EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021R1232

Regulamento (UE) 2021/1232 do Parlamento Europeu e do Conselho de 14 de julho de 2021 relativo a uma derrogação temporária de determinadas disposições da Diretiva 2002/58/CE no que respeita à utilização de tecnologias por prestadores de serviços de comunicações interpessoais independentes do número para o tratamento de dados pessoais e outros para efeitos de combate ao abuso sexual de crianças em linha (Texto relevante para efeitos do EEE)

PE/38/2021/REV/1

OJ L 274, 30.7.2021, p. 41–51 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/reg/2021/1232/oj

30.7.2021   

PT

Jornal Oficial da União Europeia

L 274/41


REGULAMENTO (UE) 2021/1232 DO PARLAMENTO EUROPEU E DO CONSELHO

de 14 de julho de 2021

relativo a uma derrogação temporária de determinadas disposições da Diretiva 2002/58/CE no que respeita à utilização de tecnologias por prestadores de serviços de comunicações interpessoais independentes do número para o tratamento de dados pessoais e outros para efeitos de combate ao abuso sexual de crianças em linha

(Texto relevante para efeitos do EEE)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.o, n.o 2, em conjugação com o artigo 114.o, n.o 1,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comité Económico e Social Europeu (1),

Deliberando de acordo com o processo legislativo ordinário (2),

Considerando o seguinte:

(1)

A Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (3) estabelece regras que garantem o direito à privacidade e à confidencialidade no que diz respeito ao tratamento de dados pessoais nos intercâmbios de dados no setor das comunicações eletrónicas. Essa diretiva especifica e complementa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (4).

(2)

A Diretiva 2002/58/CE aplica-se ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público. Até 21 de dezembro de 2020, aplicava-se a definição de «serviço de comunicações eletrónicas» prevista no artigo 2.o, alínea c), da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho (5). Nessa data, a Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho (6) revogou a Diretiva 2002/21/CE. A definição de «serviços de comunicações eletrónicas» no artigo 2.o, ponto 4, da Diretiva (UE) 2018/1972 inclui os serviços de comunicações interpessoais independentes do número definidos no artigo 2.o, ponto 7, dessa diretiva. Por conseguinte, os serviços de comunicações interpessoais independentes do número, que incluem, por exemplo, Voz sobre Protocolo Internet, serviços de mensagens e correio eletrónico baseado na Web, passaram a estar abrangidos pelo âmbito de aplicação da Diretiva 2002/58/CE em 21 de dezembro de 2020.

(3)

Nos termos do artigo 6.o, n.o 1, do Tratado da União Europeia (TUE), a União reconhece os direitos, as liberdades e os princípios enunciados na Carta dos Direitos Fundamentais da União Europeia (a «Carta»). O artigo 7.o da Carta protege o direito fundamental de todas as pessoas ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações, o que inclui a confidencialidade das comunicações. O artigo 8.o da Carta consagra o direito à proteção de dados pessoais.

(4)

O artigo 3.o, n.o 1, da Convenção das Nações Unidas sobre os Direitos da Criança de 1989 (CDC) e o artigo 24.o, n.o 2, da Carta estabelecem que todos os atos relativos às crianças, quer praticados por entidades públicas, quer por instituições privadas, terão primacialmente em conta o interesse superior da criança. O artigo 3.o, n.o 2, da CDC e o artigo 24.o, n.o 1, da Carta evocam, além disso, o direito das crianças a essa proteção e aos cuidados necessários ao seu bem-estar.

(5)

A proteção das crianças, tanto fora de linha como em linha, é uma das prioridades da União. O abuso sexual e a exploração sexual de crianças constituem violações graves dos direitos humanos e fundamentais, em particular dos direitos das crianças à proteção contra todas as formas de violência, abusos e negligência, maus tratos ou exploração, incluindo o abuso sexual, conforme previsto na CDC e na Carta. A digitalização trouxe muitos benefícios para a sociedade e a economia, mas também trouxe desafios, incluindo um aumento dos casos de abuso sexual de crianças em linha. A proteção das crianças em linha é uma das prioridades da União. Em 24 de julho de 2020, a Comissão adotou uma Comunicação intitulada «Estratégia da UE para uma luta mais eficaz contra o abuso sexual das crianças» (a «Estratégia»). A Estratégia visa dar uma resposta eficaz, a nível da União, ao crime de abuso sexual de crianças.

(6)

Em conformidade com a Diretiva 2011/93/UE do Parlamento Europeu e do Conselho (7), o presente regulamento não rege as políticas dos Estados-Membros no que se refere a atividades sexuais consensuais em que possam estar envolvidas crianças, suscetíveis de serem consideradas como normais na descoberta da sexualidade ao longo do desenvolvimento humano, tendo em conta as diferentes tradições culturais e jurídicas e as novas formas de as crianças e os adolescentes estabelecerem e manterem contactos, designadamente por meio das tecnologias da informação e da comunicação.

