directiva 95/46/CE.

1.11 Na opinião do CESE, as autoridades nacionais de protecção de dados carecem em geral de eficácia e estão sobrecarregadas de trabalho, sendo necessário reforçar a sua independência. Qualquer nova directiva deverá prever que as autoridades nacionais disponham do estatuto, da autoridade e dos recursos necessários para levar a cabo a sua tarefa.

1.12 Com base nos contributos que deu até à data para a protecção das pessoas no que se refere ao tratamento dos seus dados pessoais, o CESE considera que o Grupo de Trabalho do Artigo 29.o tem uma valiosa função a cumprir.

1.13 No contexto da Agenda Digital da UE, o CESE solicita à Comissão que pondere a criação de uma autoridade da União Europeia para examinar as ramificações mais vastas da Internet na sociedade num período de 10 a 20 anos. As actuais disposições para a segurança dos dados pessoais e para a cibersegurança estão a tornar-se cada vez mais desadequadas. A sociedade está a tentar recuperar o atraso. No âmbito da protecção dos dados, o CESE recomenda a nomeação de uma autoridade europeia para a protecção de dados com competências para actuar em toda a UE. A actual Autoridade Europeia só actua no âmbito das instituições da UE. É necessária uma autoridade responsável pela coordenação entre Estados-Membros e pelas normas de funcionamento, se bem que essa nomeação abrangeria só uma parte das competências da autoridade mais ampla que o Comité preconiza.

2.1 O CESE continua a apoiar os princípios em que se baseia a Directiva de 1995. Apresentam-se a seguir alguns excertos avulsos simplificados do texto da directiva, que expõem com clareza os princípios em causa:

2.2 As circunstâncias mudaram significativamente na última década, com novas disposições introduzidas no artigo 16.o do Tratado de Lisboa e no artigo 8.o da Carta dos Direitos Fundamentais.

2.3 A comunicação em apreço visa definir a abordagem da Comissão para modernizar o sistema jurídico da UE em matéria de protecção de dados em todos os sectores de actividade da União, tendo particularmente em conta os desafios resultantes da globalização e das novas tecnologias, de modo a continuar a garantir um elevado nível de protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais em todos os domínios de actividade da União.

2.4 Hoje em dia, o intercâmbio de informações a nível mundial é mais fácil e mais rápido. Por exemplo, os dados pessoais de alguém – correio electrónico, fotografias e agendas electrónicas – podem ser criados no Reino Unido utilizando software localizado na Alemanha, processados na Índia, armazenados na Polónia e consultados em Espanha por um cidadão italiano. Este rápido aumento dos fluxos de informação no mundo inteiro constitui um enorme desafio ao direito dos cidadãos à privacidade dos dados pessoais. As questões relativas à protecção dos dados, incluindo a sua dimensão transfronteiriça, estão presentes no quotidiano das pessoas – no trabalho, nas relações com autoridades públicas, quando adquirem bens ou serviços, quando viajam ou quando navegam na Internet.

2.5 Em 2011, a Comissão apresentará propostas legislativas de revisão do quadro jurídico da protecção de dados, no intuito de reforçar a posição da UE em matéria de protecção dos dados pessoais no contexto de todas as políticas da União – incluindo a aplicação da lei e a prevenção da criminalidade, atendendo às especificidades destes domínios. Paralelamente serão empreendidas medidas não legislativas, como a promoção da auto-regulação e o estudo da viabilidade de rótulos europeus de protecção da privacidade.

2.6 A Comissão continuará também a garantir o acompanhamento adequado da correcta aplicação do Direito da UE neste domínio, prosseguindo uma política de repressão das infracções sempre que as normas de protecção de dados da UE não forem correctamente implementadas e aplicadas.

2.7 A abordagem global da protecção de dados tem os seguintes objectivos principais:

Os pontos 3 a 7 infra resumem estes objectivos e expõem a perspectiva do CESE sobre as propostas. Os títulos em negrito seguem a estrutura da comunicação. O texto em itálico é uma sinopse das propostas.

A Carta dos Direitos Fundamentais inclui o direito à protecção dos dados pessoais. A definição de «dados pessoais» engloba todas as informações relativas a uma pessoa identificada ou identificável. Será ponderada a melhor forma de garantir a aplicação coerente das normas de protecção de dados, tendo em consideração o impacto das novas tecnologias nos direitos e liberdades das pessoas, e de alcançar o objectivo de garantir a livre circulação de pessoas no mercado interno.

