Limitações dos direitos dos titulares dos dados — Regras internas da Comissão

 

SÍNTESE DE:

Decisão (UE) 2018/1927 da Comissão que estabelece regras internas relativas ao tratamento de dados pessoais pela Comissão no domínio da concorrência em relação à comunicação de informações aos titulares dos dados e à limitação de certos direitos

Decisão (UE) 2018/1961 da Comissão que estabelece regras internas relativas à comunicação de informações aos titulares dos dados e à limitação de alguns dos seus direitos, no contexto do tratamento de dados pessoais, para efeitos de atividades de auditoria interna

Decisão (UE) 2018/1962 da Comissão que estabelece as normas internas para o tratamento dos dados pessoais pelo Organismo Europeu de Luta Antifraude (OLAF) no que respeita à prestação de informações aos titulares dos dados e à limitação de alguns dos direitos destes

Decisão (UE) 2018/1996 da Comissão que estabelece regras internas relativas à comunicação de informações aos titulares dos dados e à limitação de certos direitos no contexto do tratamento de dados pessoais para efeitos de inquéritos de defesa comercial e de política comercial

Decisão (UE) 2019/154 da Comissão que estabelece as regras internas relativas à limitação do direito de acesso dos titulares de dados aos seus processos médicos

Decisão (UE) 2019/165 da Comissão que estabelece regras internas relativas à comunicação de informações aos titulares dos dados e à limitação de alguns dos seus direitos em matéria de proteção de dados pela Comissão no contexto de inquéritos administrativos e processos pré-disciplinares, disciplinares e de suspensão

Decisão (UE) 2019/236 da Comissão que estabelece regras internas relativas à comunicação de informações aos titulares dos dados e à limitação de alguns dos seus direitos, no contexto do tratamento de dados pessoais pela Comissão, para efeitos de segurança interna das instituições da UE

QUAL É O OBJETIVO DESTAS DECISÕES?

Estabelecem regras internas, com base nas quais a Comissão Europeia pode limitar os direitos dos indivíduos que estes exercem ao abrigo do Regulamento (UE) 2018/1725. As regras internas aplicam-se ao tratamento de dados pessoais em domínios específicos e para fins específicos.

PONTOS-CHAVE

Os dados pessoais são qualquer informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»). Uma pessoa singular é identificável se puder ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador (como um nome, um número de identificação, dados de localização ou um identificador em linha) ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

O novo quadro jurídico da União Europeia (UE) em matéria de proteção e livre circulação de dados pessoais consiste, nomeadamente, em:

• o Regulamento Geral de Proteção de Dados (RGPD), que estabelece os direitos dos indivíduos no que diz respeito aos seus dados pessoais, protege-os no que diz respeito ao tratamento dos seus dados pessoais nos países da UE e assegura a livre circulação desses dados;
• o Regulamento (UE) 2018/1725, que estabelece os direitos dos indivíduos no que diz respeito aos seus dados pessoais, protege-os no que diz respeito ao tratamento dos seus dados pessoais pelas instituições, órgãos, organismos e agências da UE e assegura a livre circulação desses dados.

Estes regulamentos são considerados equivalentes e devem ser interpretados como sendo os mesmos.

O artigo 25.^o do Regulamento (UE) 2018/1725 prevê a possibilidade de, em certos casos, as instituições e órgãos da UE poderem limitar os direitos dos indivíduos, desde que tais limitações estejam previstas ao abrigo do direito da UE. Nesse sentido, a Comissão adotou sete decisões da Comissão, que fundamentam eventuais limitações, a fim de salvaguardar objetivos importantes de interesse público geral da UE.

Com base nessas decisões e na sequência de uma avaliação caso a caso da necessidade e proporcionalidade das limitações, a Comissão Europeia decide se os direitos de uma pessoa singular devem ser limitados num caso individual.

Os seguintes direitos dos indivíduos podem ser limitados:

• o direito à informação sobre
  • o tratamento dos seus dados pessoais; e
  • violações dos seus dados pessoais que possam resultar num elevado risco para os seus direitos e liberdades;
• o direito de acesso aos seus dados pessoais, de apagamento dos seus dados pessoais ou da limitação do tratamento dos seus dados pessoais.

