19.6.2012   

PT

Jornal Oficial da União Europeia

C 175/1

1.

O presente parecer faz parte de um conjunto de 4 pareceres da AEPD relativos ao setor financeiro, todos adotados no mesmo dia (3).

2.

Em 20 de julho de 2011, a Comissão adotou duas propostas relativas à revisão da legislação bancária. A primeira proposta diz respeito a uma Diretiva relativa ao acesso à atividade das instituições de crédito e à supervisão prudencial das instituições de crédito e empresas de investimento (a «proposta de Diretiva») (4). A segunda proposta refere-se a um Regulamento relativo a requisitos prudenciais aplicáveis às instituições de crédito e às empresas de investimento (a «proposta de Regulamento») (5). Estas propostas foram enviadas à AEPD para consulta no mesmo dia. Em 18 de novembro de 2011, o Conselho da União Europeia consultou a AEPD sobre a proposta de Diretiva.

3.

A AEPD foi informalmente consultada antes da adoção da proposta de Regulamento. A AEPD observa que várias das suas observações foram tidas em consideração na proposta.

4.

A AEPD congratula-se com o facto de ter sido consultada pela Comissão e pelo Conselho e recomenda que seja incluída uma referência ao presente parecer no preâmbulo dos instrumentos adotados.

5.

A legislação proposta inclui dois instrumentos jurídicos: uma Diretiva relativa ao acesso à atividade das instituições de crédito e à supervisão prudencial das instituições de crédito e empresas de investimento e um Regulamento relativo a requisitos prudenciais aplicáveis às instituições de crédito e às empresas de investimento Os objetivos políticos da revisão proposta são, resumidamente, assegurar o funcionamento harmonioso do setor bancário e restaurar a confiança dos operadores e do público. Os instrumentos propostos substituirão a Diretiva 2006/48/CE e a Diretiva 2006/49/CE, que serão, por conseguinte, revogadas.

6.

Os principais elementos novos da proposta de Diretiva são disposições relativas a sanções, governo das sociedades eficaz e disposições tendentes a evitar a excessiva confiança nas notações de risco de crédito externas (excessiva dependência relativamente às notações externas de risco). Em especial, a Diretiva visa introduzir um regime de sanções eficazes e proporcionais, um âmbito de aplicação pessoal adequado das sanções administrativas, a publicação das sanções e mecanismos que incentivem a comunicação das violações. Visa ainda reforçar o quadro legislativo relativo ao governo das sociedades e reduzir a excessiva dependência das notações externas (6).

7.

A proposta de Regulamento complementa a proposta de Diretiva estabelecendo requisitos prudenciais uniformes e diretamente aplicáveis às instituições de crédito e às empresas de investimento. Tal como referido na exposição de motivos, o objetivo global da iniciativa é garantir o reforço da eficácia da regulação dos capitais das instituições na UE e a contenção dos seus impactos negativos (7).

8.

Embora a maioria das disposições dos instrumentos propostos digam respeito ao exercício das atividades das instituições de crédito, a execução e aplicação do quadro jurídico podem, em determinados casos, afetar os direitos das pessoas relativamente ao tratamento dos seus dados pessoais.

9.

Várias disposições da proposta de Diretiva permitem o intercâmbio de informações entre as autoridades dos Estados-Membros e, eventualmente, países terceiros. (8) Estas informações podem referir-se a pessoas como, por exemplo, membros da administração das instituições de crédito, os seus funcionários e acionistas. Além disso, nos termos da proposta de Diretiva, as autoridades competentes podem impor sanções diretamente às pessoas e são obrigadas a publicar as sanções impostas, incluindo a identidade das pessoas responsáveis (9). Por forma a facilitar a deteção de infrações, a proposta introduz a obrigação de as autoridades competentes criarem mecanismos que incentivem a comunicação das infrações (10). Além disso, a proposta de Regulamento obriga as instituições de crédito e as empresas de investimento a publicar informações relativas às suas políticas de remuneração, nomeadamente os montantes pagos discriminados por categorias de pessoal e por escalões de remuneração (11). Todas estas disposições podem ter implicações a nível de proteção de dados para as pessoas envolvidas.

10.

Face ao exposto, o presente parecer incidirá nos aspetos do pacote legislativo a seguir referidos relacionados com a proteção de dados e a privacidade: 1. aplicabilidade da legislação relativa à proteção de dados; 2. transferências de dados para países terceiros; 3. sigilo profissional e utilização de informações confidenciais; 4. publicação obrigatória de sanções; 5. mecanismos para a comunicação de infrações 6. requisitos de divulgação relativos às políticas de remuneração.

