25.10.2008   

PT

Jornal Oficial da União Europeia

C 270/1

1.

O Sistema de Informação do Mercado Interno («IMI») é uma ferramenta informática que dá às autoridades competentes dos Estados-Membros a possibilidade de trocar informações com as suas homólogas na implementação da legislação relativa ao mercado interno. O IMI é financiado através do Programa «IDABC» (prestação interoperável de serviços pan-europeus de administração em linha a administrações públicas, empresas e cidadãos) (1).

2.

O IMI foi concebido como um sistema geral de apoio a uma grande variedade de domínios da legislação relativo ao mercado interno, estando previsto que a sua utilização venha a ser alargada a diversos domínios legislativos. Inicialmente, o IMI será utilizado para apoiar as disposições em matéria de assistência mútua da Directiva 2005/36/CE («directiva das qualificações profissionais») (2). A partir de Dezembro de 2009, o IMI será também utilizado no apoio às disposições relativas à cooperação administrativa da Directiva 2006/123/CE («directiva dos serviços») (3).

3.

Na Primavera de 2007, a Comissão Europeia solicitou o parecer do Grupo do Artigo 29.o sobre as implicações do IMI no domínio da protecção de dados. O Grupo emitiu parecer sobre os aspectos do IMI relativos à protecção de dados em 20 de Setembro de 2007 (4). O parecer do Grupo do Artigo 29.o apoia os projectos da Comissão no sentido de aprovar uma decisão que regulamente os aspectos do IMI relativos à protecção de dados, e de dar ao intercâmbio de dados no âmbito do IMI uma base jurídica mais específica.

4.

A AEPD congratula-se com o facto de a Comissão ter pedido o parecer do Grupo do Artigo 29.o antes de redigir a decisão IMI. A AEPD participou activamente nos trabalhos do subgrupo consagrado ao IMI e apoia as conclusões expressas no parecer do Grupo do Artigo 29.o. Congratula-se igualmente com o facto de a Comissão ter consultado informalmente a AEPD antes da aprovação da decisão IMI. Esta consulta proporcionou à AEPD a oportunidade de formular de imediato algumas sugestões antes da aprovação, o que era particularmente necessário por se tratar de uma decisão da própria Comissão e não de uma proposta da Comissão seguida de um processo legislativo com a participação do Conselho e do Parlamento Europeu.

5.

Em 12 de Dezembro de 2007, a Comissão aprovou a sua Decisão 2008/49/CE relativa à protecção dos dados pessoais no âmbito do Sistema de Informação do Mercado Interno (IMI) (Decisão «IMI»). A decisão tem em conta algumas das recomendações da AEPD e do Grupo do Artigo 29.o, especificando também a base jurídica.

6.

A impressão geral da AEPD sobre o IMI é positiva. A AEPD apoia o objectivo da Comissão de criar um sistema electrónico para o intercâmbio de informações e regulamentar os aspectos desse sistema relativos à protecção de dados. Um sistema racionalizado deste tipo poderá não só aumentar a eficácia da cooperação, mas também contribuir para assegurar a sua conformidade com a legislação aplicável à protecção de dados. Este resultado pode ser conseguido definindo-se claramente qual a informação que pode ser objecto de intercâmbio e entre quem, e em que condições, esse intercâmbio pode ter lugar.

7.

No entanto, a criação do sistema electrónico centralizado comporta também alguns riscos. Incluem-se aqui, sobretudo, a possibilidade de partilha de mais dados, e de forma mais ampla, do que o estritamente necessário à prossecução dos objectivos de uma cooperação eficaz, e de permanência dos dados (incluindo alguns eventualmente desactualizados e inexactos) no sistema electrónico por mais tempo do que o necessário. A segurança de uma base de dados acessível em 27 Estados-Membros é também uma questão sensível, uma vez que a segurança do sistema se limita à do elo mais fraco da rede.

8.

Consequentemente, é de extrema importância que as considerações de protecção de dados sejam tratadas da forma mais completa e inequívoca possível num acto comunitário juridicamente vinculativo.

