(1)

A Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (3) estabelece regras que garantem o direito à privacidade e à confidencialidade no que diz respeito ao tratamento de dados pessoais nos intercâmbios de dados no setor das comunicações eletrónicas. Essa diretiva especifica e complementa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (4).

(2)

A Diretiva 2002/58/CE aplica-se ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público. Até 21 de dezembro de 2020, aplicava-se a definição de «serviço de comunicações eletrónicas» prevista no artigo 2.o, alínea c), da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho (5). Nessa data, a Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho (6) revogou a Diretiva 2002/21/CE. A definição de «serviços de comunicações eletrónicas» no artigo 2.o, ponto 4, da Diretiva (UE) 2018/1972 inclui os serviços de comunicações interpessoais independentes do número definidos no artigo 2.o, ponto 7, dessa diretiva. Por conseguinte, os serviços de comunicações interpessoais independentes do número, que incluem, por exemplo, Voz sobre Protocolo Internet, serviços de mensagens e correio eletrónico baseado na Web, passaram a estar abrangidos pelo âmbito de aplicação da Diretiva 2002/58/CE em 21 de dezembro de 2020.

(3)

Nos termos do artigo 6.o, n.o 1, do Tratado da União Europeia (TUE), a União reconhece os direitos, as liberdades e os princípios enunciados na Carta dos Direitos Fundamentais da União Europeia (a «Carta»). O artigo 7.o da Carta protege o direito fundamental de todas as pessoas ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações, o que inclui a confidencialidade das comunicações. O artigo 8.o da Carta consagra o direito à proteção de dados pessoais.

(4)

O artigo 3.o, n.o 1, da Convenção das Nações Unidas sobre os Direitos da Criança de 1989 (CDC) e o artigo 24.o, n.o 2, da Carta estabelecem que todos os atos relativos às crianças, quer praticados por entidades públicas, quer por instituições privadas, terão primacialmente em conta o interesse superior da criança. O artigo 3.o, n.o 2, da CDC e o artigo 24.o, n.o 1, da Carta evocam, além disso, o direito das crianças a essa proteção e aos cuidados necessários ao seu bem-estar.

(5)

A proteção das crianças, tanto fora de linha como em linha, é uma das prioridades da União. O abuso sexual e a exploração sexual de crianças constituem violações graves dos direitos humanos e fundamentais, em particular dos direitos das crianças à proteção contra todas as formas de violência, abusos e negligência, maus tratos ou exploração, incluindo o abuso sexual, conforme previsto na CDC e na Carta. A digitalização trouxe muitos benefícios para a sociedade e a economia, mas também trouxe desafios, incluindo um aumento dos casos de abuso sexual de crianças em linha. A proteção das crianças em linha é uma das prioridades da União. Em 24 de julho de 2020, a Comissão adotou uma Comunicação intitulada «Estratégia da UE para uma luta mais eficaz contra o abuso sexual das crianças» (a «Estratégia»). A Estratégia visa dar uma resposta eficaz, a nível da União, ao crime de abuso sexual de crianças.

(6)

Em conformidade com a Diretiva 2011/93/UE do Parlamento Europeu e do Conselho (7), o presente regulamento não rege as políticas dos Estados-Membros no que se refere a atividades sexuais consensuais em que possam estar envolvidas crianças, suscetíveis de serem consideradas como normais na descoberta da sexualidade ao longo do desenvolvimento humano, tendo em conta as diferentes tradições culturais e jurídicas e as novas formas de as crianças e os adolescentes estabelecerem e manterem contactos, designadamente por meio das tecnologias da informação e da comunicação.