3.1.1 A livre circulação de dados pessoais no mercado interno é necessária para o bom funcionamento deste mercado, mas constitui uma ameaça potencial à privacidade dos dados que as empresas detêm sobre os seus trabalhadores. São necessárias salvaguardas específicas, como a obrigação dos responsáveis pelo tratamento de dados de prestarem contas quanto à troca internacional de dados e a utilização da encriptação para os dados mais sensíveis.

3.1.2 O Comité sublinha que o sector do emprego está excluído, em maior ou menor medida, não só da actual comunicação, mas também do debate geral sobre a protecção de dados na Europa. O trabalho já realizado a nível europeu deve ser utilizado como ponto de partida, especialmente as propostas apresentadas pelo Grupo de Trabalho do Artigo 29.o.

A transparência é uma condição fundamental para que as pessoas possam exercer o controlo sobre os seus próprios dados e para garantir a protecção efectiva dos dados pessoais. Será ponderada a introdução de um princípio geral de tratamento transparente, de obrigações específicas dos responsáveis pelo tratamento dos dados, sobretudo no que diz respeito aos menores, de avisos de privacidade normalizados e de uma notificação obrigatória em caso de violação de dados pessoais.

3.2.1 São preferíveis avisos normalizados, uma vez que evitam conflitos de interesses. A utilização destes avisos deverá ser voluntária.

3.2.2 A transparência não resolve necessariamente o problema das cláusulas contratuais unilaterais. É importante elaborar regras mais rigorosas para criar uma protecção mais eficaz contra cláusulas injustas.

3.2.3 A referência às crianças é demasiado superficial. É necessária uma atenção particular às questões da privacidade relacionadas com crianças. O «direito a ser esquecido» permitirá apagar o registo de disparates infantis ou de pequenos delitos cometidos na adolescência, mas pode não ser realizável na prática. (ver ponto 3.3.2)

3.2.4 A nova legislação deve esclarecer o papel do responsável pelo processamento dos dados e do responsável pelo registo, para que não haja confusão quanto à identidade e às obrigações e direitos de cada um.

3.2.5 O CESE apoia a proposta de notificação obrigatória das violações de dados pessoais, mas crê que talvez não possa ser aplicável a todas as situações, em todos os sectores e em todas as circunstâncias.

Há duas condições prévias importantes: a limitação da actuação do responsável pelo tratamento dos dados às finalidades a atingir (princípio da minimização dos dados) e a manutenção de um controlo efectivo das pessoas sobre os dados que lhes dizem respeito. Serão analisadas formas de reforçar o princípio da minimização dos dados, melhorar as condições para o exercício dos direitos de acesso, rectificação, supressão ou bloqueamento de dados, clarificar o chamado «direito a ser esquecido» e garantir o direito explícito à portabilidade dos dados.

3.3.1 De modo geral, o CESE apoia todas as medidas destinadas a melhorar a vida privada. As pessoas devem ter o direito de aceder livremente a todos os dados recolhidos a seu respeito. Um exemplo disso poderia ser o livre acesso aos dados respeitantes às responsabilidades de crédito. A retirada do consentimento sem necessidade de justificação e o direito efectivo a ser esquecido são fundamentais, mas a privacidade estaria mais protegida se, logo à partida, não fossem recolhidos tantos dados. Nesta perspectiva, o CESE insta a Comissão a dar efectivo seguimento à proposta de reforçar o princípio da minimização dos dados.

3.3.2 Embora o direito a ser esquecido seja um conceito aliciante, será difícil realizá-lo, dada a natureza viral dos dados na Internet e as tecnologias que apagam dados mas não os esquecem.

Devem incentivar-se acções de sensibilização, incluindo o fornecimento de informações claras em sítios Web, explicitando com precisão quais os direitos das pessoas a que os dados se referem e as responsabilidades dos responsáveis pelo tratamento. A falta de sensibilização dos jovens constitui uma preocupação especial.

3.4.1 Será difícil conseguir as necessárias alterações de comportamento, especialmente dado que o rápido desenvolvimento das redes sociais não foi acompanhado por uma maior sensibilização dos utilizadores para as implicações do grande volume de dados pessoais que elas favorecem. Embora, em princípio, fosse positivo que houvesse avisos de sensibilização obrigatórios em todos os serviços de Internet, estes poderiam ser problemáticos para as empresas. Deveria ser ponderada a introdução de protocolos de sensibilização por categoria de serviço – comércio electrónico, fornecedores de serviços Internet, motores de busca, redes sociais, etc.

