EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32012D0484
2012/484/EU: Commission Implementing Decision of 21 August 2012 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data by the Eastern Republic of Uruguay with regard to automated processing of personal data (notified under document C(2012) 5704) Text with EEA relevance
2012/484/UE: Decisão de Execução da Comissão, de 21 de agosto de 2012 , nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho relativa à adequação do nível de proteção de dados pessoais pela República Oriental do Uruguai no que se refere ao tratamento automatizado de dados [notificada com o número C(2012) 5704] Texto relevante para efeitos do EEE
2012/484/UE: Decisão de Execução da Comissão, de 21 de agosto de 2012 , nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho relativa à adequação do nível de proteção de dados pessoais pela República Oriental do Uruguai no que se refere ao tratamento automatizado de dados [notificada com o número C(2012) 5704] Texto relevante para efeitos do EEE
JO L 227 de 23.8.2012, p. 11–14
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 17/12/2016
- Date of document:
- 21/08/2012
- Date of effect:
- 22/08/2012; produção de efeitos data de notificação
- Date of notification:
- 22/08/2012
- Date of end of validity:
- No end date
- Author:
- Comissão Europeia
- Responsible body:
- Directorate-General for Justice and Consumers
- Form:
- Decisão de execução
- Addressee:
- Os vinte e sete Estados-Membros: Bélgica, Bulgária, República Checa, Dinamarca, Alemanha, Estónia, Irlanda, Grécia, Espanha, França, Itália, Chipre, Letónia, Lituânia, Luxemburgo, Hungria, Malta, Países Baixos, Áustria, Polónia, Portugal, Roménia, Eslovénia, Eslováquia, Finlândia, Suécia, Reino Unido
- Additional information:
- relevante para EEE
- Treaty:
- Tratado sobre o Funcionamento da União Europeia
- Legal basis:
-
- 31995L0046 - A25P6
- Link
- Link
- Link
- Select all documents mentioning this document No data available in the table
- Modified by:
-
Relation Act Comment Subdivision concerned From To Modified by 32016D2295 substituição artigo 3 16/12/2016 Modified by 32016D2295 substituição artigo 2 16/12/2016 - Link
- EUROVOC descriptor:
- Subject matter:
- Directory code:
|
23.8.2012 |
PT |
Jornal Oficial da União Europeia |
L 227/11 |
DECISÃO DE EXECUÇÃO DA COMISSÃO
de 21 de agosto de 2012
nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho relativa à adequação do nível de proteção de dados pessoais pela República Oriental do Uruguai no que se refere ao tratamento automatizado de dados
[notificada com o número C(2012) 5704]
(Texto relevante para efeitos do EEE)
(2012/484/UE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1), nomeadamente o artigo 25.o, n.o 6,
Após consulta da Autoridade Europeia para a Proteção de Dados (2),
Considerando o seguinte:
|
(1) |
Nos termos da Diretiva 95/46/CE, os Estados-Membros devem garantir que a transferência de dados pessoais para um país terceiro só possa realizar-se se este país assegurar um nível de proteção adequado e se a legislação dos Estados-Membros que transpõe outras disposições da diretiva tiver sido respeitada antes de efetuada a transferência. |
|
(2) |
A Comissão pode determinar que um país terceiro garante um nível de proteção adequado. Neste caso, podem ser transferidos dados pessoais a partir dos Estados-Membros sem necessidade de garantias adicionais. |
|
(3) |
Nos termos da Diretiva 95/46/CE, a adequação do nível de proteção de dados deve ser apreciada em função de todas as circunstâncias que envolvem a operação ou o conjunto de operações de transferência de dados, atendendo particularmente a determinados elementos importantes da transferência enumerados no artigo 25.o da diretiva. |
|
(4) |
Uma vez que nos países terceiros vigoram níveis de proteção diferentes, a adequação deve ser apreciada e quaisquer decisões com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE devem ser tomadas e aplicadas de forma que não se verifique uma discriminação arbitrária ou injustificada contra ou entre países terceiros em que prevaleçam condições semelhantes, nem constitua um obstáculo dissimulado ao comércio, tendo em conta os atuais compromissos internacionais assumidos pela União Europeia. |
|
(5) |
