23.3.2010   

PT

Jornal Oficial da União Europeia

C 73/1

1.

Em 27 de Julho de 2009, a Comissão adoptou uma proposta de regulamento do Conselho que institui certas medidas restritivas específicas contra determinadas pessoas singulares e colectivas, entidades e organismos em virtude da situação na Somália, bem como uma proposta de regulamento do Conselho que altera o Regulamento (CE) n.o 314/2004 do Conselho relativo a certas medidas restritivas respeitantes ao Zimbabué. Em 18 de Setembro, a Comissão adoptou igualmente uma proposta de regulamento do Conselho que altera o Regulamento (CE) n.o 329/2007 do Conselho que institui medidas restritivas contra a República Popular Democrática da Coreia. Além disso, em 23 de Novembro, a Comissão adoptou uma proposta de regulamento do Conselho que institui certas medidas restritivas específicas contra a Guiné. Todas estas propostas foram enviadas pela Comissão à AEPD para consulta, nos termos do n.o 2 do artigo 28.o do Regulamento (CE) n.o 45/2001. A AEPD recorda que apresentou igualmente observações de carácter informal acerca dos projectos destas propostas, bem como de outros projectos de propostas destinadas a alterar regulamentos do Conselho análogos que impõem o congelamento de fundos e outras medidas restritivas.

2.

A AEPD congratula-se não só por ter sido consultada, mas também por esta consulta ser referida no preâmbulo da proposta, tal como já aconteceu nalguns outros textos legislativos sobre os quais foi chamada a pronunciar-se, em conformidade com o Regulamento (CE) n.o 45/2001.

3.

Todas estas propostas, ao alterarem a legislação vigente ou ao proporem novos instrumentos jurídicos, visam lutar contra o terrorismo ou contra as violações dos direitos humanos impondo medidas restritivas — nomeadamente congelamento de fundos, proibições de viagem — no que diz respeito às pessoas singulares e colectivas suspeitas de serem associadas com organizações terroristas e/ou certos governos. Nesta perspectiva, a Comissão Europeia publica e publicita listas negras de pessoas singulares ou colectivas abrangidas por estas medidas restritivas.

4.

Em 28 de Julho de 2009, a AEPD emitiu parecer sobre a proposta de regulamento do Conselho que altera o Regulamento (CE) n.o 881/2002 que institui certas medidas restritivas específicas contra determinadas pessoas e entidades associadas a Osama Bin Laden, à rede Al-Qaida e aos talibã (a seguir designada «proposta Al-Qaida»). Esse parecer saudava a intenção da Comissão de garantir mais eficazmente a protecção dos direitos fundamentais, incluindo a protecção dos dados pessoais, e recomendava a alteração e/ou clarificação de certos aspectos da proposta a fim de respeitar os princípios essenciais da UE em matéria de protecção de dados. A AEPD tem acompanhado de perto a evolução das negociações no Conselho no que diz respeito à proposta Al-Qaida (3) e lamenta que muitas das disposições que tratam da protecção dos dados pessoais tenham sido suprimidas ou substancialmente reduzidas.

5.

Os argumentos defendidos nesse parecer continuam válidos sendo a maior parte aplicável em certa medida às presentes propostas, que contêm muitas disposições análogas às dessa outra proposta. O presente parecer, que tem em conta todas as propostas recebidas pela AEPD até à data para consulta bem como a evolução das negociações no Conselho, centrar-se-á na aplicação dos princípios relativos à protecção de dados no contexto das medidas restritivas e apresentará recomendações de melhoramento. Estas recomendações terão igualmente em conta a entrada em vigor do Tratado de Lisboa bem como as importantes orientações políticas estabelecidas no recém-adoptado Programa de Estocolmo (4). Esta abordagem permitirá à AEPD emitir outros pareceres sobre propostas de legislação neste domínio apenas na medida em que essas novas propostas divirjam substancialmente das disposições das actuais propostas.

6.

O presente parecer centra-se nos aspectos das medidas restritivas directamente ligados à protecção dos dados pessoais, e em especial nos aspectos que a AEPD recomenda que sejam clarificados, a fim de garantir a segurança da legislação e a eficácia das medidas. O presente parecer não aborda nem afecta outras questões de fundo eventualmente associadas à inclusão numa lista em aplicação de outras regras.

7.

