27.10.2007

Jornal Oficial da União Europeia

C 255/1

Parecer da Autoridade Europeia para a Protecção de Dados respeitante à Comunicação da Comissão ao Parlamento Europeu e ao Conselho sobre o acompanhamento do programa de trabalho para uma melhor aplicação da directiva relativa à protecção de dados

(2007/C 255/01)

A AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS,

Tendo em conta o Tratado que institui a Comunidade Europeia, nomeadamente o artigo 286.o,

Tendo em conta a Carta dos Direitos Fundamentais da União Europeia, nomeadamente o artigo 8.o,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1),

Tendo em conta o Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (2), designadamente o artigo 41.o,

ADOPTOU O SEGUINTE PARECER:

I. INTRODUÇÃO

Em 7 de Março de 2007, a Comissão enviou à AEPD a sua Comunicação ao Parlamento Europeu e ao Conselho sobre o acompanhamento do programa de trabalho para uma melhor aplicação da directiva relativa à protecção de dados (3). A referida Autoridade apresenta o presente parecer nos termos do artigo 41.o do Regulamento (CE) n.o 45/2001.

A comunicação reitera a importância da Directiva 95/46/CE (4) enquanto marco importante na protecção de dados pessoais e analisa a directiva, bem como a sua aplicação, em três capítulos: o passado, o presente e o futuro. A sua principal conclusão é a de que a directiva não deve ser alterada, devendo antes melhorar-se a sua aplicação através de outros instrumentos políticos, maioritariamente não vinculativos.

3.	O presente parecer da AEPD segue a estrutura da comunicação. Mais ainda, a AEPD partilha da principal conclusão da Comissão, ou seja, a de que a Directiva não deve ser alterada.

Todavia, a AEPD assume esta posição também por uma questão de pragmatismo. Eis os seus pontos de partida:

—	A curto prazo, mais vale despender energias em melhorar a aplicação da directiva, pois, como revela a comunicação, ainda é possível melhorá-la substancialmente.

—	A longo prazo, parece inevitável a introdução de alterações na directiva, mantendo embora os seus princípios fundamentais.

—	Deveria fixar-se de imediato uma data precisa para um balanço com vista à elaboração de propostas conducentes às referidas alterações, data essa que daria um claro incentivo para se começar a reflectir desde já sobre as futuras alterações.

Estes pontos de partida são essenciais, pois é necessário ter presente que a directiva funciona num contexto dinâmico. Em primeiro lugar, a União Europeia está a mudar: a livre circulação de informações entre os Estados-Membros — e entre os Estados-Membros e os países terceiros — adquiriu maior importância e tornar-se-á uma realidade ainda mais importante. Em segundo lugar, também a sociedade está a mudar. A sociedade da informação está em evolução e apresenta cada vez mais características de uma sociedade da vigilância (5), o que implica uma maior necessidade de protecção eficaz dos dados pessoais para fazer face a estas novas realidades de modo plenamente satisfatório.

II. PERSPECTIVAS DO PARECER

Na sua avaliação da comunicação, a AEPD abordará em especial as seguintes perspectivas, pertinentes no que respeita às referidas alterações:

—	Melhor aplicação da própria directiva: como tornar a protecção de dados mais eficaz? Para essa melhoria é necessária uma combinação de instrumentos políticos, desde uma melhor comunicação com a sociedade a uma aplicação mais estrita da legislação em matéria de protecção de dados.

—

Interacção com a tecnologia: os novos avanços tecnológicos, designadamente na partilha de dados, sistemas de identificação por radiofrequência (RFID), biometria e sistemas de gestão da identidade, têm repercussões claras nos requisitos de um quadro jurídico eficaz para a protecção de dados. De igual modo, a necessidade de proteger eficazmente os dados pessoais de uma pessoa pode impor restrições à utilização destas novas tecnologias, pelo que a interacção tem duas faces: a tecnologia influencia a legislação e a legislação influencia a tecnologia.

—

Questões globais de protecção da vida privada e a competência relacionadas com as fronteiras externas da União Europeia. Enquanto que a jurisdição do legislador comunitário se limita ao território da União Europeia, as fronteiras externas tornam-se menos relevantes para a circulação de dados. A economia depende cada vez mais de redes globais. As empresas sediadas na União Europeia subcontratam cada vez mais a países terceiros determinadas actividades, nas quais se incluem o tratamento de dados pessoais. Além disso, casos recentes como os da SWIFT e do PNR confirmam que outras jurisdições manifestam interesse nos «dados provenientes da UE». De um modo geral, é menos relevante o local físico de uma operação de tratamento de dados.

—

Protecção de dados e aplicação da lei: as recentes ameaças à sociedade, relacionadas ou não com o terrorismo, fizeram com que surgissem (pedidos no sentido de) mais possibilidades de recolha, armazenamento e intercâmbio de dados pessoais por parte das autoridades de aplicação da lei. Em determinados casos há uma participação activa do sector privado como o demonstram exemplos recentes. A linha de demarcação com o terceiro pilar do Tratado da UE (domínio em que a directiva não se aplica) torna-se, por um lado, mais importante e, por outro, mais esbatida. Existe mesmo o risco de, em determinados casos, os dados pessoais não serem protegidos nem por instrumentos do primeiro nem do terceiro pilares (o «vazio jurídico»).

—	As consequências que terá em todo o caso, para a protecção de dados e para a aplicação da lei, a entrada em vigor do Tratado Reformador, prevista para 2009.

III. O PASSADO E O PRESENTE

Do primeiro relatório sobre a aplicação da directiva relativa à protecção de dados, datado de 15 de Maio de 2003, constava um programa de trabalho para uma melhor aplicação da referida directiva, com uma lista de 10 iniciativas a levar a cabo em 2003 e 2004. A comunicação dá conta do modo como foi realizada cada uma dessas acções.

Com base na análise dos trabalhos efectuados no âmbito do programa de trabalho, a comunicação faz uma avaliação positiva das melhorias alcançadas na aplicação da directiva. Na avaliação da Comissão, sintetizada nos subtítulos do capítulo 2 da comunicação («O presente»), pode ler-se basicamente o seguinte: a aplicação da directiva melhorou, embora alguns Estados-Membros ainda não a apliquem correctamente; continuam a existir divergências, mas essencialmente na margem de manobra prevista na directiva e que, em todo o caso, não constituem um problema real para o mercado interno. As soluções jurídicas previstas na directiva revelaram-se essencialmente adequadas para garantir o direito fundamental à protecção de dados, ao mesmo tempo que respondem à evolução tecnológica e às condições impostas pelo interesse público.

