This document is an excerpt from the EUR-Lex website
Document 32019Q1125(01)
Decision of the Management Board of the European Securities and Markets Authority of 1 October 2019 adopting internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of ESMA
Decisão do Conselho de Administração da Autoridade Europeia dos Valores Mobiliários e dos Mercados de 1 de outubro de 2019 que adota regras internas relativas a limitações de certos direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto do funcionamento da ESMA
Decisão do Conselho de Administração da Autoridade Europeia dos Valores Mobiliários e dos Mercados de 1 de outubro de 2019 que adota regras internas relativas a limitações de certos direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto do funcionamento da ESMA
JO L 303 de 25.11.2019, p. 31–36
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
25.11.2019 |
PT |
Jornal Oficial da União Europeia |
L 303/31 |
DECISÃO DO CONSELHO DE ADMINISTRAÇÃO DA AUTORIDADE EUROPEIA DOS VALORES MOBILIÁRIOS E DOS MERCADOS
de 1 de outubro de 2019
que adota regras internas relativas a limitações de certos direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto do funcionamento da ESMA
O CONSELHO DE ADMINISTRAÇÃO,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (1), nomeadamente o seu artigo 25.o,
Tendo em conta o Regulamento (UE) n.o 1095/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, que cria uma Autoridade Europeia de Supervisão (Autoridade Europeia dos Valores Mobiliários e dos Mercados), altera a Decisão n.o 716/2009/CE e revoga a Decisão 2009/77/CE da Comissão (2), conforme posteriormente alterado, revogado ou substituído, nomeadamente o seu artigo 71.o,
Tendo em conta o parecer da AEPD de 20 de junho de 2019 e as Orientações da AEPD relativas ao artigo 25.o do novo regulamento e às regras internas,
Após consulta do Comité do Pessoal,
Considerando o seguinte:
(1) |
A ESMA exerce a sua atividade em conformidade com o Regulamento (UE) n.o 1095/2010 do «Regulamento ESMA» e «ESMA», conforme posteriormente alterado, revogado ou substituído. |
(2) |
A ESMA trata várias categorias de dados pessoais, incluindo dados «objetivos» (como dados de identificação, dados de contacto, dados profissionais, dados administrativos, dados recebidos de fontes específicas, comunicações eletrónicas e dados de tráfego) e/ou dados «subjetivos» (dados relacionados com o caso, como fundamentações, dados sobre comportamento e conduta e dados relacionados com a matéria a que se refere o procedimento ou a atividade ou apresentados nesse âmbito). |
(3) |
A ESMA, representada pelo seu diretor-executivo, atua como responsável pelo tratamento dos dados, sem prejuízo de subsequentes delegações dessa função no seio da ESMA, a fim de refletir as responsabilidades operacionais no que se refere a operações específicas de tratamento de dados pessoais. |
(4) |
Os dados pessoais são armazenados em segurança num ambiente eletrónico ou em papel, evitando o acesso ou a transferência ilícitos de dados para pessoas que não tenham de os conhecer. Os dados pessoais tratados são conservados apenas durante o tempo necessário e adequado às finalidades do respetivo tratamento, pelo período especificado nos registos sobre proteção de dados e nas declarações de privacidade da ESMA. |
(5) |
Na prossecução da sua missão, compete à ESMA respeitar, tanto quanto possível, os direitos fundamentais dos titulares dos dados, em especial os relacionados com o direito de comunicação de informações, o direito de acesso e retificação, o direito ao apagamento, a limitação do tratamento, o direito de comunicação de uma violação de dados pessoais ao titular dos dados ou a confidencialidade da comunicação, conforme estabelecido no Regulamento (UE) 2018/1725. |
(6) |
Contudo, a ESMA poderá ser obrigada a limitar a comunicação de informações ao titular dos dados, ou outros direitos deste, a fim de proteger, em especial, a confidencialidade e a eficácia das suas próprias investigações, das investigações e processos de outras autoridades públicas, bem como os direitos de outras pessoas relacionadas com as suas investigações ou com outros procedimentos. |
(7) |
