2.3.2018   

PT

Jornal Oficial da União Europeia

C 81/209

Relator:

Cristian PÎRVULESCU

1.1.

Com base nos seus valores fundamentais e documentos constitutivos, a UE tem a responsabilidade de se tornar interveniente à escala mundial na promoção do respeito pelos direitos fundamentais e da proteção adequada da vida privada e dos dados pessoais. A este respeito, o CESE incentiva a Comissão Europeia a ser proativa, a nível bilateral e multilateral, a fim de promover o mais elevado nível de proteção dos dados pessoais.

1.2.

O CESE considera equilibrados e razoáveis os quatro critérios fundamentais a ter em conta pela Comissão ao avaliar com que países se deve estabelecer um diálogo em matéria de adequação. Importa, contudo, interpretar estes critérios à luz de um verdadeiro empenho dos governos, parlamentos e tribunais desses países em atingir um nível equivalente e funcional de proteção dos dados pessoais.

1.3.

O CESE apela para maior transparência e participação no processo de emissão das decisões de adequação. Os representantes do setor empresarial, em especial as PME, juntamente com grupos de defesa do consumidor, grupos de cidadãos e outras organizações da sociedade civil têm de ser implicados e consultados. O CESE está disponível para facilitar o processo de consulta.

1.4.

O CESE congratula-se com o diálogo encetado pela Comissão com os principais parceiros comerciais na Ásia Oriental e no Sudeste Asiático, nomeadamente o Japão e a Coreia e, eventualmente, a Índia, bem como com os países da América Latina e países abrangidos pela política europeia de vizinhança que tenham manifestado interesse em obter uma «decisão de adequação».

1.5.

O CESE espera que a Comissão, o Conselho, os governos e parlamentos dos Estados-Membros e o Governo e Congresso dos EUA acolham favoravelmente as propostas apresentadas na Resolução do Parlamento Europeu, de 6 de abril de 2017, sobre o nível de proteção adequado assegurado pelo Escudo de Proteção da Privacidade UE-EUA. Na sua resolução, o Parlamento Europeu manifesta graves preocupações, muitas das quais indicam que o acordo e o atual enquadramento legislativo dos EUA não protegem, na prática, os direitos dos cidadãos da UE.

1.6.

Tendo em conta a rapidez dos progressos tecnológicos e a expansão contínua das infraestruturas TIC, é necessário que os governos mantenham uma supervisão apertada e acompanhem a evolução de perto. Embora as decisões de adequação sejam avaliadas de quatro em quatro anos (ver artigo 45.o, n.o 3, do Regulamento geral sobre a proteção de dados), o CESE recomenda a manutenção do contacto permanente entre a Comissão, as autoridades responsáveis pela proteção de dados e as autoridades governamentais dos países terceiros, a fim de identificar os novos desafios inerentes a um ambiente tecnológico e económico tão dinâmico.

1.7.

O CESE considera que a promoção das normas em matéria de proteção de dados através de instrumentos multilaterais deve constituir uma prioridade para a Comissão Europeia e que este compromisso deve ser apoiado com recursos, de forma a obter uma verdadeira proteção dos direitos humanos a priori e uma via de recurso eficaz a posteriori para compensação por danos sofridos.

1.8.

O Comité salienta que, na sua comunicação, a Comissão não faz uma distinção entre os diversos tipos e utilizações dos dados pessoais, com exceção das questões no âmbito da ação penal.

1.9.

A Convenção n.o 108 do Conselho da Europa, de 1981, com o seu Protocolo adicional de 1999, é o único instrumento multilateral vinculativo no domínio da proteção de dados. Este instrumento deveria continuar a ser desenvolvido e mais países terceiros deveriam ser incentivados a aderir.

1.10.

Há que intensificar os esforços envidados a nível multilateral, no âmbito da OCDE (Organização de Cooperação e de Desenvolvimento Económicos), do G20 e da APEC (Cooperação Económica Ásia-Pacífico), com vista à construção de um verdadeiro sistema multilateral para a proteção de dados à escala mundial. A cooperação com o relator especial das Nações Unidas sobre o direito à privacidade deve ser sólida e funcional.

1.11.

No que diz respeito ao intercâmbio de dados pessoais no âmbito da prevenção, investigação e repressão de infrações penais, o CESE é firme defensor da criação de garantias sólidas em matéria de proteção de dados, mas está também aberto à emissão de decisões de adequação no contexto da ação penal. A proteção de dados deve andar a par das ações de prevenção, investigação e repressão de infrações penais, incluindo a cibercriminalidade e o terrorismo.