A AEPD partilha das linhas gerais desta avaliação positiva, reconhecendo sobretudo o trabalho considerável realizado no domínio da circulação transfronteiriça de dados: as verificações do nível de protecção no que respeita aos países terceiros, as novas cláusulas contratuais-tipo, a adopção das regras vinculativas das empresas, a reflexão sobre uma interpretação mais uniforme do n.o 1 do artigo 26.o da directiva e as melhorias efectuadas nas notificações nos termos do n.o 2 do artigo 26.o — todos estes elementos visam facilitar as transferências internacionais de dados pessoais. Todavia, a jurisprudência do Tribunal de Justiça (6) demonstrou que ainda há muito a fazer neste sector crucial para se acompanhar a evolução quer no domínio tecnológico quer no da aplicação da lei.

10.

A comunicação revela ainda que a execução e a sensibilização são fundamentais para promover uma melhor aplicação da directiva, devendo ser mais exploradas. Além disso, o intercâmbio de melhores práticas e a harmonização das disposições em matéria de notificação e informação constituem precedentes bem sucedidos em termos de redução da burocracia e dos custos para as empresas.

11.

Ademais, a análise do passado confirma que não se conseguem melhorias sem a participação de um vasto leque de interessados. A Comissão, as autoridades responsáveis pela protecção de dados e os Estados-Membros são os principais intervenientes na maioria das acções realizadas. Todavia, o papel do sector privado adquire uma importância cada vez maior, especialmente no tocante à promoção da auto-regulação e dos códigos de conduta europeus ou ao desenvolvimento de tecnologias de protecção da privacidade.

IV. O FUTURO

A. Conclusão: não alterar a directiva agora.

12.	Existem várias razões para secundar a conclusão da Comissão de que, nas actuais circunstâncias e a curto prazo, não se deve contemplar nenhuma proposta de alteração da directiva.

13.

A Comissão aduz basicamente duas razões que sustentam a conclusão: primeiro, não foram cabalmente exploradas todas as potencialidades da directiva, sendo ainda possível melhorar consideravelmente a sua aplicação nos domínios de competência dos Estados-Membros; segundo, a Comissão afirma que, embora a directiva deixe uma margem de manobra aos Estados-Membros, não existem provas de que as divergências dentro dessa margem constituam problemas reais para o mercado interno.

14.	Com base nestas duas razões, a Comissão formula a sua conclusão do seguinte modo: explica o que a directiva deveria fazer, nomeadamente garantir a confiança, afirmando depois que a directiva constitui uma referência, é tecnicamente neutra e continua a dar respostas sérias e adequadas (7).

15.

A AEPD congratula-se com o modo como esta conclusão está formulada, embora entenda que a mesma ainda pode ser reforçada com base em dois motivos adicionais:

—	primeiro, a natureza da directiva,

—	segundo, a política legislativa da União.

Natureza da directiva

16.

O direito fundamental das pessoas singulares à protecção dos respectivos dados pessoais é reconhecido no artigo 8.o da Carta dos Direitos Fundamentais da União e consignado, designadamente, na Convenção n.o 108 do Conselho da Europa, de 28 de Janeiro de 1981, para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal. No essencial, a directiva constitui um quadro que contém os principais elementos de protecção desse direito fundamental, consubstanciando e ampliando os direitos e liberdades contidos na Convenção (8).

17.

Um direito fundamental visa proteger os cidadãos em todas as circunstâncias numa sociedade democrática. Os principais elementos de um direito desta natureza não devem ser alterados com facilidade em função da evolução da sociedade ou das preferências políticas dos governos no poder. Por exemplo, as ameaças feitas à sociedade por organizações terroristas podem conduzir a um resultado diferente em determinados casos, porquanto pode haver necessidade de uma maior interferência num direito fundamental de uma pessoa, mas nunca podem afectar os elementos essenciais do próprio direito, nem privar alguém de o exercer ou restringir indevidamente o seu exercício.

18.

A segunda característica da directiva consiste em prever a promoção da livre circulação de informações no mercado interno. Este segundo objectivo também pode ser considerado fundamental num mercado interno em constante evolução e sem fronteiras internas. A harmonização das disposições essenciais do direito nacional é um dos principais instrumentos para garantir a realização e o funcionamento desse mercado interno; consubstancia a confiança mútua, entre os Estados-Membros, nos respectivos ordenamentos jurídicos nacionais. Também por estas razões há que ponderar devidamente as alterações, pois podem afectar essa confiança recíproca.

19.

A terceira característica da directiva é que deve ser encarada como um quadro geral no qual se baseiam instrumentos jurídicos específicos, que incluem medidas de execução do quadro geral, bem como quadros específicos para determinados sectores. A Directiva 2002/58/CE relativa à privacidade e às comunicações electrónicas (9) constitui um desses quadros específicos. Sempre que possível, a evolução da sociedade deverá conduzir a alterações das medidas de execução ou dos quadros jurídicos específicos, e não do quadro geral em que se baseiam.

Política legislativa da União

20.

No entender da AEPD, a conclusão de não alterar para já a directiva é também a consequência lógica dos princípios gerais de boa administração e política legislativa. Só devem ser apresentadas as propostas legislativas — independentemente de implicarem novos domínios de acção comunitária ou alterarem instrumentos legislativos vigentes — cuja necessidade e proporcionalidade forem suficientemente demonstradas. Não deve ser apresentada nenhuma proposta legislativa se se puder atingir o mesmo resultado utilizando outros instrumentos de menor alcance.

21.

Nas actuais circunstâncias, não se demonstrou a necessidade e proporcionalidade de uma alteração da directiva. A AEPD recorda que a directiva estabelece um quadro geral para a protecção de dados nos termos do direito comunitário. Deve assegurar, por um lado, a protecção dos direitos e liberdades das pessoas, nomeadamente do direito à privacidade, no domínio do tratamento de dados pessoais e, por outro, a livre circulação de dados pessoais no mercado interno.