11.

O considerando 74 da proposta de Diretiva contém uma referência à plena aplicabilidade da legislação relativa à proteção de dados. No entanto, a referência à legislação relativa à proteção de dados pertinente deve ser inserida num artigo substantivo das propostas. Um bom exemplo dessa disposição substantiva pode ser encontrado no artigo 22.o da proposta de Regulamento do Parlamento Europeu e do Conselho relativo ao abuso de informação privilegiada e à manipulação de mercado (12), que prevê explicitamente como regra geral que a Diretiva 95/46/CE e o Regulamento (CE) n.o 45/2001 sejam aplicáveis ao tratamento de dados pessoais no quadro da proposta.

12.

Tal é especialmente relevante, por exemplo, em relação às várias disposições relativas aos intercâmbios de informações pessoais. Estas disposições são perfeitamente legítimas, mas devem ser aplicadas de forma coerente com a legislação relativa à proteção de dados. O risco deve ser evitado, em especial, o risco de serem consideradas como uma autorização em branco para o intercâmbio de todo o tipo de dados pessoais. A inclusão de uma referência à legislação relativa à proteção de dados também nas disposições substantivas reduziria significativamente esse risco.

13.

Por conseguinte, a AEPD sugere a inserção de uma disposição substantiva semelhante à do artigo 22.o da proposta de Regulamento do Parlamento Europeu e do Conselho relativo ao abuso de informação privilegiada e à manipulação de mercado (13), sujeita às sugestões que a Agência fez para esta proposta (14), ou seja, salientando a aplicabilidade da legislação relativa à proteção de dados existente e clarificando a referência à Diretiva 95/46/CE ao especificar que as disposições serão aplicadas em conformidade com as regras nacionais que executam a Diretiva 95/46/CE.

14.

O artigo 48.o da proposta de Diretiva prevê que a Comissão possa submeter à apreciação do Conselho propostas que visem a negociação de acordos com países terceiros, destinados a garantir, nomeadamente, a possibilidade de as autoridades competentes dos países terceiros obterem as informações necessárias à supervisão das empresas-mãe situadas no seu território e que tenham uma filial situada num ou mais Estados-Membros.

15.

Na medida em que essa informação contenha dados pessoais, a Diretiva 95/46/CE e o Regulamento (CE) n.o 45/2001 são plenamente aplicáveis no que respeita às transferências de dados para países terceiros. A AEPD sugere que se clarifique no artigo 48.o que, nesses casos, esses acordos devem cumprir as condições aplicáveis às transferências de dados pessoais para países terceiros estabelecidas no capítulo IV da Diretiva 95/46/CE e no Regulamento (CE) n.o 45/2001. O mesmo se aplica ao artigo 56.o relativamente aos acordos de cooperação com as autoridades competentes de países terceiros celebrados pelos Estados-Membros e pela EBA.

16.

Além disso, tendo em conta os riscos inerentes a essas transferências, a AEPD recomenda a inclusão de garantias específicas, à semelhança das que foram introduzidas no artigo 23.o da proposta de Regulamento do Parlamento Europeu e do Conselho relativo ao abuso de informação privilegiada e à manipulação de mercado No parecer da AEPD sobre essa proposta de regulamento, a Agência congratula-se com a utilização dessa disposição que contém garantias adequadas como, por exemplo, a avaliação caso a caso e a garantia de que a transferência é necessária e de que existe um nível de proteção de dados pessoais adequado no país terceiro que recebe esses dados.

17.

O artigo 54.o da proposta de Diretiva estabelece que os membros do pessoal das autoridades competentes devem respeitar a obrigação de sigilo profissional. O segundo parágrafo do artigo 54.o proíbe a divulgação de informações confidenciais, «exceto de forma sumária ou agregada e de modo que as instituições de crédito individuais não possam ser identificadas […].» Tal como formulado, não é claro se a proibição também abrange a divulgação de informações pessoais.

18.

A AEPD recomenda o alargamento do âmbito da proibição de divulgação de informações confidenciais prevista no segundo parágrafo do artigo 54.o, n.o 1, aos casos em que as pessoas são identificáveis (ou seja, não apenas as «instituições de crédito individuais»). Por outras palavras, a disposição deve ser reformulada de modo a proibir a divulgação de informações confidenciais, «exceto de forma sumária ou agregada e de modo que as instituições de crédito individuais e as pessoas singulares não possam ser identificadas […]» (sublinhado nosso).