(7)

Alguns prestadores de determinados serviços de comunicações interpessoais independentes do número («prestadores»), tais como os serviços de correio eletrónico baseados na Web e de mensagens, já utilizam voluntariamente tecnologias específicas para detetar o abuso sexual de crianças em linha nos seus serviços e denunciá-lo às autoridades responsáveis pela aplicação da lei e às organizações que atuam no interesse público contra o abuso sexual de crianças, através da análise do conteúdo, como por exemplo imagens e texto, ou da análise dos dados de tráfego das comunicações, utilizando, em alguns casos, os dados históricos. As tecnologias utilizadas para essas atividades podem ser a tecnologia de endereçamento calculado («hashing») para imagens e vídeos e os classificadores e a inteligência artificial para a análise de dados de texto ou dados de tráfego. Aquando da utilização da tecnologia de hashing, o material referente a abusos sexuais de crianças em linha é denunciado em caso de resultado positivo, o que significa uma correspondência resultante de uma comparação entre uma imagem ou um vídeo e uma assinatura digital única e não reconvertível («hash») de uma base de dados mantida por uma organização que atua no interesse público contra o abuso sexual de crianças que contenha material verificado referente a abusos sexuais de crianças em linha. Esses prestadores reencaminham para as linhas diretas nacionais de denúncia de material referente a abusos sexuais de crianças em linha e para organizações, sitas tanto na União como em países terceiros, cujo propósito seja identificar crianças, diminuir a exploração e o abuso sexual de crianças e prevenir vitimização de crianças. Essas organizações poderão não estar abrangidas pelo âmbito de aplicação do Regulamento (UE) 2016/679. Coletivamente, essas atividades voluntárias desempenham um papel valioso, na medida em que permitem identificar e socorrer as vítimas cujos direitos fundamentais à dignidade humana e à integridade física e mental foram gravemente violados. Essas atividades voluntárias são também importantes na redução da difusão ulterior de material referente a abusos sexuais de crianças em linha e no contributo para a identificação e investigação dos autores dos crimes, bem como para a prevenção, deteção, investigação e instauração de ação penal contra crimes de abuso sexual de crianças.

(8)

Não obstante o seu objetivo legítimo, as atividades voluntárias dos prestadores para detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los constituem uma interferência nos direitos fundamentais ao respeito da vida privada e familiar e à proteção dos dados de todos os utilizadores de serviços de comunicações interpessoais independentes do número («utilizadores»). Nenhuma restrição ao exercício do direito fundamental ao respeito da vida privada e familiar, inclusive uma restrição da confidencialidade das comunicações, se pode justificar apenas com o fundamento de os prestadores terem utilizado certas tecnologias num período em que os serviços de comunicações interpessoais independentes do número não se encontravam ainda abrangidos pela definição «serviços de comunicações eletrónicas». Tais restrições só são possíveis sob certas condições. Nos termos do artigo 52.o, n.o 1 da Carta, essas restrições devem ser previstas por lei e respeitar o conteúdo essencial dos direitos à vida privada e familiar e à proteção de dados pessoais e, na observância do princípio da proporcionalidade, essas restrições devem ser necessárias e corresponder efetivamente a objetivos de interesse geral reconhecidos pela União ou à necessidade de proteção dos direitos e das liberdades de terceiros. Sempre que tais restrições envolvam permanentemente um controlo e uma análise gerais e indiscriminados das comunicações de todos os utilizadores, tais restrições interferem com o direito à confidencialidade das comunicações.

(9)

Até 20 de dezembro de 2020, o tratamento de dados pessoais por prestadores através de medidas voluntárias para efeitos de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços material referente a abusos sexuais de crianças em linha era exclusivamente regido pelo Regulamento (UE) 2016/679. A Diretiva (UE) 2018/1972, que deveria ter sido transposta até 20 de dezembro de 2020, incluiu os prestadores no âmbito de aplicação da Diretiva 2002/58/CE. A fim de continuar a utilizar as referidas medidas voluntárias após 20 de dezembro de 2020, os prestadores deverão cumprir as condições estabelecidas no presente regulamento. O Regulamento (UE) 2016/679 continuará a aplicar-se ao tratamento de dados pessoais efetuado através dessas medidas voluntárias.

(10)

A Diretiva 2002/58/CE não contém disposições específicas relativas ao tratamento de dados pessoais por prestadores no contexto da prestação de serviços de comunicações eletrónicas para efeitos de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços o material referente a abusos sexuais de crianças em linha. Não obstante, nos termos do artigo 15.o, n.o 1, da Diretiva 2002/58/CE, os Estados-Membros podem adotar medidas legislativas para restringir o âmbito dos direitos e obrigações previstos, nomeadamente, nos artigos 5.o e 6.o dessa diretiva, respeitantes à confidencialidade das comunicações e dos dados de tráfego, para fins de prevenção, deteção, investigação e instauração de ação penal contra infrações penais relacionadas com o abuso sexual de crianças. Na ausência de tais medidas legislativas nacionais, e na pendência da adoção de um regime jurídico a mais longo prazo para combater eficazmente o abuso sexual de crianças em linha a nível da União, os prestadores deixam de poder basear-se no Regulamento (UE) 2016/679 para continuar a utilizar medidas voluntárias para detetar nos seus serviços abusos sexuais de crianças em linha e denunciá-los e remover dos seus serviços material referente a abusos sexuais de crianças em linha após 21 de dezembro de 2020. O presente regulamento não prevê um fundamento jurídico para o tratamento de dados pessoais por prestadores com o único objetivo de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços material referente a abusos sexuais de crianças em linha, mas prevê uma derrogação de determinadas disposições da Diretiva 2002/58/CE. O presente regulamente estabelece salvaguardas adicionais que devem ser respeitadas pelos prestadores caso pretendam basear-se no presente regulamento.

