EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52012XX0511(01)

Parecer da Autoridade Europeia para a Proteção de Dados sobre as propostas legislativas relativas à resolução alternativa e em linha de litígios de consumo

OJ C 136, 11.5.2012, p. 1–4 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

11.5.2012   

PT

Jornal Oficial da União Europeia

C 136/1


Parecer da Autoridade Europeia para a Proteção de Dados sobre as propostas legislativas relativas à resolução alternativa e em linha de litígios de consumo

2012/C 136/01

A AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente, o artigo 16.o,

Tendo em conta a Carta dos Direitos Fundamentais da União Europeia, nomeadamente, os artigos 7.o e 8.o,

Tendo em conta a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1),

Tendo em conta o Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados, nomeadamente, o artigo 41.o  (2),

ADOTOU O SEGUINTE PARECER:

I.   INTRODUÇÃO

I.1.   Consulta da AEPD e objetivo do parecer

1.

Em 29 de novembro de 2011, a Comissão adotou duas propostas legislativas relativas à resolução alternativa de litígios (a seguir designadas «propostas»):

Proposta de Diretiva do Parlamento Europeu e do Conselho relativa à resolução alternativa de litígios de consumo (a seguir designada «Proposta RAL») (3);

Proposta de Regulamento relativo à resolução de litígios de consumo em linha (a seguir designada «Proposta ODR») (4).

2.

Em 6 de dezembro de 2011, a AEPD recebeu a Proposta RAL e a Proposta ODR para consulta. Antes da adoção das propostas, a AEPD tinha sido consultada informalmente, tendo formulado observações informais. A AEPD congratula-se com esta consulta precoce e com o fato de a maioria das recomendações contidas nessas observações terem sido incluídas nas propostas.

3.

O presente parecer destina-se a analisar o tratamento de dados pessoais previsto pelas propostas e a explicar a forma como estas abordam as questões de proteção de dados. Concentrar-se-á na Proposta ODR, uma vez que esta implica um tratamento centralizado dos dados pessoais relacionados com litígios através de uma plataforma em linha.

I.2.   Objetivo das propostas

4.

Os mecanismos de resolução alternativa de litígios (RAL) constituem uma forma alternativa de solucionar litígios, normalmente menos dispendiosa e mais rápida do que a apresentação de uma queixa em tribunal. A Proposta RAL pretende assegurar a existência dessas entidades em todos os Estados-Membros da UE para solucionar qualquer litígio de consumo transfronteiriço decorrente da venda de bens ou da prestação de serviços na UE.

5.

A Proposta ODR assenta nesta disponibilidade de mecanismos de RAL para os litígios de consumo em toda a União Europeia. Cria uma plataforma em linha (a seguir designada «plataforma de ODR») que os consumidores e comerciantes poderão utilizar para apresentar queixas relativas a transações transfronteiriças em linha à entidade de RAL competente.

II.   OBSERVAÇÕES GERAIS

6.

A AEPD apoia o objetivo das propostas e congratula-se com o fato de os princípios de proteção de dados terem sido tidos em conta desde a fase inicial da sua elaboração.

7.

A AEPD congratula-se igualmente com as referências à aplicabilidade da legislação em matéria de proteção de dados na Proposta ODR (5) e à aplicabilidade da legislação nacional que transpõe a Diretiva 95/46/CE no contexto da Proposta RAL (6), bem como com as referências à consulta da AEPD (7).

III.   OBSERVAÇÕES ESPECÍFICAS

III.1.   Papel dos responsáveis pelo tratamento: necessidade de uma repartição clara das responsabilidades

8.

Nos termos da Proposta ODR, os dados serão tratados por três tipos de intervenientes, no contexto de cada litígio apresentado através da plataforma de ODR:

entidades de RAL;

facilitadores de ODR, que prestarão assistência à resolução de litígios apresentados através da plataforma de ODR (8);

Comissão.

O artigo 11.o, n.o 4, dispõe que cada um destes intervenientes é considerado responsável pelo tratamento de dados pessoais no que diz respeito ao exercício das respetivas responsabilidades.

9.

No entanto, muitos desses responsáveis pelo tratamento poderão ser considerados responsáveis pelo tratamento dos mesmos dados pessoais (9). Por exemplo, os dados relacionados com um litígio transmitidos através da plataforma de ODR podem ser analisados por vários facilitadores de ODR e pelo mecanismo de RAL competente para dirimir o litígio. A Comissão também pode tratar esses dados pessoais para efeitos do funcionamento e da manutenção da plataforma de ODR.