19.

Um dos principais objetivos do pacote de propostas é o reforço e a harmonização do quadro jurídico dos Estados-Membros em matéria de sanções e medidas administrativas. A proposta de Diretiva prevê o exercício de poderes sancionários pelas autoridades competentes, aplicáveis não apenas a instituições de crédito, mas também a pessoas materialmente responsáveis pela infração (15). O artigo 68.o obriga os Estados-Membros a assegurar que as autoridades competentes publicam, sem demora injustificada, qualquer sanção ou medida imposta por infração do disposto na proposta de Regulamento ou das disposições nacionais adotadas em execução da proposta de Diretiva, incluindo informações sobre o tipo e a natureza da infração e a identidade das pessoas responsáveis.

20.

A publicação de sanções contribuiria para aumentar o efeito dissuasor, uma vez que os infratores existentes ou potenciais seriam desencorajados de cometer delitos a fim de evitar danos significativos à sua reputação. Aumentaria igualmente a transparência, uma vez que os operadores de mercado teriam conhecimento de que foi cometida uma infração por uma determinada pessoa (16). Esta obrigação é atenuada apenas nos casos em que a publicação possa provocar danos desproporcionados às partes envolvidas, caso em que as autoridades competentes devem divulgar as sanções ao abrigo do anonimato.

21.

A AEPD não está convicta de que a publicação obrigatória de sanções, tal como está atualmente formulada, cumpra os requisitos da legislação relativa à proteção de dados, nos termos em que foi clarificada pelo Tribunal de Justiça no acórdão Schecke  (17). Considera que o objetivo, a necessidade e a proporcionalidade da medida não ficaram suficientemente estabelecidos e que, em qualquer circunstância, devem ser previstas garantias adequadas para os direitos das pessoas.

22.

No acórdão Schecke, o Tribunal de Justiça anulou as disposições de um regulamento do Conselho e de um regulamento da Comissão que previam a publicação obrigatória das informações relativas aos beneficiários de fundos agrícolas, incluindo a identidade dos beneficiários e os montantes recebidos. O Tribunal decidiu que a referida publicação constituía um tratamento de dados pessoais que integra o âmbito do artigo 8.o, n.o 2, da Carta dos Direitos Fundamentais da União Europeia (a «Carta») e, por conseguinte, uma ingerência nos direitos reconhecidos pelos artigos 7.o e 8.o da Carta.

23.

Depois de estabelecer que «as derrogações à proteção dos dados pessoais e as suas limitações devem ocorrer na estrita medida do necessário», o Tribunal analisou o objetivo da publicação e a sua proporcionalidade. Concluiu que, nesse processo, nada indica que o Conselho e a Comissão tenham tomado em consideração, quando da adoção da legislação em causa, outras formas de publicação de informações relativas aos beneficiários em causa conformes com o objetivo dessa publicação e que fossem ao mesmo tempo menos lesivas dos direitos desses beneficiários.

24.

O artigo 68.o da proposta de Diretiva parece encerrar os mesmos vícios apontados pelo Tribunal de Justiça Europeu no acórdão Schecke. Importa ter em conta que, para avaliar a conformidade de uma disposição que exija a divulgação pública de informações pessoais com os requisitos relativos à proteção de dados, é essencial ter um objetivo claro e bem definido visado pela publicação de informações pessoais. Apenas com um objetivo claro e bem definido é possível avaliar se a publicação de dados pessoais envolvidos é realmente necessária e proporcionada (18).

25.

Após a leitura da proposta e dos documentos que a acompanham (ou seja, o relatório da avaliação de impacto), a AEPD considera que o objetivo e, consequentemente, a necessidade desta medida não estão claramente estabelecidos. Enquanto os considerandos da proposta são omissos quanto a estas questões, o relatório da avaliação de impacto apenas estabelece que a publicação de sanções é um elemento importante para assegurar que as mesmas produzem um efeito dissuasor nos destinatários e é necessária para assegurar que produzem um efeito dissuasor no público em geral. No entanto, o relatório não considera a possibilidade de métodos menos invasivos garantirem o mesmo resultado em termos de dissuasão sem ingerência no direito à vida privada das pessoas envolvidas. Não explica, nomeadamente, por que razão não seria suficiente a aplicação de sanções financeiras ou de outros tipos de sanções que não afetam a privacidade.

26.