As propostas da Comissão visam dar seguimento à jurisprudência do Tribunal de Justiça, que reafirmou em diversas ocasiões que os padrões da União Europeia em matéria de protecção dos direitos fundamentais devem ser respeitados, quer as medidas restritivas sejam adoptadas ao nível da UE quer tenham a sua origem em organizações internacionais como, por exemplo, as Nações Unidas (5).

8.

Entre os direitos fundamentais consagrados na UE, conta-se o direito à protecção dos dados pessoais, reconhecido pelo Tribunal de Justiça como um dos princípios decorrentes do n.o 2 do artigo 6.o do TUE e confirmado no artigo 8.o da Carta dos Direitos Fundamentais da União Europeia (6). No contexto das medidas restritivas, o direito à protecção dos dados pessoais desempenha um papel fundamental, sendo igualmente instrumental para o respeito efectivo dos demais direitos fundamentais, como o direito de defesa, o direito de audição e o direito a uma protecção judicial efectiva.

9.

Nesta perspectiva, a AEPD, tal como no seu parecer de 28 de Julho de 2009 respeitante às medidas restritivas contra a Al-Qaida, saúda a intenção da Comissão de aperfeiçoar o actual enquadramento jurídico melhorando o processo de listagem e tomando expressamente em consideração o direito à protecção dos dados pessoais. Na base destas medidas está o tratamento de dados pessoais, que, por si só — quer as medidas tenham ou não por objecto o congelamento de bens —, fica sujeito às regras e salvaguardas em matéria de protecção de dados. É, pois, extremamente importante proporcionar clareza e certeza jurídica quanto às regras aplicáveis no tratamento dos dados pessoais das pessoas incluídas na lista, também com vista a conferir legitimidade e eficácia às medidas restritivas.

10.

O Programa de Estocolmo deixa claro que «ao avaliar a questão da vida privada do indivíduo no espaço de liberdade, segurança e justiça, o direito à liberdade assume um papel central» e a UE deveria promover a aplicação dos princípios em matéria de protecção dos dados na UE e nas suas relações com outros países.

11.

A entrada em vigor do Tratado de Lisboa reforça o quadro jurídico neste domínio. Por um lado, estabelece duas novas bases jurídicas (artigos 75.o e 215.o do TFUE) que permitem à UE adoptar medidas restritivas contra pessoas singulares ou colectivas e grupos ou entidades não estatais. Por outro lado, os artigos 16.o do TFUE e 39.o do TUE reafirmam o direito à protecção dos dados e a necessidade de regras e garantias de protecção dos dados em todas as áreas de actividade da União Europeia, e a Carta dos Direitos Fundamentais da UE adquire um valor vinculativo que, tal como o Programa de Estocolmo expressamente reconhece, «reforçará a obrigação da União, bem como das suas Instituições, de assegurar que os direitos fundamentais sejam activamente promovidos em todos os seus domínios de actividade» (7).

12.

Nomeadamente no que diz respeito ao tratamento de dados pessoais pelas instituições da UE, o artigo 16.o do TFUE aplica-se a todas as actividades da UE, incluindo a Política Externa e de Segurança Comum, enquanto o artigo 39.o do TUE prevê um processo de tomada de decisão diferente no que diz respeito ao tratamento dos dados pessoais pelos Estados-Membros no âmbito da Política Externa e de Segurança Comum. Além disso, o Tribunal de Justiça passará a dispor de plena competência, mesmo no domínio da Política Externa e de Segurança Comum, para apreciar a legalidade — e, em especial, o respeito pelos direitos fundamentais — das decisões que estabeleçam medidas restritivas contra pessoas singulares ou colectivas (artigo 275.o do TFUE).

13.

Além disso, a adesão da UE à Convenção Europeia dos Direitos do Homem, prevista no Tratado de Lisboa, tornará as posições tomadas pelo Conselho da Europa no que diz respeito à inclusão na lista negra (8) e à jurisprudência do Tribunal Europeu dos Direitos do Homem ainda mais pertinentes para o quadro jurídico da UE.

14.

Neste contexto, o artigo 8.o da Carta dos Direitos Fundamentais reveste-se de especial importância, nomeadamente quando especifica que os dados pessoais serão tratados numa base legítima prevista por lei e que «todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes digam respeito». Estes elementos essenciais da protecção dos dados devem ser tidos em conta em todas as medidas da UE e as pessoas poderão mesmo estar em posição de exigir o efeito directo — independentemente de qualquer reconhecimento explícito no direito derivado da UE — dos direitos conferidos por este artigo.