10.

A este propósito, a AEPD congratula-se com o fato de o considerando 20 da Proposta ODR afirmar que a legislação em matéria de proteção de dados é aplicável a todos estes intervenientes. Contudo, a parte legislativa da Proposta ODR deverá especificar, pelo menos, a qual dos responsáveis pelo tratamento os titulares dos dados deverão dirigir os seus pedidos de acesso e retificação, bloqueio e apagamento, e qual desses responsáveis deverá ser responsabilizado no caso de infrações concretas à legislação em matéria de proteção de dados (por exemplo, violações da segurança). Os titulares dos dados também devem ser informados em conformidade.

III.2.   Limitação do acesso e período de conservação

11.

Nos termos do artigo 11.o da Proposta ODR, o acesso aos dados pessoais tratados através da plataforma de ODR está limitado aos seguintes intervenientes:

à autoridade de RAL competente para dirimir o litígio;

aos facilitadores de ODR, para prestarem assistência na resolução do litígio (por exemplo, para facilitar a comunicação entre as partes e a entidade de RAL em causa ou para informar os consumidores sobre a existência de outras vias de recurso para além da plataforma de ODR);

à Comissão, na medida em que tal seja necessário ao funcionamento e à manutenção da plataforma de ODR, designadamente para controlar a utilização da plataforma por entidades de RAL e facilitadores de ODR (10).

12.

A AEPD congratula-se com estas limitações da finalidade e dos direitos de acesso. Todavia, não é claro se todos os facilitadores de ODR (no mínimo 54) terão acesso aos dados pessoais relacionados com todos os litígios. A AEPD recomenda que se esclareça que cada facilitador de ODR só terá acesso aos dados necessários para cumprir as obrigações que lhe incumbem por força do artigo 6.o, n.o 2.

13.

Quanto ao período de conservação, a AEPD congratula-se com o disposto no artigo 11.o, n.o 3, que apenas permite a conservação de dados pessoais durante o período necessário à resolução do litígio e ao exercício do direito de acesso pelos titulares dos dados. Congratula-se também com a obrigação de apagar automaticamente os dados seis meses após a conclusão do litígio.

III.3.   Tratamento de categorias especiais de dados: eventual necessidade de controlo prévio

14.

Tendo em conta a finalidade das propostas, é possível que sejam tratados dados pessoais relativos a suspeitas de infração. Também poderão ser tratados dados de saúde, no contexto de litígios decorrentes da venda de bens ou da prestação de serviços relacionados com a saúde.

15.

O tratamento de dados pessoais no âmbito da plataforma de ODR poderá ser, por conseguinte, sujeito a controlo prévio pelas autoridades nacionais de proteção de dados e pela AEPD, por força do artigo 27.o do Regulamento (CE) n.o 45/2001 e do artigo 20.o da Diretiva 95/46/CE (11). A AEPD sabe que a Comissão está ciente da necessidade de avaliar se esse tratamento deve ou não ser sujeito a controlo prévio, antes de a plataforma de ODR entrar em funcionamento.

III.4.   A AEPD deverá ser consultada sobre os atos delegados e de execução relativos ao formulário de queixa

16.

As informações a incluir no formulário eletrónico de queixa (a seguir designado «formulário») são especificadas no anexo da Proposta ODR. Entre elas figuram os dados pessoais das partes (nome, endereço e, se for caso disso, endereço de correio eletrónico e do sítio Web) e os dados necessários para determinar qual a entidade de RAL competente para dirimir o litígio em causa (lugar de residência do consumidor no momento da encomenda dos bens ou serviços, tipo de bens ou serviços envolvidos, etc.).

17.

A AEPD congratula-se com o disposto no artigo 7.o, n.o 6, que recorda que só os dados exatos, pertinentes e que não sejam desproporcionados podem ser tratados através do formulário e dos respetivos anexos. A lista de dados constante do anexo respeita igualmente o princípio da limitação da finalidade.

18.

Contudo, esta lista pode ser alterada por atos delegados, e as modalidades do formulário serão reguladas por atos de execução (12). A AEPD recomenda que se inclua uma referência à necessidade de consultar a Autoridade Europeia para a Proteção de Dados sempre que esses atos digam respeito ao tratamento de dados pessoais.