As sete decisões da Comissão seguem todas um formato semelhante, incluindo cada uma delas alguns ou todos estes elementos:

• Objeto e âmbito de aplicação
  • A exigência de uma avaliação caso a caso de cada pedido de um titular de dados.
• Exceções e/ou limitações aplicáveis
  • Antes de aplicar uma limitação, a Comissão deve, em primeiro lugar, considerar se é aplicável alguma das exceções aos direitos dos titulares dos dados previstas no Regulamento (UE) 2018/1725.
• Comunicação de informações aos titulares dos dados
  • A Comissão deve publicar no seu sítio Web avisos em matéria de proteção de dados que informem todos os titulares dos dados das suas atividades de tratamento de dados na área relevante.
  • A Comissão deve informar individualmente, num formato adequado, qualquer pessoa afetada individualmente por um inquérito ou por uma medida executada num dos domínios pertinentes.
• Direitos dos titulares dos dados de acederem aos seus dados pessoais, ao apagamento dos mesmos ou de verem limitado o seu tratamento
  • Se a Comissão limitar o acesso aos dados pessoais, o direito ao apagamento e/ou o direito à limitação do tratamento, deve informar o titular dos dados em causa da limitação aplicada, das principais razões para a sua aplicação e da possibilidade de apresentar queixa à Autoridade Europeia para a Proteção de Dados ou de interpor recurso judicial junto do Tribunal de Justiça da União Europeia.
• Documentação e registo das limitações
  • A Comissão deve registar os motivos de qualquer limitação aplicada, incluindo uma avaliação da necessidade e da proporcionalidade.
• Duração das limitações
  • As limitações continuam a aplicar-se enquanto subsistirem as razões que as justificam.
• Reexame pelo responsável pela proteção de dados (RPD) da Comissão Europeia
  • O RPD deve ser informado, sem demora injustificada, sempre que os direitos dos titulares dos dados forem limitados.
  • Mediante pedido, o RPD deve ter acesso ao registo e a quaisquer documentos que contenham os elementos factuais e jurídicos subjacentes.
  • O RPD pode solicitar o reexame da limitação e deve ser informado por escrito do resultado do reexame solicitado.

As sete decisões da Comissão abrangem a limitação dos direitos dos titulares dos dados nos seguintes domínios:

• Segurança interna das instituições da UE
  • Aplica-se ao tratamento de dados pessoais para garantir a segurança das pessoas, bens e informações na Comissão.
  • A Comissão deve informar individualmente as testemunhas e as pessoas abrangidas por um inquérito de segurança do tratamento dos seus dados pessoais.
  • Além disso, a Comissão deve informar individualmente os titulares dos dados cujos dados sejam tratados no caso de inquéritos pessoais, em conformidade com o artigo 7.^o, n.^o 5, da Decisão (UE, Euratom) 2015/443 da Comissão.
  • Deve igualmente informar individualmente as pessoas cujos dados sejam tratados no âmbito de buscas nas instalações e nos sistemas de comunicação e de informação da Comissão.
• Inquéritos administrativos, processos pré-disciplinares, disciplinares e de suspensão
  • Os direitos e obrigações previstos no Regulamento (UE) 2018/1725 podem ser limitados se comprometerem o objetivo dos inquéritos administrativos, dos processos pré-disciplinares, disciplinares e de suspensão ou se afetarem os direitos e liberdades de outros titulares dos dados.
• Dados médicos pessoais
  • A Comissão pode limitar, caso a caso, o direito dos titulares dos dados de acederem diretamente a dados médicos pessoais de natureza psicológica ou psiquiátrica que lhes digam respeito, sempre que o acesso a esses dados seja suscetível de representar um risco para a saúde do titular dos dados.
  • Esta limitação deve ser proporcional ao estritamente necessário para proteger o titular dos dados.
• Defesa comercial e inquéritos em matéria de política comercial
  • Os direitos e obrigações previstos no Regulamento (UE) 2018/1725 podem ser limitados se comprometerem o objetivo das atividades da Comissão em matéria de política comercial e de defesa comercial, ou afetarem negativamente os direitos e liberdades de outros titulares dos dados.
• Organismo Europeu de Luta Antifraude (OLAF)
  • Aplica-se ao tratamento de dados pessoais pelo OLAF (bem como ao tratamento de dados pessoais pelos serviços da Comissão e pelas agências de execução que devem ser transmitidos ao OLAF) a fim de cumprir as suas funções;
  • As investigações do OLAF são totalmente independentes da Comissão;
  • O OLAF decide se devem ser aplicadas eventuais limitações aos direitos dos titulares dos dados.
  • Os avisos de proteção de dados que informam os titulares dos dados das atividades que envolvem o tratamento dos seus dados pessoais são publicados no sítio Web do OLAF.
  • O RPD do OLAF analisa qualquer limitação dos direitos dos titulares dos dados.
• Atividades de auditoria interna
  • Os direitos e obrigações previstos no Regulamento (UE) 2018/1725 podem ser limitados no âmbito das operações de tratamento efetuadas pela Comissão no exercício das suas atividades de auditoria interna, sempre que o exercício dos direitos dos titulares dos dados possa comprometer a realização de atividades de auditoria interna, nomeadamente revelando os seus instrumentos e métodos de auditoria ou afete negativamente os direitos e liberdades de outros titulares dos dados.
  • Além disso, pode ser necessário que a Comissão limite a aplicação dos direitos dos titulares dos dados a fim de proteger as operações de tratamento dos serviços da Comissão ou de outras instituições, órgãos, organismos e agências da União ou das autoridades dos Estados-Membros e organizações internacionais, bem como do Comité de Acompanhamento das Auditorias.
  • A Comissão informa os indivíduos das suas atividades de auditoria interna que envolvam o tratamento dos seus dados pessoais e dos seus direitos através de um aviso de proteção de dados publicado no sítio Web da Comissão. Se for caso disso, a Comissão assegura que os titulares dos dados sejam informados individualmente, num formato adequado.
• Concorrência
  • Os direitos e obrigações previstos no Regulamento (UE) 2018/1725 podem ser limitados se comprometerem o objetivo das atividades de investigação e execução da Comissão, nomeadamente revelando os seus instrumentos e métodos de investigação, ou se afetarem negativamente os direitos e liberdades de outros titulares dos dados.