22.

Este quadro geral não deve ser alterado enquanto não tiver sido plenamente aplicado nos Estados-Membros, a menos que haja indicações claras de que os objectivos da directiva não podem ser cumpridos no âmbito do referido quadro. No entender da AEPD a Comissão justificou adequadamente — nas actuais circunstâncias — a ideia de que não foram cabalmente exploradas todas as potencialidades da directiva (cf. Capítulo III do presente parecer). Também não existem provas de que os objectivos não possam ser atingidos no âmbito do actual quadro.

B. A longo prazo, as alterações parecem inevitáveis

23.

Há que velar também futuramente por que os princípios em matéria de protecção de dados ofereçam uma protecção eficaz às pessoas singulares, tendo presentes o contexto dinâmico em que a directiva funciona (cf. o ponto 5 do presente parecer) e as perspectivas enunciadas no ponto 6: melhor aplicação, interacção com a tecnologia, privacidade e competência a nível global, protecção de dados e aplicação da lei, bem como um Tratado Reformador. Esta necessidade de plena aplicação dos princípios em matéria de protecção de dados estabelece as normas para as futuras alterações da directiva. A AEPD recorda mais uma vez que, a longo prazo, se afigura inevitável alterar a directiva.

24.

No que respeita ao cerne de eventuais futuras medidas, a AEPD faculta desde já alguns elementos que considera essenciais em qualquer sistema futuro de protecção de dados na União Europeia, a saber:

—	Não são necessários novos princípios, embora sejam claramente necessários outros mecanismos administrativos que, por um lado, sejam eficazes e adequados a uma sociedade em rede e, por outro, minimizem os custos administrativos.

—

Não deve ser alterado o vasto âmbito de aplicação da legislação em matéria de protecção de dados, que deverá aplicar-se a todo o tipo de utilização de dados pessoais e não se restringir aos dados sensíveis, nem a interesses qualificados ou a riscos especiais. Por outras palavras, a AEPD rejeita uma abordagem «de minimis» para o âmbito de aplicação da protecção de dados, o que garante que os titulares possam exercer os seus direitos em todas as situações.

—

A legislação em matéria de protecção de dados deverá continuar a abranger uma grande diversidade de situações, mas simultaneamente permitir uma abordagem equilibrada em casos concretos, tendo em conta outros interesses (públicos ou privados) justificados, bem como a necessidade de limitar ao mínimo as consequências burocráticas. Este sistema deverá também permitir que as autoridades responsáveis pela protecção de dados estabeleçam prioridades e se centrem em domínios ou questões que se revistam de especial importância ou apresentem riscos específicos.

—	O sistema deverá aplicar-se plenamente à utilização de dados pessoais para efeitos de aplicação da lei, embora possam ser necessárias medidas suplementares adequadas para fazer face a problemas especiais neste domínio.

—	Haverá que celebrar acordos adequados com países terceiros em matéria de circulação de dados, baseados tanto quanto possível nas normas mundiais relativas à protecção de dados.

25.

Relativamente aos desafios colocados pelas novas tecnologias, a comunicação menciona o exame em curso da Directiva 2002/58/CE e a eventual necessidade de normas mais específicas que permitam abordar as questões da protecção de dados suscitadas por novas tecnologias como a Internet e a RFID (10). A AEPD congratula-se com esse exame e com essas futuras medidas, que no seu entender não deveriam, contudo, prender-se apenas com a evolução tecnológica, mas ter em conta todo o contexto dinâmico e, numa perspectiva a longo prazo, incluir também a Directiva 95/46/CE. Além disso, é necessária uma maior focalização neste contexto. Infelizmente, a comunicação deixa vários pontos em aberto:

—	Não existe nenhum calendário para a realização das diferentes actividades mencionadas no Capítulo 3 da comunicação,

—	Não foi fixado um prazo para a subsequente apresentação de um relatório sobre a aplicação da directiva. Nos termos do artigo 33.o da directiva, a Comissão apresentará «periodicamente» um relatório, embora a periodicidade também não esteja especificada,

—	Não existe nenhum mandato: a comunicação não prevê que seja avaliada a realização das actividades previstas. Refere-se apenas ao programa de trabalho apresentado em 2003,

—	Não existem indicações sobre como proceder a longo prazo.

A AEPD sugere que a Comissão especifique estes elementos.

V. PERSPECTIVAS QUANTO A FUTURAS ALTERAÇÕES

A. Plena aplicação

26.

Qualquer futura alteração deve ser precedida da plena aplicação das actuais disposições da directiva. Essa aplicação começa pelo cumprimento dos requisitos jurídicos da directiva. Pode ler-se na comunicação (11) que alguns Estados-Membros não conseguiram incorporar importantes disposições da directiva, destacando nomeadamente a este respeito as disposições relativas à independência das autoridades de controlo. Cabe à Comissão controlar o cumprimento dessas disposições e, se considerar adequado, fazer uso dos poderes que lhe são conferidos pelo artigo 226.o do TCE.

27.	A comunicação prevê uma comunicação interpretativa sobre algumas disposições, em especial as que podem culminar em processos formais por incumprimento, nos termos do artigo 226.o do TCE.

28.

Além disso, a directiva apresenta outros mecanismos para melhorar a aplicação. Nomeadamente, as atribuições do Grupo do artigo 29.o, enumeradas no artigo 30.o da directiva, que foram concebidas para esse efeito, visam fomentar a aplicação nos Estados-Membros a um nível elevado e harmonizado de protecção de dados que exceda o estritamente necessário para cumprir as obrigações da directiva. No exercício das suas funções, o referido grupo elaborou ao longo dos anos inúmeros pareceres e outros documentos.

29.

Segundo a AEPD, a plena aplicação da directiva inclui os dois seguintes elementos:

—

É necessário garantir que os Estados-Membros respeitem plenamente as obrigações que lhes incumbem em virtude do direito europeu. Isso significa, não só que as disposições da directiva devem ser transpostas para as legislações nacionais, mas também que, na prática, os objectivos definidos pela directiva devem ser atingidos.

—	É necessário recorrer plenamente a outros instrumentos, não vinculativos, susceptíveis de contribuir para a obtenção de um nível elevado e harmonizado de protecção de dados.