Além disso, o relatório de avaliação de impacto não parece ter suficientemente em conta métodos menos invasivos de publicação das informações como, por exemplo, a limitação da publicação à identidade das instituições de crédito, nem mesmo considerar a necessidade de publicação caso a caso. Mais concretamente, a última opção parece ser, prima facie, uma solução mais proporcionada, especialmente se se considerar que a própria publicação é já uma sanção nos termos do artigo 67.o, n.o 2, alínea a), e que o artigo 69.o prevê que, ao determinar o tipo de sanções a aplicar, as autoridades competentes devem ter em consideração todas as circunstâncias pertinentes (ou seja, avaliação caso a caso), incluindo a gravidade da infração, o grau de responsabilidade da pessoa singular, a reincidência, os prejuízos causados a terceiros, etc. A publicação obrigatória de sanções em todos os casos nos termos do artigo 68.o não está em conformidade com o regime de sanções estabelecido nos artigos 67.o e 69.o.

27.

O relatório da avaliação de impacto dedica apenas alguns parágrafos a explicar as razões pelas quais a publicação caso a caso não é uma opção suficiente. Defende que deixar as autoridades competentes decidir se a publicação é adequada reduziria o efeito dissuasor da mesma (19). Todavia, a AEPD considera que é exatamente este aspeto, ou seja, a possibilidade de avaliar o caso à luz das circunstâncias específicas, que torna esta solução mais proporcionada e, por conseguinte, a opção preferida em comparação com a publicação obrigatória em todos os casos. Deixar a decisão ao critério das autoridades competentes permitiria, por exemplo, que estas evitassem a publicação nos casos menos graves de infrações, bem como nos casos em que a infração não tenha causado prejuízos significativos ou em que a pessoa singular responsável tenha colaborado com a autoridade competente.

28.

A proposta de Diretiva deveria ter previsto garantias adequadas de modo a assegurar um equilíbrio justo entre os diferentes interesses envolvidos. Em primeiro lugar, são necessárias garantias que assegurem às pessoas acusadas o direito de impugnar judicialmente a decisão e o princípio da presunção de inocência. Para este efeito, deveria ter sido incluída linguagem específica no texto do artigo 68.o, de modo a obrigar as autoridades competentes a adotar medidas adequadas no que respeita a situações em que a decisão é objeto de recurso ou eventualmente anulada por um tribunal (20).

29.

Em segundo lugar, a proposta de Diretiva deve assegurar que os direitos das pessoas em causa são respeitados de uma forma proativa. A AEPD congratula-se com o facto de a versão final da proposta prever a possibilidade de excluir a publicação nos casos em que esta possa causar danos desproporcionados às partes envolvidas. No entanto, uma abordagem proativa implica que as pessoas em causa sejam previamente informadas de que a decisão que as sanciona será publicada e que têm o direito de oposição nos termos do artigo 14.o da Diretiva 95/46/CE por razões preponderantes e legítimas (21).

30.

Em terceiro lugar, embora a proposta de Diretiva não especifique o meio de informação que deve ser utilizado para a publicação, na prática, é de supor que na maioria dos Estados-Membros a publicação será feita através da Internet. As publicações na Internet suscitam questões e riscos específicos, nomeadamente no que respeita à necessidade de assegurar que a informação é mantida em linha apenas durante o tempo necessário e que não pode ser alterada ou manipulada. A utilização de motores de busca externos também implica o risco de que as informações possam ser retiradas do contexto e veiculadas através e fora da web de formas que não possam ser facilmente controladas (22).

31.

Tendo em conta o acima exposto, é necessário obrigar os Estados-Membros a garantir que os dados das pessoas em causa são mantidos em linha apenas durante um período razoável de tempo, após o qual serão sistematicamente eliminados (23). Além disso, os Estados-Membros devem ser obrigados a garantir a aplicação de garantias e medidas de segurança adequadas, nomeadamente para proteger contra os riscos relacionados com a utilização de motores de busca externos (24).

32.

A AEPD considera que a disposição sobre a publicação obrigatória de sanções, tal como está atualmente formulada, não respeita o direito fundamental da proteção da vida privada e dos dados pessoais. O legislador deve avaliar cuidadosamente a necessidade do sistema proposto e verificar se a obrigação de publicação não excede o necessário para alcançar o objetivo de interesse público previsto e se existem medidas menos restritivas para alcançar o mesmo objetivo Sob reserva do resultado desta verificação de proporcionalidade, a obrigação de publicação deve, em qualquer circunstância, ser apoiada por garantias adequadas que assegurem o respeito pelo princípio da presunção de inocência, o direito de oposição da pessoa em causa, a segurança/exatidão dos dados e a sua eliminação após um período de tempo adequado.