(11)

O tratamento de dados para efeitos do presente regulamento poderá implicar o tratamento de categorias especiais de dados pessoais conforme estabelecido no Regulamento (UE) 2016/679. O tratamento de imagens e vídeos através de meios técnicos específicos que permita a identificação inequívoca ou a autenticação de uma pessoa singular, é considerado tratamento de categorias especiais de dados pessoais.

(12)

O presente regulamento estabelece uma derrogação temporária do artigo 5.o, n.o 1, e do artigo 6.o, n.o 1, da Diretiva 2002/58/CE que protege a confidencialidade das comunicações e dos dados de tráfego. A utilização voluntária pelos prestadores de tecnologias para o tratamento de dados pessoais e outros, na medida do necessário para detetar abusos sexuais de crianças em linha nos seus serviços denunciá-los e para remover dos seus serviços material referente a abusos sexuais de crianças em linha, está abrangida pelo âmbito de aplicação da derrogação prevista no presente regulamento desde que essa utilização cumpra as condições estabelecidas no presente regulamento e esteja, por conseguinte, sujeita às salvaguardas e condições estabelecidas no Regulamento (UE) 2016/679.

(13)

A Diretiva 2002/58/CE foi adotada com base no artigo 114.o do Tratado sobre o Funcionamento da União Europeia (TFUE). Além disso, nem todos os Estados-Membros adotaram medidas legislativas, nos termos do artigo 15.o, n.o 1, da Diretiva 2002/58/CE, para restringir o âmbito dos direitos e obrigações relacionados com a confidencialidade das comunicações e dos dados de tráfego como previsto nessa diretiva, e a adoção de tais medidas implica um risco de fragmentação importante, suscetível de afetar negativamente o mercado interno. Por conseguinte, o presente regulamento deverá basear-se no artigo 114.o do TFUE.

(14)

Tendo em conta que os dados relacionados com as comunicações eletrónicas que envolvem pessoas singulares se enquadram normalmente na definição de dados pessoais, o presente regulamento deverá também basear-se no artigo 16.o do TFUE, que constitui uma base jurídica específica para a adoção de regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, e pelos Estados-Membros no exercício de atividades relativas à aplicação do direito da União, bem como de regras relativas à livre circulação desses dados.

(15)

O Regulamento (UE) 2016/679 é aplicável ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas por prestadores com o único objetivo de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços material referente a abusos sexuais de crianças em linha na medida em que esse tratamento está abrangido pelo âmbito da derrogação estabelecida pelo presente regulamento.

(16)

Os tipos de tecnologias utilizados para efeitos do presente regulamento deverão ser os menos intrusivos da privacidade de acordo com a tecnologia mais avançada do setor. Essas tecnologias não deverão ser utilizadas para filtrar e analisar sistematicamente texto em comunicações, a menos que se trate apenas de detetar padrões que apontem para possíveis motivos concretos para suspeita de abuso sexual de crianças em linha, e não deverão poder deduzir a substância do conteúdo das comunicações. No caso de tecnologia utilizada para detetar casos de aliciamento de crianças, essas razões concretas de suspeita deverão basear-se em fatores de risco identificados objetivamente, tais como a diferença de idade e o provável envolvimento de uma criança na comunicação analisada.

(17)

Deverão ser estabelecidos procedimentos e mecanismos de reparação apropriados para garantir que as pessoas possam apresentar reclamações aos prestadores. Tais procedimentos e mecanismos são particularmente relevantes quando conteúdos que não constituem abuso sexual de crianças em linha tenham sido removidos ou denunciados às autoridades responsáveis pela aplicação da lei ou a uma organização que atua no interesse público contra o abuso sexual de crianças.

(18)

A fim de assegurar a máxima precisão e fiabilidade, as tecnologias utilizadas para efeitos do presente regulamento deverão, de acordo com a tecnologia mais avançada do setor, limitar ao máximo os números e as taxas de erro (falsos positivos) e deverão, quando necessário, retificar sem demora eventuais erros que possam, ainda assim, ocorrer.

(19)

Os dados de conteúdo e os dados de tráfego tratados e os dados pessoais gerados no âmbito das atividades abrangidas pelo presente regulamento, assim como o período durante o qual os dados são posteriormente conservados em caso de identificação de suspeita de abuso sexual de crianças em linha, deverão permanecer limitados ao estritamente necessário para a execução dessas atividades. Os dados deverão ser imediata e permanentemente apagados logo que deixem de ser estritamente necessários para um dos objetivos especificados no presente regulamento, incluindo nos casos em que não seja identificada qualquer suspeita de abuso sexual de crianças em linha, e, em todo o caso, o mais tardar 12 meses a contar da data de deteção da suspeita de abuso sexual de crianças em linha. Essa obrigação deverá ser cumprida sem prejuízo da possibilidade de conservar dados de conteúdo e dados de tráfego relevantes nos termos da Diretiva 2002/58/CE. O presente regulamento aplica-se sem prejuízo das obrigações jurídicas de conservação de dados aplicáveis aos prestadores ao abrigo do direito da União ou nacional.

(20)

O presente regulamento não impede os prestadores que tenham denunciado abusos sexuais de crianças em linha às autoridades responsáveis pela aplicação da lei de solicitar a essas autoridades comprovativos de receção da denúncia.