A AEPD sublinha que é necessário fazer uma distinção clara entre estes dois elementos, em virtude das diferentes consequências do ponto de vista jurídico e das responsabilidades conexas. Concretamente, a Comissão deveria ter plenas competências no que respeita ao primeiro elemento, enquanto que o grupo acima mencionado deveria desempenhar o papel principal no que se refere ao segundo elemento.

30.

Outra distinção, mais precisa, que é igualmente necessário fazer está relacionada com os instrumentos disponíveis para alcançar uma melhor aplicação da directiva. Entre estes contam-se:

—	Medidas de execução. Estas medidas — adoptadas pela Comissão segundo o procedimento de comité — estão previstas no Capítulo IV da directiva, relativo à transferência de dados pessoais para países terceiros (cf. n.o 6 do artigo 25.o e n.o 3 do artigo 26.o),

—	Legislação sectorial,

—	Processos por incumprimento ao abrigo do artigo 226.o do Tratado CE,

—	Comunicações interpretativas. Este tipo de comunicação poderá incidir sobre as disposições susceptíveis de culminar em processos de infracção e/ou servir principalmente como orientação para a protecção de dados na prática (cf. também pontos 57 a 62) (12),

—	Outras comunicações. A título de exemplo, veja-se a comunicação da Comissão ao Parlamento e ao Conselho sobre tecnologias de protecção da privacidade,

—	Promoção das melhores práticas. Este instrumento pode ser utilizado em diversos domínios, nomeadamente na simplificação administrativa, auditorias, controlo da aplicação e sanções, etc. (cf. também pontos 63 a 67).

31.

A AEPD sugere à Comissão que indique claramente como irá utilizar estes diferentes instrumentos quando elaborar as suas políticas com base na presente comunicação. Neste contexto, a Comissão deverá também estabelecer uma distinção clara entre o que é da sua competência e o que é da competência do Grupo. Para além disso, é evidente que uma boa cooperação entre a Comissão e o Grupo é, em todas as circunstâncias, uma condição necessária para o êxito.

B. Interacção com a tecnologia

32.

Parte-se do princípio de que as disposições da directiva são formuladas de modo tecnicamente neutro. A comunicação estabelece um elo entre a tónica dada à neutralidade tecnológica e um certo número de progressos tecnológicos, tais como a Internet, os serviços de acesso prestados em países terceiros, o RFID e a combinação de dados constituídos por sons ou imagens com reconhecimento automático. A comunicação distingue dois tipos de acções: primeiro, orientações precisas sobre a aplicação dos princípios relativos à protecção de dados num ambiente tecnológico em evolução, desempenhando o Grupo, e o seu Grupo de Missão da Internet (13), um papel importante neste contexto; segundo, a elaboração de legislação sectorial específica, que poderia ser proposta pela própria Comissão.

33.

A AEPD congratula-se com esta abordagem, que constitui uma primeira etapa importante. Todavia, a longo prazo, poderão ser necessárias outras medidas de carácter mais essencial. A comunicação poderá constituir um ponto de partida para esta abordagem a longo prazo. A AEPD sugere que na sequência da comunicação seja lançado o debate sobre a referida abordagem. Os pontos seguidamente enumerados poderão eventualmente fazer parte dessa abordagem.

34.

Em primeiro lugar, a interacção com as tecnologias funciona do seguinte modo: por um lado, as novas tecnologias em desenvolvimento podem fazer com que seja necessário alterar o quadro jurídico que rege a protecção de dados. Por outro lado, a necessidade de proteger de modo eficaz os dados de carácter pessoal das pessoas singulares pode exigir que sejam impostas novas limitações ou definidas garantias adequadas sobre a utilização de certas tecnologias, o que constitui uma consequência ainda mais vasta. No entanto, as novas tecnologias poderão igualmente ser utilizadas, de modo eficaz e fidedigno, em moldes que respeitem a vida privada.

35.

Em segundo lugar, poderão ser necessárias certas limitações específicas se as novas tecnologias forem utilizadas por instituições estatais no exercício das suas funções públicas. Os debates sobre a interoperabilidade e o acesso aos dados que estão actualmente em curso no espaço de liberdade, de segurança e de justiça, a propósito da aplicação do Programa da Haia, constituem um bom exemplo (14).

36.

Em terceiro lugar, existe uma tendência cada vez maior para a utilização de material biométrico, como o material ADN, mas não só. Os desafios específicos lançados pela utilização de dados pessoais extraídos deste tipo de material poderão ter consequências para a legislação relativa à protecção de dados.

37.

Em quarto lugar, há que constatar que a própria sociedade evolui e se parece cada vez mais com uma sociedade da vigilância (15). Esta evolução deverá ser objecto de um debate de fundo, no âmbito do qual poderão ser abordadas questões essenciais, como saber se tal evolução é inevitável; se é da competência do legislador europeu intervir na mesma, a fim de a limitar, e se, e como, poderá tomar medidas eficazes, etc..

C. Respeito da vida privada e competência a nível mundial

38.

A noção de respeito da vida privada e de competência a nível mundial desempenha um papel limitado na comunicação. Neste contexto, a única intenção é a de que a Comissão continuará a exercer o seu acompanhamento e a contribuir para os debates nas instâncias internacionais, por forma a garantir a coerência entre os compromissos assumidos pelos Estados-Membros e as obrigações que lhes são impostas pela directiva. Para além disso, a comunicação enumera diversas acções realizadas tendo em vista simplificar as obrigações em matéria de transferências internacionais (cf. Capítulo III do presente parecer).

39.	A AEPD lamenta que a comunicação não tenha dado um lugar de maior destaque a esta questão.

40.

Actualmente, o Capítulo IV da directiva (artigos 25.o e 26.o) prevê um regime especial aplicável à transferência de dados para países terceiros, para além das regras gerais relativas à protecção de dados. Este regime foi elaborado ao longo dos anos com o objectivo de encontrar um justo equilíbrio entre a protecção das pessoas cujos dados devam ser transferidos para países terceiros e, nomeadamente, os imperativos do comércio internacional e a realidade das redes mundiais de telecomunicações. A Comissão e o Grupo (16), e também, por exemplo, a Câmara de Comércio Internacional, envidaram muitos esforços para que este sistema funcione, através de verificações da adequação, cláusulas contratuais-tipo, regras vinculativas das empresas, etc..

41.

O acórdão do Tribunal de Justiça no processo Lindqvist (17) reveste uma importância especial para a aplicabilidade do sistema à Internet. O Tribunal de Justiça, após ter sublinhado o carácter ubíquo das informações que se encontram na Internet, decidiu que a inscrição de dados numa página Internet — ainda que os dados se tornem deste modo acessíveis às pessoas de países terceiros que tenham os meios técnicos de aceder aos mesmos — não constitui transferência para um país terceiro.

42.

Este sistema, que é uma consequência lógica e necessária das limitações territoriais da União Europeia, não pode oferecer uma protecção completa ao titular de dados europeu numa sociedade que funciona em rede, onde as fronteiras físicas perdem a sua importância (ver os exemplos referidos no ponto 6 do presente parecer): a informação que se encontra na Internet é omnipresente, mas a competência do legislador europeu não o é.

43.

O desafio consistirá em encontrar soluções práticas que conciliem a necessidade de proteger os titulares de dados europeus com as limitações territoriais da União Europeia e dos seus Estados-Membros. A AEPD — no seu comentário sobre a comunicação da Comissão intitulada «Uma estratégia relativa à dimensão externa do espaço de liberdade, segurança e justiça» — já encorajou a Comissão a desempenhar um papel proactivo, a fim de promover a protecção dos dados pessoais a nível internacional, apoiando as abordagens bilaterais e multilaterais com os países terceiros e a cooperação com outras organizações internacionais (18).

44.

Tais soluções práticas incluem nomeadamente:

—	Definir melhor o quadro mundial para a protecção de dados; poderão servir de base as normas reconhecidas a nível mais geral, tais como as linhas directrizes da OCDE relativas à protecção de dados (1980) e as linhas directrizes da ONU,

—	Aperfeiçoar o regime especial aplicável à transferência de dados para países terceiros, previsto no Capítulo IV da directiva (artigos 25.o e 26.o),

—	Celebrar acordos internacionais em matéria de competência ou acordos similares com países terceiros,

—	Investir em mecanismos de respeito das normas a nível mundial, nomeadamente o recurso a regras vinculativas das empresas pelas multinacionais, independentemente do local onde estas procedam ao tratamento de dados pessoais.

45.

Nenhuma destas soluções é nova. Todavia, é necessário ter uma visão sobre o modo de utilizar esses métodos o mais eficazmente possível e de garantir que as normas relativas à protecção de dados — que são qualificadas como direitos fundamentais na União Europeia — sejam também eficazes numa sociedade que funciona em rede à escala mundial. A AEPD convida a Comissão a começar a desenvolver esta visão com as principais partes interessadas.

D. Aplicação da lei

46.

A comunicação dá particular atenção às condições impostas pelo interesse público, nomeadamente em matéria de segurança. Explica o n.o 2 do artigo 3.o da directiva e a interpretação dada pelo Tribunal de Justiça no seu acórdão PNR (19), bem como o artigo 13.o da directiva, nomeadamente em conjugação com a jurisprudência do Tribunal Europeu dos Direitos do Homem. Além disso, a comunicação sublinha que, quando concilia medidas destinadas a garantir a segurança com direitos fundamentais não negociáveis, a Comissão vela por que os dados pessoais sejam protegidos, como garantido no artigo 8.o da CEDH. Este princípio aplica-se também ao diálogo transatlântico com os Estados Unidos da América.

47.

A AEPD considera que é importante que a Comissão reitere com igual clareza as obrigações, que incumbem à União em conformidade com o artigo 6.o do TUE, de respeitar os direitos fundamentais como garantido pela Convenção Europeia dos Direitos do Homem. Esta declaração é tanto mais importante agora que o Conselho Europeu decidiu que, por força do Tratado Reformador, a Carta dos Direitos Fundamentais da União Europeia deverá ser juridicamente vinculativa. O artigo 8.o da Carta prevê que todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes digam respeito.

48.

É do conhecimento geral que os pedidos apresentados pelos serviços de aplicação da lei no sentido de poderem utilizar de modo mais alargado os dados de carácter pessoal para efeitos de luta contra a criminalidade — para não referir a luta contra o terrorismo — apresentam o risco de reduzir o nível de protecção do cidadão, mesmo abaixo do nível garantido pelo artigo 8.o da CEDH e/ou pela Convenção n.o 108 do Conselho da Europa (20). Estas preocupações constituem um dos elementos principais do terceiro parecer da AEPD, publicado em 27 de Abril de 2007, sobre a proposta de decisão-quadro do Conselho relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal.

49.

Neste contexto é essencial tomar como base, para efeitos de protecção do cidadão, a norma de protecção definida pela directiva, inclusive em relação aos pedidos apresentados pelos serviços de aplicação da lei. A CEDH e a Convenção n.o 108 prevêem um nível mínimo de protecção, mas não dão a precisão necessária. Além disso, foi necessário adoptar medidas complementares para garantir uma protecção adequada do cidadão. Esta necessidade foi um dos principais factores que levaram à adopção da directiva em 1995 (21).

50.

É também fundamental que este nível de protecção seja garantido de modo eficaz em todas as situações em que os dados pessoais sejam tratados para fins repressivos. Embora a comunicação não tenha por objecto o tratamento de dados no terceiro pilar, trata pertinentemente da situação em que os dados recolhidos (e tratados) para efeitos comerciais são utilizados para fins repressivos. Esta é uma situação que se está a generalizar, uma vez que os serviços de polícia recorrem cada vez mais a informações que estão na posse de terceiros. A Directiva 2006/24/CE (22) é a melhor ilustração desta tendência: esta directiva obriga os fornecedores de comunicações electrónicas a conservar (durante um período mais longo) os dados que recolheram (e armazenaram) para efeitos comerciais, a fim de responderem às necessidades dos serviços de aplicação da lei. Segundo a AEPD, há que garantir plenamente que os dados pessoais recolhidos e tratados no quadro da directiva sejam devidamente protegidos quando utilizados para fins ligados ao interesse público e, nomeadamente, para efeitos de segurança e de luta contra o terrorismo. Todavia, em certos casos, estas últimas finalidades poderão ultrapassar o âmbito de aplicação da directiva.