9.

A AEPD congratula-se pelo facto de a Comissão ter definido e delimitado claramente o âmbito do IMI, e enumerado num anexo os actos comunitários pertinentes que servem de base ao intercâmbio de informações. Actualmente, constam apenas a directiva das qualificações profissionais e a directiva dos serviços; contudo, espera-se que o âmbito do IMI seja alargado. Sempre que seja adoptada nova legislação que preveja o intercâmbio de informações através do IMI, o anexo será adaptado em conformidade. A AEPD saúda esta fórmula, uma vez que a mesma i) delimita claramente o âmbito do IMI; e ii) garante a transparência, ao mesmo tempo que; iii) prevê a flexibilidade necessária no caso de o IMI vir a ser utilizado para outros intercâmbios de informação. Assegura também que não se realizem intercâmbios de informações através do IMI i) sem que exista uma base jurídica adequada na legislação específica sobre o mercado interno que permita ou prescreva o intercâmbio de informações; e ii) sem que se faça referência a essa base jurídica no anexo à Decisão IMI.

10.

A AEPD não está no entanto satisfeita i) com a escolha da base jurídica da Decisão IMI, que significa que esta decisão assenta agora em fundamentos jurídicos incertos (ver capítulo 2 do presente parecer); nem ii) com o facto de não ter sido incorporado no documento um certo número de disposições indispensáveis para regulamentar detalhadamente os aspectos do IMI relativos à protecção de dados (ver capítulo 3 do presente parecer).

11.

Lamentavelmente, na prática, a solução adoptada pela Comissão significa que, contrariamente às expectativas da AEPD e do Grupo do Artigo 29.o, a Decisão IMI não regulamenta agora de forma abrangente todos os aspectos principais da protecção de dados do IMI, incluindo sobretudo a forma como os co-responsáveis pelo tratamento dos dados irão partilhar as responsabilidades em matéria de notificação e atribuir direitos de acesso aos interessados, nem as questões concretas e práticas de proporcionalidade. A AEPD lamenta ainda que não esteja expressamente previsto que a Comissão publique as perguntas e campos de dados pré-definidos no seu sítio Web, o que só contribuiria para melhorar a transparência e a segurança jurídica.

12.

A base jurídica da Decisão IMI, conforme consta da própria decisão, é a Decisão 2004/387/CE do Parlamento Europeu e do Conselho, de 21 de Abril de 2004, sobre a prestação interoperável de serviços pan-europeus de administração em linha (eGovernment) a administrações públicas, empresas e cidadãos («Decisão IDABC») (5), nomeadamente o artigo 4.o.

13.

A própria Decisão IDABC é um instrumento do âmbito do título XV do Tratado que institui a Comunidade Europeia («Tratado CE»): As redes transeuropeias. O artigo 154.o do Tratado CE prevê que a Comunidade contribui para a criação e o desenvolvimento de redes transeuropeias nos sectores das infra-estruturas dos transportes, das telecomunicações e da energia. Essa acção tem por objectivo fomentar a interconexão e a interoperabilidade das redes nacionais, bem como o acesso a essas redes. O artigo 155.o enumera as medidas que a Comunidade pode adoptar neste âmbito. Essas medidas consistem em i) orientações; ii) acções que possam revelar-se necessárias para assegurar a interoperabilidade das redes, em especial no domínio da harmonização das normas técnicas; e iii) apoio a projectos. A Decisão IDABC tem por base o primeiro parágrafo do artigo 156.o, relativo ao processo de adopção.

14.

O artigo 4.o da Decisão IDABC estipula, nomeadamente, que a Comunidade deve implementar projectos de interesse comum. Estes projectos devem fazer parte de um programa de trabalho contínuo e a sua implementação deve fazer-se em conformidade com os princípios enunciados nos artigos 6.o e 7.o da Decisão IDABC. Estes princípios procuram fundamentalmente encorajar uma ampla participação, estabelecer um procedimento sólido e imparcial e prever uma harmonização das normas técnicas. Visam igualmente assegurar a fiabilidade e viabilidade económica dos projectos.

