51999PC0337

Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos da Comunidade e à livre circulação desses dados (Apresentada pela Comissão)

EXPOSIÇÃO DE MOTIVOS

As instituições e os órgãos comunitários e, em especial, a Comissão tratam dados pessoais no âmbito da sua actividade corrente. A Comissão troca dados pessoais com os Estados-membros no âmbito da aplicação da política agrícola comum e dos fundos estruturais, para a gestão da união aduaneira, e no âmbito de outras políticas comunitárias. Para que a protecção dos dados não sofra falhas, a Comissão, quando propôs a Directiva 95/46/CE em 1990, declarou que respeitaria igualmente estes princípios.

No momento da sua adopção, a Comissão e o Conselho comprometeram-se numa declaração pública a respeitar a directiva e convidaram as outras instituições e os outros órgãos comunitários a fazerem o mesmo.

Aquando da Conferência Governamental para a revisão do Tratado, a questão da aplicação das regras em matéria de protecção de dados às instituições comunitárias foi levantada pelos Governos neerlandês e grego. Na sequência das negociações, o Tratado assinado em Amesterdão introduziu no Tratado que institui a Comunidade Europeia uma disposição específica sobre esta matéria. Na sua numeração definitiva, trata-se do artigo 286º com a seguinte redacção:

1. A partir de 1 de Janeiro de 1999, os actos comunitários relativos à protecção das pessoas singulares em matéria de tratamento de dados de carácter pessoal e de livre circulação desses dados serão aplicáveis às Instituições e órgãos instituídos pelo presente Tratado, ou com base nele.

2. Antes da data prevista no n.º1, o Conselho, deliberando nos termos do artigo 251º, criará um órgão independente de supervisão, incumbido de fiscalizar a aplicação dos citados actos comunitários às Instituições e órgãos da Comunidade e adoptará as demais disposições que se afigurem adequadas.

O artigo 286º prevê assim que, a partir de 1 de Janeiro de 1999, as instituições e os órgãos comunitários deverão aplicar as regras comunitárias de protecção dos dados pessoais estabelecidas essencialmente pela Directiva 95/46/CE e que a aplicação das referidas regras deverá ser controlada por um órgão independente de supervisão. A presente proposta de regulamento visa atingir este duplo objectivo.

Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos da Comunidade e à livre circulação desses dados

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o seu artigo 286º,

Tendo em conta a proposta da Comissão, [1]

[1] JO C

Tendo em conta o parecer do Comité Económico e Social, [2]

[2] JO C

Decidindo de acordo com o procedimento previsto no artigo 251º do Tratado [3],

[3] JO C

Considerando:

(1) que o artigo 286º do Tratado exige a aplicação às instituições e aos órgãos comunitários dos actos comunitários relativos à protecção das pessoas singulares em matéria de tratamento de dados pessoais e de livre circulação desses dados;

(2) que um sistema global de protecção de dados pessoais não consiste apenas na instituição dos direitos das pessoas a que os dados se referem e dos deveres daqueles que tratam os dados pessoais, mas também na criação de sanções apropriadas para os infractores e na fiscalização por um órgão independente de supervisão;

(3) que o n 2 do artigo 286º do Tratado prevê a criação de um órgão independente de supervisão, incumbido de fiscalizar a aplicação dos referidos actos comunitários às instituições e aos órgãos comunitários;

(4) que o n 2 do artigo 286º do Tratado prevê a adopção das demais disposições que se afigurem adequadas;

(5) que é necessário um regulamento para conferir às pessoas direitos jurídicos, para estatuir os deveres, em matéria de tratamento dos dados, dos responsáveis, no âmbito das instituições e dos órgãos comunitários, e para criar um órgão independente de supervisão responsável pela fiscalização externa do tratamento de dados comunitário;

(6) que os princípios da protecção de dados devem aplicar-se a qualquer informação relativa a uma pessoa identificada ou identificável; que, para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios susceptíveis de serem razoavelmente utilizados, quer pelo responsável pelo tratamento dos dados quer por qualquer outra pessoa, para identificar a referida pessoa; que os princípios da protecção não devem aplicar-se a dados tornados anónimos de modo a que a pessoa em causa já não possa ser identificável;

(7) que a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados [4], exige aos Estados-membros que garantam a protecção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento dos dados pessoais, a fim de assegurar a livre circulação dos dados pessoais na Comunidade;

[4] JO L 281 de 23.11.1995, p. 31.

(8) que a Directiva 97/66/CE do Parlamento Europeu e do Conselho, de 15 de Dezembro de 1997, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das telecomunicações [5], precisa e completa a Directiva 95/46/CE no que diz respeito ao tratamento de dados pessoais no sector das telecomunicações;

[5] JO L 24 de 30.1.1998, p. 1.

(9) que várias outras medidas comunitárias, adoptadas nomeadamente em matéria de assistência mútua entre as administrações nacionais e a Comissão, se destinam igualmente a precisar e a completar a Directiva 95/46/CE nos sectores relevantes;

(10) que deve ser assegurada em toda a Comunidade a aplicação coerente e homogénea das regras de protecção das liberdades e dos direitos fundamentais de pessoas singulares no que diz respeito ao tratamento de dados pessoais;

(11) que o fim é o de garantir simultaneamente o respeito efectivo das regras de protecção das liberdades e dos direitos fundamentais das pessoas e a livre circulação de dados pessoais entre os Estados-membros e as instituições e os órgãos comunitários ou entre as instituições e os órgãos comunitários para finalidades associadas ao exercício das suas competências respectivas;

(12) que a forma mais adequada de realizar o referido objectivo consiste na adopção de disposições obrigatórias para as instituições e os órgãos comunitários; que tais disposições devem ser aplicadas a qualquer tratamento de dados pessoais efectuado pelas instituições e pelos órgãos comunitários no exercício das competências que lhes são atribuídas pelos Tratados que instituem as Comunidades Europeias e pelo Tratado da União Europeia;

(13) que essas disposições devem ser idênticas às previstas para a harmonização das legislações nacionais ou para a aplicação de outras políticas comunitárias, nomeadamente em matéria de assistência mútua; que, no entanto, no que respeita ao tratamento de dados pessoais efectuado pelas instituições e pelos órgãos comunitários se podem revelar necessárias certas precisões e complementos a fim de assegurar a protecção;

(14) que é o que se verifica quanto aos direitos das pessoas cujos dados são objecto de tratamento, dos deveres das instituições e dos órgãos comunitários responsáveis pelo tratamento de dados e dos poderes de que deve dispor o órgão independente de supervisão, responsável pela boa aplicação do presente regulamento;

(15) que o tratamento de dados pessoais para o preenchimento de funções de interesse público pelas instituições e órgãos comunitários inclui o tratamento de dados pessoais indispensáveis à gestão e ao funcionamento dessas instituições e órgãos;

(16) que pode ser necessário fiscalizar as redes informáticas que operam sob controlo das instituições e órgãos comunitários para prevenir a sua utilização não permitida; que a Autoridade Europeia para a Protecção de Dados determinará se tal é possível e em que condições;

(17) que, nos termos do seu artigo 21º, o Regulamento (CE) nº 322/97 do Conselho de 13 de Fevereiro de 1997 relativo às estatísticas comunitárias [6] é aplicável sem prejuízo da Directiva 95/46/CE;

[6] JO L 52 de 22.2.1997, p. 1.

(18) que, por razões de transparência, é necessário publicar mais informações sobre a aplicação do presente regulamento, designadamente a lista das instituições e dos órgãos comunitários a que é aplicável;

(19) que o Grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29º da Directiva 95/46/CE, emitiu parecer,

ADOPTARAM O PRESENTE REGULAMENTO:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1º

Objecto do regulamento

1. As instituições e os órgãos criados pelos Tratados que instituem as Comunidades Europeias ou com fundamento nos Tratados, a seguir designados instituições e órgãos comunitários, assegurarão, em conformidade com o presente regulamento, a protecção dos direitos e liberdades fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

2. O órgão independente de supervisão criado pelo presente regulamento, seguidamente denominado Autoridade Europeia para a Protecção de Dados é responsável pelo controlo da aplicação das disposições do presente regulamento a todas as operações de tratamento efectuadas pelas instituições e órgãos comunitários.

Artigo 2º

Definições

Para efeitos do presente regulamento, entende-se por:

(a) "dados pessoais", qualquer informação relativa a uma pessoa singular identificada ou identificável ("pessoa em causa"). É considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

(b) "tratamento de dados pessoais" ("tratamento"), qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, divulgação ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

(c) "ficheiro de dados pessoais" ("ficheiro"), qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

(d) "responsável pelo tratamento", a instituição ou o órgão comunitários, a direcção-geral, a unidade ou qualquer outra entidade organizacional que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios de tratamento sejam determinados por um acto comunitário específico, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser indicados por esse acto comunitário;

(e) "subcontratante", a pessoa singular ou colectiva, o serviço público, instituto ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;

(f) "terceiro", a pessoa singular ou colectiva, o serviço público, instituto ou qualquer outro organismo que não a pessoa em causa, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade directa do responsável pelo tratamento ou do subcontratante, estão habilitadas a tratar os dados;

(g) "destinatário", a pessoa singular ou colectiva, o serviço público, instituto ou qualquer outro organismo que receba comunicações de dados, independentemente de se tratar ou não de um terceiro; todavia, os serviços públicos susceptíveis de receberem comunicações de dados no âmbito de averiguações específicas não são considerados destinatários;

(h) "consentimento da pessoa em causa", qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objecto de tratamento.

Artigo 3º

Âmbito de aplicação

1. O presente regulamento aplica-se ao tratamento de dados pessoais por parte de todos os órgãos e instituições comunitários.

2. O presente regulamente é aplicável ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

CAPÍTULO II

NORMAS GERAIS DE LICITUDE DO TRATAMENTO DE DADOS PESSOAIS

SECÇÃO I

PRINCÍPIOS RELATIVOS À QUALIDADE DOS DADOS

Artigo 4º

1. Os dados pessoais devem ser:

a) objecto de um tratamento leal e lícito;

b) recolhidos para finalidades determinadas, explícitas e legítimas e não ser posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que o responsável pelo tratamento estabeleça garantias adequadas, nomeadamente para assegurar que os dados só serão tratados para esses fins;

c) adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e/ou tratados posteriormente;

d) exactos e, se necessário, actualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou rectificados;

e) conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. A instituição ou o órgão comunitários estabelecerá garantias adequadas para os dados pessoais conservados durante períodos mais longos do que o referido, para fins históricos, estatísticos ou científicos, nomeadamente no que diz respeito ao seu carácter anónimo.

2. Incumbe ao responsável pelo tratamento assegurar a observância no disposto no nº 1.

SECÇÃO II

PRINCÍPIOS RELATIVOS À LICITUDE DO TRATAMENTO DE DADOS

Artigo 5º

Tratamento lícito de dados

O tratamento de dados pessoais só pode ser efectuado se:

a) o tratamento for necessário ao exercício de funções de interesse público com fundamento numa lei ou no exercício da autoridade pública de que são investidos a instituição ou o órgão comunitário ou um terceiro a quem os dados sejam comunicados; ou

b) o tratamento for necessário para cumprir um dever legal a que o responsável pelo tratamento esteja sujeito; ou

c) o tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato a pedido da pessoa em causa; ou

d) a pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou

e) o tratamento for necessário para a protecção de interesses vitais da pessoa em causa.

Artigo 6º

Tratamento posterior para finalidades compatíveis

1. Os dados pessoais só podem ser objecto de tratamento para finalidades diferentes das para que foram recolhidos se a alteração for expressamente permitida pelo regulamento interno da instituição ou do órgão.

2. Os dados pessoais recolhidos para outras finalidades podem ser tratados para assegurar o respeito das regras financeiras e orçamentais.

3. Os dados pessoais recolhidos exclusivamente para garantir a segurança ou o controlo das operações ou sistemas de tratamento não podem ser utilizados para qualquer outra finalidade, com excepção do disposto no nº 1, alínea a) do artigo 18º.

Artigo 7º

Transferências de dados pessoais internas ou entre instituições ou órgãos comunitários

1. Os dados pessoais só podem ser transmitidos internamente ou a outros órgãos ou instituições comunitários se forem necessários para o preenchimento regular de atribuições na competência do destinatário.

2. O responsável pelo tratamento e o destinatário assumem a responsabilidade pela licitude da transmissão.

O responsável pelo tratamento só verificará a competência do destinatário e a justificação do pedido. Todavia, em caso de dúvida quanto à justificação do pedido, o responsável pelo tratamento verificará também a necessidade da transferência;

O destinatário garantirá que a necessidade da transferência pode ser posteriormente verificada.

Artigo 8º

Transferências para pessoas e organismos, distintos das instituições e dos órgãos comunitários, localizados nos Estados-membros da União Europeia

1. Os dados pessoais só podem ser transmitidos a pessoas e organismos localizados nos Estados-membros da União Europeia se o destinatário demonstrar a necessidade da sua comunicação e se não existirem motivos para supor que os interesses legítimos da pessoa em causa podem ser prejudicados.

