02009L0136 — PT — 21.12.2020 — 001.001

Este texto constitui um instrumento de documentação e não tem qualquer efeito jurídico. As Instituições da União não assumem qualquer responsabilidade pelo respetivo conteúdo. As versões dos atos relevantes que fazem fé, incluindo os respetivos preâmbulos, são as publicadas no Jornal Oficial da União Europeia e encontram-se disponíveis no EUR-Lex. É possível aceder diretamente a esses textos oficiais através das ligações incluídas no presente documento

►B

DIRECTIVA 2009/136/CE DO PARLAMENTO EUROPEU E DO CONSELHO

de 25 de Novembro de 2009

que altera a Directiva 2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas, a Directiva 2002/58/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas e o Regulamento (CE) n.o 2006/2004 relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de defesa do consumidor

(Texto relevante para efeitos do EEE)

(JO L 337 de 18.12.2009, p. 11)

Alterada por:

 

 

Jornal Oficial

  n.°

página

data

►M1

DIRETIVA (UE) 2018/1972 DO PARLAMENTO EUROPEU E DO CONSELHO  de 11 de dezembro de 2018

  L 321

36

17.12.2018


Retificada por:

►C1

Rectificação, JO L 241, 10.9.2013, p.  9 (2009/136/CE)

►C2

Rectificação, JO L 162, 23.6.2017, p.  56 (2009/136/CE)



▼B

DIRECTIVA 2009/136/CE DO PARLAMENTO EUROPEU E DO CONSELHO,

de 25 de Novembro de 2009,

que altera a Directiva 2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas, a Directiva 2002/58/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas e o Regulamento (CE) n.o 2006/2004 relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de defesa do consumidor

(Texto relevante para efeitos do EEE)



▼M1 —————

▼B

Artigo 2.o

Alterações à Directiva 2002/58/CE (Directiva «Privacidade e Comunicações Electrónicas»)

A Directiva 2002/58/CE (Directiva «Privacidade e Comunicações Electrónicas») é alterada do seguinte modo:

1. 

No artigo 1.o, o n.o 1 passa a ter a seguinte redacção:

«1.  
A presente directiva prevê a harmonização das disposições dos EstadosMembros necessárias para garantir um nível equivalente de protecção dos direitos e liberdades fundamentais, nomeadamente o direito à privacidade e à confidencialidade, no que respeita ao tratamento de dados pessoais no sector das comunicações electrónicas, e para garantir a livre circulação desses dados e de equipamentos e serviços de comunicações electrónicas na Comunidade.»;
2. 

O artigo 2.o é alterado do seguinte modo:

a) 

A alínea c) passa a ter a seguinte redacção:

«c) 

“Dados de localização”, quaisquer dados tratados numa rede de comunicações electrónicas ou por um serviço de comunicações electrónicas que indiquem a posição geográfica do equipamento terminal de um utilizador de um serviço de comunicações electrónicas acessível ao público;»;

b) 

A alínea e) é suprimida;

►C1  c) 

É aditada a seguinte alínea:

«i) 

“Violação de dados pessoais”, uma ◄ violação da segurança que provoca, de modo acidental ou ilegal, a destruição, a perda, a alteração, a divulgação ou acesso não autorizados a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público na Comunidade.»;

3. 

O artigo 3.o passa a ter a seguinte redacção:

«Artigo 3.o

Serviços abrangidos

A presente directiva é aplicável ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público em redes de comunicações públicas na Comunidade, nomeadamente nas redes públicas de comunicações que servem de suporte a dispositivos de recolha de dados e de identificação.»;

4. 

O artigo 4.o é alterado do seguinte modo:

a) 

A epígrafe passa a ter a seguinte redacção:

«Segurança do processamento»;

b) 

É inserido o seguinte número:

«1-A.  

Sem prejuízo do disposto na Directiva 95/46/CE, as medidas referidas no n.o 1 compreendem, no mínimo:

— 
a garantia de que aos dados pessoais apenas possa ter acesso pessoal autorizado, para fins autorizados a nível legal,
— 
a protecção dos dados pessoais armazenados ou transmitidos contra a destruição acidental ou ilegal, a perda ou alteração acidental e o armazenamento, tratamento, acesso ou divulgação não autorizados ou ilegais, e
— 
a garantia da aplicação de uma política de segurança relativa ao tratamento dos dados pessoais.

As autoridades nacionais competentes devem ter competência para auditar as medidas tomadas por prestadores de serviços de comunicações electrónicas acessíveis ao público e para emitir recomendações sobre melhores práticas relativas ao nível de segurança que estas medidas devem alcançar.»;

c) 

São aditados os seguintes números:

«3.  

No caso de violação de dados pessoais, o prestador dos serviços de comunicações electrónicas acessíveis ao público comunica, sem atraso injustificado, a violação à autoridade nacional competente.