15.

O novo quadro jurídico resultante da entrada em vigor do Tratado de Lisboa proporciona ao legislador os instrumentos e a obrigação de prever regras exaustivas e coerentes para a protecção dos dados pessoais, igualmente no domínio das medidas restritivas. Esta obrigação é ainda mais importante à luz da proliferação e da duração cada vez maior deste tipo de medidas, que têm consequências de grande alcance para as pessoas em causa.

16.

Nesta perspectiva, a AEPD recomenda vivamente à Comissão que abandone a actual abordagem fragmentária — em que são adoptadas para cada país ou organização regras específicas e por vezes diferentes relativas ao tratamento dos dados pessoais — e proponha um quadro geral e coerente para todas as sanções específicas contra pessoas singulares ou colectivas, entidades ou organismos, que garanta o respeito dos direitos fundamentais das pessoas em causa, e nomeadamente o respeito do direito fundamental à protecção dos dados pessoais. As restrições necessárias a estes direitos deverão ser claramente previstas por lei e proporcionadas, respeitando em todo o caso a essência destes direitos.

17.

De acordo com a AEPD, este esforço deverá ser desenvolvido em paralelo com o objectivo definido pelo Conselho Europeu no Programa de Estocolmo para «procurar alcançar sanções eficazes elaboradas e implementadas pelo Conselho de Segurança das Nações Unidas, com o objectivo de salvaguardar os direitos fundamentais e assegurar procedimentos claros e equitativos» (9).

18.

Os pontos seguintes, relativos à análise das propostas em apreço, não prevêem recomendações no sentido de aperfeiçoar o disposto nessas propostas mas destacarão igualmente os aspectos relativos à protecção dos dados que ainda não foram abordados e que a AEPD recomenda que sejam clarificados quer nesses instrumentos jurídicos quer num quadro mais geral.

19.

Tal como já afirmado no parecer da AEPD de 28 de Julho de 2009, as regras em matéria de protecção dos dados previstas no Regulamento (CE) n.o 45/2001 são aplicáveis ao tratamento de dados pessoais pelas instituições da UE no domínio das medidas restritivas, mesmo que essas medidas tenham origem em organizações internacionais ou posições comuns adoptadas no quadro da Política Externa e de Segurança Comum.

20.

Nesta perspectiva, a AEPD congratula-se com as referências nas actuais propostas à aplicabilidade do Regulamento (CE) n.o 45/2001, bem como aos direitos das pessoas em causa decorrentes do mesmo. Lamenta, no entanto, que a evolução das negociações sobre as medidas restritivas no que diz respeito à Al-Qaida tenha resultado na supressão de algumas dessas referências.

21.

A este respeito, a AEPD gostaria de salientar que essas supressões não excluem nem limitam a aplicabilidade dos deveres e dos direitos das pessoas em causa que já não sejam expressamente mencionados nos instrumentos jurídicos. No entanto, a AEPD considera que a referência explícita e o tratamento de aspectos relativos à protecção de dados nos instrumentos jurídicos respeitantes às medidas restritivas não só reforça a protecção dos direitos fundamentais mas evita igualmente que certas questões sensíveis continuem por clarificar e dêem consequentemente origem a acções judiciais.

22.

Numa perspectiva mais geral, a AEPD salienta que, nos termos do artigo 8.o da Carta dos Direitos Fundamentais da UE, «todas as pessoas têm direito à protecção dos dados de carácter pessoal». Este direito fundamental deverá assim ser garantido na União Europeia, independentemente da nacionalidade, do local de residência ou da actividade profissional das pessoas em causa. Isto significa que, embora possam ser necessárias restrições a este direito no âmbito de medidas restritivas, não pode ser concedida nenhuma isenção de princípio ou geral deste direito no que diz respeito a categorias de indivíduos, como os que têm ligações com um governo de um país terceiro.

23.

Em conformidade com as regras aplicáveis relativas à protecção de dados [artigo 4.o do Regulamento (CE) n.o 45/2001], os dados pessoais devem ser: tratados de forma leal e lícita; recolhidos para finalidades determinadas, explícitas e legítimas e não ser posteriormente tratados de forma incompatível com essas finalidades; adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e/ou tratados posteriormente. Os dados pessoais devem ser exactos e actualizados: devem ser tomadas todas as medidas adequadas para assegurar que os dados inexactos ou incompletos sejam apagados ou rectificados. Além disso, os dados pessoais devem ser conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que forem posteriormente tratados.