2. O destinatário só pode proceder ao tratamento dos dados pessoais para as finalidades para que foram transmitidos.

Artigo 9º

Transferências de dados pessoais para pessoas e organismos, distintos das instituições e dos órgãos comunitários, não abrangidos pela Directiva 95/46/CE

1. Os dados pessoais só podem ser transmitidos a pessoas e organismos distintos das instituições e dos órgãos comunitários e não abrangidos por legislação nacional em matéria de protecção de dados adoptada por força do artigo 4º da Directiva 95/46/CE se for garantido um nível de protecção adequado no país do destinatário ou no quadro da organização internacional destinatária e se os dados forem transmitidos exclusivamente para o desempenho das funções abrangidas pela competência do responsável pelo tratamento e estiverem preenchidos os requisitos referidos no nº 1, alínea b), do artigo 4º do presente regulamento;

2. O carácter adequado do nível de protecção assegurado pelo país ou organização internacional em questão será apreciado em função de todas as circunstâncias que rodeiem a operação de transferência ou o conjunto das operações de transferência de dados; em especial, serão tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, o país ou organização internacional de destino final, a legislação, geral ou sectorial, em vigor no país ou organização internacional em causa, bem como as regras profissionais e as medidas de segurança aplicadas nesse país ou organização internacional.

3. As instituições e os órgãos comunitários informarão a Comissão e a Autoridade Europeia para a Protecção de Dados dos casos em que consideram que o país ou organização internacional em questão não assegura um nível de protecção adequado nos termos do nº 2.

4. Sempre que a Comissão, assistida pelo comité criado pelo n 1 do artigo 31 da Directiva 95/46/CE, verificar que determinado país ou organização internacional assegura ou não assegura um nível de protecção adequado, nos termos do n 2 do presente artigo, as instituições e órgãos comunitários tomarão as medidas necessárias para se conformarem com as decisões da Comissão. A referida decisão é tomada nos termos do processo "comité de gestão" estatuído no artigo 4 da Decisão do Conselho 1999/468/CE [7] e sem prejuízo do artigo 8 dessa mesma decisão.

[7] JO L 184 de 17.7.1999, p. 23.

O prazo previsto no n 3 do artigo 4 da Decisão 1999/468/CE é de três meses.

5. Em derrogação ao nº 1, a instituição ou o órgão comunitários pode transferir os dados pessoais desde que:

a) a pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência projectada; ou

b) a transferência seja necessária para a execução de um contrato entre a pessoa em causa e o responsável pelo tratamento ou de diligências prévias à formação do contrato a pedido da pessoa em causa; ou

c) a transferência seja necessária à conclusão ou execução de um contrato celebrado no interesse da pessoa em causa, entre o responsável pelo tratamento e um terceiro; ou

d) a transferência seja necessária ou legalmente exigida para a protecção de um interesse público importante ou para a declaração, o exercício ou a defesa de um direito num processo judicial; ou

e) a transferência seja necessária para proteger os interesses vitais da pessoa em causa; ou

f) a transferência seja realizada a partir de um registo que, nos termos do direito comunitário, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que nela tenha um interesse legítimo, desde que, no caso concreto, se dê cumprimento aos requisitos previstos na lei comunitária, para a consulta.

6. As instituições e os órgãos comunitários informarão a Autoridade Europeia para a Protecção de Dados dos casos (ou categorias de casos) a que aplicaram o disposto no nº 5.

SECÇÃO III

TRATAMENTO DE CERTAS CATEGORIAS DE DADOS

Artigo 10º

1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual.

2. O nº 1 não se aplica quando:

a) a pessoa em causa tiver dado o seu consentimento explícito para o tratamento desses dados, salvo se o regulamento interno da instituição ou do órgão comunitários estabelecer que a proibição do nº 1 não pode ser afastada pelo consentimento da pessoa em causa; ou

b) o tratamento for necessário para o cumprimento dos deveres e dos direitos específicos do responsável pelo tratamento no domínio do emprego, desde que seja permitido pela legislação comunitária ou pelas suas normas de transposição, ou aprovado pela Autoridade Europeia para a Protecção dos Dados, na condição de terem sido estabelecidas garantias adequadas; ou

c) o tratamento for necessário para proteger interesses vitais da pessoa em causa ou de outra pessoa se a pessoa em causa estiver física ou legalmente incapaz de dar o seu consentimento; ou

d) o tratamento disser respeito a dados manifestamente tornados públicos pela pessoa em causa ou for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial; ou

e) o tratamento for efectuado no decurso de actividades lícitas, com as garantias adequadas, por parte de um organismo sem fins lucrativos que constitua uma entidade integrada numa instituição ou num órgão comunitários, não abrangidos por legislação nacional em matéria de protecção de dados, nos termos do artigo 4º da Directiva 95/46/CE, e com objectivos políticos, filosóficos, religiosos ou sindicais, na condição do tratamento se referir apenas aos membros deste organismo ou a pessoas que tenham contactos regulares com este em relação aos seus objectivos, e de que os dados não sejam divulgados a terceiros sem o consentimento da pessoa em causa.

3. 4. O nº 1 não se aplica quando o tratamento dos dados for necessário para efeitos de medicina preventiva, diagnóstico médico, exame médico para fins de recrutamento, prestação de cuidados ou tratamentos médicos ou gestão de serviços da saúde e quando o tratamento desses dados for efectuado por um profissional de saúde obrigado ao segredo profissional ou por outra pessoa igualmente sujeita a uma obrigação de segredo equivalente.

5. Com reserva da previsão de garantias adequadas, a Autoridade Europeia para a Protecção de Dados pode, mediante decisão, estabelecer, por motivos de interesse público importante, outras excepções para além das previstas no nº 2.

6. O tratamento de dados relativos a infracções, condenações penais ou medidas de segurança só pode ser efectuado se for permitido pela legislação comunitária ou por outros instrumentos legais adoptados com fundamento no Tratado da União Europeia que estabeleçam garantias específicas ou se for permitido pela Autoridade Europeia para a Protecção de Dados.

7. A Autoridade Europeia para a Protecção de Dados determinará as condições nas quais um número de pessoal ou outro elemento de identificação geral numa instituição ou num órgão comunitários pode ser objecto de tratamento.

SECÇÃO IV

INFORMAÇÃO DA PESSOA EM CAUSA

Artigo 11º

Informação em caso de recolha de dados junto da pessoa em causa

1. O responsável pelo tratamento deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos, as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

a) identidade do responsável pelo tratamento;

b) finalidades do tratamento a que os dados se destinam;

c) os destinatários ou categorias de destinatários dos dados;

d) o carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder;

e) a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar;

f) outras informações, tais como:

- o fundamento jurídico do tratamento a que os dados se destinam;

- os prazos de conservação dos dados;

- o direito de recorrer, a qualquer momento, à Autoridade Europeia para a Protecção de Dados,

- desde que tais informações sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa o tratamento leal desses dados.

2. A título de derrogação do disposto no nº 1, a comunicação de informações, ou de certos elementos de uma informação, pode ser protelada pelo tempo necessário para atingir o objectivo legítimo de um inquérito estatístico, tendo em conta o seu objecto ou a sua natureza. A informação deve ser comunicada logo que deixe de existir a razão que presidia à sua retenção, salvo no caso de ser manifestamente desrazoável ou impossível fazê-lo. Neste caso, a informação em causa será comunicada ulteriormente, logo que tais circunstâncias deixem de existir.

Artigo 12º

Informação em caso de dados não recolhidos junto da pessoa em causa

1. Se os dados não tiverem sido recolhidos junto da pessoa em causa, o responsável pelo tratamento deve fornecer à pessoa em causa, no momento em que os dados forem registados ou, se estiver prevista a comunicação dos dados a terceiros, o mais tardar aquando da primeira comunicação desses dados, pelo menos, as seguintes informações, salvo se a referida pessoa já delas tiver conhecimento:

a) identidade do responsável pelo tratamento;

b) finalidades do tratamento;

c) categorias de dados envolvidos;

d) destinatários ou categorias de destinatários dos dados;

e) existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar;

f) outras informações tais como:

- o fundamento jurídico do tratamento a que os dados se destinam;

- os prazos de conservação dos dados;

- direito de recurso, a qualquer momento, à Autoridade Europeia para a Protecção de Dados,

- a origem dos dados, salvo quando o responsável pelo tratamento não possa comunicar esta informação por motivos de segredo profissional, desde que tais informações sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa o tratamento leal desses dados.

2. O nº 1 não se aplica quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação da pessoa em causa se revelar impossível ou implicar esforços desproporcionados ou quando a legislação comunitária dispuser expressamente o registo dos dados ou a sua comunicação. Nestes casos, a instituição ou o órgão comunitários estabelecerá as garantias adequadas.

SECÇÃO V

DIREITO DE ACESSO DA PESSOA EM CAUSA AOS DADOS

Artigo 13º

Direito de acesso

A pessoa em causa tem o direito de obter do responsável pelo tratamento, sem demora e gratuitamente:

a) a confirmação de terem ou não sido tratados dados que lhe digam respeito;

b) informações sobre os fins a que se destina esse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados;

c) a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a sua origem;

d) o conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito.

Artigo 14º

Rectificação

O responsável pelo tratamento procederá, a pedido da pessoa em causa, à rectificação imediata de dados incompletos ou inexactos.

Artigo 15º

Bloqueio

1. Os dados pessoais serão objecto de bloqueio se:

a) a sua exactidão for contestada pela pessoa em causa e se nem a sua exactidão nem a sua inexactidão puderem ser estabelecidas;

b) o responsável pelo tratamento já não precisar desses dados para o cumprimento das suas funções, mas estes devam ser conservados como elementos de prova;

c) o tratamento se revelar ilícito e a pessoa em causa se opuser ao seu apagamento e solicitar, em contrapartida, o seu bloqueio.

2. Nos ficheiros automatizados, o bloqueio será, em princípio, assegurado por meios técnicos. O facto de os dados pessoais estarem bloqueados será indicado no sistema de forma a ser claro que os dados pessoais não podem ser utilizados.

3. À excepção da sua conservação, os dados pessoais bloqueados só podem ser objecto de tratamento se tal for necessário para exercício do ónus da prova, tendo para tal a pessoa em causa dado o seu consentimento, ou por outros motivos relacionados com o interesse jurídico de terceiros.

Artigo 16º

Apagamento

1. Os dados pessoais serão apagados se o seu tratamento tiver sido ilícito, em especial quando as disposições das Secções I, II e III do Capítulo II não tiverem sido respeitadas.

2. Os dados pessoais serão apagados se deixarem de ser úteis ao responsável pelo tratamento para o cumprimento das suas funções e se não houver motivos para considerar que os interesses da pessoa em causa podem ser prejudicados por esse apagamento.

Artigo 17º

Comunicação a terceiros

O responsável pelo tratamento comunicará a terceiros a quem os dados tenham sido comunicados qualquer rectificação, apagamento ou bloqueio, excepto se tal for comprovadamente impossível ou implicar um esforço desproporcionado.

SECÇÃO VI

DERROGAÇÕES E RESTRIÇÕES

Artigo 18º

1. As instituições e os órgãos comunitários podem restringir a aplicação do nº 1 do artigo 4º, do artigo 11º, do nº 1 do artigo 12º, do artigo 13º, do artigo 33º e do nº 1 do artigo 34º, sempre que tal limitação constitua uma medida necessária à protecção:

a) da prevenção, investigação, detecção e repressão de infracções penais;

b) de um interesse económico ou financeiro importante de um Estado-membro ou da União Europeia, incluindo nos domínios monetário, orçamental ou fiscal;

c) da pessoa em causa ou dos direitos e liberdades de outrem;

d) de funções de controlo, de inspecção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) e b).

2. O disposto nos artigos 13º ao 16 não se aplica se os dados forem tratados exclusivamente para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas, desde que não exista manifestamente qualquer perigo de violação do direito à vida privada da pessoa em causa e o responsável pelo tratamento dê as garantias necessárias, e, nomeadamente, a de que os dados não serão utilizados para tomar medidas ou decisões em relação a determinadas pessoas.

3. Se for aplicada uma das restrições previstas no nº 1, a pessoa em causa será informada dos principais motivos da aplicação da restrição e do seu direito de recorrer à Autoridade Europeia para a Protecção de Dados.

4. Logo que cessem os motivos que justificaram a aplicação das restrições previstas no nº 1, o disposto no nº 1 voltará a ser plenamente aplicável.

SECÇÃO VII

DIREITO DE OPOSIÇÃO E DE QUEIXA

Artigo 19º

Direito de oposição da pessoa em causa

A pessoa em causa tem o direito de se opor em qualquer momento, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, salvo nos casos referidos nas alíneas b), c) e d) do artigo 5º. Em caso de oposição justificada, o referido tratamento deixa de poder incidir sobre esses dados.

Artigo 20º

Direito da pessoa em causa de apresentar queixa

A pessoa em causa tem o direito de, a qualquer momento, apresentar queixa à Autoridade Europeia para a Protecção de Dados.

Artigo 21º

Decisões individuais automatizadas

Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a apreciar determinados aspectos da sua personalidade como, por exemplo, a sua capacidade profissional, a confiança de que é merecedora ou o seu comportamento, excepto se a decisão for expressamente permitida por uma disposição jurídica que estabeleça medidas que garantam a defesa dos interesses legítimos da pessoa em causa.

SECÇÃO VIII

CONFIDENCIALIDADE E SEGURANÇA DO TRATAMENTO

Artigo 22º

Confidencialidade do tratamento

Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais, não procederá ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de deveres da legislação nacional.

Artigo 23º

Segurança do tratamento

1. Tendo em conta os conhecimentos técnicos disponíveis e os custos da sua aplicação, o responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas necessárias para garantir um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados pessoais a proteger.