51.

Estas observações levam a AEPD a apresentar à Comissão as seguintes sugestões:

—

É necessário efectuar uma reflexão mais aprofundada sobre as implicações que tem para a protecção de dados o envolvimento de empresas privadas nas actividades de aplicação da lei, tendo em vista assegurar que os princípios consignados na Directiva 95/46/CE se apliquem plenamente a estas situações, e que não haja lacunas que possam afectar o direito fundamental dos cidadãos à protecção de dados. Em particular, há que velar por que os dados pessoais recolhidos no quadro da directiva sejam correcta e sistematicamente protegidos, inclusive quando sejam posteriormente tratados para efeitos do interesse público, quer estes entrem no âmbito de aplicação da directiva, quer o ultrapassem,

—

De qualquer modo, esta reflexão deverá incluir as lacunas do actual quadro jurídico, ou seja, os casos em que o limite entre o primeiro e o terceiro pilares não está claramente definido e em que poderá mesmo haver situações em que não existe nenhuma base adequada para adoptar um instrumento jurídico relativo à protecção de dados (23),

—

O artigo 13.o da directiva, que permite prever derrogações e restrições aos princípios que regem a protecção de dados quando tal é necessário, nomeadamente tendo em vista a salvaguarda do interesse público, deverá ser interpretado de modo a preservar o seu efeito útil enquanto interface e garantia essenciais para os dados pessoais recolhidos no quadro do âmbito de aplicação da directiva, em conformidade com o acórdão do Tribunal de Justiça no processo Österreichischer Rundfunk (24) e a jurisprudência do Tribunal Europeu dos Direitos do Homem,

—	Há que analisar a possibilidade de propor legislação destinada a harmonizar as condições e as salvaguardas para o recurso às derrogações previstas no artigo 13.o.

E. Possível situação no contexto do Tratado Reformador

52.

A Comissão aflora na sua comunicação o impacto — enorme — do Tratado Constitucional no domínio da protecção de dados. Com efeito, esse Tratado — actualmente o Tratado Reformador — é de uma importância vital nesta matéria. O Tratado porá termo à estrutura em pilares, a disposição relativa à protecção de dados (actualmente o artigo 286.o do CE) será esclarecida e a Carta dos Direitos Fundamentais da União Europeia, que inclui no seu artigo 8.o uma disposição relativa à protecção de dados, passará a ser um instrumento vinculativo.

53.

O mandato da Conferência Intergovernamental (CIG) contempla especificamente a protecção de dados. Na alínea f) do seu ponto 19 são feitas essencialmente três afirmações. Em primeiro lugar, as regras gerais em matéria de protecção de dados não prejudicam as regras específicas adoptadas no âmbito do Título PESC (actual segundo pilar). Em segundo lugar, será aprovada uma declaração sobre a protecção de dados no âmbito da cooperação policial e judiciária em matéria penal (actual terceiro pilar). E, em terceiro lugar, serão aprovadas menções específicas nos protocolos pertinentes sobre a posição de cada Estado-Membro (este aspecto está sobretudo relacionado com a posição específica do Reino Unido no que se refere à cooperação policial e judiciária em matéria penal).

54.

É o segundo aspecto — a declaração — que terá de ser esclarecido a nível da CIG. Haverá que ponderar devidamente as consequências do fim da estrutura em pilares, assim como a possível aplicabilidade da directiva relativa à cooperação policial e judiciária em matéria penal, por forma a assegurar uma aplicação tão ampla quanto possível dos princípios de protecção de dados consignados na directiva. O presente parecer não é a via mais apropriada para aprofundar esta questão. A AEPD enviou à Presidência da CIG uma carta com sugestões para a declaração. (25)

VI. INSTRUMENTOS PARA MELHORAR A APLICAÇÃO DA DIRECTIVA

A. Generalidades

55.

A comunicação faz referência a uma série de instrumentos e acções que poderão contribuir para melhorar no futuro a aplicação da directiva. A AEPD gostaria de fazer alguns comentários a este respeito, explorando simultaneamente outros instrumentos suplementares que não são mencionados na comunicação.

B. Legislação sectorial

56.

Em certos casos, pode ser necessária uma acção legislativa específica a nível da UE. A adopção de legislação sectorial, por exemplo, poderá vir a revelar-se necessária a fim de adaptar os princípios da directiva às questões suscitadas por algumas tecnologias, como no caso das directivas relativas à privacidade no sector das telecomunicações. Convirá reflectir seriamente sobre o recurso a legislação específica, designadamente em sectores como as tecnologias RFID (identificação por radiofrequência).

C. Processos por incumprimento

57.

O instrumento mais poderoso referido na comunicação é o processo por incumprimento. A comunicação identifica uma matéria problemática específica, nomeadamente a independência e as competências das autoridades responsáveis pela protecção de dados, e apenas se refere a outras matérias em termos gerais. A AEPD partilha da opinião de que os processos por incumprimento constituem um instrumento essencial e inevitável, se os Estados-Membros não assegurarem a implementação integral da directiva, especialmente tendo em conta que já decorreram quase nove anos desde o prazo de implementação da directiva e que já teve lugar o diálogo estruturado previsto no programa de trabalho. Todavia, até hoje, não foi instaurado no Tribunal de Justiça nenhum processo por incumprimento da Directiva 95/46.

58.

Uma análise comparativa de todos os casos de transposição supostamente incorrecta ou incompleta (26), bem como uma comunicação interpretativa, podem certamente melhorar a coesão do papel da Comissão enquanto guardiã dos Tratados. Porém, a preparação destes instrumentos, que pode exigir um certo tempo e algum esforço, não deverá provocar atrasos nos processos por incumprimento nos domínios em que já tenha sido claramente identificada pela Comissão uma transposição ou uma prática incorrecta.

59.

Por conseguinte, a AEPD exorta a Comissão a procurar obter uma melhor implementação da directiva, se necessário através de processos por incumprimento. Neste contexto, a AEDP utilizará as suas competências de intervenção perante o Tribunal de Justiça a fim de intervir, se for caso disso, em processos por incumprimento relativos à implementação da Directiva 95/46 ou a outros instrumentos jurídicos no domínio da protecção de dados pessoais.