15.

Tal como explicado previamente, na fase inicial, o Sistema de Informação do Mercado Interno será utilizado para o intercâmbio de dados pessoais no âmbito de duas directivas.

16.

O n.o 1 do artigo 34.o da directiva dos serviços constitui uma base jurídica específica para a criação de um sistema electrónico de intercâmbio de informações entre Estados-Membros, como medida de acompanhamento para efeitos da directiva. O teor do n.o 1 do artigo 34.o é o seguinte: «A Comissão, em colaboração com os Estados-Membros, deve criar um sistema electrónico de intercâmbio de informações entre Estados-Membros, tendo em conta os sistemas de informação existentes.».

17.

A directiva das qualificações profissionais não prevê um sistema electrónico específico para o intercâmbio de informações, mas esse intercâmbio é exigido de forma clara em várias das suas disposições. Entre as disposições relevantes que prescrevem o intercâmbio de informações conta-se o artigo 56.o da directiva, segundo o qual as autoridades competentes dos Estados-Membros devem colaborar estreitamente e prestar-se assistência mútua, a fim de facilitar a aplicação da directiva. O n.o 2 do artigo 56.o estipula que o tratamento de determinadas informações sensíveis seja feito no respeito pela legislação relativa à protecção de dados. Além disso, o artigo 8.o prevê ainda de forma explícita que as autoridades competentes do Estado-Membro de acolhimento podem solicitar às autoridades competentes do Estado-Membro de estabelecimento todas as informações pertinentes sobre a licitude do estabelecimento e a boa conduta do prestador de serviços, assim como sobre a ausência de sanções disciplinares ou penais de carácter profissional. Finalmente, o n.o 2 do artigo 50.o prevê que, em caso de dúvida justificada, o Estado-Membro de acolhimento possa exigir das autoridades competentes de outro Estado-Membro a confirmação da autenticidade dos certificados emitidos e dos títulos de formação concedidos.

18.

A protecção dos dados pessoais é reconhecida, enquanto direito fundamental, no artigo 8.o da Carta dos Direitos Fundamentais da União Europeia e na jurisprudência estabelecida com base no artigo 8.o da Convenção Europeia dos Direitos do Homem («CEDH»).

19.

No artigo 1.o, a Decisão IMI define as funções, os direitos e as obrigações dos participantes e utilizadores do IMI no que toca à protecção de dados. A AEPD depreende do considerando 7 que a Decisão IMI visa especificar o quadro geral comunitário no domínio da protecção de dados, estabelecido nos termos da Directiva 95/46/CE e do Regulamento (CE) n.o 45/2001; contempla, de forma específica, a definição dos responsáveis pelo tratamento de dados e as suas responsabilidades, os prazos de conservação dos dados e os direitos das pessoas a quem os dados dizem respeito. A Decisão IMI trata, portanto, de limitações/especificações dos direitos fundamentais e visa especificar determinados direitos subjectivos dos cidadãos.

20.

Segundo a jurisprudência estabelecida com base na CEDH, não pode haver dúvidas quanto ao estatuto jurídico das disposições que restringem os direitos fundamentais. Estas devem constar de um instrumento jurídico, baseado no Tratado CE, que possa ser invocado em juízo. Caso contrário, a pessoa em causa encontrar-se-á numa situação de insegurança jurídica, por não estar certa de poder invocar as normas em tribunal.

21.

O problema da insegurança jurídica assume uma relevância tanto maior quanto, segundo o sistema previsto no Tratado CE, serão essencialmente os juízes nacionais a decidir do valor que atribuem à Decisão IMI. Isto poderá dar lugar a conclusões diferentes de um Estado-Membro para outro, ou até no mesmo Estado-Membro. Esta insegurança jurídica é inaceitável.

22.