2. Sempre que os dados pessoais forem tratados manualmente, devem ser tomadas medidas adequadas, em especial para evitar qualquer comunicação ou acesso não permitidos, alterações, destruição ou perdas acidentais.

3. Sempre que os dados pessoais forem tratados por meios automatizados, devem ser tomadas medidas em especial para:

a) evitar que uma pessoa não autorizada tenha acesso aos sistemas informáticos de tratamento dos dados pessoais;

b) evitar qualquer leitura, reprodução, alteração ou remoção não permitida dos suportes de armazenamento;

c) evitar qualquer introdução não permitida de dados na memória, assim como qualquer comunicação, alteração ou apagamento não permitidos dos dados pessoais armazenados;

d) evitar que pessoas não autorizadas utilizem sistemas de tratamento de dados através de equipamento de transmissão de dados;

e) garantir que os utilizadores autorizados de um sistema de tratamento de dados não possam aceder a outros dados pessoais para os quais não possuem autorização;

f) registar quais os dados pessoais comunicados, quando e a quem;

g) garantir que posteriormente será possível controlar e verificar quando e por quem os dados pessoais foram tratados;

h) garantir que o tratamento de dados pessoais por conta de terceiros só possa ser efectuado nos moldes prescritos pela instituição ou pelo órgão contratante;

i) garantir que durante a comunicação de dados pessoais e transporte de suportes de dados, não possam ser lidos, copiados ou apagados sem autorização;

j) conceber a estrutura organizativa de uma instituição ou um órgão por forma a que os requisitos especiais da protecção de dados sejam cumpridos.

Artigo 24º

Tratamento de dados pessoais por conta do responsável pelo tratamento

1. O responsável pelo tratamento deve, em caso de tratamento por sua conta, escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização exigidas pelo artigo 23.º e velar pelo cumprimento dessas medidas.

2. A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estabeleça, designadamente, que:

a) o subcontratante apenas actuará mediante instruções do responsável pelo tratamento;

b) os deveres previstos no artigo 23º incumbem igualmente ao subcontratante.

3. Para efeitos de conservação de provas, os elementos do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no artigo 23º, devem ficar consignados por escrito ou sob forma equivalente.

SECÇÃO IX

RESPONSÁVEL PELA PROTECÇÃO DE DADOS

Artigo 25º

Nomeação e atribuições do responsável pela protecção de dados

1. Cada instituição e órgão comunitários designará, pelo menos, uma pessoa de nível adequado, como Responsável pela protecção de dados, cujas funções são as seguintes:

a) garantir que os responsáveis pelo tratamento e as pessoas em causa sejam informadas dos seus direitos e obrigações;

b) cooperar com a Autoridade Europeia para a Protecção de Dados, a pedido desta última ou por sua própria iniciativa;

c) garantir, de forma independente, a aplicação, a nível interno, das disposições do presente regulamento ou de quaisquer outras disposições tomadas para sua execução;

d) manter um registo dos tratamentos efectuados pelo responsável pelo tratamento, com os elementos de informação referidos no nº 2 do artigo 26º;

e) comunicar à Autoridade Europeia para a Protecção de Dados os tratamentos susceptíveis de apresentarem riscos específicos nos termos do artigo 28º;

assegurando, assim, que o tratamento de dados não seja susceptível de prejudicar os direitos e liberdades das pessoas em causa.

2. O Responsável pela protecção de dados terá à sua disposição o pessoal e recursos requeridos para o desempenho das suas funções.

3. Outras regras de execução referentes ao Responsável pela protecção dos dados serão adoptadas pelas instituições ou órgãos comunitários com base nas orientações enunciadas no Anexo I. Essas regras incidirão sobre qualificações, nomeação, demissão, independência, bem como deveres e poderes do Responsável pela protecção de dados.

Artigo 26º

Comunicação ao Responsável pela protecção de dados

1. Antes de proceder a qualquer operação ou conjunto de operações de tratamento, com uma única finalidade ou várias finalidades interligadas, o responsável pelo tratamento deve comunicar esse facto ao Responsável pela protecção de dados.

2. A comunicação deve incluir pelo menos as informações indicadas no Anexo II.

Qualquer alteração que afecte as referidas informações deve ser comunicada de imediato ao Responsável pela protecção de dados.

Artigo 27.º

Registo

Cada Responsável pela protecção de dados manterá um registo das operações de tratamento comunicadas nos termos do artigo 26º.

Os registos devem conter, pelo menos, as informações indicadas no nº 2 do artigo 26º.

Os registos podem ser consultados por qualquer pessoa.

SECÇÃO X

VERIFICAÇÃO PRÉVIA PELA AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS

Artigo 28º

1. A Autoridade Europeia para a Protecção de Dados determinará as operações de tratamento que podem apresentar riscos específicos para os direitos e liberdades das pessoas em causa, devido à sua natureza, âmbito ou finalidade, como, por exemplo, privar as pessoas de um direito, de um benefício ou de um contrato, ou em virtude da utilização específica de novas tecnologias.

Tais operações de tratamento são as seguintes:

- certas operações de tratamento que envolvam categorias específicas de dados referidas no artigo 10º;

- operações de tratamento destinadas a apreciar a personalidade das pessoas em causa, nomeadamente a sua competência, eficácia ou comportamento.

Estas operações de tratamento são sujeitas a verificações prévias.

2. As verificações prévias serão realizadas pela Autoridade Europeia para a Protecção de Dados na sequência da recepção de uma comunicação por parte do Responsável pela protecção de dados que, em caso de dúvida, deve consultar a Autoridade Europeia para a Protecção de Dados.

3. A Autoridade Europeia para a Protecção de Dados emitirá o seu parecer no prazo de dois meses a contar da recepção da comunicação. Se, no termo de dois meses, não tiver emitido parecer, considera-se que este é favorável.

4. A Autoridade Europeia para a Protecção de Dados manterá um registo das operações de tratamento que lhe são comunicadas nos termos do nº 2. O registo conterá as informações enumeradas no nº 2, do artigo 26º. O registo pode ser consultado por qualquer pessoa.

5. Meios automatizados de comunicação entre as instituições e os órgãos comunitários, tais como o acesso em linha a bases de dados ou um sistema de interconexão, só podem ser estabelecidos após exame pela Autoridade Europeia para a Protecção de Dados.

Durante o exame, a Autoridade Europeia para a Protecção de Dados determinará se a comunicação automatizada é compatível com os legítimos interesses das pessoas em causa e necessária em função das atribuições das instituições ou dos órgãos comunitários envolvidos.

CAPÍTULO III

RECURSOS E SANÇÕES

Artigo 29º

Recursos

1. Sem prejuízo de um recurso judicial, qualquer pessoa em causa pode apresentar queixas à Autoridade Europeia para a Protecção de Dados se considerar que os seus direitos foram violados na sequência do tratamento dos seus dados pessoais por uma instituição ou um órgão comunitários.

2. O Tribunal de Justiça e o Tribunal de Primeira Instância das Comunidades Europeias são competentes para conhecer de todos os litígios que se relacionem com as disposições do presente regulamento, incluindo acções de indemnização.

Artigo 30º

Sanções

Qualquer incumprimento das obrigações decorrentes do presente regulamento, intencionalmente ou por negligência, por parte de um funcionário ou de outro agente das Comunidades Europeias, é passível de acção disciplinar, de acordo com as disposições do Estatuto do pessoal das Comunidades Europeias ou do regime que lhe for aplicável.

CAPÍTULO IV

Protecção dos dados pessoais e da privacidade no âmbito de redes internas de telecomunicações

Artigo 31º

Âmbito

Para além das outras disposições do presente regulamento, o presente capítulo é aplicável ao tratamento de dados pessoais em ligação com a utilização de redes e equipamentos terminais de telecomunicações que operem sob o controlo de uma instituição ou um órgão comunitários.

Para efeitos do presente capítulo, por "utilizador" entende-se qualquer pessoa singular que utilize uma rede de telecomunicações que opere sob o controlo de uma instituição ou um órgão comunitários.

Artigo 32º

Segurança

1. As instituições e os órgãos comunitários tomarão todas as medidas técnicas e organizacionais adequadas para garantir a segurança da utilização das redes e equipamentos terminais de telecomunicações, se necessário conjuntamente com os prestadores de serviços de telecomunicações públicos e/ou os fornecedores de redes públicas. Tendo em conta o estado da técnica e os custos da sua aplicação, essas medidas devem assegurar um nível de segurança adequado aos riscos existentes.

2. Em caso de risco especial de violação da segurança da rede e dos equipamentos terminais, a instituição ou o órgão comunitários informará os utilizadores acerca desse risco e das soluções possíveis ou meios de comunicação alternativos.

Artigo 33º

Confidencialidade das comunicações

1. As instituições e os órgãos comunitários assegurarão a confidencialidade das comunicações efectuadas através de redes e equipamentos terminais de telecomunicações.

São proibidas a escuta, a colocação de dispositivos de escuta, o armazenamento ou outros meios de intercepção ou vigilância de comunicações, por outras pessoas que não os utilizadores, sem o consentimento dos utilizadores em causa.

2. O nº 1 não se aplica ao registo de comunicações permitido pelas regras internas das instituições ou órgãos comunitários, com a finalidade de fornecer provas de actos legais ou processuais pertinentes para os fins das instituições ou órgãos comunitários, sob reserva do acordo da Autoridade Europeia para a Protecção de Dados.

Artigo 34º

Dados de tráfego e de facturação

1. Sem prejuízo do disposto nos nºs 2, 3 e 4, os dados de tráfego relativos aos utilizadores tratados para estabelecer chamadas ou outros tipos de ligações nas redes de telecomunicações devem ser apagados ou tornados anónimos após a conclusão da chamada ou ligação em causa.

2. Para efeitos da gestão do orçamento das telecomunicações e do tráfego, incluindo a verificação do uso permitido do sistema de telecomunicações, os dados relativos ao tráfego indicados na lista acordada pela Autoridade Europeia para a Protecção de Dados podem ser objecto de tratamento.

3. O tratamento dos dados relativos ao tráfego e à facturação deve ser limitado ao necessário para proceder a estas actividades e só pode ser realizado pelas pessoas responsáveis pela gestão da facturação, do tráfego ou do orçamento.

4. Os utilizadores de redes de telecomunicações têm o direito de receber facturas, não detalhadas.

Artigo 35º

Listas de utilizadores

1. Os dados pessoais inseridos em listas de utilizadores impressas ou electrónicas devem limitar-se ao necessário para as finalidades específicas das listas.

2. As instituições e os órgãos comunitários tomarão todas as medidas necessárias para evitar que os dados pessoais incluídos nestas listas, independentemente de estas serem acessíveis ao público ou não, sejam utilizados para fins de comercialização directa.

Artigo 36º

Apresentação e restrição da identificação da linha chamadora e da linha conectada

1. Quando seja oferecida a apresentação da identificação da linha chamadora, o utilizador chamador deve ter a possibilidade de, através de um meio simples e gratuito, eliminar a apresentação da identificação da linha chamadora.

2. Quando seja oferecida a apresentação da identificação da linha chamadora, o utilizador chamado deve ter a possibilidade de, através de um meio simples e gratuito, impedir a apresentação da identificação da linha chamadora das chamadas de entrada.

3. Quando seja oferecida a apresentação da identificação da linha chamadora, o assinante chamado deve ter a possibilidade de, através de um meio simples e gratuito, eliminar a apresentação da identificação da linha conectada ao utilizador autor da chamada.

4. Se for oferecida a apresentação da identificação da linha chamadora e/ou da linha conectada, as instituições e os órgãos comunitários informarão os utilizadores desse facto e das possibilidades referidas nos n.ºs 1, 2 e 3.

Artigo 37º

Excepções

As instituições e os órgãos comunitários zelarão pela transparência dos processos que regem o modo como podem anular a eliminação da apresentação da identificação da linha chamadora:

a) por um período de tempo limitado, a pedido de um utilizador que pretenda determinar a origem de chamadas maliciosas ou incomodativas;

b) numa base linha a linha, para as organizações que recebam chamadas de emergência, por forma a poderem responder a essas chamadas.

CAPÍTULO V

AUTORIDADE DE SUPERVISÃO: AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS

Artigo 38º

Autoridade de supervisão: Autoridade Europeia para a Protecção de Dados

1. É criada uma autoridade de supervisão denominada Autoridade Europeia para a Protecção de Dados.

2. A Autoridade é responsável pelo controlo da aplicação das disposições do presente regulamento e de qualquer outro acto comunitário relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais por uma instituição ou um órgão comunitários.

Artigo 39º

Nomeação

1. A Autoridade Europeia para a Protecção de Dados é nomeada, mediante proposta da Comissão, pelo Parlamento Europeu o Conselho e a Comissão, de comum acordo, e o seu mandato é de quatro anos.

2. A Autoridade Europeia para a Protecção de Dados é escolhida de entre as pessoas que, nos seus respectivos países, pertencem ou pertenceram a autoridades independentes de controlo do tratamento de dados pessoais ou que sejam especialmente qualificadas para o desempenho destas funções.

3. O mandato da Autoridade Europeia para a Protecção de Dados é renovável.

4. A Autoridade Europeia para a Protecção de Dados manter-se-á em funções até ser substituída.

5. Salvo em caso de substituição normal ou por morte, as funções da Autoridade Europeia para a Protecção de Dados cessam no caso de demissão voluntária ou destituição nos termos do no nº 6.