24.

A AEPD congratula-se com o facto de todas as propostas da Comissão (10) definirem explicitamente as categorias de dados pessoais que serão tratados no âmbito de medidas restritivas e regularem explicitamente o tratamento de dados pessoais relativos a infracções penais, condenações e medidas de segurança.

25.

Neste contexto, a AEPD saúda o princípio estabelecido no n.o 3, de acordo com o qual os apelidos e os nomes próprios dos pais da pessoa singular podem ser incluídos no anexo se forem necessários num caso específico unicamente para efeitos de verificação da identidade da pessoa singular em causa. Esta disposição também reflecte bem um dos princípios em matéria de protecção dos dados, a saber, o princípio da limitação das finalidades, que estipula que os dados pessoais serão recolhidos para finalidades específicas e não podem ser posteriormente tratados de forma incompatível com essas finalidades.

26.

A fim de garantir que este princípio seja adequadamente especificado e aplicado no que diz respeito a todos os tratamentos de dados pessoais nesta área, a AEPD recomenda explicitamente a aplicação deste princípio a todas as categorias de dados, alterando artigos pertinentes de forma a que o anexo com a lista das pessoas «incluirá apenas as informações necessárias para efeitos de verificação da identidade das pessoas singulares incluídas na lista, não devendo em caso algum conter mais do que as seguintes informações». Esta alteração permitiria evitar a recolha e a publicação de informações desnecessárias sobre as pessoas singulares incluídas na lista e as respectivas famílias.

27.

Além disso, a AEPD sugere que as propostas declarem expressamente que os dados pessoais serão suprimidos ou tornados anónimos logo que deixarem de ser necessários num dado processo para a implementação das medidas restritivas ou para a tramitação de um litígio perante o Tribunal.

28.

No que diz respeito à obrigação de manter dados exactos e actualizados, as actuais propostas escolhem abordagens diferentes. A proposta relativa à Somália, a exemplo da proposta relativa à Al-Qaida, estabelece que quando a ONU decidir retirar uma pessoa da lista, a Comissão deverá alterar a lista da UE nessa conformidade (artigo 11.o-4). A proposta relativa à República Democrática Popular da Coreia estabelece, ao invés, uma obrigação de revisão da lista da UE a intervalos regulares e pelo menos de 12 em 12 meses (artigo 6.o-2). As outras propostas não fazem referência a nenhum desses mecanismos.

29.

No entanto, todas as listas da UE, independentemente do país visado e de serem aprovadas directamente a nível da UE ou implementarem decisões da ONU, têm de respeitar o princípio da qualidade dos dados, o qual se reveste de fundamental importância no contexto das medidas restritivas. Com efeito, tal como o Tribunal de Primeira Instância assinalou recentemente (11), quando as medidas restritivas se baseiam em inquéritos policiais e de segurança, os desenvolvimentos nestes inquéritos — como o encerramento da investigação, o arquivamento do processo ou a absolvição no processo penal — deverão ser devidamente tidos em conta na revisão das listas, por forma a evitar que os fundos pertencentes a alguém sejam congelados indefinidamente, fora da apreciação por qualquer tribunal e quaisquer que sejam os resultados de uma eventual acção judicial.

30.

Neste contexto, a AEPD recomenda que sejam instituídos, relativamente a todas as propostas actuais e futuras neste domínio, mecanismos eficazes para a retirada de pessoas singulares das listas e para que as listas da UE sejam revistas a intervalos regulares.

31.

No parecer emitido a 28 de Julho de 2009, a AEPD saudou a intenção expressa pela Comissão no sentido de se reforçar o respeito pelos direitos fundamentais, proporcionando às pessoas em causa a possibilidade de serem informadas acerca dos motivos da sua inclusão nas listas, bem como a oportunidade de manifestarem os seus pontos de vista a esse respeito. Propõe-se agora o mesmo tipo de disposição relativamente à Somália (12) e à Guiné (13), ao passo que, no caso do Zimbabué (14), o direito a ser informado sobre os motivos da inclusão na lista e de manifestar os seus pontos de vista é limitado às pessoas não associadas ao governo. A proposta referente à República Democrática da Coreia não chega a referir essa possibilidade.

32.

