COMISSÃO EUROPEIA
Bruxelas, 11.4.2016
COM(2016) 214 final
2012/0011(COD)
COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU
em conformidade com o artigo 294.º, n.º 6, do Tratado sobre o Funcionamento da
União Europeia
relativa à
posição do Conselho sobre a adoção de um Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e
e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)
e que revoga a Diretiva 95/46/CE
2012/0011 (COD)
COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU
em conformidade com o artigo 294.º, n.º 6, do Tratado sobre o Funcionamento da
União Europeia
relativa à
posição do Conselho sobre a adoção de um Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e
e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)
e que revoga a Diretiva 95/46/CE
1.Contexto
Data de transmissão da proposta ao Parlamento Europeu e ao Conselho
(documento COM(2012) 11 final – 2012/11 COD):
|
25 de janeiro de 2012.
|
Data do parecer do Comité Económico e Social Europeu:
SOC/455 EESC-2012-1303
|
23 de maio de 2012.
|
Data da posição do Parlamento Europeu em primeira leitura:
|
12 de março de 2014.
|
Data da transmissão da proposta alterada:
|
N/D.
|
Data da adoção da posição do Conselho:
|
8 de abril de 2016
|
2.Objetivo da proposta da Comissão
A Diretiva 95/46/CE, o principal instrumento legislativo em matéria de proteção de dados pessoais na Europa, constituiu um marco na história da proteção de dados. Os seus objetivos, que consistem em assegurar o funcionamento do mercado único e a proteção efetiva dos direitos e das liberdades fundamentais das pessoas singulares, mantêm-se válidos. Todavia, essa diretiva foi adotada há 21 anos, quando a Internet estava apenas a dar os seus primeiros passos. Atualmente, neste novo e desafiante universo digital em que vivemos, as regras em vigor não asseguram o grau de harmonização nem a eficácia necessárias para garantir o direito à proteção dos dados pessoais.
Neste contexto, em 25 de janeiro de 2012, a Comissão propôs um regulamento destinado a substituir a Diretiva 95/46/CE e que instaura um quadro geral da UE para a proteção de dados. O regulamento proposto vem modernizar os princípios estipulados na Diretiva de 1995, adaptando-os à era digital e harmonizando a legislação sobre a proteção de dados a nível europeu. A proteção de dados deve ser objeto de normas rigorosas para restaurar a confiança das pessoas na forma como os seus dados pessoais são utilizados.
A proposta de regulamento visa reforçar os direitos individuais e consolidar o mercado interno da UE, garantir uma aplicação mais rigorosa da regulamentação, simplificar as transferências internacionais de dados pessoais e instaurar normas internacionais em matéria de proteção de dados.
As pessoas poderão assim passar a controlar melhor os seus dados pessoais, cujo acesso será facilitado. Além disso, será garantida a proteção dos dados pessoais independentemente do local onde se encontrem armazenados. Para este efeito, as novas regras preveem as seguintes medidas:
Melhoria do acesso aos respetivos dados - as pessoas passarão a receber mais informações, mais claras e mais compreensíveis, sobre a forma como os seus dados são tratados;
O «direito a ser esquecido» - quando um pessoa deixar de querer que os seus dados sejam tratados, e caso não existam motivos legítimos para a sua conservação, poderá obter a supressão dos mesmos;
O direito de uma pessoa saber se os seus dados foram pirateados - as empresas deverão notificar a autoridade de supervisão de eventuais violações de dados pessoais que coloquem as pessoas em risco e comunicar o mais rapidamente possível ao titular dos dados as violações que apresentem riscos elevados, para que este possa tomar as medidas adequadas;
O direito à portabilidade dos dados permitirá às pessoas transferir mais facilmente os seus dados pessoais de um prestador de serviços para outro.
O regulamento proposto contribui igualmente para realizar o potencial do mercado único digital graças às medidas seguintes:
Aplicação do princípio «Um continente, uma única legislação»: uma legislação única pan-europeia para a proteção de dados, que substitua a atual «manta de retalhos» existente, constituída por 28 legislações nacionais díspares;
Criação de um «balcão único» para as empresas: as empresas passarão a ter de lidar apenas com uma autoridade de supervisão e já não com 28 autoridades diferentes, tornando mais simples e menos oneroso fazer negócios em qualquer ponto da UE;
Condições de concorrência equitativas: atualmente, as empresas europeias têm de cumprir normas mais rigorosas do que as empresas estabelecidas fora da União e que também exercem atividades no mercado único da UE. Graças à reforma proposta, as empresas estabelecidas fora da União passarão a ter de aplicar as mesmas regras quando oferecem bens ou serviços no mercado da UE;
Neutralidade tecnológica: o regulamento permite que a inovação continue a prosperar ao abrigo das novas regras.