6. A Autoridade Europeia para a Protecção de Dados pode ser demitida pelo Tribunal de Justiça a pedido do Parlamento Europeu do Conselho e da Comissão, se deixar de preencher os requisitos necessários para o exercício das suas funções ou tiver cometido uma falta grave.

7. De acordo com o disposto no presente capítulo, as disposições do Protocolo relativo aos Privilégios e Imunidades das Comunidades Europeias aplicáveis aos juizes do Tribunal de Justiça são igualmente aplicáveis à Autoridade Europeia para a Protecção de Dados.

Artigo 40º

Condições de emprego

1. O Parlamento Europeu o Conselho e a Comissão estabelecerão de comum acordo o regime aplicável à Autoridade Europeia para a Protecção de Dados e, em especial, o seu salário, subsídios e quaisquer benefícios equivalentes a remuneração.

2. O Parlamento Europeu garantirá que a Autoridade Europeia para a Protecção de Dados dispõe do pessoal e equipamento necessários ao desempenho das suas funções.

3. O pessoal e equipamento integrarão uma rubrica orçamental específica da secção Parlamento do orçamento geral.

4. Os membros do pessoal serão designados pela Autoridade Europeia para a Protecção de Dados que será o seu superior hierárquico e de quem dependem exclusivamente.

5. Os funcionários e outros agentes do pessoal estão sujeitos às regras e regulamentação aplicáveis aos funcionários e outros agentes das Comunidades Europeias.

6. No que diz respeito ao pessoal que lhe está adstrito, a Autoridade Europeia para a Protecção de Dados é equiparada às instituições nos termos do artigo 1º do Estatuto dos Funcionários das Comunidades Europeias.

Artigo 41º

Independência

1. A Autoridade Europeia para a Protecção de Dados é totalmente independente no desempenho das suas funções.

2. No exercício das suas funções, a Autoridade Europeia para a Protecção de Dados, não solicitará nem aceitará instruções de outrem.

3. A Autoridade Europeia para a Protecção de Dados abster-se-á de qualquer acção incompatível com as suas funções e, durante o seu mandato, não pode desempenhar qualquer outra actividade profissional, remunerada ou não.

4. Após ter cessado as suas funções, a Autoridade Europeia para a Protecção de Dados agirá com integridade e discrição relativamente à aceitação de nomeações e benefícios.

Artigo 42º

Segredo profissional

A Autoridade Europeia para a Protecção de Dados e o seu pessoal ficam sujeitos, durante e após a cessação do seu mandato, à obrigação de segredo profissional relativamente às informações confidenciais a que tenham tido acesso durante o desempenho das suas funções.

Artigo 43º

Atribuições

1. A Autoridade Europeia para a Protecção de Dados terá por atribuições:

a) receber e investigar queixas;

b) controlar todas as operações de tratamento de dados que envolvam dados pessoais, por parte de qualquer instituição ou órgão comunitários, à excepção do Tribunal de Justiça e do Tribunal de Primeira Instância no exercício das suas funções judiciais;

c) aconselhar todos os órgãos e instituições comunitários sobre o conjunto das matérias relativas à utilização de dados pessoais, nomeadamente antes de elaborarem regras internas sobre a protecção dos direitos e liberdades fundamentais em relação ao tratamento de dados pessoais;

d) acompanhar a evolução das tecnologias da informação e de comunicação na medida em que tenham um impacto a nível da protecção dos dados pessoais;

e) cooperar com as autoridades nacionais de controlo na medida do necessário para o cumprimento da sua missão, em especial procedendo ao intercâmbio de todas as informações úteis ou solicitando às autoridades dos Estados-membros que exerçam as suas competências;

f) participar nas actividades do "Grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais", criado pelo artigo 29º da Directiva 95/46/CE;

g) manter um registo dos tratamentos de dados que lhe sejam comunicados;

h) realizar verificações prévias dos tratamentos que lhe sejam comunicados.

Artigo 44º

Consulta

1. As instituições e os órgãos comunitários informarão a Autoridade Europeia para a Protecção de Dados da elaboração de projectos de medidas relativas ao tratamento de dados pessoais que envolvam qualquer instituição ou órgão comunitários, efectuado individualmente ou com outros organismos.

2. A Comissão informará a Autoridade Europeia para a Protecção de Dados de todas as propostas de legislação comunitária que impliquem o tratamento de dados pessoais.

3. Qualquer instituição ou órgão comunitários pode consultar a Autoridade Europeia para a Protecção de Dados sobre todas as operações relativas ao tratamento de dados pessoais.

Artigo 45º

Recursos

1. Qualquer pessoa empregue por uma instituição ou um órgão comunitários pode, num assunto que afecte as suas funções, recorrer à Autoridade Europeia para a Protecção de Dados, sem passar pelas vias oficiais.

2. Ninguém pode ser prejudicado por ter interposto um recurso ou apresentado uma queixa à Autoridade Europeia para a Protecção de Dados sobre uma alegada violação das disposições que regem o tratamento de dados pessoais.

Artigo 46º

Poderes

A Autoridade Europeia para a Protecção de Dados:

a) realizará averiguações por sua própria iniciativa ou com base em queixas apresentadas ou recursos interpostos;

b) dispõe de acesso imediato a todas as informações necessárias a quaisquer averiguações;

c) terá acesso, em qualquer momento, a todos os locais oficiais.

Os responsáveis pelo tratamento de dados devem prestar assistência à Autoridade Europeia para a Protecção de Dados no desempenho das suas funções.

2. A Autoridade Europeia para a Protecção de Dados tem poderes para:

a) ordenar a rectificação, o bloqueio, o apagamento ou a eliminação de todos os dados objecto de tratamento em violação das disposições que regem o tratamento de dados pessoais;

b) proibir temporária ou definitivamente um tratamento de dados;

c) emitir advertências ou admoestações ao responsável pelo tratamento;

d) apresentar questões à apreciação da instituição ou órgão em causa e, se necessário, do Parlamento Europeu, do Conselho e da Comissão;

e) intervir em processos judiciais perante o Tribunal de Justiça e o Tribunal de Primeira Instância;

f) aconselhar as pessoas em causa e, se necessário, prestar-lhes assistência na qualidade de perito no âmbito de um processo perante o Tribunal de Primeira Instância.

3. Sempre que a Autoridade Europeia para a Protecção de Dados verificar uma violação das disposições que regem o tratamento de dados pessoais ou quaisquer irregularidades a nível do tratamento, do facto informará a instituição ou o órgão comunitário em causa, podendo, quando adequado, apresentar propostas para corrigir essas irregularidades e para melhorar a protecção das pessoas em causa(1).

4. A instituição ou órgão comunitário em causa comunicará à Autoridade Europeia para a Protecção de Dados o seu ponto de vista, no prazo que este estabelecer. Essa resposta incluirá igualmente uma descrição das medidas adoptadas na sequência das observações da Autoridade Europeia para a Protecção de Dados.

5. Em caso de queixa ou recurso, a Autoridade Europeia para a Protecção de Dados informará as pessoas em causa dos resultados das suas averiguações.

6. Se o acesso tiver sido negado à pessoa em causa, a Autoridade Europeia para a Protecção de Dados só lhe comunicará se os dados foram ou não correctamente tratados e, em caso negativo, se foram efectuadas as devidas correcções.

Se a Autoridade Europeia para a Protecção de Dados considerar que a aplicação da restrição ao direito de confirmação prevista na alínea a) do artigo 13º será privada de efeitos se esta informação for fornecida, não informará a pessoa em causa do resultado das suas averiguações.

7. De quaisquer decisões da Autoridade Europeia para a Protecção de Dados, contestadas, cabe recurso para o Tribunal de Justiça ou para o Tribunal de Primeira Instância.

Artigo 47º

Relatório de actividades

1. A Autoridade Europeia para a Protecção de Dados apresentará ao Parlamento Europeu um relatório anual das suas actividades, de que assegurará paralelamente a publicação.

2. O relatório deve ser transmitido aos restantes órgãos e instituições da União Europeia. O relatório e as respostas dos órgãos e instituições serão examinados pelo Parlamento Europeu.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Artigo 48º

Período transitório

As instituições e os órgãos comunitários assegurarão que os tratamentos já iniciados à data de entrada em vigor do presente regulamento, são tornados compatíveis com o presente regulamento no prazo de um ano a contar desta data.

Artigo 49º

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial das Comunidades Europeias.

O presente regulamento é obrigatório em todos os seus elementos e directamente aplicável em todos os Estados-membros.

Feito em Bruxelas, em

Pelo Parlamento Europeu Pelo Conselho

O Presidente O Presidente

Anexo I

1. O Responsável pela protecção dos dados será designado com base na sua autoridade, conhecimentos na matéria e confiança de que é merecedor.

2. A nomeação do Responsável pela protecção dos dados não pode originar um conflito de interesses relativamente a outras funções oficiais, em especial no âmbito da aplicação das disposições do presente regulamento.

3. O Responsável pela protecção dos dados será nomeado por um período mínimo de dois anos. O seu mandato pode ser renovado. O Responsável pela protecção dos dados só pode ser demitido das suas funções com o acordo da Autoridade Europeia para a Protecção de Dados, se deixar de preencher as condições exigidas para o desempenho das suas funções.

4. O Responsável pela protecção dos dados não recebe instruções no que se refere ao desempenho das suas funções.

5. Após a sua nomeação, o Responsável pela protecção dos dados será registado junto da Autoridade Europeia para a Protecção de Dados pela instituição, pelo órgão (ou pela pessoa) que procedeu à sua nomeação.

6. O Responsável pela protecção de dados pode formular recomendações com vista a melhorar na prática a protecção de dados e aconselhar a instituição ou o órgão comunitários que o nomeou, bem como o responsável pelo tratamento em causa, sobre matérias relativas à aplicação das disposições referentes à protecção de dados. Além disso, por sua iniciativa ou a pedido da instituição ou do órgão comunitários que o nomeou, do responsável pelo tratamento, do Comité do Pessoal ou da pessoa em causa, investigará questões e factos directamente relacionados com as suas funções e de que tenha tido conhecimento.

7. O Responsável pela protecção de dados pode ser consultado pela instituição ou pelo órgão comunitários que o nomeou, pelo responsável pelo tratamento em causa, pelo Comité do Pessoal ou por qualquer outra pessoa, sem necessidade de recorrer às vias oficiais, sobre qualquer questão relativa à interpretação ou aplicação do regulamento.

8. Ninguém será prejudicado pelo facto de ter chamado a atenção do Responsável pela protecção de dados para uma alegada violação das disposições do presente regulamento.

9. O responsável pelo tratamento em causa deve prestar assistência ao Responsável pela protecção de dados no cumprimento da sua missão e fornecer-lhe as informações solicitadas. No desempenho das suas funções, o Responsável pela protecção de dados terá acesso, a qualquer momento, aos dados objecto de tratamento e a todos os gabinetes, instalações de tratamento de dados e suportes informáticos, podendo proceder à recolha das informações necessárias.

10. Na medida do necessário, o Responsável pela protecção de dados será dispensado de outras actividades. O Responsável pela protecção de dados e o pessoal que lhe está adstrito, a quem se aplica o disposto no artigo 287.º do Tratado, não podem divulgar informações ou documentos a que tenham acesso no desempenho das suas funções.

anexo II

1. O nome e endereço do responsável pelo tratamento.

2. Os nomes das pessoas e/ou a indicação dos serviços de uma instituição ou um órgão encarregados do tratamento de dados pessoais para uma finalidade específica.

3. A ou as finalidades do tratamento.

4. Uma descrição da ou das categorias de pessoas em causa e dos dados ou categorias de dados que lhes digam respeito.

5. A base jurídica do tratamento a que os dados se destinam.

6. A ou as categorias de destinatários a quem os dados poderão ser comunicados.

7. Os prazos em matéria de bloqueio e de apagamento das diferentes categorias de dados.

8. As transferências de dados previstas para países terceiros.

9. Uma descrição geral que permita efectuar uma avaliação prévia do carácter adequado das medidas tomadas nos termos do artigo 23.º para garantir a segurança do tratamento.

Comentário do articulado

Por força do novo artigo 286º do Tratado CE, as instituições e os órgãos comunitários serão obrigados a aplicar os actos comunitários relativos à protecção das pessoas singulares em matéria de tratamento de dados de carácter pessoal e de livre circulação desses dados. Esta obrigação limita substancialmente a liberdade de escolha da Comissão quanto ao teor e âmbito das regras materiais de protecção dos dados a incluir no presente regulamento. Por outras palavras, o artigo 286º do Tratado CE obriga a Comissão a respeitar os limites estabelecidos na Directiva 95/46/CE. Por esta razão, o presente regulamento segue de perto a formulação e estrutura da Directiva 95/46/CE. É necessário, por outro lado, assegurar uma mesma interpretação da directiva e do regulamento.

O teor do regulamento não corresponde, no entanto, exactamente ao da directiva. A directiva estabelece um enquadramento que exige medidas de execução suplementares, quer a nível do direito nacional, por parte dos Estados-membros, quer mediante o presente regulamento, para as instituições e os órgãos comunitários. As regras constantes do presente regulamento são, assim, mais precisas e pormenorizadas do que as da directiva. Em relação a certos aspectos, a directiva prevê a possibilidade de opção entre diferentes alternativas, o que também implica diferenças entre a formulação do regulamento e da directiva. Por outro lado, o regulamento cria o órgão independente de supervisão referido no artigo 286º do Tratado CE, que requer disposições mais pormenorizadas do que a directiva que deixa a execução ao direito nacional dos Estados-membros.