(7)

Alguns prestadores de determinados serviços de comunicações interpessoais independentes do número («prestadores»), tais como os serviços de correio eletrónico baseados na Web e de mensagens, já utilizam voluntariamente tecnologias específicas para detetar o abuso sexual de crianças em linha nos seus serviços e denunciá-lo às autoridades responsáveis pela aplicação da lei e às organizações que atuam no interesse público contra o abuso sexual de crianças, através da análise do conteúdo, como por exemplo imagens e texto, ou da análise dos dados de tráfego das comunicações, utilizando, em alguns casos, os dados históricos. As tecnologias utilizadas para essas atividades podem ser a tecnologia de endereçamento calculado («hashing») para imagens e vídeos e os classificadores e a inteligência artificial para a análise de dados de texto ou dados de tráfego. Aquando da utilização da tecnologia de hashing, o material referente a abusos sexuais de crianças em linha é denunciado em caso de resultado positivo, o que significa uma correspondência resultante de uma comparação entre uma imagem ou um vídeo e uma assinatura digital única e não reconvertível («hash») de uma base de dados mantida por uma organização que atua no interesse público contra o abuso sexual de crianças que contenha material verificado referente a abusos sexuais de crianças em linha. Esses prestadores reencaminham para as linhas diretas nacionais de denúncia de material referente a abusos sexuais de crianças em linha e para organizações, sitas tanto na União como em países terceiros, cujo propósito seja identificar crianças, diminuir a exploração e o abuso sexual de crianças e prevenir vitimização de crianças. Essas organizações poderão não estar abrangidas pelo âmbito de aplicação do Regulamento (UE) 2016/679. Coletivamente, essas atividades voluntárias desempenham um papel valioso, na medida em que permitem identificar e socorrer as vítimas cujos direitos fundamentais à dignidade humana e à integridade física e mental foram gravemente violados. Essas atividades voluntárias são também importantes na redução da difusão ulterior de material referente a abusos sexuais de crianças em linha e no contributo para a identificação e investigação dos autores dos crimes, bem como para a prevenção, deteção, investigação e instauração de ação penal contra crimes de abuso sexual de crianças.

(8)

Não obstante o seu objetivo legítimo, as atividades voluntárias dos prestadores para detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los constituem uma interferência nos direitos fundamentais ao respeito da vida privada e familiar e à proteção dos dados de todos os utilizadores de serviços de comunicações interpessoais independentes do número («utilizadores»). Nenhuma restrição ao exercício do direito fundamental ao respeito da vida privada e familiar, inclusive uma restrição da confidencialidade das comunicações, se pode justificar apenas com o fundamento de os prestadores terem utilizado certas tecnologias num período em que os serviços de comunicações interpessoais independentes do número não se encontravam ainda abrangidos pela definição «serviços de comunicações eletrónicas». Tais restrições só são possíveis sob certas condições. Nos termos do artigo 52.o, n.o 1 da Carta, essas restrições devem ser previstas por lei e respeitar o conteúdo essencial dos direitos à vida privada e familiar e à proteção de dados pessoais e, na observância do princípio da proporcionalidade, essas restrições devem ser necessárias e corresponder efetivamente a objetivos de interesse geral reconhecidos pela União ou à necessidade de proteção dos direitos e das liberdades de terceiros. Sempre que tais restrições envolvam permanentemente um controlo e uma análise gerais e indiscriminados das comunicações de todos os utilizadores, tais restrições interferem com o direito à confidencialidade das comunicações.

(9)

Até 20 de dezembro de 2020, o tratamento de dados pessoais por prestadores através de medidas voluntárias para efeitos de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços material referente a abusos sexuais de crianças em linha era exclusivamente regido pelo Regulamento (UE) 2016/679. A Diretiva (UE) 2018/1972, que deveria ter sido transposta até 20 de dezembro de 2020, incluiu os prestadores no âmbito de aplicação da Diretiva 2002/58/CE. A fim de continuar a utilizar as referidas medidas voluntárias após 20 de dezembro de 2020, os prestadores deverão cumprir as condições estabelecidas no presente regulamento. O Regulamento (UE) 2016/679 continuará a aplicar-se ao tratamento de dados pessoais efetuado através dessas medidas voluntárias.