A AEPD recorda a obrigação de fornecer informações à pessoa em causa, ao abrigo do artigo 11.o e, em especial, do artigo 12.o — informação a facultar caso os dados não tenham sido recolhidos junto da pessoa em causa. Estas disposições devem ser respeitadas em todas as circunstâncias, independentemente da nacionalidade das pessoas em causa ou da sua associação ao governo de determinado país. Como é óbvio, existem diferentes modalidades de fornecimento das informações às pessoas constantes das listas, podendo ser adaptadas ao contexto político específico em que as medidas restritivas se inserem. Além disso, as restrições ou excepções podem ser determinadas ao abrigo do artigo 20.o do Regulamento (CE) n.o 45/2001 (15), na medida em que a especificidade das circunstâncias o exija, mas não é possível a isenção geral e ilimitada da obrigação de fornecer as informações.

33.

Assim sendo, a AEPD recomenda que, em todas as propostas, quer futuras quer actualmente em apreço, neste domínio se regulamente mais explicitamente não só o direito das pessoas constantes das listas a serem informadas, mas também as condições e as modalidades a que devem obedecer as restrições eventualmente necessárias.

34.

O n.o 2 do artigo 8.o da Carta dos Direitos Fundamentais estipula que «[t]odas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva rectificação», pelo que o direito de acesso constitui um dos elementos centrais do direito fundamental à protecção dos dados pessoais. Na mesma linha, nos termos do artigo 13.o do Regulamento (CE) n.o 45/2001, a pessoa em causa tem, entre outros, o direito de obter do responsável pelo tratamento, gratuitamente e sem restrições, a qualquer momento no prazo de três meses a contar da data de recepção do pedido, a comunicação, sob forma inteligível, dos dados sujeitos a tratamento [ver alínea c)].

35.

No domínio das medidas restritivas, os dados pessoais respeitantes às pessoas que constam das listas, nomeadamente os que se prendem com os motivos que levaram à sua listagem, encontram-se muitas vezes em documentos classificados. A respeito deste tipo de documentos, todas as propostas da Comissão apresentam disposições idênticas: em primeiro lugar, afirma-se que, se as Nações Unidas ou determinado Estado apresentar informações classificadas, a Comissão deverá tratá-las em conformidade com as suas disposições internas em matéria de segurança (Decisão 2001/844/CE, CECA, Euratom) (16) e, quando exista, com o acordo sobre a segurança das informações classificadas celebrado entre a União Europeia e o Estado que tiver apresentado as informações; em segundo lugar, especifica-se que os documentos classificados a um nível correspondente a «EU Top Secret», «EU Secret» ou «EU Confidential» não serão divulgados sem o consentimento da entidade que os transmitiu (17).

36.

A AEPD analisou já circunstanciadamente as referidas disposições no parecer de 28 de Julho de 2009 (18), tendo observado que nem as regras internas da Comissão em matéria de segurança, nem os acordos com determinados Estados ou com a ONU contemplam o acesso das pessoas em causa aos dados pessoais que lhes dizem respeito. Além disso, apesar de se poderem prever restrições ao direito de acesso no domínio das medidas restritivas, as actuais disposições não garantem que as restrições apenas sejam impostas em caso de necessidade, nem definem critérios concretos para avaliar essa necessidade. Efectivamente, nos termos das propostas, o direito de acesso ficaria sujeito a uma obrigação incondicional de obter o consentimento da entidade de origem, o que deixaria total poder discricionário à entidade de origem das informações — que pode ser uma parte não sujeita à legislação nem aos padrões da UE em matéria de protecção dos direitos fundamentais.

37.

As negociações que tiveram lugar no Conselho levaram à supressão desta disposição nas propostas referentes à Al-Qaida.

38.

Neste contexto, a AEPD recomenda vivamente que, tanto nas actuais propostas, como nas futuras, o legislador aborde a questão essencial do direito das pessoas listadas a aceder — quer directa quer indirectamente, por intermédio de outras autoridades (19) — aos dados pessoais que lhes digam respeito e constem de documentos classificados, sob reserva das restrições proporcionadas que possam ser necessárias em certas circunstâncias.

39.

A AEPD gostaria ainda de recordar que o Regulamento (CE) n.o 45/2001 estabelece outros direitos das pessoas em causa cuja regulamentação o legislador poderá ponderar, quer nas actuais quer em futuras propostas. Concretamente, o artigo 11.o do Regulamento (CE) n.o 45/2001 estabelece a obrigação de o responsável pelo tratamento de dados rectificar sem demora os dados pessoais incompletos ou inexactos e o artigo 17.o do mesmo regulamento obriga à notificação da rectificação ou apagamento de dados — como no caso da retirada da lista — a terceiros a quem os dados tenham sido transmitidos, excepto se tal for impossível ou implicar um esforço desproporcionado.