33.

O artigo 70.o da proposta de Diretiva incide sobre os mecanismos de comunicação de infrações, também conhecidos como sistemas de denúncia de infrações. Embora possam ser instrumentos eficazes para garantir a conformidade, estes sistemas suscitam questões importantes do ponto de vista da proteção de dados (25). A AEPD congratula-se com o facto de a proposta conter garantias específicas, que devem ser ainda desenvolvidas a nível nacional, relativamente à proteção das pessoas que comunicam a infração suspeita e, no sentido mais geral, à proteção dos dados pessoais. A AEPD está ciente do facto de que a proposta de Diretiva apenas estabelece os principais elementos do sistema a executar pelos Estados-Membros. Porém, gostaria de chamar a atenção para os seguintes pontos adicionais.

34.

A AEPD insiste, tal como no caso dos outros pareceres (26), na necessidade de introduzir uma disposição específica para garantir a confidencialidade da identidade dos denunciantes e dos informadores. A AEPD frisa que a posição dos denunciantes é sensível. Deve garantir-se às pessoas que fornecem esse tipo de informações que a sua identidade é mantida confidencial, sobretudo em relação à pessoa visada pela comunicação da alegada infração (27). A confidencialidade da identidade dos denunciantes e informadores deve ser garantida em todas as fases do processo, desde que com isso não se infrinjam as regras nacionais aplicáveis aos processos judiciais, Em especial, poderá ser necessário revelar a identidade dos denunciantes e informadores no âmbito de novos inquéritos ou na sequência de processos judiciais instaurados em resultado dos inquéritos (caso se prove terem prestado declarações intencionalmente falsas a seu respeito) (28). Face ao exposto, a AEPD recomenda a inclusão da disposição seguinte na alínea b) do artigo 70.o: «a identidade destas pessoas deve ser protegida em todas as fases do processo, a menos que a sua divulgação seja exigida pela legislação nacional no âmbito de novos inquéritos ou na sequência de novos processos judiciais».

35.

A AEPD sublinha ainda a importância de prever regras adequadas de modo a garantir os direitos de acesso das pessoas acusadas, que estão estritamente associados aos direitos de defesa (29). Os procedimentos específicos para a receção de relatórios sobre as infrações e o seu seguimento referidos no artigo 70.o, n.o 2, alínea a), devem assegurar que os direitos de defesa das pessoas acusadas, tais como o direito de serem informadas, o direito de acesso ao processo de inquérito e o direito ao princípio da presunção de inocência, são adequadamente respeitados e limitados apenas na medida do necessário (30). A AEPD sugere a este respeito a inclusão na proposta de Diretiva da disposição constante do artigo 29.o, alínea d) da Proposta da Comissão para um Regulamento do Parlamento Europeu e do Conselho relativo ao abuso de informação privilegiada e à manipulação de mercado, que obriga os Estados-Membros a criarem «procedimentos adequados para garantir o direito de defesa e de audição da pessoa acusada antes da adoção de qualquer decisão que lhe diga respeito, bem como o direito de interpor um recurso efetivo perante um órgão jurisdicional contra uma decisão ou medida que lhe diga respeito».

36.

Por último, no que respeita à alínea c) do número 2, a AEPD congratula-se com o facto de a disposição em questão exigir aos Estados-Membros a garantia da proteção dos dados pessoais relativos, quer à pessoa que comunica a infração, quer à pessoa acusada, em conformidade com os princípios consagrados na Diretiva 95/46/CE. Sugere, contudo, a eliminação da expressão «os princípios consagrados» de modo a tornar a referência à Diretiva mais abrangente e vinculativa. No que se refere à necessidade da respeitar a legislação relativa à proteção dos dados na execução prática dos sistemas, a AEPD gostaria de sublinhar, em especial, as recomendações formuladas pelo Grupo de Trabalho do artigo 29.o no seu parecer de 2006 sobre denúncia de infrações. Aquando da execução dos sistemas nacionais, as entidades em causa devem ter em consideração, nomeadamente, a necessidade de respeitar a proporcionalidade, limitando, tanto quanto possível, a categoria de pessoas autorizadas a denunciar, a categoria de pessoas que possam ser incriminadas e as infrações pelas quais possam ser incriminadas; a necessidade de promover a identificação e confidencialidade das denúncias em vez do seu anonimato; a necessidade de divulgação da identidade dos denunciantes em caso de falsa acusação; e a necessidade de cumprimento absoluto dos períodos de retenção dos dados.

37.

A AEPD formula as seguintes recomendações: