Decisão da Comissão

de 20 de Dezembro de 2001

nos termos da Directiva 95/46/CE do Parlamento Europeu e do Conselho relativa à adequação do nível de protecção proporcionado pela lei canadiana sobre dados pessoais e documentos electrónicos (Personal Information and Electronic Documents Act)

[notificada com o número C(2001) 4539]

(2002/2/CE)

A COMISSÃO DAS COMUNIDADES EUROPEIAS,

Tendo em conta o Tratado que institui a Comunidade Europeia,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados(1), e, nomeadamente, o n.o 6 do seu artigo 25.o,

Considerando o seguinte:

(1) Nos termos da Directiva 95/46/CE, os Estados-Membros devem garantir que a transferência de dados pessoais para um país terceiro só possa realizar-se se o país terceiro em questão assegurar um nível de protecção adequado e a legislação nacional dos Estados-Membros que transpõe outras disposições da directiva tiver sido respeitada antes de efectuada a transferência.

(2) A Comissão pode determinar que um país terceiro garante um nível de protecção adequado. Nesse caso, podem ser transferidos dados pessoais a partir dos Estados-Membros sem que sejam necessárias garantias adicionais.

(3) Nos termos da Directiva 95/46/CE, a adequação do nível de protecção de dados deve ser apreciada em função de todas as circunstâncias que acompanham a operação de transferência de dados ou o conjunto de operações de transferência de dados, com relação a determinadas regras. O Grupo de Trabalho "Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais" instituído pelo artigo 29.o da Directiva 95/46/CE estabeleceu directrizes para efectuar tal apreciação(2).

(4) Uma vez que existem diferentes níveis de protecção consoante os países terceiros, a adequação terá que ser apreciada e quaisquer decisões com base no n.o 6 do artigo 25.o da Directiva 95/46/CE devem ser tomadas e cumpridas de forma a que não se verifique uma discriminação arbitrária ou injustificada contra ou entre países terceiros, onde prevaleçam condições semelhantes, nem um obstáculo dissimulado ao comércio, tendo em conta os actuais compromissos internacionalmente assumidos pela Comunidade.

(5) A lei canadiana sobre dados pessoais e documentos electrónicos (a lei canadiana) de 13 de Abril de 2000(3) aplica-se às organizações do sector privado que recolhem, utilizam ou divulgam informação pessoal no exercício das suas actividades comerciais. A sua entrada em vigor efectua-se em três fases:

A partir de 1 de Janeiro de 2001, a lei canadiana aplica-se à informação pessoal, com exclusão da relativa à saúde, que as organizações de instalações, obras ou empresas de actividades federais recolhem, utilizam ou divulgam no exercício das suas actividades comerciais. Estas organizações encontram-se em sectores como os transportes aéreos, banca, empresas de radiodifusão, transportes interprovinciais e telecomunicações. A lei canadiana aplica-se ainda a todas as organizações que divulgam informação pessoal no exterior da província ou do Canadá e a dados relativos a empregados de instalações, obras ou empresas de actividades federais.

A partir de 1 de Janeiro de 2002, a lei canadiana será aplicável à informação pessoal relativa à saúde, no caso das organizações e actividades já abrangidas na primeira fase.

A partir de 1 de Janeiro de 2004, a lei canadiana abrangerá todas as organizações que recolhem, utilizam e divulgam informação pessoal no exercício das suas actividades comerciais, quer a organização seja regulamentada a nível federal ou não. A lei canadiana não se aplica a organizações abrangidas pela lei federal sobre protecção da vida privada (Federal Privacy Act) ou reguladas pelo sector público à escala da província, nem a organizações de carácter não lucrativo e a actividades caritativas, a não ser que sejam de natureza comercial. Da mesma forma, não se aplica a dados sobre o emprego utilizados para fins não comerciais, com excepção dos dados relacionados com os empregados do sector privado regulado a nível federal. O Federal Privacy Commissioner do Canadá pode facultar mais informações sobre estes casos.

(6) Para respeitar o direito de as províncias legislarem nos seus domínios de competência, a lei estipula que, em caso de adopção de legislação provincial substancialmente semelhante, pode ser concedida uma exoneração às organizações ou actividades abrangidas por essa mesma legislação provincial sobre protecção da vida privada. A secção 26(2) da lei canadiana sobre dados pessoais e documentos electrónicos autoriza o governo federal, se este constatar que a legislação de uma província é substancialmente semelhante ao disposto na referida secção e se aplica a uma organização ou grupo de organizações, ou a uma actividade ou grupo de actividades, a exonerar a organização, a actividade ou o grupo de actividades, da aplicação do disposto na referida secção, no que respeita à recolha, utilização ou divulgação de informação pessoal no interior da província. As exonerações de leis substancialmente semelhantes são concedidas pelo Governor in Council (governo federal) através de uma Order-in-Council (decreto ministerial).

(7) Sempre que uma província adoptar legislação substancialmente semelhante, as organizações, os grupos de organizações ou de actividades cobertos serão exonerados da aplicação da legislação federal às transacções efectuadas no interior de uma mesma província. A legislação federal continuará a aplicar-se a todas as recolhas, utilizações e divulgações da informação pessoal efectuadas a nível interprovincial e internacional, bem como a todos os casos em que as províncias não tenham previsto, total ou parcialmente, legislação substancialmente semelhante.

(8) Em 29 de Junho de 1984, o Canadá aderiu formalmente às directrizes de 1980 da OCDE em matéria de protecção e transferência transfronteiras de dados pessoais. Este país encontra-se entre os que apoiaram as directrizes das Nações Unidas sobre o tratamento informatizado dos dados pessoais, adoptadas pela Assembleia Geral em 14 de Dezembro de 1990.

(9) A lei canadiana enuncia os princípios básicos necessários a um nível adequado de protecção das pessoas singulares, mesmo quando prevê excepções e limitações tendentes a proteger importantes interesses públicos e a considerar do domínio público um certo tipo de informação. A aplicação destas normas é garantida pelo recurso judiciário e pela supervisão independente, a cargo das autoridades, como o Federal Privacy Commissioner, a entidade federal competente para investigar e intervir. Além disso, as disposições da legislação canadiana em matéria de responsabilidade civil aplicam-se em caso de tratamento ilegal que seja prejudicial para as pessoas em causa.

(10) Num interesse de transparência e para salvaguardar a capacidade de as autoridades competentes nos Estados-Membros assegurarem a protecção das pessoas no que diz respeito ao tratamento de dados pessoais, é necessário precisar na presente decisão as circunstâncias excepcionais em que a suspensão de transferências concretas de dados se pode justificar, apesar de verificado um nível de protecção adequado.

(11) O parecer emitido pelo Grupo de Trabalho "Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais", instituído pelo artigo 29.o da Directiva 95/46/CE, relativo ao nível de protecção facultado pela lei canadiana foi tido em conta na preparação da presente decisão(4).

(12) As medidas previstas pela presente decisão estão em conformidade com o parecer do Comité estabelecido pelo artigo 31.o da Directiva 95/46/CE,

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

Para efeitos do n.o 2 do artigo 25.o da Directiva 95/46/CE, considera-se que o Canadá assegura um nível adequado de protecção dos dados pessoais transferidos a partir da Comunidade para os destinatários sujeitos à lei canadiana sobre dados pessoais e documentos electrónicos (a lei canadiana).

Artigo 2.o

A presente decisão apenas diz respeito à adequação do nível de protecção facultado no Canadá pela lei canadiana, tendo em vista o cumprimento do disposto no n.o 1 do artigo 25.o da Directiva 95/46/CE, e não afecta as condições ou restrições que transponham outras disposições da referida directiva, no que se refere ao tratamento de dados pessoais nos Estados-Membros.