1.12.

O CESE recorda a importância da proteção dos dados pessoais e dos dados relativos à saúde e à reabilitação das pessoas com deficiência, tal como estabelecido no artigo 22.o da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência.

2.1.

A proteção dos dados pessoais faz parte do tecido constitucional comum da Europa e está consagrada no artigo 8.o da Carta dos Direitos Fundamentais da UE. Ocupa um lugar central na legislação da UE há mais de 20 anos, desde a Diretiva Proteção de Dados de 1995 («Diretiva de 1995») até à adoção do Regulamento geral sobre a proteção de dados e da Diretiva Cooperação Policial, em 2016.

2.2.

A reforma da legislação da UE em matéria de proteção de dados, adotada em abril de 2016, estabelece um sistema que garante um elevado nível de proteção, tanto no interior da UE como no âmbito do intercâmbio internacional de dados pessoais para fins comerciais e de aplicação coerciva da lei. As novas regras entrarão em vigor em maio de 2018.

2.3.

Após ter completado as regras da UE relativas à proteção de dados, a Comissão está atualmente a definir uma estratégia para a promoção de normas internacionais em matéria de proteção de dados. A comunicação apresenta os diferentes instrumentos para o intercâmbio de dados pessoais a nível internacional, com base nas regras de proteção de dados revistas, bem como a sua estratégia para as relações futuras com países terceiros selecionados, a fim de obter decisões de adequação e promover as normas em matéria de proteção de dados através de instrumentos multilaterais.

2.4.

O Regulamento geral sobre a proteção de dados, de 2016, fornece uma «caixa de ferramentas» com mecanismos para a transferência de dados pessoais da UE para países terceiros: decisões de adequação, cláusulas contratuais-tipo, regras vinculativas aplicáveis às empresas, procedimentos de certificação e códigos de conduta. O principal objetivo destes mecanismos é assegurar que, quando os dados pessoais dos cidadãos europeus são transferidos para o estrangeiro, a proteção acompanha esses dados. Embora a arquitetura das transferências internacionais de dados pessoais seja semelhante à praticada ao abrigo da Diretiva Proteção de Dados de 1995, a reforma simplifica e amplia a sua utilização e introduz novos instrumentos para as transferências internacionais (por exemplo, códigos de conduta e procedimentos de certificação).

3.1.

O CESE louva os esforços da UE para proteger os dados pessoais dos seus cidadãos, ao mesmo tempo que se preserva a abertura e a integração num mundo cada vez mais interligado.

3.2.

Com base nos seus valores fundamentais e documentos constitutivos, a UE tem a responsabilidade de se tornar interveniente à escala mundial na promoção do respeito pelos direitos fundamentais e de um elevado nível de proteção da vida privada e dos dados pessoais. A este respeito, o CESE incentiva a Comissão Europeia a ser proativa, a nível bilateral e multilateral, a fim de promover o mais elevado nível de proteção dos dados pessoais para os seus próprios cidadãos e os cidadãos de países terceiros.

3.3.

A UE deve apoiar a estratégia mundial para a proteção dos dados pessoais e os seus princípios fundamentais: a proteção de dados é um direito fundamental, que se concretiza através da adoção de legislação abrangente neste domínio, da instauração de direitos individuais de proteção da vida privada, passíveis de aplicação coerciva, e da criação de autoridades supervisoras independentes.

3.4.

O nível mais elevado possível de proteção dos dados pessoais constitui não só uma responsabilidade legal, mas também uma grande oportunidade. A economia digital, os fluxos internacionais de bens e serviços e a administração pública em linha beneficiam da confiança que os cidadãos têm na proteção institucional e regulamentar em vigor. A proteção de dados e um comércio internacional justo são essenciais para os cidadãos e não devem ser considerados valores em conflito.

3.5.

O CESE continua a apoiar a orientação geral da política da UE em matéria de proteção de dados, tal como o fez em pareceres anteriores, embora insista na necessidade de níveis de proteção mais elevados. No seu parecer sobre o «Regulamento geral sobre a proteção de dados» (dossiê SOC/455), deu exemplos concretos em relação a vários artigos, no sentido de promover uma melhor definição dos direitos, reforçar a proteção dos cidadãos em geral e dos trabalhadores em particular, esclarecer a natureza do consentimento, a licitude do tratamento e, em particular, as funções dos delegados de proteção dos dados e o tratamento dos dados em matéria de emprego (1).

3.6.