(21)

A fim de assegurar a transparência e a responsabilização relativamente às atividades realizadas ao abrigo da derrogação prevista no presente regulamento, os prestadores deverão, até 3 de fevereiro de 2022, e, posteriormente, até 31 de janeiro de cada ano, publicar e apresentar relatórios à autoridade de controlo competente designada nos termos do Regulamento (UE) 2016/679 («autoridade de controlo») e à Comissão. Os referidos relatórios deverão abranger o tratamento de dados no âmbito do presente regulamento que inclua o tipo e o volume de dados tratados, o fundamento específico utilizado para o tratamento de dados pessoais nos termos do Regulamento (UE) 2016/679, o fundamento utilizado para as transferências de dados pessoais fora da União, nos termos do capítulo V do Regulamento (UE) 2016/679, se aplicável, o número de casos de abuso sexual de crianças em linha identificados, com uma distinção entre material referente a abusos sexuais de crianças em linha e aliciamento de crianças, o número de casos em que um utilizador apresentou uma reclamação através do mecanismo de reparação interno ou instaurou uma ação judicial e o resultado dessas reclamações e desses processos judiciais, o número e as taxas de erro (falsos positivos) das diferentes tecnologias utilizadas, as medidas aplicadas para limitar a taxa de erro e a taxa de erro obtida, a política de conservação de dados e as salvaguardas em matéria de proteção dos dados aplicadas nos termos do Regulamento (UE) 2016/679, e os nomes das organizações que atuam no interesse público contra os abusos sexuais de crianças com as quais tenham sido partilhados dados ao abrigo do presente regulamento.

(22)

A fim de apoiar as autoridades de controlo nas suas atribuições, a Comissão deverá solicitar ao Comité Europeu para a Proteção de Dados que emita diretrizes sobre o cumprimento do tratamento abrangido pelo âmbito de aplicação da derrogação prevista no presente regulamento com o Regulamento (UE) 2016/679. Aquando da avaliação pelas autoridades de controlo se uma tecnologia consagrada ou nova a ser utilizada é consentânea com a tecnologia mais avançada do setor, se é a menos intrusiva da privacidade e se tem uma base jurídica adequada nos termos do Regulamento (UE) 2016/679, essas diretrizes deverão, em especial, ajudar as autoridades de controlo a prestar aconselhamento no âmbito do procedimento de consulta prévia previsto nesse regulamento.

(23)

O presente regulamento restringe o direito à proteção da confidencialidade das comunicações e constitui uma derrogação da decisão adotada na Diretiva (UE) 2018/1972 no sentido de submeter os serviços de comunicações interpessoais independentes do número às mesmas regras aplicadas a todos os outros serviços de comunicações eletrónicas no que diz respeito à privacidade, com o único objetivo de detetar abusos sexuais de crianças em linha nesses serviços e de denunciá-los a autoridades responsáveis pela aplicação da lei ou a organizações que atuam no interesse público contra o abuso sexual de crianças e remover desses serviços material referente a abusos sexuais de crianças em linha. Por conseguinte, o período de aplicação do presente regulamento deverá ser limitado a três anos a contar da data de aplicação, a fim de conferir o tempo necessário para a adoção de um novo regime jurídico de longo prazo. Caso seja adotado um regime jurídico de longo prazo e entre em vigor antes dessa data, esse regime jurídico de longo prazo deverá revogar o presente regulamento.

(24)

No que diz respeito a todas as outras atividades abrangidas pelo âmbito de aplicação da Diretiva 2002/58/CE, os prestadores deverão ficar sujeitos às obrigações específicas previstas nessa diretiva e, consequentemente, aos poderes de controlo e investigação das autoridades competentes designadas nos termos dessa diretiva.

(25)

A criptografia de ponta a ponta é uma ferramenta importante para garantir a segurança e a confidencialidade das comunicações dos utilizadores, incluindo as comunicações das crianças. Qualquer enfraquecimento da criptografia poderia ser potencialmente aproveitado por terceiros mal-intencionados. Por conseguinte, nada no presente regulamento deverá ser interpretado como uma proibição ou enfraquecimento da criptografia de ponta a ponta.

(26)

O direito ao respeito pela vida privada e familiar, incluindo a confidencialidade das comunicações, é um direito fundamental garantido ao abrigo do artigo 7.o da Carta. Por conseguinte, é também um pré-requisito para comunicações seguras entre vítimas de abuso sexual de crianças e um adulto de confiança ou organizações ativas na luta contra o abuso sexual de crianças e para as comunicações entre as vítimas e os seus advogados.

(27)

O presente regulamento deverá aplicar-se sem prejuízo das regras em matéria de sigilo profissional previstas no direito nacional, tais como as regras relativas à proteção das comunicações profissionais entre médicos e seus pacientes, entre jornalistas e suas fontes, ou entre advogados e seus clientes, em especial porque a confidencialidade das comunicações entre advogados e os seus clientes é fundamental para assegurar o exercício efetivo dos direitos de defesa enquanto parte essencial do direito a um processo justo. O presente regulamento deverá também aplicar-se, sem prejuízo das regras nacionais relativas a registos de autoridades públicas ou organizações que prestam aconselhamento a pessoas em dificuldades.