No âmbito do seu funcionamento administrativo, a ESMA poderá conduzir várias investigações, tais como inquéritos administrativos, processos disciplinares, atividades preliminares relacionadas com fraude financeira, investigações relacionadas com casos de denúncia de irregularidades ou de assédio, auditorias internas, investigações no domínio da proteção de dados ou da ética, investigações sobre TIC, investigações sobre a segurança da informação e atividades realizadas no contexto da gestão de riscos e incidentes de segurança. Além disso, na prossecução da sua missão, a ESMA conduz investigações relacionadas com as suas funções de supervisão direta ou de execução e poderá conduzir investigações sobre potenciais infrações ao direito da União, bem como inquéritos sobre um determinado tipo de atividade financeira ou tipo de produto ou conduta, a fim de avaliar potenciais ameaças à integridade dos mercados financeiros ou à estabilidade do sistema financeiro. |
(8) |
As regras internas devem aplicar-se a todas as operações de tratamento de dados efetuadas pela ESMA no contexto das investigações supramencionadas. Devem igualmente aplicar-se a operações de tratamento realizadas antes do início das investigações acima referidas, ao longo das mesmas e durante a supervisão do seguimento dado aos resultados de tais investigações. Devem também incluir a assistência, coordenação e/ou cooperação solicitadas à ESMA pelas autoridades nacionais e organizações internacionais no contexto das suas próprias investigações administrativas. |
(9) |
Antes de recorrer às limitações previstas nas presentes regras internas, a ESMA deve considerar se alguma das exceções previstas no Regulamento (UE) 2018/1725 se aplica. Nos casos em que se apliquem limitações ao abrigo das presentes regras internas, a ESMA tem de explicar a razão pela qual essas limitações são estritamente necessárias e proporcionadas numa sociedade democrática, e a forma como respeitam a essência dos direitos e liberdades fundamentais. |
(10) |
A ESMA deve acompanhar a situação para verificar se as condições que justificam a limitação continuam a aplicar-se e levantar a limitação quando deixarem de se aplicar. |
(11) |
O responsável pelo tratamento deve informar o encarregado da proteção de dados da imposição, prorrogação ou levantamento de limitações à aplicação de certos direitos dos titulares de dados, |
ADOTOU A PRESENTE DECISÃO:
Artigo 1.o
Objeto e âmbito de aplicação
1. A presente decisão estabelece regras internas relativas às condições em que a ESMA, no âmbito das atividades descritas nos n.os 2 a 5, pode limitar a aplicação dos direitos consagrados nos artigos 14.o a 21.o e 35.o, bem como no seu artigo 4.o, com base no artigo 25.o do Regulamento (UE) 2018/1725. Estas limitações não prejudicam as exceções aos direitos dos titulares dos dados previstas no Regulamento (UE) 2018/1725.
2. No âmbito do funcionamento administrativo da ESMA, as limitações previstas no n.o 1 do presente artigo aplicam-se ao tratamento de dados pessoais pela ESMA para efeitos de:
a) |
inquéritos administrativos e processos disciplinares; |
b) |
tratamento de irregularidades em coordenação com o Organismo Europeu de Luta Antifraude (OLAF); |
c) |
tratamento de casos de denúncia de irregularidades, de casos de assédio (formais e informais), bem como de queixas internas e externas; |
d) |
auditorias internas, investigações no domínio da proteção de dados ou da ética; |
e) |
investigações sobre TIC, investigações sobre a segurança da informação e atividades realizadas no contexto da gestão de riscos e incidentes de segurança, tratadas a nível interno ou com participação externa. |
3. No âmbito da prossecução da missão da ESMA, as limitações previstas no n.o 1 do presente artigo aplicam-se ao tratamento de dados pessoais pela ESMA para efeitos de:
a) |
investigações relativas às funções de supervisão direta e de execução da ESMA; |
b) |
investigações sobre potenciais infrações ao direito da União nos termos do artigo 17.o do Regulamento ESMA; e |
c) |
inquéritos sobre um determinado tipo de atividade financeira ou tipo de produto ou tipo de conduta, a fim de avaliar potenciais ameaças à integridade dos mercados financeiros ou à estabilidade do sistema financeiro, nos termos do artigo 22.o do Regulamento ESMA. |
4. Além disso, estas limitações aplicam-se à assistência, coordenação e/ou cooperação prestada pela ESMA às autoridades nacionais dos valores mobiliários e dos mercados, incluindo as autoridades de países terceiros, e a organizações internacionais no contexto das investigações realizadas na prossecução da sua missão legal.