(10)

A Diretiva 2002/58/CE não contém disposições específicas relativas ao tratamento de dados pessoais por prestadores no contexto da prestação de serviços de comunicações eletrónicas para efeitos de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços o material referente a abusos sexuais de crianças em linha. Não obstante, nos termos do artigo 15.o, n.o 1, da Diretiva 2002/58/CE, os Estados-Membros podem adotar medidas legislativas para restringir o âmbito dos direitos e obrigações previstos, nomeadamente, nos artigos 5.o e 6.o dessa diretiva, respeitantes à confidencialidade das comunicações e dos dados de tráfego, para fins de prevenção, deteção, investigação e instauração de ação penal contra infrações penais relacionadas com o abuso sexual de crianças. Na ausência de tais medidas legislativas nacionais, e na pendência da adoção de um regime jurídico a mais longo prazo para combater eficazmente o abuso sexual de crianças em linha a nível da União, os prestadores deixam de poder basear-se no Regulamento (UE) 2016/679 para continuar a utilizar medidas voluntárias para detetar nos seus serviços abusos sexuais de crianças em linha e denunciá-los e remover dos seus serviços material referente a abusos sexuais de crianças em linha após 21 de dezembro de 2020. O presente regulamento não prevê um fundamento jurídico para o tratamento de dados pessoais por prestadores com o único objetivo de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços material referente a abusos sexuais de crianças em linha, mas prevê uma derrogação de determinadas disposições da Diretiva 2002/58/CE. O presente regulamente estabelece salvaguardas adicionais que devem ser respeitadas pelos prestadores caso pretendam basear-se no presente regulamento.

(11)

O tratamento de dados para efeitos do presente regulamento poderá implicar o tratamento de categorias especiais de dados pessoais conforme estabelecido no Regulamento (UE) 2016/679. O tratamento de imagens e vídeos através de meios técnicos específicos que permita a identificação inequívoca ou a autenticação de uma pessoa singular, é considerado tratamento de categorias especiais de dados pessoais.

(12)

O presente regulamento estabelece uma derrogação temporária do artigo 5.o, n.o 1, e do artigo 6.o, n.o 1, da Diretiva 2002/58/CE que protege a confidencialidade das comunicações e dos dados de tráfego. A utilização voluntária pelos prestadores de tecnologias para o tratamento de dados pessoais e outros, na medida do necessário para detetar abusos sexuais de crianças em linha nos seus serviços denunciá-los e para remover dos seus serviços material referente a abusos sexuais de crianças em linha, está abrangida pelo âmbito de aplicação da derrogação prevista no presente regulamento desde que essa utilização cumpra as condições estabelecidas no presente regulamento e esteja, por conseguinte, sujeita às salvaguardas e condições estabelecidas no Regulamento (UE) 2016/679.

(13)

A Diretiva 2002/58/CE foi adotada com base no artigo 114.o do Tratado sobre o Funcionamento da União Europeia (TFUE). Além disso, nem todos os Estados-Membros adotaram medidas legislativas, nos termos do artigo 15.o, n.o 1, da Diretiva 2002/58/CE, para restringir o âmbito dos direitos e obrigações relacionados com a confidencialidade das comunicações e dos dados de tráfego como previsto nessa diretiva, e a adoção de tais medidas implica um risco de fragmentação importante, suscetível de afetar negativamente o mercado interno. Por conseguinte, o presente regulamento deverá basear-se no artigo 114.o do TFUE.

(14)

Tendo em conta que os dados relacionados com as comunicações eletrónicas que envolvem pessoas singulares se enquadram normalmente na definição de dados pessoais, o presente regulamento deverá também basear-se no artigo 16.o do TFUE, que constitui uma base jurídica específica para a adoção de regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, e pelos Estados-Membros no exercício de atividades relativas à aplicação do direito da União, bem como de regras relativas à livre circulação desses dados.

(15)

O Regulamento (UE) 2016/679 é aplicável ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas por prestadores com o único objetivo de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços material referente a abusos sexuais de crianças em linha na medida em que esse tratamento está abrangido pelo âmbito da derrogação estabelecida pelo presente regulamento.

(16)

Os tipos de tecnologias utilizados para efeitos do presente regulamento deverão ser os menos intrusivos da privacidade de acordo com a tecnologia mais avançada do setor. Essas tecnologias não deverão ser utilizadas para filtrar e analisar sistematicamente texto em comunicações, a menos que se trate apenas de detetar padrões que apontem para possíveis motivos concretos para suspeita de abuso sexual de crianças em linha, e não deverão poder deduzir a substância do conteúdo das comunicações. No caso de tecnologia utilizada para detetar casos de aliciamento de crianças, essas razões concretas de suspeita deverão basear-se em fatores de risco identificados objetivamente, tais como a diferença de idade e o provável envolvimento de uma criança na comunicação analisada.