Caso a violação de dados pessoais possa afectar negativamente os dados pessoais e a privacidade do assinante ou de um indivíduo, o prestador notifica essa violação ao assinante ou ao indivíduo sem atraso injustificado.

A notificação de uma violação de dados pessoais a um assinante ou outra pessoa afectada não é exigida se a autoridade competente considerar que o prestador provou cabalmente que tomou as medidas tecnológicas de protecção adequadas e que essas medidas foram aplicadas aos dados a que diz respeito a violação. Essas medidas tecnológicas de protecção devem tornar os dados incompreensíveis para todas as pessoas que não estejam autorizadas a aceder a esses dados.

Sem prejuízo da obrigação que incumbe ao prestador de notificar os assinantes e as pessoas afectadas, se este comunicar ao assinante ou ao indivíduo a violação dos dados pessoais, a autoridade nacional competente, atendendo aos efeitos adversos prováveis da violação, pode exigir essa notificação.

A notificação ao assinante ou ao indivíduo indica, pelo menos, a natureza da violação de dados pessoais e os pontos de contacto onde podem ser obtidas informações complementares e recomendará medidas destinadas a limitar eventuais efeitos adversos da violação dos dados pessoais. A notificação à autoridade nacional competente indica ainda as consequências da violação de dados pessoais e as medidas propostas ou tomadas pelo prestador para fazer face a essa violação.

4.  

As autoridades nacionais competentes podem adoptar orientações, sujeitas às medidas técnicas de execução aprovadas nos termos do n.o 5 e, se for caso disso, emitir instruções sobre as circunstâncias em que os prestadores estão obrigados a comunicar violações de dados pessoais e a forma e processo aplicáveis a essa notificação. As referidas autoridades devem igualmente ter a possibilidade de verificar se os prestadores cumpriram as suas obrigações de notificação nos termos do presente número e aplicar sanções adequadas em caso de não cumprimento.

Os prestadores devem manter um registo das violações de dados pessoais, com a indicação dos factos que lhes dizem respeito, dos seus efeitos e das medidas de reparação tomadas, registo que deve ser suficiente para que as autoridades nacionais competentes possam verificar o cumprimento do disposto no n.o 3. O registo inclui apenas a informação necessária para esse efeito.

5.  

Para assegurar coerência na aplicação das medidas a que se referem os n.os 2, 3 e 4, a Comissão poderá, após consulta da Agência Europeia para a Segurança das Redes e da Informação (ENISA), do Grupo de Protecção das Pessoas no que respeita ao Tratamento de Dados Pessoais instituído nos termos do artigo 29.o da Directiva 95/46/CE, e da Autoridade Europeia para a Protecção de Dados, aprovar medidas técnicas de execução respeitantes às circunstâncias, ao formato e aos procedimentos aplicáveis aos requisitos de informação e notificação a que se refere o presente artigo. Na aprovação dessas medidas, a Comissão deve envolver todos os interessados, de modo, designadamente, a ser informada sobre os melhores meios técnicos e económicos disponíveis para a aplicação do presente artigo.

Essas medidas, que têm por objecto alterar elementos não essenciais da presente directiva, são aprovadas pelo procedimento de regulamentação com controlo a que se refere o n.o 2 do artigo 14.o-A.»;

5. 

No artigo 5.o, o n.o 3 passa a ter a seguinte redacção:

«3.  

Os EstadosMembros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Directiva 95/46/CE, nomeadamente sobre os objectivos do processamento. Tal não impede o armazenamento técnico ou o acesso que tenha como única finalidade efectuar a transmissão de uma comunicação através de uma rede de comunicações electrónicas, ou que seja estritamente necessário ao fornecedor para fornecer um serviço da sociedade da informação que tenha sido expressamente solicitado pelo assinante ou pelo utilizador.»;

6. 

No artigo 6.o, o n.o 3 passa a ter a seguinte redacção:

«3.  

Para efeitos de comercialização dos serviços de comunicações electrónicas ou para a prestação de serviços de valor acrescentado, o prestador de um serviço de comunicações electrónicas acessível ao público pode tratar os dados referidos no n.o 1 na medida do necessário e pelo tempo necessário para a prestação desses serviços ou essa comercialização, se o assinante ou utilizador a quem os dados dizem respeito tiver dado o seu consentimento prévio. Deve ser dada a possibilidade aos utilizadores ou assinantes de retirarem a qualquer momento o seu consentimento para o tratamento dos dados de tráfego.»;

7. 