5. As limitações a que se refere o n.o 1 do presente artigo aplicam-se igualmente às operações de tratamento efetuadas antes do início das investigações ou de outros inquéritos administrativos referidos nos n.os 2 a 4, ao longo dessas investigações e durante a supervisão do seguimento dado aos seus resultados.
6. A presente decisão aplica-se a qualquer categoria de dados pessoais tratados no contexto das atividades previstas nos n.os 2 a 5.
7. Sob reserva das condições estabelecidas na presente decisão, as limitações podem aplicar-se aos seguintes direitos: comunicação de informações a titulares de dados, direito de acesso, retificação, apagamento, limitação do tratamento e comunicação de uma violação de dados pessoais ao titular dos dados.
Artigo 2.o
Responsável pelo tratamento de dados nas investigações e salvaguardas aplicáveis
1. As salvaguardas em vigor para evitar violações de dados pessoais, fugas ou divulgação não autorizada no contexto das investigações referidas no artigo 1.o são as seguintes:
a) |
Os documentos em papel devem ser mantidos em armários de arquivo seguros e estar acessíveis apenas a membros autorizados do pessoal; |
b) |
Todos os dados eletrónicos devem ser geridos com os dispositivos, sistemas de informação, aplicações e meios de armazenamento aprovados pela ESMA. Devem ser utilizadas aplicações do sistema de gestão de documentos da ESMA para organizar, localizar, partilhar, manter e proteger os dados eletrónicos da ESMA. O acesso a dados eletrónicos apenas deve ser concedido a pessoal autorizado da ESMA com base no princípio da necessidade de conhecer; |
c) |
Todas as pessoas que disponham de acesso aos dados estão sujeitas à obrigação de confidencialidade. |
2. O responsável pelas operações de tratamento é a ESMA, representada pelo seu diretor-executivo, que pode delegar a função de responsável pelo tratamento. Os titulares dos dados devem ser informados acerca do responsável pelo tratamento delegado por meio dos registos sobre proteção de dados publicados no sítio Web da ESMA.
3. O período de conservação dos dados pessoais tratados não deve exceder o necessário e adequado para os fins a que se destina o tratamento dos dados. O período de conservação deve ser especificado nos registos sobre proteção de dados e nas declarações de privacidade a que se refere o artigo 5.o, n.o 1.
4. Sempre que a ESMA pondere aplicar uma limitação, os riscos para os direitos e as liberdades do titular dos dados devem ser avaliados, em especial, em face dos riscos para os direitos e liberdades de outros titulares dos dados e do risco de anular o efeito de investigações ou procedimentos da ESMA, nomeadamente através da destruição de provas. Os riscos para os direitos e liberdades do titular dos dados dizem respeito sobretudo, mas não exclusivamente, a riscos para a reputação e a riscos para o direito de defesa e o direito a ser ouvido.
Artigo 3.o
Limitações
1. Qualquer limitação só deverá ser aplicada pela ESMA a fim de salvaguardar:
a) |
a prevenção, investigação, deteção e repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública; |
b) |
outros objetivos importantes do interesse público geral da União ou de um Estado-Membro, nomeadamente os objetivos da política externa e de segurança comum da União ou um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública e da segurança social; |
c) |
a segurança interna das instituições e órgãos da União, incluindo a das suas redes de comunicações eletrónicas; |
d) |
a prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas; |
e) |
uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) e b); |
f) |
a defesa do titular dos dados ou dos direitos e liberdades de outrem. |
2. Enquanto aplicação específica dos fins descritos no n.o 1, a ESMA pode aplicar limitações em relação a dados pessoais trocados com serviços da Comissão ou com outras instituições, órgãos, agências e serviços da União, autoridades competentes dos Estados-Membros ou de países terceiros ou organizações internacionais, nas seguintes circunstâncias:
a) |
se o exercício desses direitos e obrigações puder ser limitado por serviços da Comissão ou outras instituições, órgãos, agências e serviços da União com base noutros atos previstos no artigo 25.o do Regulamento (UE) 2018/1725, ou em conformidade com o capítulo IX desse regulamento, ou com os atos constitutivos de outras instituições, órgãos, agências e serviços da União; |
b) |
se o exercício desses direitos e obrigações puder ser limitado pelas autoridades competentes dos Estados-Membros com base nos atos referidos no artigo 23.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (3), ou ao abrigo de medidas nacionais de transposição do artigo 13.o, n.o 3, do artigo 15.o, n.o 3, ou do artigo 16.o, n.o 3, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (4); |
c) |
se o exercício desses direitos e obrigações puder comprometer a cooperação da ESMA com organizações de países terceiros ou organizações internacionais no exercício das suas funções ou das funções dessas organizações. Antes de aplicar limitações nas circunstâncias referidas nas alíneas a) e b) do primeiro parágrafo, a ESMA deve consultar os serviços competentes da Comissão, outras instituições, órgãos, agências e serviços da União ou as autoridades competentes dos Estados-Membros, salvo se para a ESMA for claro que a aplicação de uma limitação está prevista num dos atos referidos nessas alíneas. |
3. Qualquer limitação deve ser necessária e proporcionada, tendo em conta os riscos para os direitos e liberdades dos titulares dos dados, devendo ainda respeitar a essência dos direitos e liberdades fundamentais numa sociedade democrática.
