Proteção de dados pessoais que são utilizados pelas autoridades policiais e judiciárias (a partir de 2018)

SÍNTESE DE:

Diretiva (UE) 2016/680 — Proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais pelas autoridades policiais e judiciárias e à livre circulação desses dados

QUAL É O OBJETIVO DESTA DIRETIVA?

A Diretiva (UE) 2016/680, diretiva de aplicação da lei (DAL) de proteção de dados, garante a proteção dos dados pessoais das pessoas envolvidas em ações penais, sejam elas testemunhas, vítimas ou suspeitos.
Estabelece um quadro abrangente para garantir um elevado nível de proteção dos dados, tendo em conta a natureza específica do domínio policial e judiciário.
Contribui para aumentar a confiança e facilita a cooperação na luta contra a criminalidade na Europa ao harmonizar a proteção dos dados pessoais pelas autoridades responsáveis pela aplicação da lei nos Estados-Membros da União Europeia (UE) e nos países do espaço Schengen.
A diretiva parte da reforma da proteção de dados da UE, juntamente com o Regulamento Geral sobre a Proteção de Dados (RGPD) (ver síntese) e o Regulamento (UE) 2018/1725 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da UE (ver síntese).

PONTOS-CHAVE

A diretiva exige que os dados recolhidos pelas autoridades responsáveis pela aplicação da lei sejam:

objeto de um tratamento lícito e leal;
recolhidos para finalidades determinadas, explícitas e legítimas e exclusivamente tratados de forma compatível com essas finalidades;
adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para as quais são tratados;
exatos e atualizados sempre que necessário;
conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;
tratados de uma forma que garanta a sua segurança adequada, incluindo a proteção contra o seu tratamento não autorizado ou ilícito, com a aplicação de medidas técnicas ou organizativas adequadas.

Prazos

Os Estados-Membros devem definir prazos para o apagamento dos dados pessoais ou para a avaliação periódica da necessidade de os conservar.

Pessoas singulares em causa («titulares de dados»)

A diretiva exige que as autoridades responsáveis pela aplicação da lei façam uma distinção clara entre os dados de diferentes categorias de pessoas, incluindo:

pessoas relativamente às quais existem motivos fundados para crer que cometeram ou estão prestes a cometer uma infração penal;
pessoas condenadas por uma infração penal;
vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que possam vir a ser vítimas de uma infração penal;
terceiros envolvidos numa infração penal, incluindo pessoas que possam ser chamadas a testemunhar.

Informações prestadas aos titulares dos dados e acesso aos dados

As pessoas singulares têm o direito a aceder a determinadas informações disponibilizadas — e em certos casos fornecidas — pelas autoridades responsáveis pela aplicação da lei, incluindo:

a identidade e os contactos da autoridade competente que decide a finalidade e os meios de tratamento dos dados;
os efeitos para os quais os seus dados são tratados;
o direito de apresentar reclamação à autoridade de controlo e de obter os contactos dessa autoridade;
a existência do direito de solicitar o acesso e retificação ou apagamento dos seus dados pessoais, assim como do direito de limitação do tratamento dos seus dados pessoais.

As pessoas têm o direito de obter por parte das autoridades competentes a confirmação de que os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento e, em caso afirmativo, acesso a tais dados e às informações relativas ao respetivo tratamento.

Segurança e registo cronológico

As autoridades nacionais devem tomar medidas técnicas ou organizativas para garantir um nível de segurança para os dados pessoais que seja adequado ao risco. Quando o tratamento é automatizado, devem ser implementadas várias medidas, incluindo:

impedir que pessoas não autorizadas acedam ao equipamento utilizado para o tratamento;
impedir que os suportes de dados* sejam lidos, copiados, alterados ou retirados sem autorização;
impedir a introdução não autorizada de dados pessoais bem como qualquer inspeção, alteração ou apagamento não autorizados de dados pessoais conservados.

As autoridades nacionais devem manter registos cronológicos com informações como a data e a hora de acesso aos dados pessoais, bem como os nomes das pessoas que consultaram os dados ou a quem os dados foram divulgados. Os registos cronológicos são utilizados sobretudo para efeitos de verificação da licitude do tratamento e garantia da integridade e segurança do tratamento, bem como para ações penais.

Revogação

A diretiva substituiu a Decisão-Quadro 2008/977/JAI relativa à proteção dos dados pessoais tratados no contexto da cooperação policial e judiciária em matéria penal, com efeitos desde 6 de maio de 2018.

Revisão

Em junho de 2020, a Comissão Europeia publicou uma comunicação intitulada «Ações futuras para alinhar o acervo do antigo terceiro pilar com as regras de proteção de dados».

O primeiro relatório sobre a avaliação e a revisão da diretiva deve ser apresentado até 5 de maio de 2022.

A PARTIR DE QUANDO É APLICÁVEL A DIRETIVA?

A diretiva é aplicável desde 5 de maio de 2016. Os Estados-Membros tiveram de transpor a diretiva (para a legislação nacional) até 6 de maio de 2018.

CONTEXTO

Para mais informações, consultar:

Reforma das regras de proteção de dados da UE (Comissão Europeia)
Regras da UE em matéria de proteção de dados (Comissão Europeia)
Relatório da Comissão: normas de proteção de dados da UE capacitam cidadãos e são adequadas à era digital — comunicado de imprensa (Comissão Europeia)
Reforma da proteção de dados — nota informativa (Comissão Europeia)
Proteção de dados pessoais (Comissão Europeia).

PRINCIPAIS TERMOS

Suportes de dados. Discos ou outros dispositivos de armazenamento de dados.

PRINCIPAL DOCUMENTO

Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89-131).

As sucessivas alterações do Regulamento (UE) 2016/680 foram integradas no texto de base. A versão consolidada tem apenas valor documental.

DOCUMENTOS RELACIONADOS

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1-88).

Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.^o 45/2001 e a Decisão n.^o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39-98).

Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37-47).

Ver versão consolidada.

última atualização 14.01.2022