Além disso, o CESE chamou a atenção para o direito de as pessoas, singulares ou coletivas, expressarem o seu consentimento no que diz respeito aos seus dados. No seu parecer sobre a «Proteção dos dados pessoais» (dossiê TEN/631),defende que «os utilizadores devem ser informados, receber formação e agir com prudência, pois uma vez dado o consentimento, o operador poderá continuar a tratar os conteúdos e metadados de modo a maximizar as ações e os ganhos. […] A educação dos utilizadores para o exercício dos seus direitos, bem como a anonimização ou encriptação, deveriam ser prioridades deste regulamento [Regulamento relativo ao respeito pela vida privada e à proteção dos dados pessoais nas comunicações eletrónicas]» (2).

3.7.

O CESE apoia a criação, a partir de maio de 2018, de um único conjunto pan-europeu de normas, em vez das 28 legislações nacionais atualmente em vigor. O mecanismo de balcão único recentemente criado assegura que uma única autoridade de proteção de dados (APD) será responsável pelo controlo das operações transnacionais de tratamento de dados realizadas por uma empresa na UE. A coerência na interpretação das novas normas será garantida. Em especial, nos casos transnacionais em que estão envolvidas várias autoridades de proteção de dados nacionais, será adotada uma única decisão para assegurar que problemas comuns tenham soluções comuns. O CESE espera que os novos procedimentos assegurem não só a coerência da interpretação, mas também o nível mais elevado possível de proteção de dados.

3.8.

O CESE toma nota de que a comunicação e as suas principais propostas são bem acolhidas pela DIGITALEUROPE, a organização que representa a indústria da tecnologia digital na Europa (3).

A crescente penetração da computação em nuvem coloca desafios novos e complexos, que tenderão a evoluir devido ao ritmo rápido das mudanças tecnológicas. A legislação deve ser adaptável, de modo a poder dar resposta à evolução das tecnologias e do mercado.

4.1.

As decisões de adequação adotadas pela Comissão são atualmente o instrumento adequado para garantir a proteção dos dados dos cidadãos da UE em relação a outros países e entidades, quer governamentais quer privadas. São também um instrumento útil para incentivar os países terceiros a ambicionarem um nível de proteção semelhante para os seus próprios cidadãos e devem ser o instrumento preferido para proteger o intercâmbio de dados pessoais.

4.2.

O CESE considera equilibrados e razoáveis os quatro critérios fundamentais (4) a ter em conta pela Comissão ao avaliar com que países se deve estabelecer um diálogo em matéria de adequação. Importa, contudo, interpretar estes critérios à luz de um verdadeiro empenho dos governos, parlamentos e tribunais desses países em atingir um nível equivalente e funcional de proteção dos dados pessoais.

4.3.

O CESE apela para maior transparência e participação no processo de emissão das decisões de adequação. Os representantes do setor empresarial, em especial as PME, juntamente com grupos de defesa do consumidor e organizações da sociedade civil têm de ser implicados e consultados. O CESE está disponível para facilitar o processo de consulta.

4.4.

O CESE congratula-se com o diálogo encetado pela Comissão com os principais parceiros comerciais na Ásia Oriental e no Sudeste Asiático, nomeadamente o Japão e a Coreia e, eventualmente, a Índia, bem como com os países da América Latina e países abrangidos pela política europeia de vizinhança que tenham manifestado interesse em obter uma «decisão de adequação».

4.5.

O CESE considera problemático o estatuto da adequação parcial para determinados países, que incluiria alguns setores e territórios, uma vez que não oferece garantias suficientes e coerentes do ponto de vista constitucional, processual e institucional de que os dados pessoais estão protegidos. A adequação parcial poderá ser útil numa fase intermédia, em que a UE e os respetivos países encontram pontos de convergência e coordenam esforços. O objetivo a longo prazo é chegar a um acordo mais sólido e aprofundado, com base nos enquadramentos existentes em todos os países em causa (5).

4.6.

O CESE acolhe favoravelmente os esforços para a criação de um quadro bilateral sólido e funcional com os Estados Unidos da América. A decisão recentemente adotada sobre o nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA, em substituição da decisão relativa ao «porto seguro» UE-EUA, representa um passo em frente. No entanto, o seu âmbito de aplicação é limitado, uma vez que é de adesão voluntária, deixando de fora um grande número de organizações norte-americanas.

4.7.