Os comentários centram-se essencialmente nas disposições do regulamento que não são idênticas às disposições correspondentes da directiva.

Capítulo I: Disposições gerais

Artigo 1º: Objecto do regulamento

O artigo 1º refere-se ao objecto do regulamento. A protecção assegurada abrange não apenas os tratamentos de dados relativos a agentes das instituições ou a qualquer pessoa que trabalhe por conta destas, mas igualmente os tratamentos de dados relativos a qualquer pessoa singular estranha às instituições, tais como os fornecedores ou beneficiários de fundos comunitários. As informações pessoais transmitidas pelos Estados-membros à Comissão para efeitos da gestão ou do controlo do pagamento das subvenções comunitárias são, em especial, protegidas ao abrigo do presente regulamento.

Deve sublinhar-se que o objecto do presente regulamento é distinto do objecto da directiva.

A directiva, baseada no artigo 100º-A do Tratado CE, procura conciliar os imperativos da realização do mercado interno com os da protecção das pessoas. Esta situação exprime-se em dois números do artigo 1º: o primeiro que impõe a obrigação de os Estados-membros assegurarem a protecção dos direitos e liberdades das pessoas em conformidade com a directiva e o segundo que tira as consequências a nível da livre circulação dos dados pessoais no âmbito do mercado interno. Por outras palavras, o nº 1 refere-se ao meio utilizado: a harmonização das legislações nacionais e o .º 2 ao objectivo prosseguido, a saber, a livre circulação dos dados pessoais.

Não é oportuno reproduzir esta lógica no artigo 1º do presente regulamento.

O regulamento destina-se, com efeito, a dar execução à obrigação em relação às instituições e aos órgãos comunitários de respeitarem os direitos e liberdades fundamentais das pessoas e, nomeadamente, o seu direito à vida privada, em relação ao tratamento dos seus dados pessoais.

O regulamento terá consequentemente por efeito assegurar que os dados pessoais transmitidos, para o desempenho das suas funções, às instituições e aos órgãos comunitários sejam tratados em condições que garantem o respeito dos direitos e liberdades fundamentais das pessoas em causa, condições por sua vez harmonizadas pelas previstas na directiva.

Não parece necessário, no entanto, retomar no presente regulamento uma disposição similar à enunciada no nº 2 do artigo 1º da directiva, uma vez que a livre circulação de informações, nomeadamente de dados pessoais, entre os Estados-membros e as instituições e os órgãos comunitários, ou entre as instituições e os órgãos comunitários entre si, é regida pelas disposições pertinentes dos Tratados (tais como o artigo 213º do Tratado CE) ou do direito derivado.

Além disso, é evidente que o presente regulamento não prejudica os direitos que possam ser garantidos por outras disposições comunitárias ou nacionais. É o que acontece, em especial, com as regras constantes do Estatuto do pessoal das Comunidades Europeias.

Artigo 2º: Definições

Este artigo retoma as definições do artigo 2º da directiva.

A definição relativa ao responsável pelo tratamento foi, no entanto, adaptada à especificidade do contexto comunitário. Trata-se de adaptações puramente factuais que sublinham que, em função da situação, o responsável pelo tratamento pode ser uma instituição, um órgão ou uma unidade administrativa, como uma Direcção-Geral por exemplo. Todavia, os critérios que permitem determinar quem efectivamente deve ser considerado como responsável pelo tratamento de dados são retomados da directiva. Trata-se da entidade que decide da finalidade do tratamento e dos meios a utilizar para proceder a esse tratamento.

Artigo 3º: Âmbito de aplicação

Nº 1: Instituições e órgãos a que o regulamento é aplicável:

O regulamento destina-se a ser aplicado aos tratamentos de dados efectuados pelo conjunto das instituições e dos órgãos comunitários. Integram consequentemente o âmbito de aplicação do regulamento, os tratamentos efectuados por:

- as instituições enumeradas no artigo 7º do Tratado CE tal como alterado pelo Tratado da União Europeia, a saber, o Parlamento Europeu, o Conselho, a Comissão, o Tribunal de Justiça e o Tribunal de Contas;

- os órgãos criados pelos Tratados que instituem a Comunidade Europeia, a Comunidade Europeia do Carvão e do Aço e a Comunidade Europeia da Energia Atómica, a saber, o Banco Central Europeu, o Banco Europeu de Investimento, o Provedor de Justiça, o Comité Económico e Social e o Comité das Regiões;

- os órgãos criados com base no direito comunitário derivado, nomeadamente o artigo 308º do Tratado CE, tais como o Centro Europeu de Formação Profissional, a Fundação Europeia para a Melhoria das Condições de Vida e de Trabalho; a Agência Europeia do Ambiente, a Fundação Europeia para a Formação, o Observatório Europeu da Droga, a Agência Europeia de Avaliação dos Medicamentos; o Instituto de Harmonização do Mercado Interno (marcas e desenhos e modelos); a Agência Europeia de Segurança e Saúde no Trabalho; o Instituto comunitário das Variedades vegetais e o Centro de Tradução dos órgãos da União.

O regulamento é aplicável aos tratamentos efectuados no exercício de todas as actividades das instituições e dos órgãos comunitários. Não é estabelecida qualquer distinção entre estas actividades: pode tratar-se de actividades desenvolvidas a título do Tratado CE, do Tratado CECA ou do Tratado CEEA, ou mesmo, se for caso disso, de actividades desenvolvidas no âmbito do Título VI do Tratado da União Europeia.

Em contrapartida, o âmbito do presente regulamento não engloba os tratamentos de dados pessoais efectuados pelos órgãos criados no âmbito do Título VI do Tratado da União Europeia, tais como a Europol.

Nº 2: Tratamentos sujeitos ao regulamento

Este número reproduz o nº 1 do artigo 3º da directiva: refere-se aos tratamentos total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

Capítulo II: Condições gerais de licitude do tratamento de dados pessoais

Secção I: Princípios relativos à qualidade dos dados

Artigo 4º

Este artigo retoma as disposições do artigo 6º da directiva.

Retoma, em especial, nas alíneas b) e c), as derrogações que permitem a utilização ulterior dos dados para fins históricos, estatísticos ou científicos, derrogações que devem, no entanto, ser acompanhadas de garantias apropriadas.

O artigo prevê que as garantias apropriadas deverão ser prestadas pela instituição ou pelo órgão que prossegue a finalidade histórica, estatística ou científica em causa.

O tratamento alargado a outros objectivos para além daqueles com que os dados foram originalmente coligidos pode ser expressamente autorizado por disposição legal, tal como o artigo 16º do Regulamento (CE) nº 322/97 do Conselho de 17 de Fevereiro de 1997 relativo às estatísticas comunitárias, que prevê a utilização de dados administrativos a fim de facilitar o trabalho dos inquiridos.

Secção II: Princípios relativos à legitimidade do tratamento de dados

Artigo 5º

Este artigo inclui, tal como o artigo 7º da directiva, uma lista exaustiva das condições de legitimidade dos tratamentos.

São, no entanto, introduzidas três alterações:

- a apresentação da lista é alterada;

- a lista é mais limitada;

- o teor de uma das condições é precisado.

O TEXTO CONTINUA NO NUM.DOC:599PC0337.1

- A apresentação da lista é alterada: as condições foram enumeradas segundo a ordem de importância prática que se pode razoavelmente esperar para autoridades públicas, como as instituições e os órgãos comunitários. Em especial, parece lógico que seja considerada como primeira condição a legitimidade da execução da missão de que se encontram investidas estas instituições e estes órgãos. Do mesmo modo, o consentimento das pessoas em causa ou o seu interesse vital, mesmo se são necessárias para o exercício de certas actividades das instituições e dos órgãos, por exemplo em relação à gestão dos seus serviços médicos, não deveriam na prática constituir condições de legitimidade dos tratamentos mais correntes.

- A lista é mais limitada: a alínea f) do artigo 7º da directiva não é retomada no regulamento. Esta alínea, que baseia o legitimidade do tratamento nos interesses legítimos do responsável ou de um terceiro desde que não prevaleçam os interesses da pessoa em causa, não encontra aplicação no domínio das actividades do sector público. O seu amplo âmbito de aplicação só deveria, ao contrário, abranger as actividades do sector privado.

- A adaptação do teor da alínea a): esta alínea retoma a alínea e) do artigo 7º da directiva, adaptando-a ao contexto comunitário: são as instituições e os órgãos comunitários que estão investidos de autoridade pública com base na qual, se for caso disso, os tratamentos de dados poderão ser efectuados. A alínea inclui igualmente o tratamento de dados pessoais necessários à gestão diária das instituições e órgãos, por exemplo, o tratamento de dados pessoais dos funcionários.

Artigo 6º: Tratamento posterior para finalidades compatíveis

Este artigo refere-se ao tratamento dos dados para uma finalidade diferente mas compatível com a finalidade para a qual os dados foram recolhidos.

O nº 1 exige que os tratamentos posteriores para finalidades compatíveis sejam legitimados pelo regulamento interno da instituição ou do órgão em causa.

Os nºs 2 e 3 especificam duas situações de tratamento posterior. O nº 2 permite o tratamento posterior para assegurar o respeito de regulamentos financeiros ou orçamentais. O nº 3 proíbe o tratamento posterior de dados pessoais recolhidos para garantir a segurança ou o controlo dos sistemas ou operações de tratamento.

O artigo 6º aplica-se sem prejuízo do disposto no artigo 18º que estabelece as condições em que pode ser autorizado o tratamento posterior para fins incompatíveis.

Artigos 7º, 8º e 9º: Transferências de dados pessoais

Os artigos 7º, 8º e 9º estabelecem uma distinção entre três situações diferentes.

O artigo 7º refere-se às transferências de dados pessoais de uma instituição ou um órgão para outro e a nível interno destes órgãos e instituições. Nesta situação, os dados pessoais são transferidos para um destinatário que se encontra igualmente abrangido pelo presente regulamento.

O artigo 8º refere-se às transferências de dados pessoais de uma instituição ou um órgão comunitários para um destinatário abrangido pela Directiva 95/46/CE.

Os artigos 7º e 8º são aplicáveis sem prejuízo do disposto nos artigos 4º, 5º e 6º. Prevêem garantias adicionais e, no caso do artigo 7º, especificam a responsabilidade do responsável pelo tratamento e do destinatário.

Artigo 9º: Transferências de dados pessoais para um destinatário não sujeito a um nível adequado de protecção

O artigo 9º reproduz os artigos 25º e 26º da directiva e contempla a transferência de dados pessoais para um destinatário que não se encontra abrangido nem pelo disposto no presente regulamento, nem pela Directiva 95/46/CE. A maioria dos casos dirão respeito à transferência de dados pessoais para países terceiros. As disposições de carácter processual do artigo 9º foram redigidas, quando possível, de acordo com as da directiva.

Secção III: Categorias específicas de tratamento

Artigo 10º: Tratamento de certas categorias específicas de dados

A estrutura deste artigo corresponde à do artigo 8º da directiva que inclui:

- por um lado, no nº 1, uma proibição dos tratamentos de dados sensíveis, recordando-se que são considerados sensíveis as categorias de dados seguintes: dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual;

- por outro lado, uma série de derrogações que correspondem a necessidades específicas e são acompanhadas das garantias apropriadas.

De salientar que o Estatuto dos funcionários e dos outros agentes das Comunidades Europeias inclui já disposições relativas à proibição de fazer incluir no dossier individual do funcionário certos dados sensíveis. O artigo 26º do Estatuto refere-se às opiniões políticas, filosóficas ou religiosas de um funcionário. As outras categorias de dados consideradas sensíveis pela directiva não são abrangidas pelo Estatuto que deverá, oportunamente, ser alinhado pelo presente regulamento.

A derrogação ao tratamento dos dados relativa às condenações penais referidas no nº 5 do artigo 8º da directiva só pode ser aplicada de forma parcial no que se refere às instituições e aos órgãos comunitários.

Por outro lado, a autoridade de supervisão comunitária é dotada pelos n.ºs 4 a 6 do poder de adoptar decisões de derrogações suplementares (nº 4), a autorizar o tratamento de dados relativos a infracções, condenações penais e medidas de segurança (nº 5) e a determinar as condições nas quais um número pessoal ou outro elemento de identificação pode ser objecto de tratamento no âmbito de uma instituição ou um órgão comunitários (nº 6).

Um exemplo de tratamento de dados pessoais que a Autoridade Europeia para a Protecção de Dados pode autorizar é o tratamento para evitar o uso não autorizado das redes informáticas, por exemplo para fins de divulgação de textos políticos racistas ou material pornográfico.

O poder discricionário conferido à Autoridade Europeia para a Protecção de Dados nos nºs 4 a 6 não pode ser utilizado de modo contrário às derrogações previstas no direito comunitário ou em qualquer outro instrumento jurídico.

Por último, propõe-se a não utilização no presente regulamento das possibilidades oferecidas pela directiva aos Estados-membros pelo segundo parágrafo do nº 5 do artigo 8º, que alarga às sanções administrativas e às decisões cíveis o regime aplicável às sanções penais.

Secção IV: Informação da pessoa em causa

O Artigo 11º: Informação em caso de recolha de dados junto da pessoa em causa

O nº 1 do artigo 11º inspira-se estreitamente no artigo 10º da directiva.