D. Comunicação interpretativa

60.

A comunicação refere-se igualmente a uma comunicação sobre a interpretação de algumas disposições, na qual a Comissão tenciona clarificar a sua interpretação das disposições da directiva cuja implementação é considerada problemática e pode, portanto, conduzir a processos por incumprimento. A AEPD congratula-se pelo facto de que, neste contexto, a Comissão levará em conta o trabalho em matéria de interpretação conduzido pelo Grupo. De facto, é essencial que a posição do Grupo seja devidamente tida em conta quando for redigida a esperada comunicação interpretativa e que o Grupo seja convenientemente consultado, de modo a contribuir com a sua experiência sobre a aplicação da directiva a nível nacional.

61.

Além disso, a AEDP confirma a sua disponibilidade para aconselhar a Comissão em todas as matérias relativas à protecção de dados pessoais. O mesmo é válido no que se refere aos instrumentos, tais como comunicações da Comissão, que não são vinculativos mas que no entanto têm por objectivo definir a política da Comissão no domínio da protecção de dados pessoais. No caso das comunicações, para que esse papel de aconselhamento seja eficaz, a consulta à AEPD deverá ter lugar antes de a comunicação interpretativa ser adoptada (27). O papel de aconselhamento tanto do Grupo do artigo 29.o como da AEPD proporcionará mais-valia a essa comunicação, ao mesmo tempo que preservará a independência da Comissão ao decidir autonomamente do início de processos por incumprimento relativos à implementação da directiva.

62.

A AEPD regista com agrado que a comunicação tratará apenas um número limitado de artigos, permitindo assim focar a atenção em questões mais sensíveis. Nesta perspectiva, a AEPD chama a atenção da Comissão para as seguintes questões, que merecem especial atenção na comunicação interpretativa:

—	Conceito de dados pessoais (28),

—	Definição do papel do responsável pelo controlo ou pelo tratamento dos dados,

—	Determinação da legislação aplicável,

—	Princípio da limitação da finalidade e utilização incompatível,

—	Razões jurídicas para o tratamento de dados, especialmente no que se refere ao consentimento inequívoco e ao equilíbrio de interesses.

E. Outros instrumentos, não vinculativos

63.

Outros instrumentos, não vinculativos, deverão desenvolver de modo proactivo a conformidade com os princípios de protecção de dados, especialmente nos novos ambientes tecnológicos. Essas medidas deverão assentar no princípio da «privacidade na concepção», assegurando que a arquitectura das novas tecnologias seja desenvolvida e concebida tendo convenientemente em conta os princípios da protecção de dados. A promoção de produtos tecnológicos conformes com a privacidade deverá ser um elemento crucial num contexto em que se está a desenvolver rapidamente a utilização omnipresente de computadores.

64.

Estreitamente associada a tudo isto encontra-se a necessidade de alargar o leque de interessados no reforço da legislação em matéria de protecção de dados. Por um lado, a AEPD apoia decididamente o papel fundamental das autoridades responsáveis pela protecção de dados na aplicação dos princípios da directiva, mediante a plena utilização das suas competências e das possibilidades de coordenação no seio do Grupo do artigo 29.o. A aplicação mais efectiva da directiva é igualmente um dos objectivos da «iniciativa de Londres».

65.

Por outro lado, a AEPD salienta a conveniência de promover a aplicação dos princípios da protecção de dados no sector privado, através da auto-regulação e da concorrência. A indústria deverá ser incentivada a implementar os princípios da protecção de dados e a competir no desenvolvimento de produtos e serviços que respeitem a privacidade, como forma de expandir a sua posição no mercado respondendo melhor às expectativas dos consumidores que desejam proteger a sua privacidade. Neste contexto, pode-se considerar um bom exemplo a criação de rótulos de protecção da privacidade, que poderão ser atribuídos a produtos e serviços previamente submetidos a um processo de certificação (29).

66.

A AEPD gostaria também de chamar a atenção da Comissão para outras ferramentas que, embora não referidas na comunicação, poderão revelar-se úteis para uma melhor implementação da directiva. Eis alguns exemplos de ferramentas susceptíveis de ajudar as autoridades responsáveis pela protecção de dados a melhor fazer aplicar a legislação em matéria de protecção de dados:

—	Avaliação comparativa,

—	Promoção e partilha das melhores práticas,

—	Auditorias do respeito da privacidade realizadas por terceiros.

F. Outros instrumentos, a longo prazo

67.

Por último, a AEPD faz referência a outros instrumentos que não são mencionados na comunicação, mas que poderão ser tomados em consideração quer para uma futura alteração da directiva quer para inclusão noutra legislação horizontal, nomeadamente:

—	As acções colectivas que permitam a grupos de cidadãos recorrer à justiça em matérias relativas à protecção de dados pessoais podem constituir um instrumento muito poderoso para facilitar a aplicação da directiva,

—	As acções iniciadas por pessoas singulares ou colectivas cujas actividades visem proteger os interesses de certas categorias de pessoas, tais como associações de consumidores e sindicatos, podem ter um efeito semelhante,

—	A obrigação de os responsáveis pelo controlo de dados notificarem quaisquer violações da segurança aos titulares dos dados constituirá não somente uma valiosa salvaguarda, mas também uma forma de sensibilizar os cidadãos,

—	Disposições que facilitem a utilização de rótulos de protecção da privacidade ou o recurso a auditorias da privacidade por terceiros (cf. pontos 65 e 66) numa escala transnacional.

G. Definir melhor as responsabilidades dos intervenientes institucionais, nomeadamente do Grupo

68.

Diversos intervenientes institucionais têm responsabilidades no que se refere à implementação da directiva. As autoridades de controlo dos Estados-Membros são, nos termos do artigo 28.o da directiva, responsáveis pela fiscalização da aplicação das disposições nacionais de transposição da directiva nos Estados-Membros. O artigo 29.o cria o Grupo das autoridades de controlo, enquanto que o artigo 30.o enumera as suas atribuições. Nos termos do artigo 31.o, a Comissão é assistida, no que se refere às medidas de execução a nível da Comunidade, por um comité composto por representantes dos Governos dos Estados-Membros (um Comité de «Comitologia»).