(28)

Os prestadores deverão comunicar à Comissão os nomes das organizações que atuam no interesse público contra o abuso sexual de crianças às quais denunciem potenciais abusos sexuais de crianças em linha ao abrigo do presente regulamento. Embora seja da exclusiva responsabilidade dos prestadores que atuam na qualidade de responsáveis pelo tratamento, de avaliar com que terceiros podem partilhar dados pessoais ao abrigo do Regulamento (UE) 2016/679, a Comissão deverá assegurar a transparência no que diz respeito à transferência de potenciais casos de abuso sexual de crianças em linha, tornando pública, no seu sítio Web, uma lista das organizações que atuam no interesse público contra os abusos sexuais de crianças que lhes são comunicados. Essa lista pública deverá ser facilmente acessível. Também deverá ser possível que os prestadores utilizem a lista para identificar organizações relevantes na luta global contra o abuso sexual de crianças em linha. Essa lista deverá aplicar-se sem prejuízo das obrigações dos prestadores que atuam na qualidade de responsáveis pelo tratamento nos termos do Regulamento (UE) 2016/679, nomeadamente no que diz respeito à sua obrigação de efetuar transferências de dados pessoais para fora da União nos termos do capítulo V desse regulamento e à sua obrigação de cumprir todas as obrigações previstas no capítulo IV desse regulamento.

(29)

As estatísticas a fornecer pelos Estados-Membros nos termos do presente regulamento são indicadores importantes para a avaliação das políticas, incluindo das medidas legislativas. Além disso, é importante reconhecer o impacto da vitimização secundária inerente à partilha de imagens e vídeos das vítimas de abuso sexual de crianças que possam ter estado em circulação vários anos e que não está plenamente refletida nessas estatísticas.

(30)

Em conformidade com os requisitos estabelecidos no Regulamento (UE) 2016/679, em especial o requisito de os Estados-Membros assegurarem que as autoridades de controlo disponham dos recursos humanos, técnicos e financeiros necessários ao desempenho eficaz das suas funções e ao exercício dos seus poderes, os Estados-Membros deverão assegurar que as autoridades de controlo disponham desses recursos suficientes para o desempenho eficaz das suas funções e para o exercício dos poderes que lhes são conferidos pelo presente regulamento.

(31)

Caso um prestador tenha realizado uma avaliação de impacto relativamente à proteção de dados e consultado as autoridades de controlo sobre uma tecnologia, nos termos do Regulamento (UE) 2016/679, antes da entrada em vigor do presente regulamento, esse prestador não deverá ser obrigado, por força do presente regulamento, a realizar uma avaliação de impacto sobre a proteção de dados ou consulta adicional, desde que as autoridades de controlo tenham indicado que o tratamento de dados por essa tecnologia não implicaria um elevado risco para os direitos e as liberdades das pessoas singulares ou que o responsável pelo tratamento tenha tomado medidas para atenuar esse risco.

(32)

Os utilizadores deverão ter direito à ação judicial caso os seus direitos tenham sido violados em resultado do tratamento de dados pessoais e outros, para efeitos de detetar abusos sexuais de crianças em linha nos serviços de comunicações interpessoais independentes do número e denunciá-los e de remover desses serviços o material referente a abusos sexuais de crianças em linha, por exemplo nos casos em que os conteúdos ou identidade dos utilizadores tenham sido denunciados a uma organização que atua no interesse público contra o abuso sexual de crianças ou às autoridades responsáveis pela aplicação da lei, ou nos casos em que o conteúdo dos utilizadores tenha sido removido ou as contas dos utilizadores tenham sido bloqueadas ou tenha sido suspenso um serviço oferecido aos utilizadores.

(33)

Em conformidade com a Diretiva 2002/58/CE e com o princípio da minimização dos dados, o tratamento de dados pessoais e outros deverá limitar-se aos dados de conteúdo e aos dados de tráfego conexos, na medida do estritamente necessário para alcançar o objetivo do presente regulamento.

(34)

A derrogação estabelecida pelo presente regulamento deverá abranger as categorias de dados referidas no artigo 5.o, n.o 1, e no artigo 6.o, n.o 1, da Diretiva 2002/58/CE, que são aplicáveis ao tratamento tanto de dados pessoais como de dados não pessoais tratados no contexto da prestação de um serviço de comunicações interpessoais independente do número.

(35)

O presente regulamento tem como objetivo estabelecer uma derrogação temporária de determinadas disposições da Diretiva 2002/58/CE sem criar fragmentação no mercado interno. Além disso, é pouco provável que todos os Estados-Membros conseguissem adotar medidas legislativas nacionais atempadamente. Atendendo a que o objetivo do presente regulamento não pode ser suficientemente alcançado pelos Estados-Membros, mas pode ser mais bem alcançado ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do TUE. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo. O presente regulamento introduz uma derrogação da aplicabilidade do artigo 5.o, n.o 1, e do artigo 6.o, n.o 1, da Diretiva 2002/58/CE, temporária e estritamente limitada, prevendo uma série de salvaguardas para assegurar que o presente regulamento não exceda o necessário para alcançar o objetivo estabelecido.

(36)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (8) e emitiu o seu parecer em 10 de novembro de 2020,

ADOTARAM O PRESENTE REGULAMENTO:

Artigo 1.o

Objeto e âmbito de aplicação

1.   O presente regulamento estabelece regras temporárias e estritamente limitadas que constituem uma derrogação de determinadas obrigações estabelecidas na Diretiva 2002/58/CE, com o objetivo único de permitir que os prestadores de determinados serviços de comunicações interpessoais independentes do número («prestadores») utilizem, sem prejuízo do Regulamento (UE) 2016/679, tecnologias específicas para o tratamento de dados pessoais e outros na medida do estritamente necessário para detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços material referente a abusos sexuais de crianças em linha.