40.

A AEPD congratula-se ainda com o facto de todas as propostas preverem a explícita designação de uma unidade da Comissão Europeia para assumir a responsabilidade pelo tratamento de dados, conferindo assim maior visibilidade à entidade responsável pelo tratamento e facilitando o exercício dos direitos das pessoas em causa e a atribuição de responsabilidades ao abrigo do Regulamento (CE) n.o 45/2001.

41.

Uma questão importante que não se encontra explicitamente contemplada nas actuais propostas, mas está implícita no processo de listagem, é a da garantia de que os dados pessoais gozam de protecção adequada quando são alvo de intercâmbio entre a UE e países terceiros ou organizações internacionais como as Nações Unidas.

42.

A este respeito, a AEPD chama a atenção para o artigo 9.o do Regulamento (CE) n.o 45/2001, que estabelece as condições para a transferência de dados pessoais para destinatários distintos das instituições e dos órgãos comunitários que não estejam sujeitos à Directiva 95/46/CE. Há uma vasta gama de soluções à disposição, desde o consentimento da pessoa em causa [n.o 6, alínea a)] e o exercício de um direito num processo judicial [n.o 6, alínea d)] — que se pode revelar útil caso as informações tenham sido facultadas pela pessoa incluída na lista, tendo em vista desencadear uma reapreciação da sua inclusão na lista — até à existência, a nível da ONU ou do país terceiro em questão, de mecanismos destinados a garantir uma protecção adequada dos dados pessoais transmitidos pela UE.

43.

A AEPD, recordando que as diversas actividades de tratamento previstas devem estar em consonância com este sistema, recomenda que o legislador se assegure da existência de salvaguardas e mecanismos adequados — como sejam especificações nas propostas e nos acordos com a ONU ou países terceiros — a fim de assegurar uma protecção conveniente dos dados pessoais trocados com países terceiros e organizações internacionais.

44.

A AEPD considera que o problema das restrições e limitações a determinados direitos fundamentais, como o direito à protecção dos dados pessoais, assume especial importância no contexto das medidas restritivas, uma vez que podem ser necessárias para garantir a aplicação efectiva e adequada dessas mesmas medidas restritivas.

45.

A Convenção Europeia dos Direitos do Homem, a Carta dos Direitos Fundamentais da União Europeia e os instrumentos jurídicos específicos em matéria de protecção de dados, nomeadamente o artigo 20.o do Regulamento (CE) n.o 45/2001, prevêem essa possibilidade, sob reserva de certas condições que foram reafirmadas e clarificadas pelo Tribunal Europeu dos Direitos do Homem, bem como pelo Tribunal de Justiça Europeu (20). Em suma, as restrições ao direito fundamental à protecção de dados devem basear-se em medidas legislativas e obedecer a regras estritas em matéria de proporcionalidade, ou seja, devem limitar-se — quanto ao fundo e quanto à sua aplicação no tempo — àquilo que é necessário para responder ao interesse público em questão, como confirma a jurisprudência do Tribunal de Justiça, inclusive no domínio das medidas restritivas. As restrições de carácter geral, desproporcionadas ou imprevisíveis não serão aceitáveis.

46.

Pode assim suceder, por exemplo, que seja necessário protelar o momento em que as pessoas em causa são informadas, para preservar o «efeito surpresa» da decisão de as incluir na lista e de congelar os seus bens. Todavia, como se salienta na jurisprudência do Tribunal de Primeira Instância (21), continuar a recusar ou reter a informação, mesmo depois do congelamento dos bens, seria desnecessário e, por isso mesmo, desnecessário. Poderão também ser previstas restrições proporcionadas e temporárias ao direito das pessoas incluídas nas listas a aceder aos dados pessoais que lhes dizem respeito, nomeadamente a serem informadas das decisões que estiveram na base da sua inclusão, mas a exclusão geral e permanente desse direito seria contrária à própria essência do direito fundamental à protecção dos dados pessoais.

47.