(17)

Deverão ser estabelecidos procedimentos e mecanismos de reparação apropriados para garantir que as pessoas possam apresentar reclamações aos prestadores. Tais procedimentos e mecanismos são particularmente relevantes quando conteúdos que não constituem abuso sexual de crianças em linha tenham sido removidos ou denunciados às autoridades responsáveis pela aplicação da lei ou a uma organização que atua no interesse público contra o abuso sexual de crianças.

(18)

A fim de assegurar a máxima precisão e fiabilidade, as tecnologias utilizadas para efeitos do presente regulamento deverão, de acordo com a tecnologia mais avançada do setor, limitar ao máximo os números e as taxas de erro (falsos positivos) e deverão, quando necessário, retificar sem demora eventuais erros que possam, ainda assim, ocorrer.

(19)

Os dados de conteúdo e os dados de tráfego tratados e os dados pessoais gerados no âmbito das atividades abrangidas pelo presente regulamento, assim como o período durante o qual os dados são posteriormente conservados em caso de identificação de suspeita de abuso sexual de crianças em linha, deverão permanecer limitados ao estritamente necessário para a execução dessas atividades. Os dados deverão ser imediata e permanentemente apagados logo que deixem de ser estritamente necessários para um dos objetivos especificados no presente regulamento, incluindo nos casos em que não seja identificada qualquer suspeita de abuso sexual de crianças em linha, e, em todo o caso, o mais tardar 12 meses a contar da data de deteção da suspeita de abuso sexual de crianças em linha. Essa obrigação deverá ser cumprida sem prejuízo da possibilidade de conservar dados de conteúdo e dados de tráfego relevantes nos termos da Diretiva 2002/58/CE. O presente regulamento aplica-se sem prejuízo das obrigações jurídicas de conservação de dados aplicáveis aos prestadores ao abrigo do direito da União ou nacional.

(20)

O presente regulamento não impede os prestadores que tenham denunciado abusos sexuais de crianças em linha às autoridades responsáveis pela aplicação da lei de solicitar a essas autoridades comprovativos de receção da denúncia.

(21)

A fim de assegurar a transparência e a responsabilização relativamente às atividades realizadas ao abrigo da derrogação prevista no presente regulamento, os prestadores deverão, até 3 de fevereiro de 2022, e, posteriormente, até 31 de janeiro de cada ano, publicar e apresentar relatórios à autoridade de controlo competente designada nos termos do Regulamento (UE) 2016/679 («autoridade de controlo») e à Comissão. Os referidos relatórios deverão abranger o tratamento de dados no âmbito do presente regulamento que inclua o tipo e o volume de dados tratados, o fundamento específico utilizado para o tratamento de dados pessoais nos termos do Regulamento (UE) 2016/679, o fundamento utilizado para as transferências de dados pessoais fora da União, nos termos do capítulo V do Regulamento (UE) 2016/679, se aplicável, o número de casos de abuso sexual de crianças em linha identificados, com uma distinção entre material referente a abusos sexuais de crianças em linha e aliciamento de crianças, o número de casos em que um utilizador apresentou uma reclamação através do mecanismo de reparação interno ou instaurou uma ação judicial e o resultado dessas reclamações e desses processos judiciais, o número e as taxas de erro (falsos positivos) das diferentes tecnologias utilizadas, as medidas aplicadas para limitar a taxa de erro e a taxa de erro obtida, a política de conservação de dados e as salvaguardas em matéria de proteção dos dados aplicadas nos termos do Regulamento (UE) 2016/679, e os nomes das organizações que atuam no interesse público contra os abusos sexuais de crianças com as quais tenham sido partilhados dados ao abrigo do presente regulamento.

(22)

A fim de apoiar as autoridades de controlo nas suas atribuições, a Comissão deverá solicitar ao Comité Europeu para a Proteção de Dados que emita diretrizes sobre o cumprimento do tratamento abrangido pelo âmbito de aplicação da derrogação prevista no presente regulamento com o Regulamento (UE) 2016/679. Aquando da avaliação pelas autoridades de controlo se uma tecnologia consagrada ou nova a ser utilizada é consentânea com a tecnologia mais avançada do setor, se é a menos intrusiva da privacidade e se tem uma base jurídica adequada nos termos do Regulamento (UE) 2016/679, essas diretrizes deverão, em especial, ajudar as autoridades de controlo a prestar aconselhamento no âmbito do procedimento de consulta prévia previsto nesse regulamento.