3.4.2 O CESE acolhe favoravelmente a intenção da Comissão de oferecer apoio financeiro da UE a actividades de sensibilização e gostaria que esse apoio fosse alargado de modo a abranger o co-financiamento de actividades de sensibilização levadas a cabo pelos parceiros sociais e pelas organizações da sociedade civil a nível europeu e nacional.

A Comissão irá analisar meios de clarificar e reforçar as normas que regem o consentimento.

3.5.1 Os tipos de consentimento necessários devem continuar a depender da natureza dos dados a serem processados e não do tipo de tecnologia utilizada. Todavia, o CESE manifesta preocupação pelo facto de, na maioria dos casos, quando o consentimento é dado por Internet, não ser fornecida qualquer confirmação desse acordo, nem existirem mecanismos eficazes para registar a retirada do consentimento. Por outro lado, a aceitação pode consistir em clicar num botão para aceitar páginas e páginas de condições, entre as quais o consentimento pode ser um elemento secundário. Para ser válido, específico e dado com conhecimento de causa, faria sentido que o consentimento relativo ao controlo dos dados constituísse um documento simples e separado.

3.5.2 O processamento de informação de carácter pessoal é essencial para as organizações e empresas que desenvolvem a sua actividade na Internet. A opção por defeito é claramente vantajosa para o operador, mas pode trazer desvantagens ao cliente se não for correctamente aplicada. A sua utilização deveria ser circunscrita, de modo a obrigar todos os operadores a oferecer, por defeito, a protecção da vida privada aos seus clientes, se estes assim o desejarem.

3.5.3 Para se poder dar o consentimento livremente, o contrato deve também ser justo. É necessário estabelecer princípios para evitar práticas comerciais abusivas.

Será ponderada a ampliação da definição de «dados sensíveis» de modo a incluir, por exemplo, os dados genéticos, assim como uma maior harmonização das condições necessárias para o tratamento de dados sensíveis.

3.6.1 É preciso esclarecer a actual definição de dados sensíveis face à contínua expansão das categorias de dados electrónicos sobre as pessoas. A utilização generalizada e indiscriminada de câmaras de vigilância é um motivo de preocupação para o CESE. É essencial aplicar a legislação que limita a utilização indevida destas imagens. Os dados obtidos através do sistema GPRS relativos à localização de pessoas constituem outra questão controversa. A recolha de dados biométricos é cada vez mais frequente. A definição de dados sensíveis deve incluir estas novas tecnologias e metodologias e ter em conta novos desenvolvimentos tecnológicos. Poderá ser necessário estabelecer princípios em função dos contextos. O CESE é a favor de uma utilização adequada destas novas tecnologias.

3.6.2 Importa também prever-se uma maior protecção para os dados sensíveis, devendo a encriptação ser obrigatória para determinados dados sensíveis. Devem aplicar-se as melhores tecnologias disponíveis. Os responsáveis pelo tratamento de dados devem responder pelas falhas de segurança.

Será ponderada a possibilidade de ampliar os poderes para instaurar acções nos tribunais nacionais e a eventual inclusão de sanções penais aplicáveis aos casos de violações graves.

3.7.1 Dado o possível conflito entre a privacidade das pessoas e a exploração comercial dos seus dados e tendo em conta a importância do que está em jogo, importa que as pessoas estejam mais bem informadas sobre os fins para os quais os seus dados são recolhidos e sobre o poder de que dispõem para controlar essa informação depois de reunida. Assim, o CESE considera que uma aplicação eficaz e a possibilidade efectiva de recurso são indispensáveis para que este projecto seja verdadeiramente «global». Além disso, haverá que incluir a dimensão transfronteiriça.

3.7.2 Deve ponderar-se o recurso colectivo como solução em casos de violações graves das normas de protecção. Deve estudar-se também a possibilidade de as associações empresariais, as organizações profissionais e os sindicatos representarem as pessoas e intentarem acção judicial.

4.1 Aumentar a segurança jurídica e assegurar a igualdade de condições para os responsáveis pelo tratamento dos dados

A protecção de dados na UE tem uma forte vertente relativa ao mercado interno. Serão analisados os meios de conseguir maior harmonização das normas de protecção de dados a nível da UE.

4.1.1 O CESE receia que a margem de decisão conferida aos Estados-Membros, pela Directiva 95/46/CE tenha criado um problema de aplicação. Um regulamento poderia ter proporcionado maior segurança neste contexto. A harmonização deveria fazer-se com base num corpus de normas suficientes para satisfazer os requisitos da directiva.