4. Se for ponderada a aplicação de uma limitação, deve ser realizado um teste de necessidade e de proporcionalidade baseado nas presentes regras. Esse teste deve ser documentado, caso a caso, mediante uma nota de avaliação interna, para efeitos de responsabilização.
5. As limitações devem ser levantadas assim que cessarem as circunstâncias que as justificam. Em especial, é esse o caso quando se considera que o exercício do direito limitado já não anula o efeito da limitação imposta nem afeta negativamente os direitos ou liberdades de outros titulares dos dados.
Artigo 4.o
Reexame pelo encarregado da proteção de dados
1. A ESMA deve, sem demora injustificada, informar o encarregado da proteção de dados («EPD») sempre que o responsável pelo tratamento limite a aplicação de direitos dos titulares dos dados, ou prorrogue a limitação, em conformidade com a presente decisão. O responsável pelo tratamento deve facultar ao EPD o acesso à nota interna que contém a avaliação da necessidade e da proporcionalidade da limitação, bem como, se for caso disso, aos elementos factuais e jurídicos subjacentes, e documentar a data em que informou o EPD.
2. O EPD pode pedir, por escrito, ao responsável pelo tratamento o reexame da aplicação das limitações. O responsável pelo tratamento deve informar o EPD, por escrito, acerca do resultado do reexame solicitado.
3. O responsável pelo tratamento deve informar o EPD quando a limitação for levantada.
4. O responsável pelo tratamento deve documentar a participação do EPD ao longo das diferentes fases do processo, começando pela data de informação do EPD.
5. A nota interna e, se for caso disso, os elementos factuais e jurídicos subjacentes devem ser disponibilizados à Autoridade Europeia para a Proteção de Dados, a pedido desta.
Artigo 5.o
Comunicação de informações ao titular dos dados
1. A ESMA deve publicar, no seu sítio Web, registos sobre proteção de dados que informem todos os titulares dos dados das suas atividades que envolvam o tratamento de dados pessoais, incluindo informações relativas à potencial limitação dos direitos dos titulares dos dados.
2 A ESMA deve notificar individualmente todos os titulares dos dados que considere serem afetados pela investigação ou inquérito do registo sobre proteção de dados relativo às operações de tratamento específicas em causa, sem demora injustificada e por escrito.
3. Em casos devidamente justificados e nas condições estabelecidas na presente decisão, a ESMA pode limitar, total ou parcialmente, a comunicação de informações aos titulares dos dados a que se refere o n.o 2. Neste caso, deve documentar numa nota interna as razões da limitação e a base jurídica em conformidade com o artigo 3.o da presente decisão, incluindo uma avaliação da necessidade e da proporcionalidade da limitação.
4. A limitação a que se refere o n.o 3 continuará a aplicar-se enquanto se mantiverem as razões que a justificam.
Quando as razões para a limitação deixarem de se aplicar, a ESMA deve notificar o titular dos dados em causa do registo sobre proteção de dados relevante e das principais razões da limitação. Esta notificação pode ser acompanhada de um convite à apresentação de observações sobre as conclusões da investigação ou do inquérito em curso, no âmbito do exercício dos direitos de defesa do titular dos dados em causa. A ESMA deve, simultaneamente, informar o titular dos dados em causa do direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados em qualquer altura, ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia.