(23)

O presente regulamento restringe o direito à proteção da confidencialidade das comunicações e constitui uma derrogação da decisão adotada na Diretiva (UE) 2018/1972 no sentido de submeter os serviços de comunicações interpessoais independentes do número às mesmas regras aplicadas a todos os outros serviços de comunicações eletrónicas no que diz respeito à privacidade, com o único objetivo de detetar abusos sexuais de crianças em linha nesses serviços e de denunciá-los a autoridades responsáveis pela aplicação da lei ou a organizações que atuam no interesse público contra o abuso sexual de crianças e remover desses serviços material referente a abusos sexuais de crianças em linha. Por conseguinte, o período de aplicação do presente regulamento deverá ser limitado a três anos a contar da data de aplicação, a fim de conferir o tempo necessário para a adoção de um novo regime jurídico de longo prazo. Caso seja adotado um regime jurídico de longo prazo e entre em vigor antes dessa data, esse regime jurídico de longo prazo deverá revogar o presente regulamento.

(24)

No que diz respeito a todas as outras atividades abrangidas pelo âmbito de aplicação da Diretiva 2002/58/CE, os prestadores deverão ficar sujeitos às obrigações específicas previstas nessa diretiva e, consequentemente, aos poderes de controlo e investigação das autoridades competentes designadas nos termos dessa diretiva.

(25)

A criptografia de ponta a ponta é uma ferramenta importante para garantir a segurança e a confidencialidade das comunicações dos utilizadores, incluindo as comunicações das crianças. Qualquer enfraquecimento da criptografia poderia ser potencialmente aproveitado por terceiros mal-intencionados. Por conseguinte, nada no presente regulamento deverá ser interpretado como uma proibição ou enfraquecimento da criptografia de ponta a ponta.

(26)

O direito ao respeito pela vida privada e familiar, incluindo a confidencialidade das comunicações, é um direito fundamental garantido ao abrigo do artigo 7.o da Carta. Por conseguinte, é também um pré-requisito para comunicações seguras entre vítimas de abuso sexual de crianças e um adulto de confiança ou organizações ativas na luta contra o abuso sexual de crianças e para as comunicações entre as vítimas e os seus advogados.

(27)

O presente regulamento deverá aplicar-se sem prejuízo das regras em matéria de sigilo profissional previstas no direito nacional, tais como as regras relativas à proteção das comunicações profissionais entre médicos e seus pacientes, entre jornalistas e suas fontes, ou entre advogados e seus clientes, em especial porque a confidencialidade das comunicações entre advogados e os seus clientes é fundamental para assegurar o exercício efetivo dos direitos de defesa enquanto parte essencial do direito a um processo justo. O presente regulamento deverá também aplicar-se, sem prejuízo das regras nacionais relativas a registos de autoridades públicas ou organizações que prestam aconselhamento a pessoas em dificuldades.

(28)

Os prestadores deverão comunicar à Comissão os nomes das organizações que atuam no interesse público contra o abuso sexual de crianças às quais denunciem potenciais abusos sexuais de crianças em linha ao abrigo do presente regulamento. Embora seja da exclusiva responsabilidade dos prestadores que atuam na qualidade de responsáveis pelo tratamento, de avaliar com que terceiros podem partilhar dados pessoais ao abrigo do Regulamento (UE) 2016/679, a Comissão deverá assegurar a transparência no que diz respeito à transferência de potenciais casos de abuso sexual de crianças em linha, tornando pública, no seu sítio Web, uma lista das organizações que atuam no interesse público contra os abusos sexuais de crianças que lhes são comunicados. Essa lista pública deverá ser facilmente acessível. Também deverá ser possível que os prestadores utilizem a lista para identificar organizações relevantes na luta global contra o abuso sexual de crianças em linha. Essa lista deverá aplicar-se sem prejuízo das obrigações dos prestadores que atuam na qualidade de responsáveis pelo tratamento nos termos do Regulamento (UE) 2016/679, nomeadamente no que diz respeito à sua obrigação de efetuar transferências de dados pessoais para fora da União nos termos do capítulo V desse regulamento e à sua obrigação de cumprir todas as obrigações previstas no capítulo IV desse regulamento.