O artigo 13.o passa a ter a seguinte redacção:

«Artigo 13.o

Comunicações não solicitadas

1.  
A utilização de sistemas de chamada e de comunicação automatizados sem intervenção humana (aparelhos de chamada automáticos), de aparelhos de fax ou de correio electrónico para fins de comercialização directa apenas pode ser autorizada em relação a assinantes que tenham dado o seu consentimento prévio.
2.  
Não obstante o n.o 1, se uma pessoa singular ou colectiva obtiver dos seus clientes as respectivas coordenadas electrónicas de contacto para correio electrónico, no contexto da venda de um produto ou serviço, nos termos da Directiva 95/46/CE, essa pessoa singular ou colectiva pode usar essas coordenadas electrónicas de contacto para fins de comercialização directa dos seus próprios produtos ou serviços análogos, desde que aos clientes tenha sido dada clara e distintamente a possibilidade de recusarem, de forma gratuita e fácil, a utilização dessas coordenadas electrónicas de contacto no momento da respectiva recolha e por ocasião de cada mensagem, quando o cliente não tenha inicialmente recusado essa utilização.
3.  
Os EstadosMembros tomam as medidas adequadas para assegurar que as comunicações não solicitadas para fins de comercialização directa em casos diferentes dos referidos nos n.os 1 e 2 não sejam permitidas quer sem o consentimento dos assinantes ou utilizadores em questão, quer em relação a assinantes ou utilizadores que não desejam receber essas comunicações, sendo a escolha entre estas opções determinada pela legislação nacional, tendo em conta que ambas as opções devem ser gratuitas para o assinante ou utilizador.
4.  
Em todo o caso, é proibida a prática do envio de correio electrónico para fins de comercialização directa, dissimulando ou escondendo a identidade da pessoa em nome da qual é efectuada a comunicação, em violação do artigo 6.o da Directiva 2000/31/CE, sem um endereço válido para o qual o destinatário possa enviar um pedido para pôr termo a essas comunicações ou que incentive os destinatários a visitar sítios internet que violem o disposto no referido artigo.
5.  
O disposto nos n.os 1 e 3 aplica-se aos assinantes que sejam pessoas singulares. Os EstadosMembros asseguram igualmente, no âmbito do direito comunitário e das legislações nacionais aplicáveis, que os interesses legítimos dos assinantes que não sejam pessoas singulares sejam suficientemente protegidos no que se refere a comunicações não solicitadas.
6.  
►C2  Sem prejuízo de eventuais recursos administrativos que venham a ser previstos, nomeadamente ao abrigo do n.o 2 do artigo 15.o-A, os Estados Membros asseguram que as pessoas singulares ou coletivas prejudicadas por infrações às disposições nacionais aprovadas nos termos do presente artigo e que tenham, por conseguinte, um interesse legítimo na cessação ou proibição dessas infrações, ◄ nomeadamente um prestador de serviços de comunicações electrónicas que proteja os seus interesses comerciais legítimos, possam intentar acções judiciais contra tais infracções. Os EstadosMembros podem ainda estabelecer regras específicas sobre as sanções aplicáveis a prestadores de serviços de comunicações electrónicas que pela sua negligência contribuam para infracções às disposições nacionais aprovadas nos termos do presente artigo.»;
8. 

É inserido o seguinte artigo:

«Artigo 14.o-A

Procedimento de comité

1.  
A Comissão é assistida pelo Comité das Comunicações, criado pelo artigo 22.o da Directiva 2002/21/CE (Directiva-Quadro).
2.  
Sempre que se faça referência ao presente número, são aplicáveis os n.os 1 a 4 do artigo 5.o-A e o artigo 7.o da Decisão 1999/468/CE, tendo-se em conta o disposto no seu artigo 8.o.
3.  
Sempre que se faça referência ao presente número, são aplicáveis os n.os 1, 2, 4 e 6 do artigo 5.o-A e o artigo 7.o da Decisão 1999/468/CE, tendo-se em conta o disposto no seu artigo 8.o.»;
9. 

No artigo 15.o é inserido o seguinte número:

«1-B.  
Os prestadores estabelecem procedimentos internos para responder aos pedidos de acesso aos dados pessoais dos utilizadores com base nas disposições nacionais aprovadas nos termos do n.o 1. Aqueles prestam às autoridades nacionais competentes, a pedido destas, informação sobre esses procedimentos, o número de pedidos recebidos, a justificação jurídica invocada e a resposta dada.»;
10. 

É inserido o seguinte artigo:

«Artigo 15.o-A

Aplicação e execução

1.  
Os EstadosMembros estabelecem as regras relativas às sanções, incluindo, se for esse o caso, as de natureza penal, aplicáveis às infracções de disposições nacionais aprovadas por força da presente directiva e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser eficazes, proporcionadas e dissuasivas e podem ser aplicadas para abranger a duração de qualquer infracção, mesmo que tenha posteriormente cessado. Os EstadosMembros notificam essas disposições à Comissão até 25 de Maio de 2011, devendo notificá-la imediatamente de quaisquer alterações subsequentes das mesmas.
2.  
Sem prejuízo de qualquer solução judicial eventualmente disponível, os EstadosMembros asseguram que a autoridade nacional competente e, se for caso disso, outros organismos nacionais disponham de poderes para ordenar a cessação das infracções a que se refere o n.o 1.
3.  
Os EstadosMembros asseguram que as autoridades nacionais competentes e, se for caso disso, outros organismos nacionais, disponham dos poderes e recursos de investigação necessários, nomeadamente o poder de obterem quaisquer informações relevantes de que necessitem para acompanhar e fazer cumprir as disposições nacionais aprovadas nos termos da presente directiva.
4.  