A PARTIR DE QUANDO SÃO APLICÁVEIS AS DECISÕES?

• As Decisões (UE) 2018/1927, (UE) 2018/1961, (UE) 2018/1962, (UE) 2018/1996 e (UE) 2019/154 são aplicáveis a partir de 11 de dezembro de 2018.
• A Decisão (UE) 2019/165 é aplicável a partir de 7 de fevereiro de 2019.
• A Decisão (UE) 2019/236 é aplicável a partir de 11 de fevereiro de 2019.

CONTEXTO

Para mais informações, consulte:

• Reforma de 2018 das regras de proteção de dados (Comissão Europeia).

DOCUMENTOS PRINCIPAIS

Decisão (UE) 2018/1927 da Comissão, de 5 de dezembro de 2018, que estabelece regras internas relativas ao tratamento de dados pessoais pela Comissão Europeia no domínio da concorrência em relação à comunicação de informações aos titulares dos dados e à limitação de certos direitos (JO L 313 de 10.12.2018, p. 39-44).

Decisão (UE) 2018/1961 da Comissão, de 11 de dezembro de 2018, que estabelece regras internas relativas à comunicação de informações aos titulares de dados e à limitação de alguns dos seus direitos, no contexto do tratamento de dados pessoais, para efeitos de atividades de auditoria interna (JO L 315 de 12.12.2018, p. 35-40).

Decisão (UE) 2018/1962 da Comissão, de 11 de dezembro de 2018, que estabelece as normas internas para o tratamento dos dados pessoais pelo Organismo Europeu de Luta Antifraude (OLAF) no que respeita à prestação de informações aos titulares dos dados e à limitação de alguns dos direitos destes em conformidade com o artigo 25.° do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (JO L 315 de 12.12.2018, p. 41-46).

Decisão (UE) 2018/1996 da Comissão, de 14 de dezembro de 2018, que estabelece regras internas relativas à comunicação de informações aos titulares dos dados e à limitação de certos direitos no contexto do tratamento de dados pessoais para efeitos de inquéritos de defesa comercial e de política comercial (JO L 320 de 17.12.2018, p. 40-44).

Decisão (UE) 2019/154 da Comissão, de 30 de janeiro de 2019, que estabelece as regras internas relativas à limitação do direito de acesso dos titulares de dados aos seus processos médicos (JO L 27 de 31.1.2019, p. 33-35).

Decisão (UE) 2019/165 da Comissão, de 1 de fevereiro de 2019, que estabelece regras internas relativas à comunicação de informações aos titulares de dados e à limitação de alguns dos seus direitos em matéria de proteção de dados pela Comissão no contexto de inquéritos administrativos e processos pré-disciplinares, disciplinares e de suspensão (JO L 32 de 4.2.2019, p. 9-13).

Decisão (UE) 2019/236 da Comissão, de 7 de fevereiro de 2019, que estabelece regras internas relativas à comunicação de informações aos titulares de dados e à limitação de alguns dos seus direitos, no contexto do tratamento de dados pessoais pela Comissão Europeia, para efeitos da segurança interna das instituições da União (JO L 37 de 8.2.2019, p. 144-149).

DOCUMENTOS RELACIONADOS

Aplicável à Comissão Europeia:

Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.^o 45/2001 e a Decisão n.^o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39-98).

Decisão (UE, Euratom) 2017/46 da Comissão, de 10 de janeiro de 2017, relativa à segurança dos sistemas de comunicação e de informação na Comissão Europeia (JO L 6 de 11.1.2017, p. 40-51).

Foram incorporadas alterações sucessivas no texto básico da Decisão (UE, Euratom) 2017/46. Esta versão consolidada serve apenas de valor documental.

Decisão (UE, Euratom) 2015/443 da Comissão, de 13 de março de 2015, relativa à segurança na Comissão (JO L 72 de 17.3.2015, p. 41-52).

Aplicável nos países da UE:

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1-88).

Ver versão consolidada.

Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89-131).

Ver versão consolidada.

última atualização 03.04.2019