(29)

As estatísticas a fornecer pelos Estados-Membros nos termos do presente regulamento são indicadores importantes para a avaliação das políticas, incluindo das medidas legislativas. Além disso, é importante reconhecer o impacto da vitimização secundária inerente à partilha de imagens e vídeos das vítimas de abuso sexual de crianças que possam ter estado em circulação vários anos e que não está plenamente refletida nessas estatísticas.

(30)

Em conformidade com os requisitos estabelecidos no Regulamento (UE) 2016/679, em especial o requisito de os Estados-Membros assegurarem que as autoridades de controlo disponham dos recursos humanos, técnicos e financeiros necessários ao desempenho eficaz das suas funções e ao exercício dos seus poderes, os Estados-Membros deverão assegurar que as autoridades de controlo disponham desses recursos suficientes para o desempenho eficaz das suas funções e para o exercício dos poderes que lhes são conferidos pelo presente regulamento.

(31)

Caso um prestador tenha realizado uma avaliação de impacto relativamente à proteção de dados e consultado as autoridades de controlo sobre uma tecnologia, nos termos do Regulamento (UE) 2016/679, antes da entrada em vigor do presente regulamento, esse prestador não deverá ser obrigado, por força do presente regulamento, a realizar uma avaliação de impacto sobre a proteção de dados ou consulta adicional, desde que as autoridades de controlo tenham indicado que o tratamento de dados por essa tecnologia não implicaria um elevado risco para os direitos e as liberdades das pessoas singulares ou que o responsável pelo tratamento tenha tomado medidas para atenuar esse risco.

(32)

Os utilizadores deverão ter direito à ação judicial caso os seus direitos tenham sido violados em resultado do tratamento de dados pessoais e outros, para efeitos de detetar abusos sexuais de crianças em linha nos serviços de comunicações interpessoais independentes do número e denunciá-los e de remover desses serviços o material referente a abusos sexuais de crianças em linha, por exemplo nos casos em que os conteúdos ou identidade dos utilizadores tenham sido denunciados a uma organização que atua no interesse público contra o abuso sexual de crianças ou às autoridades responsáveis pela aplicação da lei, ou nos casos em que o conteúdo dos utilizadores tenha sido removido ou as contas dos utilizadores tenham sido bloqueadas ou tenha sido suspenso um serviço oferecido aos utilizadores.

(33)

Em conformidade com a Diretiva 2002/58/CE e com o princípio da minimização dos dados, o tratamento de dados pessoais e outros deverá limitar-se aos dados de conteúdo e aos dados de tráfego conexos, na medida do estritamente necessário para alcançar o objetivo do presente regulamento.

(34)

A derrogação estabelecida pelo presente regulamento deverá abranger as categorias de dados referidas no artigo 5.o, n.o 1, e no artigo 6.o, n.o 1, da Diretiva 2002/58/CE, que são aplicáveis ao tratamento tanto de dados pessoais como de dados não pessoais tratados no contexto da prestação de um serviço de comunicações interpessoais independente do número.

(35)

O presente regulamento tem como objetivo estabelecer uma derrogação temporária de determinadas disposições da Diretiva 2002/58/CE sem criar fragmentação no mercado interno. Além disso, é pouco provável que todos os Estados-Membros conseguissem adotar medidas legislativas nacionais atempadamente. Atendendo a que o objetivo do presente regulamento não pode ser suficientemente alcançado pelos Estados-Membros, mas pode ser mais bem alcançado ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do TUE. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo. O presente regulamento introduz uma derrogação da aplicabilidade do artigo 5.o, n.o 1, e do artigo 6.o, n.o 1, da Diretiva 2002/58/CE, temporária e estritamente limitada, prevendo uma série de salvaguardas para assegurar que o presente regulamento não exceda o necessário para alcançar o objetivo estabelecido.

(36)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (8) e emitiu o seu parecer em 10 de novembro de 2020,