4.1.2 Não existe, em todo o texto da comunicação, qualquer referência aos trabalhadores nem ao acesso aos seus dados pessoais que estão em poder das empresas. Nas empresas multinacionais, que podem centralizar os seus registos dentro, ou mesmo fora, da UE, é necessário que a nova legislação estabeleça direitos de acesso claramente definidos para os trabalhadores.

Serão estudadas as diversas possibilidades de simplificação e harmonização do actual sistema de notificação, incluindo a eventual criação de um formulário de registo uniforme para toda a UE. As notificações poderiam ser publicadas na Internet.

4.3 Clarificar as normas sobre a lei aplicável e a responsabilidade dos Estados-Membros

Nem sempre é claro para os responsáveis pelo tratamento e para as autoridades de supervisão qual é o país responsável e qual a lei aplicável, se estiverem envolvidos vários Estados-Membros. A globalização e os avanços tecnológicos estão a agravar este problema. Será analisada a forma de rever e clarificar as disposições em vigor sobre a lei aplicável, no intuito de aumentar a segurança jurídica e clarificar a responsabilidade dos Estados-Membros.

4.3.1 No que respeita aos cidadãos da UE, a legislação aplicável na União Europeia deverá ser a do Estado-Membro do responsável pelo tratamento dos dados, independentemente do local onde estes estão armazenados. No que diz respeito aos intervenientes vulneráveis no intercâmbio de dados, em especial os trabalhadores e os consumidores da UE, devem ser aplicáveis as disposições e os procedimentos previstos na legislação em matéria de protecção dos dados pessoais em vigor no local de residência habitual desses trabalhadores ou consumidores.

A Comissão irá ponderar os modos de garantir que os responsáveis pelo tratamento de dados apliquem medidas e mecanismos adequados para assegurar o cumprimento das normas de protecção de dados. Será estudada a possibilidade de tornar obrigatória a nomeação de um responsável pela protecção de dados e de harmonizar as normas relativas às suas funções e competências, a fim de criar a obrigação de proceder a uma avaliação de impacto. A Comissão promoverá igualmente a utilização de tecnologias de protecção da privacidade (PET/ Privacy Enhancing Technologies), bem como a aplicação do princípio da «privacidade desde a concepção».

4.4.1 As PET e o princípio da privacidade desde a concepção podem eliminar a margem de discricionariedade dos responsáveis pelo tratamento de dados, que de outro modo, se podem ver perante um conflito de interesses com as prioridades comerciais das respectivas organizações. O CESE insta a Comissão a proceder a um estudo mais aprofundado destes instrumentos, e ao seu desenvolvimento pois são susceptíveis de melhorar a protecção dos dados e, ao mesmo tempo, eliminar os conflitos de interesses. O ideal seria que estes instrumentos fossem obrigatórios.

4.4.2 Para evitar possíveis dúvidas, os responsáveis pelo tratamento devem responder por todos os aspectos do tratamento dos dados sob a sua responsabilidade. Nessa conformidade, sempre que haja subcontratações e/ou operações em outros países, o contrato deve especificar claramente todas as obrigações em matéria de protecção de dados pessoais.

4.4.3 O CESE considera que cada Estado-Membro deverá criar uma entidade profissional responsável pelas qualificações e pela certificação dos responsáveis pela protecção de dados.

4.4.4 A aplicação das disposições previstas neste ponto deveria ser coerente com o objectivo de reduzir a carga administrativa dos responsáveis pelo tratamento de dados a que se faz referência no ponto 4.2.

4.5 Incentivar as iniciativas auto-reguladoras e explorar os regimes de certificação da UE

A Comissão irá analisar formas de continuar a incentivar as iniciativas de auto-regulação, como os códigos de conduta e ponderar a possibilidade de criação de regimes de certificação da UE.

4.5.1 Ver ponto 3.7.1 supra: a aplicação das disposições e a possibilidade de recurso são grandes preocupações do CESE. Estas propostas são atractivas na medida em que podem contribuir para reduzir o enorme peso da regulação que incide sobre as empresas. Deveria promover-se, em cada Estado-Membro, a elaboração de um compêndio ou guia de boas práticas.