Devem tecer-se, no entanto, duas observações.

- no que se refere ao prestador da informação: a referência ao representante do responsável pelo tratamento que consta do artigo 10º da directiva contempla a situação em que este responsável não se encontra estabelecido no território da Comunidade mas num país terceiro. Tal referência não tem sentido no que se refere às instituições e aos órgãos comunitários e não foi portanto retomada no presente regulamento;

- no que se refere à lista das informações a fornecer às pessoas em causa: tal como o artigo 10º da directiva, o artigo 11º do presente regulamento estabelece uma lista de informações. Propõe-se completar a lista mínima prevista pela directiva.

O artigo 10º da directiva não precisa quando é que a pessoa em causa é informada. De um modo geral, será quando se recolhem os dados. O nº 2 do artigo 11º permite que a comunicação de informação seja protelada, se necessário, pelo motivo específico referido na presente disposição.

Artigo 12º: Informação em caso de dados não recolhidos junto da pessoa em causa

As observações feitas em relação ao artigo 11º são igualmente válidas em relação ao artigo 12º. As excepções à obrigação de informação referidas no artigo 11º da directiva foram retomadas, precisando-se que a lei que pode servir de fundamento a tal derrogação é a legislação comunitária.

Secção V: Direito de acesso da pessoa em causa aos dados

Com uma preocupação de maior clareza, o conteúdo do artigo 12º da directiva foi repartido pelos artigos 13º a 17º.

Por outro lado, foram introduzidas algumas precisões.

Artigo 13º: Direito de acesso

Este artigo reproduz a alínea a) do artigo 12º da directiva.

Foi introduzida uma alteração relativamente aos custos cujo reembolso pode ser eventualmente solicitado à pessoa que exerce o seu direito de acesso. O artigo 12º prevê que estes custos não devem ser excessivos. Pelo contrário, no regulamento propõe-se que o acesso seja completamente gratuito.

Além disso, propõe-se não utilizar a faculdade prevista pela directiva que consiste em limitar às decisões automatizadas a obrigação para o responsável pelo tratamento de informar as pessoas sobre o conhecimento da lógica que subjaz a um tratamento automatizado.

Artigo 14º: Rectificação

Este artigo, tal como os artigos 15º e 16º, é consagrado a uma das três medidas que devem ser tomadas pelo responsável pelo tratamento se se vier a apurar que o tratamento dos dados não é conforme ao regulamento. Estes três artigos do presente regulamento reproduzem a alínea b) do artigo 12º da directiva, incluindo certas precisões.

Artigo 15º: Bloqueio

Este artigo introduz diversas precisões em relação nomeadamente às hipóteses em que:

- esta operação técnica deva ser utilizada: contestação da exactidão dos dados tratados em relação à finalidade prosseguida, conservação dos dados para efeitos de prova, pedido da pessoa em causa nesse sentido em vez do seu pagamento;

- os dados que são objecto de bloqueio podem ser de novo utilizados.

Artigo 16º: Apagamento

O nº1 estabelece o apagamento dos dados pessoais se o seu tratamento tiver sido ilícito, em especial quando as disposições relativas à qualidade dos dados, ao tratamento legítimo e aos dados sensíveis não tiverem sido respeitadas.

O nº 2 reitera o princípio de que os dados pessoais só serão mantidos enquanto tal for necessário para atingir o fim para que foram recolhidos

Artigo 17º: Notificação a terceiros

Este artigo reproduz a alínea c) do artigo 12º da directiva.

Secção VI: Derrogações e restrições

Artigo 18º: Derrogações e restrições

Este artigo retoma parcialmente o artigo 13º da directiva, que deixa certas possibilidades aos Estados-membros, que, se forem utilizadas, devem no entanto satisfazer certas condições:

- no que se refere aos direitos das pessoas e às obrigações do responsável pelo tratamento cujo âmbito pode ser limitado: contrariamente ao artigo 13º da directiva, o presente artigo destina-se a estabelecer uma derrogação à informação das pessoas (artigos 11º e 12º) e ao seu direito de acesso (artigo 13º). As condições em que se pode estabelecer uma derrogação à qualidade dos dados, na medida em se trate de uma finalidade compatível, foram já abordadas no âmbito do artigo 6º do presente regulamento relativo à alteração de finalidade. Para além disso, não é oportuno fazer no artigo 18º do presente regulamento uma referência aos artigos 14º a 16º. O exercício dos direitos previstos por estes artigos pressupõem que o direito de acesso tenha sido concedido, não podendo funcionar na ausência de acesso; se o acesso for concedido, a derrogação a estes direitos deixa de se justificar.

- no que se refere aos motivos pelos quais os direitos da pessoa em causa podem ser limitados: os motivos relativos à segurança do Estado, à defesa e à segurança pública, enumerados nas alíneas a), b) e c) do nº 1 do artigo 13º não foram retomados uma vez que não são aplicáveis às instituições e aos órgãos comunitários.

- no que se refere às garantias que devem ser tomadas: o artigo 13º da directiva não autoriza uma derrogação pura e simples, mas apenas excepções e limitações aplicadas numa base casuística. É por esta razão que o objecto dos nºs 3 e 4 do presente artigo consiste em prever diversas garantias com vista a proteger as pessoas em causa cujo direito de acesso seja recusado num determinado caso: o direito de ser informada sobre as principais razões que presidiram à recusa de acesso e sobre a possibilidade de recorrer à autoridade de supervisão e o direito de informação a posteriori.

Secção VII: O direito de oposição da pessoa em causa

Artigo 19º: O direito de oposição da pessoa em causa

Este artigo retoma a alínea a) do artigo 14º da directiva que deixa uma certa margem de manobra aos Estados-membros quanto ao alcance deste direito. São portanto necessárias precisões no presente regulamento.

Deve, além disso, salientar-se que a alínea b) do artigo 14º relativa ao direito de oposição em matéria de comercialização directa não é aplicável à actividade das instituições e dos órgãos comunitários.

Do mesmo modo, em relação ao alcance do direito de oposição tal como definido na alínea a) do artigo 14º da directiva, deve salientar-se que a referência aos tratamentos efectuados com base na alínea f) do artigo 7º da directiva - à qual a alínea a) do artigo 14º da directiva faz referência - não se justifica no que se refere às instituições e aos órgãos comunitários, dado que, como já sublinhado, a própria alínea f) do artigo 7º não é aplicável neste contexto comunitário específico.

Artigo 20º: O direito da pessoa em causa de apresentar queixa

O direito de apresentar queixa constitui a contrapartida do poder da Autoridade Europeia para a Protecção de Dados de receber queixas em conformidade com o nº 4 do artigo 28º do regulamento.

Artigo 21º: Decisões individuais automatizadas

Este artigo retoma o artigo 15º da directiva.

É evidente que alguns exemplos enumerados no nº 1 do artigo 15º da directiva relativos à avaliação de certos aspectos da personalidade não têm sentido no contexto específico do regulamento e não foram retomados (nomeadamente o crédito da pessoa).

Secção VIII: Confidencialidade e segurança do tratamento

Artigo 22º: Confidencialidade do tratamento

Este artigo retoma o artigo 16º da directiva.

Não pareceu necessário retomar a possibilidade de derrogação prevista na directiva em relação às obrigações legais. Uma tal precisão seria redundante com o artigo 6º relativo à alteração de finalidade.

Artigo 23º: Segurança do tratamento

Este artigo retoma, explicitando-o, o nº 1 do artigo 17º da directiva.

O nº 1 do presente artigo retoma o segundo parágrafo do nº 1 do artigo 17º.

O nº 2 é consagrado às medidas de segurança a tomar em relação aos dados tratados manualmente.

O nº 3 explicita o primeiro parágrafo do nº 1 do artigo 17º cujo teor é muito geral. Inspira-se a este respeito de diversas recomendações recentemente adoptadas pelo Conselho da Europa em matéria de protecção de dados, bem como do texto da Convenção de Aplicação do Acordo de Schengen (artigo 118º).

Na prática, é evidente que as medidas de segurança a tomar virão inserir-se no âmbito das medidas mais amplas que as instituições e os órgãos tomaram já em matéria de segurança dos sistemas de informação (ver por exemplo a Decisão da Comissão de 23 de Novembro de 1995 destinada a proteger a integridade, a confidencialidade e a disponibilidade dos sistemas de informação).

Artigo 24º: Tratamento de dados pessoais por conta do responsável pelo tratamento

Este artigo retoma os nºs 2 a 4 do artigo 17º da directiva.

Secção IX: Responsável pela protecção dos dados

Artigo 25º: Responsável pela protecção dos dados

Este artigo prevê que cada instituição e órgão deverá nomear um responsável pela protecção dos dados encarregado de assegurar de forma independente a aplicação da protecção dos dados no âmbito da instituição ou do órgão em causa.

A nomeação do Responsável pela protecção dos dados é objecto do nº 2 do artigo 18º da directiva a título facultativo para os Estados-membros. Segundo este artigo, tal nomeação torna possível simplificações e mesmo isenções da obrigação de notificar os tratamentos à autoridade de supervisão.

A directiva inspira-se a este respeito numa prática bem estabelecida em certos Estados-membros e que permite assegurar uma aplicação eficaz da protecção das pessoas.

Pode tecer-se algumas observações no que se refere à nomeação do responsável, às suas funções, às garantias a prever para lhe permitir exercê-las e às relações que mantém com a autoridade de controlo.

- Nomeação do Responsável pela protecção dos dados: cada instituição e órgão terá a obrigação de designar pelo menos um responsável. Certas instituições - como por exemplo a Comissão - serão provavelmente levadas a designar diversos responsáveis em função da importância dos tratamentos de dados de carácter pessoal efectuados no âmbito da instituição.

- Funções do Responsável: a sua principal função é referida no nº 1 deste artigo. O texto inspira-se estreitamente da directiva: deve assegurar a aplicação interna da protecção do dados e manter um registo do conjunto dos tratamentos efectuados pela instituição ou pelo órgão. A tónica é colocada no presente artigo no papel desempenhado pelo Responsável pela protecção dos dados relativamente à informação das pessoas em causa e dos responsáveis pelo tratamento em relação aos seus direitos e obrigações em matéria de protecção de dados. Tal informação constitui a primeira condição necessária para assegurar uma boa aplicação da protecção da directiva. A tónica foi assim colocada neste aspecto no primeiro travessão do nº 1, apesar de, essencialmente, nada acrescentar à formulação mais geral da directiva. Para além disso, são atribuídas ao Responsável diversas funções mais específicas com vista a desempenhar da melhor forma as suas funções: pode apresentar propostas para melhoria da protecção de dados no âmbito da instituição ou do órgão, pode ser consultado pela autoridade que o nomeou, pelos responsáveis pelos tratamentos ou pelo Comité do Pessoal. Além disso, o Responsável pela protecção dos dados tem a obrigação de cooperar com a Autoridade Europeia para a Protecção de Dados (segundo travessão). A obrigação enunciada no quinto travessão facilita a identificação das operações de tratamento que apresentam riscos específicos, na medida em que a AEPD efectuará uma verificação prévia.

- Garantias que permitem o exercício das funções do Responsável: as garantias previstas destinam-se todas a explicitar, o mais possível, a condição fundamental que deve caracterizar o estatuto do Responsável pela protecção dos dados e retomada da directiva, a saber, a sua independência.

Artigos 26º e 27º: Registo junto do Responsável pela protecção dos dados

Com uma preocupação de transparência, o artigo 27º prevê que, de acordo com o texto da directiva, o Responsável pela protecção dos dados deve manter um registo dos tratamentos efectuados no âmbito da instituição ou do órgão.

Para lhe permitir desempenhar da melhor forma esta função, os responsáveis pelo tratamento podem notificar estes tratamentos a título prévio ao Responsável pela protecção dos dados.

A lista das informações a fornecer ao Responsável consta do nº 1 do artigo 19º da directiva, para o qual remete o nº 2 do artigo 21º da directiva.

A lista referida na directiva é uma lista mínima. Com uma preocupação de reforçar a transparência em relação aos tratamentos efectuados pelas instituições e pelos órgãos, propõe-se acrescentar a esta lista as informações relativas à base jurídica dos tratamentos (por exemplo, as disposições de direito comunitário que tornam necessário o tratamento) e à duração de conservação dos dados. Lembre-se também que a representação do responsável pelo tratamento referida na alínea a) do nº 1 do artigo 19º da directiva não se justifica relativamente às instituições e aos órgãos comunitários.

Secção X: Verificação prévia pela Autoridade Europeia para a Protecção de Dados

Artigo 28º: Verificação prévia pela Autoridade Europeia para a Protecção de Dados

Este artigo é equivalente ao artigo 20.º da directiva.

A directiva assenta num controlo selectivo da licitude das operações de tratamento em função dos riscos que podem apresentar para os direitos das pessoas em causa:

- a notificação das operações de tratamento à autoridade de supervisão pode de forma geral ser simplificada, ou mesmo dispensada, em certas condições, nomeadamente se tiver sido nomeado um Responsável pela protecção dos dados.

- a notificação continua a ser necessária e deve mesmo ser reforçada através de uma verificação prévia em caso de operações de tratamento que apresentam riscos específicos.

O presente regulamento tira as consequências da nomeação de um Responsável pela protecção dos dados junto das instituições e dos órgãos comunitários, limitando a obrigação de notificação à autoridade de supervisão comunitária apenas aos tratamentos que apresentam riscos específicos.