A ESMA deve reexaminar a aplicação da limitação de seis em seis meses após a sua adoção e aquando do encerramento do inquérito ou investigação pertinentes.
Artigo 6.o
Direito de acesso do titular dos dados
1. Na sequência de um pedido apresentado por um titular de dados, a ESMA pode limitar, total ou parcialmente, o direito desse titular de dados de obter a confirmação de que os dados pessoais que lhe dizem respeito estão ou não a ser tratados pela ESMA no contexto de uma investigação ou inquérito a que se refere o artigo 1.o da presente decisão e, em caso afirmativo, o direito de acesso a esses dados e a outras informações a que se refere o artigo 17.o do Regulamento (UE) 2018/1725.
2. Se a ESMA limitar o direito de acesso, deve informar o titular dos dados em causa, na sua resposta ao pedido, da limitação aplicada e das principais razões para tal, bem como da possibilidade de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia.
3. A comunicação das informações a que se refere o n.o 2 pode ser adiada, omitida ou recusada caso cancele o efeito da limitação, em conformidade com o artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725. Neste caso, a ESMA deve documentar, numa nota de avaliação interna, as razões da limitação, incluindo uma avaliação da necessidade e proporcionalidade da limitação e da respetiva duração.
4. A ESMA deve reexaminar a aplicação da limitação de seis em seis meses após a sua adoção e aquando do encerramento do inquérito ou investigação pertinentes.
Artigo 7.o
Direito de retificação, apagamento e limitação do tratamento
1. Na sequência de um pedido apresentado por um titular de dados, a ESMA pode, no contexto de uma investigação ou inquérito a que se refere o artigo 1.o da presente decisão, limitar, total ou parcialmente, o direito desse titular de dados de obter a retificação de dados pessoais que lhe digam respeito, de apagar ou de limitar o tratamento dos seus dados pessoais, tal como previsto nos artigos 18.o, 19.o e 20.o do Regulamento (UE) 2018/1725.
2. Caso a ESMA limite a aplicação do direito de retificação, apagamento ou limitação do tratamento acima referido, deve adotar as medidas previstas no artigo 6.o, n.os 2 e 3, da presente decisão.
3. A ESMA deve reexaminar a aplicação da limitação de seis em seis meses após a sua adoção e aquando do encerramento do inquérito ou investigação pertinentes.
Artigo 8.o
Comunicação de uma violação de dados pessoais ao titular dos dados
1. A ESMA deve comunicar uma violação de dados pessoais ao titular dos dados em causa, sem demora injustificada, sempre que tal violação seja suscetível de constituir um elevado risco para os direitos e para as liberdades das pessoas singulares, tal como previsto no artigo 35.o do Regulamento (UE) 2018/1725.
2. Em casos devidamente justificados e nas condições estabelecidas na presente decisão, a ESMA pode limitar, total ou parcialmente, a comunicação de informações aos titulares dos dados a que se refere o n.o 1 do presente artigo. Neste caso, deve documentar numa nota interna as razões da limitação e a base jurídica em conformidade com o artigo 3.o da presente decisão, incluindo uma avaliação da necessidade e da proporcionalidade da limitação.
3. A limitação a que se refere o n.o 2 continuará a aplicar-se enquanto se mantiverem as razões que a justificam.
Quando as razões para a limitação deixarem de se aplicar, a ESMA deve comunicar a violação dos dados pessoais ao titular dos dados em causa e informá-lo das principais razões da limitação. A ESMA deve, simultaneamente, informar o titular dos dados em causa do direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados em qualquer altura, ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia.
A ESMA deve reexaminar a aplicação da limitação de seis em seis meses após a sua adoção e aquando do encerramento do inquérito ou investigação pertinentes.
Artigo 9.o
Entrada em vigor
A presente decisão entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Feito em Helsínquia, em 1 de outubro de 2019.
Pelo Conselho de Administração
Steven MAIJOOR
Presidente
(1) JO L 295 de 21.11.2018, p. 39.
(2) JO L 331 de 15.12.2010, p. 84.
(3) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).
(4) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).