A ausência de uma via de recurso, ou a insegurança quanto a esta, seria de qualquer modo contrária ao artigo 6.o da CEDH, que prevê o direito a um processo equitativo, e à jurisprudência sobre este artigo. Nesse caso, a Comunidade não cumpriria as suas obrigações decorrentes do artigo 6.o do Tratado da União Europeia («TUE»), que exige que a União respeite os direitos fundamentais tal como os garante a CEDH.

23.

A AEPD está profundamente receosa de que, ao escolherem o artigo 4.o da Decisão IDABC como base jurídica para a decisão da Comissão, os redactores não tenham passado na prova de segurança jurídica antes referida. A AEPD apresenta os seguintes elementos que podem levantar dúvidas quanto à adequação da base jurídica da Decisão IMI:

24.

Pelos motivos acima referidos, a Decisão IMI precisa de uma base jurídica sólida. Há sérias dúvidas de que a base jurídica da Decisão IMI preencha o requisito da segurança jurídica. A AEPD recomenda que a Comissão reconsidere esta base jurídica e procure soluções para corrigir as imperfeições da base jurídica escolhida, podendo daí resultar a substituição da Decisão IMI por um instrumento jurídico que preencha o requisito da segurança jurídica.

25.

Neste contexto, a solução mais adequada poderá passar pela adopção, pelo Conselho e pelo Parlamento Europeu, de um instrumento jurídico separado para o sistema IMI, semelhante ao Sistema de Informação Schengen, ao Sistema de Informação sobre Vistos e a outras bases de dados informatizados em grande escala.

26.

A AEPD sugere que se analise esta opção. Esse instrumento jurídico separado poderá então abranger as funções, direitos e obrigações dos participantes e utilizadores do IMI em relação aos requisitos em matéria de protecção dos dados (objecto definido na Decisão IMI), bem como outros requisitos relativos à instalação e ao funcionamento do sistema IMI.

27.

Uma segunda opção poderá consistir em encontrar uma base jurídica nos diferentes instrumentos relativos ao mercado interno. Atendendo a que a Decisão IMI se aplica ao intercâmbio de dados pessoais no contexto da Directiva dos serviços, dever-se-á analisar com maior profundidade a hipótese de a própria directiva — em particular o artigo 34.o — proporcionar a base jurídica necessária. Na medida em que a Decisão IMI é aplicável ao intercâmbio de dados pessoais no contexto da Directiva das qualificações profissionais, poder-se-á adoptar uma abordagem semelhante: pode-se igualmente criar uma base jurídica específica e clara alterando a própria directiva.

28.

Em relação a outros instrumentos no domínio do mercado interno que possam, futuramente, exigir o intercâmbio de informações entre autoridades competentes dos Estados-Membros, poder-se-á adoptar uma base jurídica específica para cada novo acto legislativo.

29.

Neste capítulo do parecer, a AEPD debruça-se sobre as disposições que regem os aspectos do IMI relativos à protecção de dados, tal como constam da Decisão IMI. As sugestões da AEPD poderão ser incluídas num novo instrumento jurídico que substitua a Decisão IMI, como acima se propôs. Contudo, caso não se adopte um novo instrumento, as sugestões poderão ser incluídas na própria Decisão IMI, depois de alterada.

30.

Além disso, algumas das sugestões podem já ser aplicadas na prática pelos participantes no IMI sem que seja necessário alterar a decisão. A AEPD espera que a Comissão dê seguimento às recomendações formuladas no presente parecer, pelo menos no plano operacional, na medida em que as mesmas se referem a actividades da Comissão enquanto participante no IMI e sujeitas, por conseguinte, à supervisão da AEPD.

31.

A AEPD congratula-se pelo facto de a Comissão ter publicado no sítio Web do IMI o primeiro conjunto de perguntas e outros campos de dados pré-definidos, que diz respeito ao intercâmbio de informações no âmbito da directiva das qualificações profissionais.

32.