A Constituição da República Oriental do Uruguai, aprovada em 1967, não reconhece expressamente o direito ao respeito pela vida privada e à proteção dos dados pessoais. Contudo, a enumeração dos direitos fundamentais não constitui uma lista fechada, dado que o artigo 72.o da Constituição determina que a lista de direitos, obrigações e garantias previstos na Constituição não exclui outros que sejam inerentes à personalidade humana ou que derivem da forma republicana de governo. O artigo 1.o da Lei n.o 18.331 de proteção de dados pessoais e ação de habeas data, de 11 de agosto de 2008 (Ley n.o 18.331 de protección de datos personales y acción de habeas data) prevê expressamente que «o direito à proteção dos dados pessoais é inerente ao ser humano, pelo que se encontra abrangido pelo artigo 72.o da Constituição da República». O artigo 332.o da Constituição estabelece que a aplicação das suas disposições que reconhecem direitos individuais, bem como das que conferem direitos e impõem obrigações às autoridades públicas, não deve ser prejudicada pela ausência de legislação específica de regulamentação; a aplicação das referidas disposições deve basear-se, recorrendo ao princípios subjacentes a legislação semelhante, nos princípios gerais do direito e nas doutrinas geralmente aceites. |
|
(6) |
As normas de proteção dos dados pessoais da República Oriental do Uruguai baseiam-se em grande medida nas normas da Diretiva 95/46/CE e encontram-se estabelecidas na Lei n.o 18.331 de proteção dos dados pessoais e ação de habeas data (Ley n.o 18.331 de protección de datos personales y acción de habeas data), de 11 de agosto de 2008, que é aplicável tanto às pessoas singulares como às pessoas coletivas. |
|
(7) |
A referida lei é regulamentada pelo Decreto n.o 414/009, de 31 de agosto de 2009, aprovado no intuito de clarificar diversos elementos da lei e regular a organização, os poderes e o funcionamento da autoridade nacional de proteção de dados. O preâmbulo deste decreto indica que, quanto a esta questão, a ordem jurídica nacional deve ser adaptada ao regime jurídico comparável mais comummente aceite, sobretudo o estabelecido pelos países europeus através da Diretiva 95/46/CE. |
|
(8) |
Também existem disposições de proteção de dados em algumas leis especiais que criam e regulam bases de dados, nomeadamente leis que regulam determinados registos públicos (escrituras notariais, propriedade industrial e marcas, atos pessoais, direitos reais, atividade mineira ou informação financeira). A Lei n.o 18.311 aplica-se supletivamente às questões que não são especificamente regidas por esses diplomas específicos, nos termos do artigo 332.o da Constituição. |
|
(9) |
As normas de proteção de dados aplicáveis na República Oriental do Uruguai cobrem todos os princípios básicos necessários para assegurar um nível adequado de proteção das pessoas singulares e preveem também exceções e limitações de modo a salvaguardar interesses públicos importantes. Estas normas de proteção de dados e as exceções referidas refletem os princípios consagrados na Diretiva 95/46/CE. |
|
(10) |
A aplicação das normas de proteção de dados é garantida pela existência de vias de recurso administrativas e judiciais, em especial pela ação de habeas data, que permite à pessoa a quem se referem os dados intentar uma ação judicial contra o responsável pelo tratamento dos dados, a fim de exercer o direito de acesso, retificação e supressão, e por um controlo independente efetuado pela Unidade Reguladora e de Controlo de Dados Pessoais (Unidad Reguladora y de Control de Datos Personales – URCDP), que tem poderes de investigação, intervenção e sanção, seguindo o disposto no artigo 28.o da Diretiva 95/46/CE, e que atua de forma totalmente independente. Além disso, qualquer parte interessada pode recorrer aos tribunais para pedir uma indemnização por danos sofridos em consequência do tratamento ilícito dos seus dados pessoais. |
|
(11) |