Recorrendo a uma opção prevista no nº 2 do artigo 20º da directiva, as operações de tratamento de risco deverão ser notificadas à autoridade de supervisão pelo Responsável pela protecção dos dados de cada instituição ou órgão.

O nº 1 do artigo 20º da directiva prevê que cabe aos Estados-membros especificarem os tratamentos que possam representar riscos específicos. O considerando 53 prevê que estas precisões podem ser introduzidas na legislação nacional se os Estados-membros o desejarem, deixando a possibilidade igualmente às autoridades de controlo de desenvolverem elas próprias a sua própria concepção da noção de tratamentos que apresentam riscos específicos. O presente artigo consagra esta segunda solução, atribuindo à autoridade de supervisão competência para definir os tratamentos que apresentam riscos específicos. Alguns exemplos são, no entanto, dados no próprio texto do artigo, exemplos que se inspiram do considerando 53.

Ao inspirar-se no considerando 54, o nº 3 do artigo prevê que a autoridade de supervisão a quem seja apresentada uma notificação de um tratamento que apresenta riscos específicos deve emitir um parecer sobre a licitude do tratamento previsto. Cabe à instituição ou ao órgão que notificou o tratamento tirar as consequências operacionais.

Capítulo III: Recursos judiciais e sanções

Artigos 29º e 30º

Trata-se de disposições que correspondem respectivamente aos artigos 22º, 23º e 24º da directiva. Numa Comunidade de direito, é importante que os direitos conferidos aos particulares possam ser exercidos também quando a violação desses direitos é imputável a uma instituição ou um órgão comunitários. De acordo com as disposições do Tratado em matéria de responsabilidade não contratual da Comunidade, a Comunidade deve reparar os prejuízos causados pelas suas instituições ou pelos seus agentes no exercício das suas funções, sendo o Tribunal de Justiça competente para conhecer dos litígios relativos à reparação de tais prejuízos.

Capítulo IV: Protecção dos dados pessoais e da privacidade no âmbito de redes internas de telecomunicações.

Esta secção retoma as disposições da Directiva 97/66/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das telecomunicações desde que se prestem a ser aplicadas pelas instituições ou pelos órgãos comunitários. A maior parte das disposições teve que ser adaptada às circunstâncias específicas existentes nas instituições e nos órgãos comunitários.

Artigo 31º: Âmbito

O âmbito deste capítulo limita-se às redes de telecomunicações que operam sob o controlo das instituições e dos órgãos comunitários. Os artigos 31º a 37º só se aplicam, por conseguinte, se as instituições e os órgãos comunitários se encontrarem efectivamente em posição de determinar as condições de funcionamento das redes de telecomunicações em causa.

Artigo 32º: Segurança

Esta disposição reproduz o artigo 4º da Directiva 97/66/CE.

No caso de uma rede ou linha de telecomunicações estar ligada a uma rede pública ou no caso de tal rede ou linha ser alugada ou operar em cooperação com um fornecedor de rede público, poderá ser necessário que as instituições ou os órgãos comunitários cooperem com o fornecedor da rede ou com o prestador do serviço envolvido no sentido de garantirem um nível de segurança suficiente.

Artigo 33º: Confidencialidade

Esta disposição corresponde ao artigo 5º da Directiva 97/66/CE.

Para os fins referidos no artigo 34º, poderá revelar-se necessário controlar em casos específicos a utilização de uma determinada rede de telecomunicações. A título de exemplo, poderá referir-se a conservação de certos dados relativos a chamadas telefónicas para efeitos de facturação ou o controlo da utilização do acesso à Internet oferecido aos funcionários das instituições e dos órgãos comunitários. Em conformidade com os princípios gerais deste regulamento, o grau de tal intercepção ou vigilância deve ser o mais limitado possível.

Artigo 34º: Dados de tráfego e de facturação

Esta disposição reproduz o artigo 6.º da Directiva 97/66/CE.

O artigo 34º especifica os limites do tratamento dos dados pessoais para fins de facturação, orçamentais ou de gestão de tráfego.

Artigo 35º: Listas de utilizadores

Esta disposição corresponde ao artigo 11º da Directiva 97/66/CE.

Devido à sua necessidade para o bom funcionamento das instituições e dos órgãos comunitários, os utilizadores, normalmente funcionários, não têm o direito de serem excluídos das listas. No entanto, os seus dados pessoais incluídos em tais listas devem ser limitados ao necessário para os fins específicos da lista, o que implica que os funcionários possam decidir se pretendem ou não a inclusão de determinados dados. Por exemplo, o direito de exigir que na lista não se indiquem todos os nomes próprios, mas apenas o nome pelo qual o funcionário é conhecido, desde que não se trate de um pseudónimo.

Artigo 36º: Identificação da linha chamadora e da linha conectada

Esta disposição corresponde ao artigo 8º da Directiva 97/66/CE. Todavia, não se incluiu o nº 3 do artigo 8º da directiva, dado que a rejeição de chamadas de entrada de colegas não é um meio adequado no contexto das instituições e órgãos comunitários.

Artigo 37º: Excepções

Esta disposição corresponde ao artigo 9º da Directiva 97/66/CE.

Capítulo V: Autoridade de supervisão: Autoridade Europeia para a Protecção de Dados

Artigos 38º - 47º

A autoridade de supervisão foi concebida, mutatis mutandis, segundo o modelo estabelecido no artigo 28º da directiva, que dá indicações claras no que se refere à independência das autoridades de controlo criadas a nível nacional, bem como aos poderes de que estas devem dispor. Considerando que a referida disposição cria obrigações para os Estados-membros, o artigo 286º do Tratado impõe que estas mesmas obrigações sejam "transpostas" para as instituições e os órgãos comunitários.

Artigo 39º: Nomeação do CEPD

No que se refere às modalidades de nomeação da autoridade de supervisão, a solução adoptada é decalcada das disposições relativas ao provedor de justiça europeu (artigo 195º do Tratado). Segundo o parecer do Grupo consultivo para a protecção dos dados criado pelo artigo 29º da directiva, a designação da autoridade pelo Parlamento Europeu constitui, a este respeito, a solução apropriada. Todavia, diferentemente do que se verifica com a nomeação do provedor de justiça europeu, o Parlamento Europeu deve consultar a Comissão e o Conselho.

Artigo 46º: Poderes da AEPD

O poder de intervir em processos judiciais perante o Tribunal de Justiça e o Tribunal de Primeira Instância enunciado no nº 2 do artigo 46º é decalcado do nº 3, terceiro travessão, do artigo 28º da directiva.

O nº 7 do artigo 46º transpõe o último parágrafo do nº3 do artigo 28º da directiva. Será necessário alterar o Regulamento de Processo do Tribunal de Justiça e do Tribunal de Primeira Instância para que possam deliberar em relação a acções intentadas contra a AEPD.

Disposições finais

Artigo 48º

Esta disposição reproduz o nº 2 do artigo 32º da directiva, ao prever um período transitório para dar cumprimento ao regulamento no que se refere aos tratamentos já em curso. Em vez de um período de três anos é proposto um período de um ano.

FICHA FINANCEIRA

1. Designação da acção

Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos da Comunidade Europeia e à livre circulação desses dados.

2. Rubrica orçamental implicada

Novo capítulo 39 (a criar) da secção 1 (PE), título 3 do Orçamento Geral.

3. Base jurídica

Artigo 286º do Tratado que institui a Comunidade Europeia (tal como aditado pelo Tratado de Amesterdão).

Artigo 286º

1. A partir de 1 de Janeiro de 1999, os actos comunitários relativos à protecção das pessoas singulares em matéria de tratamento de dados de carácter pessoal e de livre circulação desses dados serão aplicáveis às Instituições e órgãos instituídos pelo presente Tratado, ou com base nele.

2. Antes da data prevista no n.º 1, o Conselho, deliberando nos termos do artigo 189º-B, criará um órgão independente de supervisão, incumbido de fiscalizar a aplicação dos citados actos comunitários às Instituições e órgãos da Comunidade e adoptará as demais disposições que se afigurem adequadas.

4. Descrição da acção

4.1 Objectivo geral

1. A criação de um órgão independente de supervisão tal como exigido pelo nº 2 do novo artigo 286º do Tratado CE (a Autoridade Europeia para a Protecção de Dados, AEPD, ver Anexo 1) incumbido de fiscalizar a aplicação das regras e princípios em matéria de protecção de dados nas instituições e nos órgãos comunitários.

2. A nomeação de um ou mais Responsáveis pela protecção de dados (RPD) em cada instituição e órgão comunitários (ver Anexos 2a e 2b).

4.2 Período coberto pela acção e modalidades previstas para a sua renovação e prorrogação

Estas estruturas serão permanentes.

5. Classificação da despesa ou da receita

5.1 DNO

5.2 DND

5.3 Tipo de receita

Não se aplica

6. Natureza da despesa ou da receita

Despesa administrativa

7. Incidência financeira

Ver § 10.

8. Disposições anti-fraude previstas

As regras e os procedimentos que regem a aquisição de bens e serviços para as Comunidades serão plenamente respeitados, de acordo com o regulamento financeiro aplicável ao orçamento geral das Comunidades Europeias, o regulamento relativo às modalidades de aplicação do regulamento financeiro e das regras internas.

As cláusulas de protecção pertinentes serão incluídas em todos os acordos e contratos entre a Autoridade Europeia para a Protecção de Dados ou outros órgãos ou instituições comunitários e os adjudicatários.

Em todos os contratos e acordos serão incluídas sistematicamente medidas de controlo, como relatórios periódicos e apresentação de elementos pré-determinados em fases pré-determinadas do contrato. Será feita uma verificação do desempenho efectivo antes de ser dada qualquer autorização de pagamento.

9. Elementos de análise custo-eficácia

9.1 Objectivos específicos quantificáveis, população abrangida

- Objectivos específicos:

Assegurar a introdução, aplicação e fiscalização das regras em matéria de protecção de dados nas instituições e nos órgãos comunitários (obrigação nos termos do novo Artigo 286.º do Tratado CE).

- População abrangida:

Todas as pessoas singulares cujos dados pessoais são tratados pelas instituições e pelos órgãos comunitários. As regras previstas no Regulamento serão do interesse da comunidade em geral, dos empregados das instituições e dos órgãos comunitários, dos cidadãos e dos adjudicatários da Comunidade que possam ser afectados pelo nível de protecção de dados nas instituições e nos órgãos comunitários.

9.2 Justificação da acção

Tendo sido criado com base no novo artigo 286º do Tratado CE, a AEPD será um organismo comunitário e, como tal, será financiada pelo orçamento comunitário.

- Escolha das modalidades de intervenção

* vantagens em relação a medidas alternativas

AEPD

O novo artigo 286º do Tratado CE exige a criação da AEPD. Esta não fará parte da Comissão, mas constitui um novo órgão comunitário independente, desempenhando a sua missão a nível interinstitucional, ou seja, a fiscalização de todos os outros órgãos e instituições comunitários. A Comissão estimou o número de funcionários necessários (ver 10.1) e a incidência financeira (ver 10.2). O único ponto de referência ao dispor da Comissão ao estabelecer esses valores foram as entidades nacionais de protecção de dados. Contudo, não são totalmente comparáveis à AEPD. Ao contrário desta, as entidades nacionais de protecção de dados fiscalizam geralmente tanto o sector público como o privado. Além disso, existe um número de instituições e órgãos comunitários muito inferior ao de entidades públicas nacionais. Esta comparação torna claro que existem bons argumentos para empregar menos funcionários no gabinete da AEPD do que nas entidades nacionais. Por outro lado, o volume de trabalho causado por algumas das tarefas da AEPD não depende da dimensão das instituições ou dos órgãos em causa ou do número de tratamentos que estes efectuam.

RPD

A proposta de Regulamento prevê que todos os órgãos e instituições comunitários nomeiem pelo menos um RPD.

Todos os órgãos e instituições envolvidos, para além da Comissão, foram consultados e as respectivas estimativas incluídas na presente ficha financeira. O Secretariado-Geral do PE indicou que compete a cada instituição ou órgão estimar as suas necessidades e que não formulará o seu parecer sobre as estimativas.

No que se refere aos serviços da Comissão, prevê-se que se nomeie um RPD a tempo parcial para cada serviço da Comissão entre os recursos humanos existentes, em vez de nomear um ou mais RPD a tempo inteiro para o conjunto da Comissão. Os números que figuram na presente ficha financeira baseiam-se nesta premissa.

Há várias razões para afectar a cada serviço da Comissão o seu próprio RPD. Os serviços da Comissão constituem entidades organizacionais distintas. A natureza das operações de tratamento de dados pode variar muito em cada serviço. Um RPD deve possuir um conhecimento detalhado do que se está a passar em matéria de protecção de dados no serviço pelo qual é responsável. Num dos serviços da Comissão (DG XV) foi conduzido com êxito um projecto-piloto neste sentido. Depois da entrada em vigor do regulamento, a experiência poderá mostrar que certos serviços necessitam mais tempo em termos de trabalho do RPD e outros menos.

Os serviços nomearão para RPD membros do seu pessoal existente, que empregariam apenas uma pequena parte do seu tempo laboral (estimado numa média de 5%) nas suas funções como RPD. Prevê-se além disso que o RPD do Secretariado-Geral seja responsável pela coordenação do trabalho de todos os RPD da Comissão. Com vista a estas tarefas suplementares de coordenação, este RPD "central" terá necessidade de empregar mais do que 5% do seu tempo laboral nas tarefas que lhe competem, talvez mesmo 25%. Alguns outros serviços indicaram explicitamente que necessitarão de mais de 5% (estimámos os requisitos desses serviços em 10% em vez de 5%).