O Regulamento (CE) n.o 45/2001 define já o quadro jurídico necessário tanto às restrições como às salvaguardas. Os n.os 3 e 4 do artigo 20.o contêm regras relativas à aplicação de uma restrição. De acordo com o n.o 3, a instituição envolvida deverá informar a pessoa em causa dos principais motivos da aplicação da restrição e do seu direito a recorrer à AEPD. O n.o 4 inclui uma outra regra que diz especificamente respeito a uma restrição ao direito de acesso. Nele se afirma que, ao investigar uma reclamação com base no número anterior, a Autoridade Europeia para a Protecção de Dados só comunicará à pessoa em causa se os dados foram tratados correctamente e, em caso negativo, se foram introduzidas todas as correcções necessárias (22).

48.

Em todas as actuais propostas, a questão das restrições ao direito à protecção de dados é tratada apenas parcialmente ou de forma implícita, dando assim margem a conflitos de normas e à possibilidade de diversas interpretações susceptíveis de contestação em tribunal. As negociações a respeito da proposta relativa à Al-Qaida parecem ir no sentido de reduzir as referências ao direito à protecção de dados e às necessárias restrições.

49.

Neste contexto, a AEPD recomenda que o legislador trate esta questão delicada clarificando nas actuais propostas ou noutro instrumento jurídico quais as restrições impostas aos princípios da protecção dos dados, bem como as salvaguardas que podem ser necessárias no domínio das medidas restritivas. Ficaria deste modo assegurada a previsibilidade e proporcionalidade das restrições e, simultaneamente, a eficácia das medidas restritivas, o respeito pelos direitos fundamentais e a redução do número de litígios perante os tribunais. Além disso, esta abordagem garantiria a conformidade com o Programa de Estocolmo, que determina claramente que a UE deve prever e regular as circunstâncias em que se justifica a interferência das autoridades públicas no exercício do direito à protecção de dados (23).

50.

Nos termos do n.o 4 do artigo 32.o do Regulamento (CE) n.o 45/2001, bem como do artigo 23.o da Directiva 95/45/CE, qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados tem o direito de obter do responsável pelo tratamento reparação pelo prejuízo sofrido, a menos que este prove que o facto que causou o dano lhe não é imputável. Trata-se de uma especificação do conceito geral de responsabilidade, através da inversão do ónus da prova.

51.

Nesta perspectiva, as medidas restritivas assentam no tratamento e na divulgação de dados pessoais, o que, em caso de ilegalidade, pode por si só — independentemente das medidas restritivas adoptadas — causar danos morais, tal como já foi reconhecido pelo Tribunal de Primeira Instância (24).

52.

A AEPD salienta que esta responsabilidade não contratual pelo tratamento dos dados pessoais em violação da legislação aplicável à protecção de dados mantém a sua validade e não pode ser esvaziada do seu conteúdo essencial, mesmo que algumas das actuais propostas (25) excluam, excepto em caso de negligência, a responsabilidade das pessoas singulares e colectivas encarregadas da aplicação de medidas restritivas.

53.

As pessoas incluídas nas listas têm direito ao recurso judicial, bem como às vias de recurso administrativas por parte das autoridades de controlo competentes em matéria de protecção de dados. Esta última possibilidade consiste, nomeadamente, em que sejam ouvidas as reclamações apresentadas pelas pessoas em causa, nos termos do artigo 32.o do Regulamento (CE) n.o 45/2001, baseando-se nos poderes da AEPD para obter, de qualquer responsável pelo tratamento de dados ou de uma instituição ou organismo comunitário, o acesso a todos os dados pessoais, bem como a todas as informações necessárias aos seus inquéritos [ver o n.o 2 alínea a), do artigo 47.o do Regulamento (CE) n.o 45/2001].

54.

A supervisão independente da observância das regras aplicáveis à protecção de dados constitui um dos elementos fundamentais da protecção de dados, agora explicitamente reafirmado, no que toca ao tratamento de dados pessoais em todas as actividades da UE, não só no artigo 8.o da Carta dos Direitos Fundamentais da UE, mas também no artigo 16.o do TFUE e no artigo 36.o do TUE.

55.

Como se afirmou já no parecer de 28 de Julho de 2009 (26), a AEPD considera motivo de preocupação que a condição estabelecida nas actuais propostas de que as informações classificadas apenas sejam divulgadas com o consentimento da entidade de origem possa afectar não só as suas competências de supervisão, mas também a eficácia da reapreciação judicial, uma vez que colide com a capacidade do TJE para ajuizar se está assegurado um justo equilíbrio entre, por um lado, a necessidade de combater o terrorismo internacional e, por outro, a protecção dos direitos fundamentais. Tal como afirmou o Tribunal de Primeira Instância no acórdão de 4 de Dezembro de 2008, o Tribunal pode, para o fazer, precisar de ter acesso a informações classificadas (27).