As autoridades uruguaias de proteção de dados apresentaram explicações e deram garantias sobre o modo como a legislação uruguaia é interpretada, tendo assegurado que a legislação em matéria de proteção de dados é aplicada de acordo com essa interpretação. As autoridades de proteção de dados uruguaias explicaram nomeadamente que, nos termos do artigo 332.o da Constituição, a Lei n.o 18.331 é aplicável supletivamente às questões que não são especificamente reguladas nas leis especiais que criam e regem determinadas bases de dados. Explicaram ainda que, no que se refere às listas mencionadas no artigo 9.o, alínea c), da Lei n.o 18.331, que não exige o consentimento da pessoa a quem os dados dizem respeito para proceder ao tratamento, essa lei também é aplicável, nomeadamente os princípios da proporcionalidade e finalidade, os direitos das pessoas a quem os dados dizem respeito e a sujeição ao controlo da autoridade nacional de proteção de dados. No que se refere ao princípio da transparência, as autoridades uruguaias de proteção de dados comunicaram que a obrigação de prestar as informações necessárias às pessoas a quem os dados dizem respeito é aplicável em todas as situações. Relativamente ao direito de acesso, a autoridade de proteção de dados especificou que é suficiente que a pessoa em causa prove a sua identidade no momento em que apresentar o pedido. As autoridades uruguaias de proteção de dados especificaram ainda que as exceções relativas ao princípio das transferências internacionais, previstas no artigo 23.o, n.o 1, da Lei n.o 18.331, não podem ser interpretados com um âmbito mais vasto do que o previsto no artigo 26.o, n.o 1, da Diretiva 95/46/CE. |
|
(12) |
A presente decisão tem em conta as explicações e garantias dadas e baseia-se nelas. |
|
(13) |
A República Oriental do Uruguai é também signatária da Convenção Americana de Direitos Humanos (Pacto de São José da Costa Rica), de 22 de novembro de 1969, em vigor desde 18 de julho de 1978 (3). O artigo 11.o desta convenção prevê o direito à privacidade e o artigo 30.o estabelece que, nos termos da convenção, as eventuais restrições ao gozo ou exercício dos direitos nela reconhecidos só podem ser aplicadas nos termos de legislação aprovada por motivos de interesse geral e em conformidade com o objetivo para que foram previstas. Por outro lado, a República Oriental do Uruguai aceitou a competência do Tribunal Interamericano dos Direitos do Homem. Além disso, na 1118.a reunião dos Delegados dos Ministros do Conselho da Europa, de 6 de julho de 2011, a República Oriental do Uruguai foi convidada a assinar a Convenção para a proteção das pessoas relativamente ao tratamento automatizado de dados de caráter pessoal (STCE 108) e o seu Protocolo Adicional (STCE 118), na sequência de um parecer favorável do comité consultivo competente (4). |
|
(14) |
Deve considerar-se, portanto, que a República Oriental do Uruguai assegura um nível adequado de proteção dos dados pessoais, na aceção da Diretiva 95/46/CE. |
|
(15) |
A presente decisão deve incidir sobre a adequação da proteção prevista na República Oriental do Uruguai, com vista ao cumprimento dos requisitos previstos no artigo 25.o, n.o 1, da Diretiva 95/46/CE, e não deve abranger eventuais condições ou restrições de aplicação de outras disposições dessa diretiva relativas ao tratamento de dados pessoais nos Estados-Membros. |
|
(16) |
A bem da transparência e para salvaguardar a capacidade de as autoridades competentes dos Estados-Membros assegurarem a proteção das pessoas no que diz respeito ao tratamento dos seus dados pessoais, é necessário precisar as circunstâncias excecionais que poderão justificar a suspensão de transferências concretas de dados, apesar de verificado o nível de proteção adequado. |
|
(17) |
A Comissão deve controlar a aplicação da decisão e enviar, se for o caso, as informações relevantes ao Comité estabelecido pelo artigo 31.o da Diretiva 95/46/CE. Este controlo deve cobrir, entre outros, o regime aplicável na República Oriental do Uruguai às transferências no âmbito de tratados internacionais. |
|
(18) |
O Grupo de Trabalho sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, instituído nos termos do artigo 29.o da Diretiva 95/46/CE, emitiu um parecer favorável sobre a adequação do nível de proteção dos dados pessoais, que foi tido em conta na preparação da presente decisão (5). |
|
(19) |
As medidas previstas na presente decisão estão em conformidade com o parecer do comité instituído pelo artigo 31.o, n.o 1, da Diretiva 95/46/CE, |
ADOTOU A PRESENTE DECISÃO:
Artigo 1.o
1. Para efeitos do artigo 25.o, n.o 2, da Diretiva 95/46/CE, considera-se que a República Oriental do Uruguai assegura um nível adequado de proteção dos dados pessoais transferidos a partir da União Europeia.
2. A autoridade da República Oriental do Uruguai competente para controlar a aplicação das normas de proteção de dados no país é indicada no anexo da presente decisão.