2.   O presente regulamento não se aplica à análise de comunicações áudio.

Artigo 2.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)

«Serviço de comunicações interpessoais independentes do número», um serviço de comunicações interpessoais independentes do número na aceção do artigo 2.o, ponto 7, da Diretiva (UE) 2018/1972;

2)

«Material referente a abusos sexuais de crianças em linha»:

a)

pornografia infantil, na aceção do artigo 2.o, alínea c), da Diretiva 2011/93/UE do Parlamento Europeu e do Conselho;

b)

espetáculo pornográfico, na aceção do artigo 2.o, alínea e), da Diretiva 2011/93/UE;

3)

«Aliciamento de crianças», qualquer conduta intencional que constitua um crime nos termos do artigo 6.o da Diretiva 2011/93/UE;

4)

«Abuso sexual de crianças em linha», material referente a abusos sexuais de crianças em linha e aliciamento de crianças.

Artigo 3.o

Âmbito da derrogação

1.   O artigo 5.o, n.o 1, e o artigo 6.o, n.o 1, da Diretiva 2002/58/CE não se aplicam à confidencialidade das comunicações que envolvam o tratamento de dados pessoais e outros por prestadores no contexto da prestação de serviços de comunicações interpessoais independentes do número desde que:

a)

o tratamento seja:

i)

estritamente necessário para utilizar tecnologias específicas com o único objetivo de detetar e remover material referente a abusos sexuais de crianças em linha e de denunciá-lo a autoridades responsáveis pela aplicação da lei e a organizações que atuam no interesse público contra o abuso sexual de crianças e de detetar o aliciamento de crianças em linha e denunciá-lo a autoridades responsáveis pela aplicação da lei ou a organizações que atuam no interesse público contra o abuso sexual de crianças,

ii)

proporcionado e limitado a tecnologias utilizadas por prestadores para o objetivo estabelecido na subalínea i),

iii)

limitado a dados de conteúdo e a dados de tráfego conexos que sejam estritamente necessários para o objetivo estabelecido na subalínea i),

iv)

limitado ao estritamente necessário para o objetivo estabelecido na subalínea i);

b)

as tecnologias utilizadas para o objetivo estabelecido na alínea a), subalínea i), do presente número, sejam as mais avançadas do setor e as menos intrusivas da privacidade, incluindo no que diz respeito ao princípio da proteção de dados desde a conceção e por defeito estabelecido no artigo 25.o do Regulamento (UE) 2016/679, e, na medida em que sejam utilizadas para analisar o texto das comunicações, não sejam capazes de deduzir a substância do conteúdo mas sejam apenas capazes de detetar padrões que apontem para possíveis abusos sexuais de crianças em linha;

c)

no que diz respeito a qualquer tecnologia específica utilizada para o objetivo estabelecido na alínea a), subalínea i), do presente número, tenham sido realizados uma avaliação prévia de impacto sobre a proteção de dados nos termos do artigo 35.o do Regulamento (UE) 2016/679 e um procedimento de consulta prévia nos termos do artigo 36.o desse regulamento;

d)

no que diz respeito a novas tecnologias, ou seja, tecnologias utilizadas para efeitos de detetar material referente a abusos sexuais de crianças em linha que não tenha sido utilizado por nenhum prestador em relação a serviços prestados aos utilizadores de serviços de comunicações interpessoais independentes do número («utilizadores») na União antes de 2 de agosto de 2021, e no que diz respeito a tecnologias utilizadas para efeitos de identificar eventuais casos de aliciamento de crianças, o prestador comunique à autoridade competente as medidas tomadas para comprovar o cumprimento das orientações por escrito emitidas nos termos do artigo 36.o, n.o 2, do Regulamento (UE) 2016/679 pela autoridade de controlo competente designada nos termos do capítulo VI, secção 1, desse regulamento («autoridade de controlo») no âmbito do procedimento de consulta prévia;

e)

as tecnologias utilizadas sejam suficientemente fiáveis na medida em que limitam ao máximo a taxa de erros na deteção de conteúdos que representam abusos sexuais de crianças em linha e, caso ocorram erros, retificam as suas consequências sem demora;

f)

as tecnologias utilizadas para detetar padrões de possível aliciamento de crianças se limitem à utilização de indicadores-chave pertinentes e fatores de risco identificados de forma objetiva, como a diferença de idades e o provável envolvimento de uma criança na comunicação analisada, sem prejuízo do direito a verificação humana;

g)

os prestadores:

i)

tenham estabelecido procedimentos internos para evitar abusos, o acesso não autorizado, e transferências não autorizadas, de dados pessoais e outros,

ii)

assegurem a supervisão humana e, se necessário, a intervenção humana no tratamento de dados pessoais e outros na utilização de tecnologias abrangidas pelo presente regulamento,

iii)

assegurem que material que não tenha sido previamente identificado como material referente a abusos sexuais de crianças em linha ou a aliciamento de crianças, não seja denunciado a autoridades responsáveis pela aplicação da lei ou a organizações que atuam no interesse público contra abusos sexuais de crianças sem confirmação prévia por um ser humano,

iv)