5. Rever as normas de protecção de dados no domínio da cooperação policial e judiciária em matéria penal

O instrumento da UE para a protecção de dados pessoais tratados no quadro da cooperação policial e judiciária em matéria penal é a Decisão-Quadro 2008/977/JAI. Esta Decisão-Quadro apresenta muitas lacunas que podem afectar as possibilidades de exercício dos direitos de protecção de dados das pessoas em questões como, por exemplo, ter conhecimento de quais os dados pessoais tratados e objecto de troca, por quem e para que fins, e das formas de exercício dos respectivos direitos, nomeadamente o direito de aceder aos seus dados pessoais.

Será ponderada a extensão da aplicação das normas gerais de protecção de dados ao domínio da cooperação policial e judiciária em matéria penal, a introdução de novas disposições em domínios como o tratamento de dados genéticos, o lançamento de uma consulta sobre a revisão dos sistemas de supervisão neste domínio e a avaliação da necessidade de harmonizar, a longo prazo, as diversas normas sectoriais no novo quadro normativo geral da protecção de dados.

5.1 Embora reconhecendo que a cooperação policial entre Estados é uma questão delicada, o CESE considera essencial que os direitos fundamentais, incluindo a protecção dos dados pessoais, sejam sempre objecto do máximo cuidado. Teme que as preocupações em matéria de segurança, mesmo que mal fundamentadas, sejam muitas vezes causa de atropelos aos direitos fundamentais. Os cidadãos devem dispor de melhor informação sobre os métodos utilizados pelas autoridades para recolherem dados pessoais a partir de facturas de telefone, contas bancárias, controlos aeroportuários, etc., e os fins para os quais os utilizam.

6.1 Clarificar e simplificar as normas aplicáveis às transferências internacionais de dados

6.1.1 O CESE apoia estas iniciativas louváveis e espera que a Comissão consiga obter o amplo acordo internacional sem o qual estas propostas poderão perder eficácia.

A União Europeia deverá continuar a ser a força motriz do desenvolvimento e da promoção de normas jurídicas e técnicas internacionais em matéria de protecção de dados. Para este efeito, a Comissão trabalhará activamente no domínio das normas internacionais, em cooperação com países terceiros e organizações internacionais, como a OCDE.

6.2.1 O CESE manifesta o seu apoio também neste ponto. Dada a natureza global da Internet, é vital que as normas e orientações sejam compatíveis entre continentes. Os dados pessoais têm de ser protegidos além-fronteiras. O Comité assinala que já existem orientações da OCDE, para além da Convenção 108 do Conselho da Europa, que está actualmente a ser revista. A Comissão deverá assegurar a compatibilidade da nova directiva com essa convenção.

7. Um quadro institucional mais forte para uma melhor aplicação das normas de protecção de dados

7.1 Dada a sua preocupação com a aplicação das disposições e a possibilidade de recursos, o CESE considera estas propostas fundamentais. Subscreve os conceitos de «reforçar, clarificar e harmonizar» e de «cooperação e coordenação» e apoia o propósito geral da Comissão de garantir uma aplicação mais coerente das normas da UE em matéria de protecção de dados em todos os Estados-Membros. Preocupa-o, no entanto, o facto de, possivelmente, nem todos os 12 novos Estados-Membros terem ainda concluído a plena e efectiva transposição da Directiva 95/46/CE.

7.2 Na opinião do CESE, as autoridades nacionais de protecção de dados carecem em geral de eficácia e estão sobrecarregadas de trabalho, sendo necessário reforçar a sua independência. Qualquer nova directiva deverá prever que as autoridades nacionais disponham do estatuto, da autoridade e dos recursos necessários para levar a cabo a sua tarefa. As suas tarefas e as directivas relativas à respectiva dotação em recursos deverão ser definidas a nível da UE. e deverá ser ponderada a criação de uma autoridade europeia para a protecção de dados com competências para actuar em toda a União.

7.3 Com base nos contributos que deu até à data para a protecção das pessoas no que se refere ao tratamento dos seus dados pessoais, o CESE considera que o Grupo de Trabalho do Artigo 29.o tem uma valiosa função a cumprir.

ANEXO

Ao parecer do Comité Económico e Social Europeu

As propostas de alteração foram rejeitadas pela Assembleia em plenária, tendo recolhido, contudo, pelo menos um quarto dos sufrágios expressos.

Ponto 1.6

«No que respeita aos cidadãos e aos trabalhadores da UE, a legislação aplicável na União Europeia deverá ser a do Estado-Membro do responsável pelo tratamento dos dados, independentemente do local onde estes estão armazenados.»

Ponto 4.3.1

Resultado da votação

Votos a favor	:	86 (para alterar estes pontos)
Votos contra	:	72
Abstenções	:	19