Artigo 3.o

1. Sem prejuízo das competências que lhes permitem agir para assegurar o respeito pelas disposições nacionais adoptadas em conformidade com medidas diferentes das enunciadas no artigo 25.o da Directiva 95/46/CE, as autoridades competentes dos Estados-Membros podem exercer as actuais competências para suspender a transferência de dados para um destinatário no Canadá cujas actividades sejam abrangidas pela lei canadiana, por forma a assegurar a protecção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, sempre que:

a) Uma autoridade canadiana competente verifique que o destinatário desrespeita as normas de protecção aplicáveis; ou

b) Existam fortes probabilidades para supor que as normas de protecção não estão a ser cumpridas; existam motivos suficientes para crer que as autoridades competentes canadianas não tomam ou não tomarão as decisões adequadas na altura devida para resolver o caso em questão; a continuação da transferência dos dados possa causar graves prejuízos às pessoas em causa, embora as autoridades competentes nos Estados-Membros envidem esforços razoáveis, dadas as circunstâncias, para facultar à organização responsável pelo tratamento estabelecida no Canadá a informação e oportunidade para responder.

A suspensão cessará assim que o respeito das normas de protecção estiver assegurado e a autoridade competente em questão na Comunidade Europeia seja disso informada.

2. Os Estados-Membros devem informar imediatamente a Comissão da adopção de medidas nos termos do n.o 1.

3. Os Estados-Membros e a Comissão devem ainda manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de protecção no Canadá não garantam esse mesmo cumprimento.

4. Se a informação recolhida nos termos dos n.os 1, 2 e 3 demonstrar que os organismos responsáveis pelo cumprimento das normas de protecção no Canadá não desempenham eficazmente as suas funções, a Comissão deve informar as autoridades competentes canadianas e, se necessário, apresentar um projecto de medidas, de acordo com o procedimento referido no n.o 2 do artigo 31.o da Directiva 95/46/CE, para revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.

Artigo 4.o

1. A presente decisão pode ser alterada em qualquer altura, à luz da experiência obtida com a sua aplicação ou em caso de alterações da legislação canadiana, incluindo medidas para reconhecer que uma província canadiana possui legislação substancialmente semelhante. A Comissão avaliará a aplicação da presente decisão com base na informação disponível, três anos após a sua notificação aos Estados-Membros, e informará o Comité criado em conformidade com o artigo 31.o da Directiva 95/46/CE de todas as conclusões pertinentes, nomeadamente, de todas as provas que possam afectar a avaliação da adequação do nível de protecção facultado pelo Canadá relativamente ao disposto no artigo 1.o da presente decisão, nos termos do artigo 25.o da Directiva 95/46/CE, e de todas as provas de aplicação discriminatória da presente decisão.

2. A Comissão apresentará, se necessário, projectos de medidas de acordo com o procedimento referido no n.o 2 do artigo 31.o da Directiva 95/46/CE.

Artigo 5.o

Os Estados-Membros tomarão todas as medidas necessárias para dar cumprimento à presente decisão, o mais tardar até noventa dias após a data da sua notificação aos Estados-Membros.

Artigo 6.o

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 20 de Dezembro de 2001.

Pela Comissão

Frederik Bolkestein

Membro da Comissão

(1) JO L 281 de 23.11.1995, p. 31.

(2) WP 12: Transferências de dados pessoais para países terceiros: aplicação dos artigos 25.o e 26.o da directiva da UE sobre protecção de dados, adoptado pelo grupo de trabalho em 24 de Julho de 1998, disponível em http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm.

(3) As versões electrónicas (papel e web) da lei estão disponíveis em http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html e http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. As versões impressas estão disponíveis nos serviços Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9.

(4) Parecer 2/2001 relativo ao nível de adequação proporcionado pela lei canadiana sobre dados pessoais e documentos electrónicos (Personal Information and Electronic Documents Act) - WP 39 de 26 de Janeiro de 2001. Disponível em http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.