tenham estabelecido procedimentos e mecanismos de reparação adequados para garantir que os utilizadores possam apresentar reclamações junto dos prestadores num prazo razoável para fins de exposição dos seus pontos de vista,

v)

informem os utilizadores de forma clara, visível e compreensível de que invocaram, nos termos do presente regulamento, a derrogação do artigo 5.o, n.o 1, e do artigo 6.o, n.o 1, da Diretiva 2002/58/CE relativa à confidencialidade das comunicações dos utilizadores com o objetivo único estabelecido na alínea a), subalínea i), do presente número, da lógica subjacente às medidas que tomaram ao abrigo da derrogação e do impacto na confidencialidade das comunicações dos utilizadores, incluindo a possibilidade de os dados pessoais serem partilhados com as autoridades responsáveis pela aplicação da lei e as organizações que atuam no interesse público contra o abuso sexual de crianças,

vi)

informem os utilizadores dos seguintes elementos, nos casos em que o seu conteúdo tenha sido removido ou a sua conta tenha sido bloqueada ou um serviço que lhes era oferecido tenha sido suspenso:

1)

das vias para obter reparação por parte dos prestadores,

2)

da possibilidade de apresentar uma reclamação a uma autoridade de controlo, e

3)

do direito à ação judicial,

vii)

até 3 de fevereiro de 2022 e, posteriormente, até 31 de janeiro de cada ano, publiquem e apresentem à autoridade de controlo competente e à Comissão um relatório sobre o tratamento de dados pessoais ao abrigo do presente regulamento, incluindo sobre:

1)

o tipo e o volume de dados tratados,

2)

o fundamento específico utilizado para o tratamento nos termos do Regulamento (UE) 2016/679,

3)

o fundamento utilizado para transferências de dados pessoais fora da União, nos termos do capítulo V do Regulamento (UE) 2016/679, se aplicável,

4)

o número de casos de abuso sexual de crianças em linha identificados, com uma distinção entre material referente a abusos sexuais de crianças em linha e o aliciamento de crianças,

5)

o número de casos em que um utilizador apresentou reclamações através do mecanismo de reparação interno ou através de uma autoridade judiciária e o resultado dessas reclamações,

6)

os números e as taxas de erro (falsos positivos) das diferentes tecnologias utilizadas,

7)

as medidas aplicadas para limitar a taxa de erro e a taxa de erro alcançada,

8)

a política de conservação de dados e as salvaguardas em matéria de proteção dos dados aplicadas nos termos do Regulamento (UE) 2016/679,

9)

os nomes das organizações que atuam no interesse público contra o abuso sexual de crianças com as quais tenham sido partilhados dados ao abrigo do presente regulamento;

h)

em caso de identificação de suspeita de abuso sexual de crianças em linha, os dados de conteúdo e os dados de tráfego conexos tratados para o objetivo estabelecido na alínea a), subalínea i), e os dados pessoais gerados através desse tratamento sejam conservados de forma segura, exclusivamente para fins de:

i)

denunciar, sem demora, a suspeita de abuso sexual de crianças em linha às autoridades responsáveis pela aplicação da lei e autoridades judiciárias competentes ou às organizações que atuam no interesse público contra o abuso sexual de crianças,

ii)

bloquear a conta ou suspender ou cessar a prestação do serviço ao utilizador em causa,

iii)

criar uma assinatura digital única e não reconvertível («hash») de dados identificados de forma fiável como material referente a abusos sexuais de crianças em linha,

iv)

permitir ao utilizador em causa procurar obter reparação por parte do prestador ou interpor recurso administrativo ou instaurar ação judicial sobre questões relacionadas com a suspeita de abuso sexual de crianças em linha, ou

v)

responder aos pedidos formulados pelas autoridades responsáveis pela aplicação da lei e autoridades judiciárias competentes, em conformidade com o direito aplicável, a fim de lhes fornecer os dados necessários para efeitos de prevenção, deteção, investigação ou instauração de ação penal contra os crimes previstos na Diretiva 2011/93/UE;

i)

os dados sejam conservados apenas durante o período estritamente necessário para os fins previstos na alínea h) e, em qualquer caso, não mais de 12 meses a contar da data de identificação da suspeita de abuso sexual de crianças em linha;

j)

todos os casos de suspeita fundamentada e verificada de abuso sexual de crianças em linha sejam comunicados sem demora às autoridades nacionais responsáveis pela aplicação da lei ou às organizações que atuam no interesse público contra o abuso sexual de crianças.

2.   Até 3 de abril de 2022, a condição estabelecida no n.o 1, alínea c), não se aplica a prestadores que:

a)

utilizavam uma tecnologia específica antes de 2 de agosto de 2021 para o objetivo estabelecido no n.o 1, alínea a), subalínea i), sem terem concluído um procedimento de consulta prévia relativamente a essa tecnologia;

b)

deem início ao procedimento de consulta prévia antes de 3 de setembro de 2021; e

c)

cooperem devidamente com a autoridade de controlo competente no âmbito do procedimento de consulta prévia referido na alínea b).

3.   Até 3 de abril de 2022, a condição estabelecida no n.o 1, alínea d), não se aplica a prestadores que:

a)

utilizavam uma tecnologia a que se refere o n.o 1, alínea d), antes de 2 de agosto de 2021 sem terem concluído um procedimento de consulta prévia relativamente a essa tecnologia;

b)

deem início a um procedimento a que se refere o n.o 1, alínea d), antes de 3 de setembro de 2021; e

c)

cooperem devidamente com a autoridade de controlo competente no âmbito do procedimento referido no n.o 1, alínea d).