Para que esta boa prática se venha a converter numa obrigação clara da Comissão, assim se garantindo e aumentando a transparência, a AEPD recomenda que se preveja num instrumento jurídico relativo ao IMI a obrigação de a Comissão publicar as perguntas e outros campos de dados pré-definidos no sítio Web do IMI.

33.

Em relação à proporcionalidade, caberá a um instrumento jurídico sobre o IMI especificar que as perguntas e outros campos de dados pré-definidos devem ser adequados, pertinentes e não excessivos. A AEPD tem ainda duas recomendações específicas a fazer a propósito da proporcionalidade:

34.

A repartição de responsabilidades prevista no artigo 3.o da Decisão IMI é ambígua e pouco clara. A AEPD reconhece que poderá não ser viável indicar na Decisão IMI todas as eventuais operações de tratamento e atribuir a responsabilidade de cada uma delas à Comissão ou a determinada autoridade competente de um dado Estado-Membro. No entanto, e pelo menos no que respeita mais importantes às obrigações de protecção de dados do responsável pelo tratamento, dever-se-iam ter incluído algumas orientações na Decisão IMI.

35.

Em particular, a AEPD recomenda que se preveja num instrumento jurídico relativo ao IMI, que:

36.

A AEPD recomenda a inclusão de um novo número num instrumento jurídico relativo ao IMI segundo o qual as responsabilidades de notificação sejam repartidas entre os co-responsáveis pelo tratamento, segundo uma abordagem estratificada. O texto deve especificar, designadamente, o seguinte:

37.

A AEDP recomenda igualmente que seja aditado um novo número, a fim de:

38.

Além disso, deverá especificar-se que a Comissão apenas pode conceder acesso aos dados a que ela própria tenha legitimamente acesso. Consequentemente, a Comissão não terá por obrigação conceder acesso ao intercâmbio de informações entre as autoridades competentes. Se, ainda assim, uma pessoa visada pelas informações dirigir um pedido desse tipo à Comissão, esta deve, sem demora, orientar a pessoa em causa para as autoridades que têm acesso às informações e aconselhá-la adequadamente.

39.

O primeiro parágrafo do artigo 4.o da Decisão IMI prevê um período de conservação dos dados de seis meses após o «encerramento formal» de um intercâmbio de informações.

40.

A AEPD compreende que as autoridades competentes possam necessitar de alguma flexibilidade na conservação dos dados devido ao facto de, para além da pergunta e resposta iniciais, poderem surgir perguntas subsequentes sobre o mesmo processo entre as autoridades competentes. De facto, durante a preparação do parecer do Grupo do Artigo 29.o, a Comissão explicou que os procedimentos administrativos em cujo âmbito os intercâmbios de informações podem revelar-se necessários ficam habitualmente concluídos em dois meses, e que o prazo de seis meses previsto para a conservação dos dados visa permitir alguma flexibilidade em caso de atrasos inesperados.

41.

Dito isto, e baseando-se nas explicações da Comissão, a AEPD duvida que haja alguma razão legítima para conservar os dados no IMI durante mais seis meses depois do encerramento formal de um intercâmbio de informações. A AEPD recomenda, pois, que o prazo de seis meses para o apagamento automático comece a contar na data em que a autoridade requerente contacta pela primeira vez a sua homóloga no âmbito do intercâmbio de informações. De facto, será preferível estabelecer a data de apagamento automático consoante o tipo de intercâmbio de informações (começando o prazo a correr sempre a partir da data de início do intercâmbio). Por exemplo, se um período de conservação de seis meses poderá ser adequado para os intercâmbios de informações ao abrigo da Directiva das qualificações profissionais, o mesmo poderá não se ajustar a outros intercâmbios de informações na futura legislação sobre o mercado interno.

42.

A AEPD acrescenta também que, caso as suas recomendações não sejam seguidas, haverá pelo menos que especificar o que se entende por «encerramento formal» de um intercâmbio de informações. Importa, em especial, evitar que os dados possam manter-se na base de dados por mais tempo do que o necessário pelo simples facto de a autoridade competente não ter «encerrado o processo».