Artigo 2.o
1. Sem prejuízo das competências que lhes permitem agir para assegurar o cumprimento das disposições nacionais adotadas em conformidade com medidas diferentes das enunciadas no artigo 25.o da Diretiva 95/46/CE, as autoridades competentes dos Estados-Membros podem exercer as atuais competências para suspender a transferência de dados para um destinatário na República Oriental do Uruguai, por forma a assegurar a proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, sempre que:
|
a) |
Uma autoridade uruguaia competente verifique que o destinatário desrespeita as normas de proteção aplicáveis; ou |
|
b) |
Existam fortes probabilidades de as normas de proteção não estarem a ser cumpridas, existam motivos suficientes para crer que a autoridade uruguaia competente não toma ou não tomará as decisões adequadas na altura devida para resolver o caso em questão e a continuação da transferência dos dados possa representar um risco iminente de graves prejuízos para as pessoas em causa, embora as autoridades competentes nos Estados-Membros tenham envidado esforços razoáveis, dadas as circunstâncias, para facultar à organização responsável pelo tratamento estabelecida na República Oriental do Uruguai a informação e a oportunidade de resposta. |
2. A suspensão cessará assim que o cumprimento das normas de proteção estiver assegurado e as autoridades competentes dos Estados-Membros em causa sejam disso informadas.
Artigo 3.o
1. Os Estados-Membros devem comunicar imediatamente à Comissão a adoção de medidas nos termos do artigo 2.o.
2. Os Estados-Membros e a Comissão devem ainda manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção de dados na República Oriental do Uruguai não garantam esse mesmo cumprimento.
3. Se as informações recolhidas ao abrigo do artigo 2.o e dos n.os 1 e 2 do presente artigo revelarem que os organismos responsáveis pelo cumprimento das normas de proteção de dados na República Oriental do Uruguai não desempenham eficazmente as suas funções, a Comissão deve informar a autoridade uruguaia competente e, se necessário, apresentar um projeto de medidas de acordo com o procedimento referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, para revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.
Artigo 4.o
A Comissão acompanha a aplicação da presente decisão e informa o comité instituído pelo artigo 31.o da Diretiva 95/46/CE de todas as conclusões pertinentes, nomeadamente de todas as provas que possam comprometer a avaliação da adequação do nível de proteção assegurado pela República Oriental do Uruguai relativamente ao disposto no artigo 1.o da presente decisão, nos termos do artigo 25.o da Diretiva 95/46/CE, e de todas as provas de aplicação discriminatória da presente decisão.
Artigo 5.o
Os Estados-Membros devem tomar todas as medidas necessárias para dar cumprimento à presente decisão no prazo de 3 meses após a data da sua notificação.
Artigo 6.o
Os destinatários da presente diretiva são os Estados-Membros.
Feito em Bruxelas, em 21 de agosto de 2012.
Pela Comissão
Viviane REDING
Vice-Presidente
(1) JO L 281 de 23.11.1995, p. 31.
(2) Carta de 31 de agosto de 2011.
(3) Organização dos Estados Americanos (OEA), Série de Tratados n.o 36, 1144 U.N.T.S. 123. http://www.oas.org/juridico/english/treaties/b-32.html
(4) Conselho da Europa: https://wcd.coe.int/wcd/ViewDoc.jsp?Ref=CM/Del/Dec(2011)1118/10.3&Language=lanEnglish&Ver=original&Site=CM&BackColorInternet=DBDCF2&BackColorIntranet=FDC864&BackColorLogged=FDC864
(5) Parecer 6/2010 sobre o nível de proteção dos dados pessoais na República Oriental do Uruguai. Pode ser consultado em: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_en.pdf
ANEXO
Autoridade de controlo competente referida no artigo 1.o, n.o 2, da presente decisão:
|
Unidad Reguladora y de Control de Datos Personales (URCDP), |
|
Andes 1365, Piso 8 |
|
Tel. +598 2901 2929 Int. 1352 |
|
11.100 Montevideo |
|
URUGUAI |
E-mail: http://www.datospersonales.gub.uy/sitio/contactenos.aspx
Apresentação de queixas em linha: http://www.datospersonales.gub.uy/sitio/denuncia.aspx
Sítio Internet: http://www.datospersonales.gub.uy/sitio/index.aspx