Peritos externos em matéria de protecção de dados

A Comissão também recomenda que, pelo menos na fase inicial, os RPD sejam apoiados e aconselhados por peritos externos em matéria de protecção de dados. Ao contrário do modelo utilizado pela DG XV, onde o RPD é assistido pelo seu "próprio" perito externo, a ficha financeira baseia-se em três conselheiros externos a tempo inteiro para o conjunto da Comissão.

* análise de acções similares, eventualmente conduzidas ao nível comunitário ou nacional

A ideia de apoio infra-estrutural à AEPD por parte da organização do Parlamento Europeu baseia-se na organização do Provedor de Justiça Europeu.

Relativamente aos RPD, serviram de exemplo a experiência da DG XV bem como a prática nacional.

* Efeitos derivados e multiplicadores previstos

Nenhum, a questão foi debatida com a Direcção da Informática. O software e o know-how já existem por isso não se prevêem despesas suplementares.

- Principais factores de incerteza susceptíveis de afectar os resultados específicos da acção

A ficha financeira baseia-se na premissa de que a AEPD terá o apoio infra-estrutural necessário por parte do Parlamento Europeu (ver Anexo 1).

9.3 Acompanhamento e avaliação da acção

- Indicadores de desempenho

* Indicadores de resultados (medida das actividades desenvolvidas)

A AEPD redigirá um relatório anual. O nível de actividade da AEPD será demonstrado, por exemplo (ver artigo 47.º da proposta de regulamento), pelo 1) número de queixas recebidas ou aceites por iniciativa própria, 2) número de decisões tomadas, 3) número de auditorias efectuadas.

Relativamente ao RPD: relatórios de actividades.

* indicadores de impacto segundo os objectivos prosseguidos

1. Queixas decididas contra as instituições e os órgãos comunitários.

2. Nível de cumprimento estimado com base nas auditorias efectuadas.

- Modalidades e periodicidade da avaliação prevista

As avaliações devem ser baseadas nos relatórios anuais. O RPD "central" coordenará o trabalho dos RPD e, além disso, a AEPD fiscalizará este trabalho e prestará aconselhamento sobre a aplicação correcta das regras.

10. Despesas administrativas (Parte A da secção III do Orçamento geral)

A mobilização real dos recursos administrativos necessários dependerá das decisões anuais tomadas pelos respectivos órgãos e instituições relativas à afectação de recursos, tomando em conta o número de pessoas e os valores autorizados pela autoridade orçamental.

As estimativas da Comissão do impacto do estabelecimento da AEPD são de natureza indicativa e preliminar, sem prejuízo dos custos que o Parlamento Europeu possa estimar, considerando que o Secretariado-Geral do Parlamento Europeu informou os serviços da Comissão que competia a cada instituição estimar as suas próprias necessidades, sem que o Secretariado-Geral formule qualquer parecer sobre esta matéria.

10.1 Incidência para o número de postos de trabalho

>POSIÇÃO NUMA TABELA>

AEPD (ver Anexo 1)

>POSIÇÃO NUMA TABELA>

RPD da Comissão (ver Anexo 2b)

>POSIÇÃO NUMA TABELA>

RPD de outros órgãos e instituições (ver Anexo 2c)

>POSIÇÃO NUMA TABELA>

TOTAL GERAL

>POSIÇÃO NUMA TABELA>

10.2 Incidência financeira global dos recursos humanos adicionais

A estimativa da incidência financeira é efectuada com base nos custos médios de um funcionário da Comissão, em Bruxelas (Grau A1, A2, A4, A5 e A7).

AEPD

>POSIÇÃO NUMA TABELA>

RPD da Comissão

>POSIÇÃO NUMA TABELA>

RPD de outros órgãos e instituições

>POSIÇÃO NUMA TABELA>

TOTAL GERAL

>POSIÇÃO NUMA TABELA>

10.3 Aumento de outras despesas de funcionamento decorrentes da acção

A incidência de outros custos potenciais para a AEPD depende da medida em que a AEPD pode ser integrada na infra-estrutura do Parlamento Europeu (ver Anexo 1). A estimativa das consequências financeiras, para esta instituição, da proposta de integrar administrativamente o gabinete da AEPD na sua organização ainda deve ser confirmada pelo PE.

Anexo 1

Gabinete da Autoridade Europeia para a Protecção de Dados

Os números relativos ao gabinete da AEPD baseiam-se na premissa de se poderem obter os seguintes serviços, se integrarmos o gabinete da AEPD na infra-estrutura do Parlamento Europeu, tal como acontece com o do Provedor de Justiça Europeu.

- Tradução

- Interpretação

- Funções administrativas tais como: administração de missões, formação profissional, pessoal (recrutamento, exames médicos, salários, questões sociais, evolução das carreiras, etc.), questões de imobiliário, burótica, equipamento e informática, correio, comunicações, transportes, mobiliário, fotocopiadoras, material de escritório, contínuos, motoristas, transportadores, salas de reunião.

- Comunicação: telefones e telecopiadoras, sistemas electrónicos de transferência de documentação. Computadores e impressoras, acesso às bases de dados.

- Segurança.

- Gabinetes externos.

- Imprensa e relações públicas.

- Publicações: relatório anual, distribuição de documentação, impressão.

- Compra de publicações e assinatura de periódicos.

No total, o número provável de pessoal será:

Grau A: 6

Grau B: 2

Grau C: 2

Total: 10

Anexo 2a

Responsável pela protecção de dados

Os funcionários que serão nomeados RPD apenas empregarão parte do seu tempo laboral no desempenho das suas funções como RPD (média estimada entre 5% e 10%, ver 9.2.). Podem recorrer a peritos externos em matéria de protecção de dados, que os podem apoiar e aconselhar.

As tarefas e responsabilidades a cargo do RPD são enumeradas adiante. O RPD poderá obter aconselhamento dos peritos externos em matéria de protecção de dados em relação a todas estas questões.

Os responsáveis pela protecção de dados serão competentes para:

- garantir que os responsáveis pelo tratamento e as pessoas em causa sejam informadas dos seus direitos e obrigações;

- cooperar com a Autoridade Europeia para a Protecção de Dados, a pedido desta última ou por sua própria iniciativa;

- garantir, de forma independente, a aplicação, a nível interno, das disposições do presente regulamento ou de quaisquer outras disposições adoptadas em sua execução;

- manter um registo dos tratamentos efectuados pelo responsável;

- fazer recomendações para o melhoramento prático em matéria de protecção de dados;

- aconselhar a instituição ou o órgão comunitários que os nomeou, bem como o responsável pelo tratamento em causa, sobre matérias relativas à aplicação das disposições referentes à protecção de dados;

- investigar, por sua iniciativa ou a pedido da instituição ou do órgão comunitários que os nomeou, do responsável pelo tratamento, do Comité do Pessoal ou da pessoa em causa, questões e factos directamente relacionados com as suas funções e de que tenham tido conhecimento;

- prestar aconselhamento à instituição ou ao órgão comunitários que os nomeou, ao responsável pelo tratamento, ao Comité do Pessoal ou a qualquer outra pessoa, sem necessidade de recorrer às vias oficiais, sobre qualquer questão relativa à interpretação ou aplicação do regulamento.

O RPD deve - pelo menos inicialmente - poder obter aconselhamento independente junto de peritos externos em matéria de protecção de dados. Estes peritos externos prestarão aconselhamento, como e quando o RPD o possa requerer, sobre aspectos jurídicos, técnicos e organizacionais em matéria de protecção de dados, dando assim assistência ao RPD em todas as suas funções.

Os peritos externos podem prestar aconselhamento mais particularmente nas seguintes áreas:

- manutenção do registo das operações de tratamento que contêm dados pessoais;

- avaliação dos riscos que esses tratamentos apresentam para a privacidade das pessoas em causa; e

- combater esses riscos, tendo em conta a necessidade de contribuir para o desenvolvimento de directrizes claras em matéria de melhores práticas que possam, no seu devido tempo, ser aplicadas por outros serviços da Comissão.

Os conselhos e a experiência dos peritos poderão ser necessárias nos seguintes domínios:

(a) nível requerido de qualidade dos dados;

(b) exercício dos direitos das pessoas em causa;

(c) novos sistemas de informação;

(d) subcontratação externa e externalização;

(e) familiarização com a matéria e formação do pessoal;

(f) elaboração de directrizes;

(g) medidas de confidencialidade e de segurança;

(h) relatório de actividades.

Anexo 2b

Responsáveis pela protecção de dados nos serviços da Comissão

- Secretariado-Geral

- Task Force "Justiça e Assuntos Internos"

- OLAF

- Inspecção-Geral

- Serviço Jurídico

- Serviço do Porta-Voz

- Serviço Comum Interpretação-Conferência

- Serviço de Estatística

- Serviço de Tradução

- Direcção da Informática

- DG I Relações Externas: Política Comercial, Relações com a América do Norte, o Extremo Oriente, a Austrália e a Nova Zelândia

- DG IA Relações Externas: Europa e Novos Estados Independentes, Política Externa e de Segurança Comum, Serviço Externo

- DG IB Relações Externas: Mediterrâneo do Sul, Médio e Próximo Oriente, América Latina, Ásia do Sul e do Sudeste e Cooperação Norte-Sul

- DG II Assuntos Económicos e Financeiros

- DG III Indústria

- DG IV Concorrência

- DG V Emprego, Relações Laborais e Assuntos Sociais

- DG VI Agricultura

- DG VII Transportes

- DG VIII Desenvolvimento

- DG IX Pessoal e Administração

- DG X Informação, Comunicação, Cultura e Audiovisual

- DG XI Ambiente, Segurança Nuclear e Protecção Civil

- DG XII Ciência, Investigação, Desenvolvimento e Centro Comum de Investigação

- DG XIII Telecomunicações, Mercado da Informação e Valorização da Investigação

- DG XIV Pesca

- DG XV Mercado Interno e Serviços Financeiros

- DG XVI Política Regional e Coesão

- DG XVII Energia

- DG XIX Orçamentos

- DG XX Controlo Financeiro

- DG XXI Fiscalidade e União Aduaneira

- DG XXII Educação, Formação e Juventude

- DG XXIII Política Empresarial, Comércio, Turismo e Economia Social

- DG XXIV Política e Protecção da Saúde dos Consumidores

- Serviço Humanitário da Comunidade Europeia

- Task Force "Negociações de Adesão"

- Agência de Aprovisionamento Euratom

- Serviço das Publicações Oficiais das Comunidades Europeias

- Serviço Comum Relex (SCR)

Número total = 40.

Tal como explicado no ponto 9.2. prevê-se que cada serviço da Comissão nomeie o seu próprio RPD entre o seu pessoal, em vez de um ou mais RPD para o conjunto dos serviços da Comissão. Os números que figuram nesta ficha financeira baseiam-se nesta premissa. Considera-se necessária uma média de 5% do tempo laboral de um funcionário a tempo inteiro para cada serviço. Alguns serviços necessitarão de mais, outros de menos. Vários já indicaram que necessitam mais de 5%, tendo sido feita uma estimativa de 10%. Estes números representam 2,40 funcionários a tempo inteiro para toda a Comissão. Prevê-se também que o RPD do Secretariado-Geral seja responsável pela coordenação do trabalho de todos dos RPD da Comissão. Com vista a esta função suplementar, este RPD empregará mais de 5% do seu tempo laboral nas tarefas em questão, talvez mesmo 25%. O que já está englobado na estimativa de 2,40 funcionários.

Prevê-se ainda, pelo menos na fase inicial, que se celebrem contratos com peritos externos (3 peritos a tempo inteiro para toda a Comissão).

Anexo 2c

Responsáveis pela Protecção de Dados nas instituições e nos órgãos exteriores à Comissão

Parlamento Europeu 2,0Provedor de Justiça Europeu 1,0Conselho da União Europeia 2,0Tribunal de Justiça 1,0Tribunal de Contas 1,0Banco Europeu de Investimento 1,0Comité Económico e Social 1,0Comité das Regiões 1,0Banco Central Europeu 1,0Centro Europeu para o Desenvolvimento da Formação Profissional (Cedefop) 0,5Fundação Europeia para a Melhoria das Condições de Vida e de Trabalho 0,5Agência Europeia do Ambiente 0,5Fundação Europeia para a Formação 0,5Observatório Europeu da Droga e da Toxicodependência 0,5Agência Europeia de Avaliação dos Medicamentos (EMEA) 0,5Instituto de Harmonização do Mercado Interno (marcas, desenhos e modelos) 0,5Agência Europeia para a Segurança e a Saúde no Trabalho 0,5Instituto Comunitário das Variedades Vegetais 0,5Centro de Tradução dos Organismos da União Europeia 1,0Observatório Europeu do Racismo e da Xenofobia 0,5

Número Total = 17 (funcionários a tempo inteiro x ? 108.000)

Para além dos RPD aferidos às instituições e aos órgãos enumerados atrás, também se prevêem contratos com peritos externos em matéria de protecção de dados. Estimou-se uma média de 22 dias úteis por ano para cada instituição ou órgão. Este número é comparável com o número de dias disponível em cada serviço da Comissão. O custo médio por serviço é estimado em 13 750 euros por ano.