43.

A AEPD recomenda ainda a inversão da lógica apagamento/conservação do segundo parágrafo do artigo 4.o. Assim sendo, a Comissão deverá sempre satisfazer os pedidos de apagamento no prazo de 10 dias úteis, mesmo que a outra autoridade competente no intercâmbio deseje conservar as informações no IMI. Importa contudo prever um mecanismo automatizado de notificação a esta outra autoridade competente, para que não perca os dados e possa, se o desejar, carregar ou imprimir as informações e armazená-las para sua utilização, fora do IMI, sob reserva das suas próprias regras de protecção de dados. O pré-aviso de 10 dias úteis afigura-se razoável como período mínimo e máximo. A Comissão só poderá apagar as informações antes deste prazo de 10 dias se ambas as autoridades confirmarem o desejo de que sejam suprimidas.

44.

A AEPD recomenda igualmente que se especifique que as medidas de segurança, quer sejam tomadas pela Comissão quer pelas autoridades competentes, devem ser adoptadas segundo as boas práticas dos Estados-Membros.

45.

Como os intercâmbios de informações no âmbito do IMI estão sujeitos a uma multiplicidade de leis nacionais sobre protecção de dados e ao controlo de múltiplas autoridades nacionais para a protecção de dados (e também à aplicação do Regulamento (CE) n.o 45/2001, e à autoridade supervisora da AEPD no que respeita a determinados aspectos das operações de tratamento), a AEPD recomenda que num instrumento jurídico relativo ao IMI sejam igualmente incluídas disposições claras que facilitem o controlo conjunto do IMI pelas diversas autoridades de protecção de dados implicadas. O controlo conjunto poderá ser semelhante ao previsto nos instrumentos jurídicos relativos ao estabelecimento, ao funcionamento e à utilização do Sistema de Informação Schengen de segunda geração (SIS II) (8).

46.

A AEPD apoia o objectivo da Comissão de criar um sistema electrónico para o intercâmbio de informações e de regulamentar os aspectos do mesmo relativos à protecção de dados.

47.

Pelos motivos acima referidos, a Decisão IMI precisa de uma base jurídica sólida. A AEPD recomenda que a Comissão reconsidere a base jurídica e procure soluções para corrigir as imperfeições da base jurídica escolhida, podendo daí resultar a substituição da Decisão IMI por um instrumento jurídico que preencha o requisito da segurança jurídica.

48.

A AEPD sugere como melhor solução, em última análise, que se estude a possibilidade de adoptar um instrumento jurídico separado para o sistema IMI, ao nível do Conselho e do Parlamento Europeu, à semelhança do que já se fez em relação ao Sistema de Informação Schengen, ao Sistema de Informação sobre Vistos e a outras bases de dados informatizadas em grande escala.

49.

Em alternativa, poderá ponderar-se a possibilidade de encontrar a base jurídica necessária no artigo 34.o da Directiva dos serviços e noutras disposições legislativas a adoptar no âmbito do mercado interno.

50.

Além disso, o presente parecer formula sugestões sobre as disposições que regem os aspectos do IMI relativos à protecção de dados, a incluir num novo instrumento jurídico que substitua a Decisão IMI, como atrás se propõe, ou, caso este novo instrumento não se concretize, na própria Decisão IMI, depois de alterada.

51.

Muitas das sugestões podem já ser aplicadas na prática pelos participantes no IMI sem que seja necessário alterar a decisão. A AEPD espera que na medida do possível, a Comissão dê seguimento às recomendações formuladas no presente parecer pelo menos no plano operacional, na medida em que as mesmas se referem a actividades da Comissão enquanto participante no IMI.

52.

As recomendações em causa dizem respeito à transparência e proporcionalidade, tratamento conjunto e repartição de responsabilidades, notificação das pessoas a quem os dados dizem respeito, direitos de acesso, objecção e rectificação, conservação dos dados, medidas de segurança e controlo conjunto.