III.5.   Medidas de segurança: necessidade de uma avaliação do impacto sobre a privacidade

19.

A AEPD congratula-se com as disposições relativas à confidencialidade e à segurança. Nas medidas de segurança especificadas no artigo 12.o da Proposta ODR incluem-se o controlo do acesso, um plano de segurança e um sistema de gestão de incidentes.

20.

A AEPD recomenda que se acrescente também uma referência à necessidade de realizar uma avaliação do impacto sobre a privacidade (incluindo uma avaliação dos riscos) e ao fato de a conformidade com a legislação em matéria de proteção de dados e a segurança dos dados deverem ser objeto de auditorias e relatórios periódicos.

21.

Além disso, a AEPD gostaria de recordar que o desenvolvimento de instrumentos informáticos para a criação da plataforma de ODR deve integrar a proteção da privacidade e dos dados desde o início da fase de conceção (privacidade desde a conceção), incluindo a utilização de instrumentos (por exemplo, de autenticação e cifragem) que permitam que os utilizadores protejam melhor os dados pessoais.

III.6.   Informação dos titulares dos dados

22.

A AEPD congratula-se com o considerando 21 da Proposta ODR, segundo o qual os titulares dos dados devem ser informados do tratamento dos seus dados pessoais e dos seus direitos, através de uma declaração de confidencialidade dos dados/proteção da vida privada, que deve ser tornada pública. Contudo, a obrigação de informar os titulares dos dados também deveria figurar na parte legislativa da Proposta ODR.

23.

Além disso, também se deverá indicar aos titulares dos dados qual dos responsáveis pelo tratamento tem o dever de assegurar o cumprimento dos seus direitos. A declaração de confidencialidade/proteção da vida privada deve estar claramente visível para qualquer pessoa que preencha o formulário.

IV.   CONCLUSÃO

24.

A AEPD congratula-se com o fato de os princípios de proteção de dados terem sido integrados no texto, nomeadamente no que respeita à limitação da finalidade e do acesso, à limitação do período de conservação e às medidas de segurança. Recomenda, todavia, o seguinte:

que se clarifiquem as responsabilidades dos responsáveis pelo tratamento e se informem os titulares dos dados em conformidade;

que se clarifique a limitação aos direitos de acesso;

que se complementem as disposições relativas à segurança;

que se mencione a necessidade de consultar a AEPD a respeito dos atos delegados e de execução relacionados com o tratamento de dados pessoais.

25.

A AEPD gostaria de recordar também que o tratamento de dados pessoais no âmbito da plataforma de ODR pode ser sujeito a controlo prévio pela AEPD e pelas autoridades nacionais de proteção de dados.

Feito em Bruxelas, em 12 de janeiro de 2012.

Giovanni BUTTARELLI

Autoridade Adjunta Europeia para a Proteção de Dados


(1)  JO L 281 de 23.11.1995, p. 31.

(2)  JO L 8 de 12.1.2001, p. 1.

(3)  COM(2011) 793 final.

(4)  COM(2011) 794 final.

(5)  Considerandos 20 e 21 e artigo 11.o, n.o 4, da Proposta ODR.

(6)  Considerando 16 da Proposta RAL.

(7)  Preâmbulos e exposições de motivos das propostas.

(8)  Cada Estado-Membro terá de designar um ponto de contato de ODR que incluirá, pelo menos, dois facilitadores de ODR. A Comissão deverá criar uma rede de pontos de contacto de ODR.

(9)  Ver também Parecer 1 de 2010 do Grupo de Trabalho do Artigo 29.o sobre os conceitos de «responsável pelo tratamento» e «subcontratante», adotado em 16 de fevereiro de 2010 (WP 169), p. 17-24, disponível em: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf

(10)  Ver artigo 11.o, n.o 2, da Proposta ODR.

(11)  O artigo 27.o do Regulamento (CE) n.o 45/2001 exige que o tratamento de «dados relativos à saúde» e o «tratamento de dados relativos a suspeitas, infrações, condenações penais ou medidas de segurança» sejam sujeitos a controlo prévio pela AEPD. Nos termos do artigo 20.o, n.o 1, da Diretiva 95/46/CE, os tratamentos que possam representar riscos específicos para a proteção de dados, especificados na legislação nacional nessa matéria, são sujeitos a controlo prévio pela autoridade nacional de proteção de dados.

(12)  Considerandos 23-24 e artigo 7.o, n.os 4 e 5, da Proposta ODR.


Top