56.

Assim sendo, a AEPD recomenda que as actuais propostas garantam a plena aplicabilidade dos recursos judiciais existentes e da supervisão independente por parte das autoridades de supervisão da protecção de dados e que a sua eficácia não seja prejudicada pelas condições impostas em matéria de acesso a documentos classificados. Para tal, poder-se-ia, como primeiro passo, acrescentar à palavra «divulgados» os termos «ao público» nos artigos pertinentes das referidas propostas (28).

57.

A AEPD está firmemente convicta de que a luta contra aqueles que desrespeitam os direitos fundamentais se deve fazer no respeito por esses mesmos direitos.

58.

Nesta perspectiva, a AEPD, tal como no seu parecer de 28 de Julho de 2009, respeitante às medidas restritivas contra a Al-Qaida, saúda a intenção da Comissão de aperfeiçoar o actual enquadramento jurídico, melhorando o processo de listagem e tomando expressamente em consideração o direito à protecção dos dados pessoais.

59.

Tendo em conta os instrumentos disponibilizados pelo Tratado de Lisboa, bem como a visão a longo prazo avançada no Programa de Estocolmo, a AEPD recomenda vivamente à Comissão que abandone a actual abordagem fragmentária — em que são adoptadas para cada país ou organização regras específicas e por vezes diferentes relativas ao tratamento dos dados pessoais — e proponha um quadro geral e coerente para todas as sanções específicas contra pessoas singulares ou colectivas, entidades ou organismos, que garanta o respeito pelos direitos fundamentais das pessoas em causa, nomeadamente o respeito pelo direito fundamental à protecção dos dados pessoais. As restrições necessárias a estes direitos deverão ser claramente previstas na lei e proporcionadas, respeitando em todo o caso a essência destes direitos.

60.

Nesta perspectiva, a AEPD congratula-se com as referências feitas nas actuais propostas à aplicabilidade do Regulamento (CE) n.o 45/2001, bem como aos direitos das pessoas em causa dele decorrentes.

61.

No que diz respeito à qualidade dos dados e à limitação da sua utilização aos fins a que se destinam, a AEPD recomenda que se proceda a algumas alterações, a fim de garantir que apenas sejam tratados dados efectivamente necessários, que os dados estejam sempre actualizados e não sejam conservados por mais tempo do que o necessário. Concretamente, a AEPD recomenda que sejam postos em prática relativamente a todas as propostas, actuais e futuras, neste domínio mecanismos eficazes para a retirada de pessoas singulares das listas e para que as listas da UE sejam revistas a intervalos regulares.

62.

A AEPD recomenda que, em todas as propostas, quer futuras quer actualmente em apreço, neste domínio se regulamente mais explicitamente não só o direito das pessoas constantes das listas a serem informadas, mas também as condições e as modalidades a que devem obedecer as restrições eventualmente necessárias.

63.

A AEPD recomenda vivamente que, tanto nas actuais propostas, como nas futuras, o legislador aborde a questão essencial do direito das pessoas constantes das listas a aceder aos dados pessoais que lhes digam respeito e constem de documentos classificados, sob reserva das restrições proporcionadas que possam ser necessárias em determinadas circunstâncias.

64.

A AEPD recomenda que o legislador se assegure da existência de salvaguardas e mecanismos adequados — como sejam especificações nas propostas e nos acordos com a ONU ou países terceiros — a fim de assegurar uma protecção conveniente dos dados pessoais trocados com países terceiros e organizações internacionais.

65.

A AEPD recomenda que o legislador clarifique nas actuais propostas ou noutro instrumento jurídico independente quais as restrições impostas aos princípios da protecção dos dados, bem como as salvaguardas que podem ser necessárias no domínio das medidas restritivas, tendo em vista garantir a previsibilidade e a proporcionalidade das restrições.

66.

A AEPD observa que o princípio da responsabilidade pelo tratamento ilícito de dados pessoais continua válido e não pode ser esvaziado do seu conteúdo essencial.

67.

A AEPD recomenda que se garanta a plena aplicabilidade dos recursos judiciais existentes e da supervisão independente por parte das autoridades de supervisão em matéria de protecção de dados e que a sua eficácia não seja prejudicada pelas condições impostas ao acesso a documentos classificados.