As autoridades reguladoras nacionais competentes podem aprovar medidas para assegurar uma cooperação transfronteiriça eficaz na execução da legislação nacional aprovada nos termos da presente directiva e para criar condições harmonizadas na oferta de serviços que envolvem fluxos transfronteiriços de dados.

As autoridades reguladoras nacionais apresentam à Comissão, em tempo útil antes da aprovação dessas medidas, um resumo dos motivos para a acção, os requisitos previstos e as acções propostas. A Comissão pode, depois de ter examinado essas informações e após consulta da ENISA e do Grupo de Protecção das Pessoas no que respeita ao Tratamento de Dados Pessoais criado nos termos do artigo 29.o da Directiva 95/46/CE, formular observações ou recomendações sobre aquelas, em especial para garantir que os requisitos não afectam negativamente o bom funcionamento do mercado interno. As autoridades reguladoras nacionais têm o mais possível em conta as observações ou recomendações da Comissão ao decidir sobre as medidas.».

Artigo 3.o

Alteração ao Regulamento (CE) n.o 2006/2004

Ao anexo do Regulamento (CE) n.o 2006/2004 (Regulamento relativo à cooperação no domínio da defesa do consumidor) é aditado o seguinte ponto:

«17. 

Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva “Privacidade e Comunicações Electrónicas”): artigo 13.o (JO L 201 de 31.7.2002, p. 37).».

Artigo 4.o

Transposição

1.  

Os EstadosMembros devem aprovar e publicar até 25 de Maio de 2011 as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente directiva. Devem comunicar imediatamente à Comissão o texto das referidas disposições.

Quando os EstadosMembros aprovarem essas disposições, estas devem incluir uma referência à presente directiva ou ser acompanhadas dessa referência aquando da sua publicação oficial. As modalidades dessa referência são aprovadas pelos EstadosMembros.

2.  
Os Estados-Membros comunicam à Comissão o texto das principais disposições de direito interno que aprovarem nas matérias reguladas pela presente directiva.

Artigo 5.o

Entrada em vigor

A presente directiva entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Artigo 6.o

Destinatários

Os EstadosMembros são os destinatários da presente directiva.

▼M1 —————

▼B



ANEXO II



«ANEXO VI

INTEROPERABILIDADE DOS EQUIPAMENTOS DIGITAIS DE CONSUMO REFERIDOS NO ARTIGO 24.o

1.   Algoritmo de cifragem comum e recepção de emissões não cifradas

Todos os equipamentos de consumo destinados à recepção de sinais de televisão digital convencionais (ou seja, a radiodifusão terrestre ou por cabo ou a transmissão por satélite, que se destina principalmente à recepção fixa, como DVB-T, DVS-C ou DVB-S), para venda, locação ou disponibilização a outro título na Comunidade, aptos a descodificar sinais de televisão digital, devem ter capacidade para:

— 
permitir a descodificação desses sinais de acordo com um algoritmo de cifragem comum europeu administrado por um organismo de normalização europeu reconhecido, actualmente o ETSI,
— 
mostrar sinais que tenham sido transmitidos sem codificação desde que o locatário respeite o acordo de aluguer em causa, se o equipamento tiver sido alugado.

2.   Interoperabilidade dos televisores analógicos e digitais

Qualquer televisor analógico com um ecrã de diagonal visível superior a 42 cm que seja colocado no mercado comunitário para venda ou aluguer deve estar equipado com, pelo menos, uma tomada de interface aberta normalizada por um organismo de normalização europeu reconhecido, como, por exemplo, a definida na norma Cenelec EN 50 049-1:1997, que permita a ligação simples de periféricos, nomeadamente descodificadores adicionais e receptores digitais.

Qualquer televisor digital com um ecrã de diagonal visível superior a 30 cm que seja colocado no mercado comunitário para venda ou aluguer deve estar equipado com, pelo menos, uma tomada de interface aberta (normalizada, ou conforme com a norma aprovada, por um organismo de normalização europeu reconhecido ou conforme com uma especificação utilizada pela indústria), como por exemplo, o dispositivo de conexão de interface comum DVB, que permita a ligação simples de periféricos e esteja em condições de transmitir todos os elementos de um sinal de televisão digital, incluindo informações relativas a serviços interactivos e de acesso condicional.»