Por fim, o regulamento proposto prevê que as autoridades de supervisão possam aplicar coimas às empresas que violem as regras da UE num montante até 2 % do seu volume de negócios anual global.
3.Observações sobre a posição do Conselho
A posição do Conselho reflete o acordo político alcançado em 15 de dezembro de 2015 entre o Parlamento Europeu e o Conselho nos trílogos informais e posteriormente aprovado pelo Conselho, em 8 de abril de 2016.
A Comissão subscreve este acordo, dado que é conforme com os objetivos da sua proposta.
O acordo mantém a natureza do instrumento jurídico proposto pela Comissão, ou seja, um regulamento em detrimento de uma diretiva, a qual exigiria a transposição para 28 ordenamentos jurídicos nacionais. Garante igualmente o nível de harmonização necessário, deixando simultaneamente aos Estados-Membros uma margem de manobra no que diz respeito às especificações das regras de proteção dos dados no setor público.
A posição do Conselho confirma a abordagem da Comissão quanto ao âmbito de aplicação territorial do regulamento, que se aplicará igualmente aos responsáveis pelo tratamento de dados ou a subcontratantes estabelecidos num país terceiro sempre que as atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a pessoas que residam na União ou com a observação dos comportamentos dessas pessoas.
Em consonância com a abordagem da Comissão, o acordo reforça os princípios relativos ao tratamento de dados (minimização dos dados, por exemplo) e os direitos dos respetivos titulares, consagrando o direito a ser esquecido e o direito de portabilidade dos dados, continuando a desenvolver os direitos já reconhecidos, como o direito à informação ou o direito de acesso.
Também preserva e desenvolve a abordagem assente no risco, já presente na proposta da Comissão e que exige que os responsáveis pelo tratamento dos dados e, em alguns casos, os subcontratantes, tenham em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o grau de probabilidade e de gravidade dos riscos para os direitos e as liberdades dos titulares dos dados. Além disso, o acordo alcançado sobre o mecanismo do «balcão único» tem solidez jurídica e institucional e confere um valor acrescentado significativo às empresas e aos titulares dos dados. Este mecanismo basear-se-á no princípio da «autoridade mais apta» para tomar a decisão e será aplicado unicamente nos casos que assumam uma dimensão transnacional importante. A posição do Conselho mantém os principais elementos de simplificação, que consistem em instaurar o princípio de uma decisão única em toda a UE e um único interlocutor para as empresas e as pessoas.
O acordo também clarifica e especifica as regras relativas às transferências internacionais no que respeita, por exemplo, aos critérios a ter em conta para avaliar o nível de proteção num país terceiro ou os instrumentos que proporcionam garantias adequadas para as transferências internacionais.
A posição do Conselho autoriza as autoridades de supervisão a aplicarem sanções financeiras em caso de infração ao regulamento, que podem variar entre 2 e 4 % do volume de negócios anual global da empresa em causa.
Por último, e contrariamente à proposta da Comissão, a posição do Conselho não considera o regulamento um desenvolvimento do acervo de Schengen. Por conseguinte, a Comissão considera ser necessário emitir uma declaração nesta matéria.
4.Conclusão
A Comissão congratula-se com os resultados das negociações interinstitucionais e aceita, por conseguinte, a posição do Conselho em primeira leitura.
5.Declaração da Comissão — Pertinência do regulamento em relação ao acervo de Schengen
«A Comissão lamenta que a sua proposta inicial tenha sido alterada com a supressão dos considerandos 136, 137 e 138 relacionados com o acervo de Schengen. A Comissão considera que no que respeita aos vistos, ao controlo das fronteiras e ao regresso, o regulamento geral sobre a proteção de dados constitui um desenvolvimento do acervo de Schengen para os quatro Estados associados à execução, à aplicação e ao desenvolvimento do referido acervo.»