Artigo 4.o

Diretrizes do Comité Europeu para a Proteção de Dados

Até 3 de setembro de 2021, e ao abrigo do artigo 70.o do Regulamento (UE) 2016/679, a Comissão solicita ao Comité Europeu para a Proteção de Dados que emita diretrizes com o objetivo de ajudar as autoridades de controlo a avaliar se o tratamento abrangido pelo âmbito de aplicação do presente regulamento, para as tecnologias existentes e novas utilizadas para o objetivo estabelecido no artigo 3.o, n.o 1, alínea a), subalínea i), do presente regulamento, cumpre o disposto no Regulamento (UE) 2016/679.

Artigo 5.o

Direito à ação judicial

Nos termos do artigo 79.o do Regulamento (UE) 2016/679 e do artigo 15.o, n.o 2, da Diretiva 2002/58/CE, os utilizadores têm direito à ação judicial se considerarem que os seus direitos foram violados em resultado do tratamento de dados pessoais e outros para o objetivo estabelecido no artigo 3.o, n.o 1, alínea a), subalínea i), do presente regulamento.

Artigo 6.o

Autoridades de controlo

As autoridades de controlo designadas nos termos do capítulo VI, secção 1, do Regulamento (UE) 2016/679 controlam o tratamento abrangido pelo âmbito de aplicação do presente regulamento, de acordo com as suas competências e poderes ao abrigo desse capítulo.

Artigo 7.o

Lista pública das organizações que atuam no interesse público contra o abuso sexual de crianças

1.   Até 3 de setembro de 2021, os prestadores comunicam à Comissão uma lista dos nomes das organizações que atuam no interesse público contra o abuso sexual de crianças às quais denunciem abusos sexuais de crianças em linha ao abrigo do presente regulamento. Os prestadores comunicam à Comissão quaisquer alterações a essa lista numa base regular.

2.   Até 3 de outubro de 2021, a Comissão publica uma lista dos nomes das organizações que atuam no interesse público contra o abuso sexual de crianças que lhe tenham sido comunicadas nos termos do n.o 1. A Comissão mantém essa lista pública atualizada.

Artigo 8.o

Estatísticas

1.   Até 3 de agosto de 2022 e, posteriormente, numa base anual, os Estados-Membros disponibilizam ao público e apresentam à Comissão relatórios com estatísticas sobre:

a)

o número total de denúncias de abusos sexuais de crianças em linha detetados, apresentadas por prestadores e organizações que atuam no interesse público contra o abuso sexual de crianças às autoridades nacionais responsáveis pela aplicação da lei, distinguindo, sempre que tal informação esteja disponível, entre o número absoluto de casos e os casos denunciados várias vezes e o tipo de prestador em cujo serviço foi detetado o abuso sexual de crianças em linha;

b)

o número de crianças identificadas através de ações nos termos do artigo 3.o, diferenciadas por género;

c)

o número de perpetradores condenados.

2.   A Comissão agrega as estatísticas referidas no n.o 1 do presente artigo, e tem-nas em consideração aquando da elaboração do relatório de execução nos termos do artigo 9.o.

Artigo 9.o

Relatório de execução

1.   Com base nos relatórios apresentados nos termos do artigo 3.o, n.o 1, alínea g), subalínea vii), e nas estatísticas fornecidas nos termos do artigo 8.o, a Comissão elabora, até 3 de agosto de 2023, um relatório de execução do presente regulamento e transmite e apresenta-o ao Parlamento Europeu e ao Conselho.

2.   No relatório de execução, a Comissão examina, em especial:

a)

as condições para o tratamento dos dados pessoais e outros estabelecidas no artigo 3.o, n.o 1, alínea a), subalínea ii) e alíneas b), c) e d);

b)

a proporcionalidade da derrogação prevista no presente regulamento, incluindo uma avaliação das estatísticas apresentadas pelos Estados-Membros nos termos do artigo 8.o;

c)

os desenvolvimentos do progresso tecnológico no que diz respeito a atividades abrangidas pelo presente regulamento e em que medida esses desenvolvimentos permitem melhorar a exatidão e reduzir os números e as taxas de erro (falsos positivos).

Artigo 10.o

Entrada em vigor e aplicação

O presente regulamento entra em vigor no terceiro dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é aplicável até 3 de agosto de 2024.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 14 de julho de 2021.

Pelo Parlamento Europeu

O Presidente

D. M. SASSOLI

Pelo Conselho

O Presidente

A. LOGAR


(1)  JO C 10 de 11.1.2021, p. 63.

(2)  Posição do Parlamento Europeu de 6 de julho de 2021 (ainda não publicado no Jornal Oficial) e decisão do Conselho de 12 de julho de 2021.

(3)  Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

(4)  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(5)  Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (diretiva-quadro) (JO L 108 de 24.4.2002, p. 33).

(6)  Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que estabelece o Código Europeu das Comunicações Eletrónicas (JO L 321 de 17.12.2018, p. 36).

(7)  Diretiva 2011/93/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa à luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, e que substitui a Decisão-Quadro 2004/68/JAI do Conselho (JO L 335 de 17.12.2011, p. 1).

(8)  Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).


Top