O CESE espera que a Comissão, o Conselho, os governos e parlamentos dos Estados-Membros e o Governo e Congresso dos EUA acolham favoravelmente as propostas apresentadas na Resolução do Parlamento Europeu, de 6 de abril de 2017, sobre o nível de proteção adequado assegurado pelo Escudo de Proteção da Privacidade UE-EUA. Na resolução, o Parlamento Europeu manifesta graves preocupações, muitas das quais indicam que o acordo e o atual enquadramento legislativo dos EUA não protegem, na prática, os direitos dos cidadãos da UE (6).

4.8.

Vários grupos da sociedade civil da União Europeia e dos Estados Unidos manifestaram preocupações semelhantes (7). O CESE insta todas as instituições da UE a tomar nota destas preocupações.

4.9.

Embora reconheça a vontade da Comissão de gerar um novo impulso, o Comité observa que as suas propostas não eliminam a insegurança jurídica para as pessoas cujos direitos tenham sido violados. Vários aspetos contribuem para tal:

4.10.

O acompanhamento após a adoção de uma decisão de adequação é essencial para garantir que os acordos funcionam na prática. Tendo em conta a rapidez dos progressos tecnológicos e a expansão contínua das infraestruturas TIC, é necessário que os governos mantenham uma supervisão apertada e acompanhem a evolução de perto. Embora as decisões de adequação sejam avaliadas de quatro em quatro anos (ver artigo 45.o, n.o 3, do Regulamento geral sobre a proteção de dados), o CESE recomenda a manutenção do contacto permanente entre a Comissão, as autoridades responsáveis pela proteção de dados e as autoridades governamentais dos países terceiros, a fim de identificar os novos desafios inerentes a um ambiente tecnológico e económico tão dinâmico.

4.11.

O CESE insta a Comissão a colaborar com as partes interessadas para desenvolver mecanismos alternativos de transferência de dados pessoais, adaptados às necessidades ou condições específicas de determinados setores, modelos empresariais e/ou operadores.

4.12.

O CESE considera que a promoção das normas em matéria de proteção de dados através de instrumentos multilaterais deve constituir uma prioridade para a Comissão e que este compromisso deve ser apoiado com recursos.

4.13.

A Convenção n.o 108 do Conselho da Europa, com o seu Protocolo adicional, é o único instrumento multilateral vinculativo no domínio da proteção de dados. Este instrumento deveria continuar a ser desenvolvido e mais países terceiros deveriam ser incentivados a aderir.

4.14.

Há que intensificar os esforços envidados a nível multilateral, no âmbito da OCDE, do G20 e da APEC, com vista à construção de um verdadeiro sistema multilateral para a proteção de dados à escala mundial. A cooperação com o relator especial das Nações Unidas sobre o direito à privacidade deve ser sólida e funcional.

4.15.

O reforço da cooperação com as autoridades nacionais dos países terceiros responsáveis pela aplicação coerciva e pela supervisão no âmbito da proteção da vida privada deve constituir uma prioridade. Apesar de não estabelecer obrigações juridicamente vinculativas, a rede global para a proteção da vida privada, da OCDE, pode promover a cooperação em matéria de aplicação coerciva da lei através da partilha de boas práticas na superação dos desafios transfronteiras e do apoio a iniciativas conjuntas de aplicação coerciva e sensibilização (8).

4.16.

No que diz respeito ao intercâmbio de dados pessoais no âmbito da prevenção, investigação e repressão de infrações penais, o CESE é firme defensor da criação de garantias sólidas em matéria de proteção de dados, mas está também aberto à emissão de decisões de adequação no contexto da ação penal. A proteção de dados deve andar a par das ações de prevenção, investigação e repressão de infrações penais, incluindo a cibercriminalidade e o terrorismo.

4.17.

O acordo-quadro sobre a proteção de dados entre a UE e os EUA, celebrado em dezembro de 2016, é um bom exemplo da forma como os direitos e obrigações em matéria de proteção de dados, conformes com o acervo da UE, podem ser integrados em acordos bilaterais. As mesmas regras podem funcionar também em domínios de intervenção diferentes, como a política da concorrência ou da defesa do consumidor. O CESE incentiva a Comissão a explorar a possibilidade de celebrar acordos-quadro semelhantes com os seus parceiros importantes em matéria de aplicação coerciva da lei.

4.18.

O Comité aguarda com expectativa os resultados da primeira avaliação anual do Escudo de Proteção da Privacidade UE-EUA, a realizar este ano, e espera que este seja um exercício exaustivo e participativo. O CESE espera que tanto a UE como os EUA permaneçam empenhados em colaborar em prol de um nível mais elevado de proteção dos dados pessoais.