69.

É necessário definir melhor as responsabilidades dos diversos intervenientes, em particular no que se refere ao Grupo (e às suas actividades). O n.o 1 do artigo 30.o enumera quatro funções do Grupo que podem ser sintetizadas do seguinte modo: analisar a aplicação da directiva a nível nacional, com vista à sua uniformidade, e dar parecer sobre a evolução a nível comunitário: nível de protecção, propostas legislativas e códigos de conduta. Esta lista demonstra a ampla responsabilidade do Grupo no domínio da protecção de dados — também patenteada nos documentos apresentados pelo Grupo ao longo dos anos.

70.	Segundo a comunicação, o Grupo «representa um elemento fundamental para garantir a coerência e uma melhor aplicação.» A AEDP subscreve inteiramente esta afirmação, mas considera igualmente necessário clarificar alguns elementos específicos das responsabilidades.

71.

Em primeiro lugar, a comunicação insiste em que o contributo do Grupo seja melhorado, na medida em que as autoridades nacionais deverão esforçar-se por adaptar as suas práticas nacionais à orientação comum (30). A AEPD congratula-se com a intenção expressa nesta afirmação, mas adverte que pode haver confusão de responsabilidades. Nos termos do artigo 211.o do Tratado CE, cabe à Comissão velar pela aplicação da legislação nos Estados-Membros, inclusive por parte das autoridades de controlo. O Grupo, enquanto conselheiro independente, não pode ser responsabilizado pela aplicação dos seus pareceres pelas autoridades nacionais.

72.

Em segundo lugar, a Comissão deve estar consciente dos seus diferentes papéis no Grupo, dado que não só é membro do Grupo, mas também assegura o seu secretariado. No exercício deste seu segundo papel, a Comissão deve apoiar o Grupo de forma a que este possa efectuar o seu trabalho de modo independente. Isto significa basicamente duas coisas: que a Comissão deve facultar os recursos necessários e que o secretariado deve trabalhar segundo as instruções do Grupo e do seu Presidente no que se refere ao conteúdo e ao âmbito das actividades do Grupo, bem como à natureza dos seus resultados. De modo mais geral, as actividades da Comissão, no cumprimento dos seus outros deveres decorrentes da legislação comunitária, não deverão afectar a sua disponibilidade como secretariado.

73.	Em terceiro lugar, embora o Grupo tenha liberdade para definir as suas próprias prioridades, a Comissão poderá indicar o que espera do Grupo e como considera que os recursos disponíveis podem ser utilizados da melhor forma.

74.

Em quarto lugar, a AEPD lamenta que a comunicação não apresente indicações claras sobre a repartição dos papéis entre a Comissão e o Grupo. A AEPD convida a Comissão a apresentar ao Grupo um documento no qual sejam apresentadas essas indicações. A AEPD tem as seguintes sugestões para as questões a incluir no referido documento:

—	A Comissão poderá solicitar ao Grupo que trabalhe em algumas questões concretas e específicas. Os pedidos da Comissão deverão basear-se numa estratégia clara quanto às funções e prioridade do Grupo,

—	O Grupo estabelecerá as suas próprias prioridades num programa de trabalho com prioridades claras,

—	Eventualmente, a Comissão e o Grupo poderão consignar os mecanismos acordados num memorando de entendimento,

—	É essencial que o Grupo seja inteiramente associado à interpretação da directiva e alimente os debates conducentes a eventuais alterações da directiva.

VII. CONCLUSÕES

75.	A AEPD partilha da principal conclusão da Comissão, ou seja, que a directiva não deve ser alterada a curto prazo. Esta conclusão poderá ser reforçada tendo igualmente em conta a natureza da directiva e a política legislativa da União.

76.

Eis os seus pontos de partida da AEPD:

—	A curto prazo, é mais vantajoso despender energias numa melhor aplicação da directiva,

—	A longo prazo, as alterações à directiva parecem inevitáveis,

—	Deve fixar-se de imediato uma data precisa para um balanço, a fim de elaborar propostas conducentes às referidas alterações. Essa data dará um claro incentivo para se começar a reflectir desde já sobre as futuras alterações.

77.

Nas futuras alterações há que ter principalmente em conta os seguintes elementos:

—	Não há necessidade de novos princípios, mas é claramente necessário estabelecer outras disposições administrativas,

—	Não deve ser alterado o vasto âmbito de aplicação da legislação aplicável a todas as utilizações de dados pessoais,

—	A legislação em matéria de protecção de dados deve permitir uma abordagem equilibrada em casos concretos, devendo igualmente permitir a definição de prioridades por parte das autoridades responsáveis na matéria,

—	O sistema deverá aplicar-se plenamente à utilização de dados pessoais para efeitos de aplicação da lei, embora possam ser necessárias medidas suplementares adequadas para fazer face a problemas especiais neste domínio.

78.

A AEPD sugere que a Comissão defina: um calendário para as actividades referidas no Capítulo 3 da comunicação; um prazo para a subsequente apresentação de um relatório sobre a aplicação da directiva; um mandato para avaliar a realização das actividades previstas; indicações sobre como proceder a longo prazo.

79.

A AEPD congratula-se com a abordagem relativa à tecnologia, que considera um importante primeiro passo, e sugere que se inicie o debate sobre uma abordagem a longo prazo que contemple, nomeadamente, um debate de fundo sobre o desenvolvimento de uma sociedade da vigilância. Congratula-se igualmente com o exame em curso da Directiva 2002/58/CE e com a eventual necessidade de normas mais específicas que permitam abordar as questões da protecção de dados suscitadas pelas novas tecnologias como a Internet ou a identificação por radiofrequência. Estas acções deverão ter em conta o contexto dinâmico no seu todo e, numa perspectiva a longo prazo, incluir também a Directiva 95/46/CE.

80.

A AEPD lamenta que a comunicação dê à perspectiva da privacidade e competência a nível mundial uma importância limitada, e apela a que sejam procuradas soluções práticas que conciliem a necessidade de proteger os titulares europeus de dados com as limitações territoriais da União Europeia e dos seus Estados-Membros, apontando, entre as soluções possíveis: um maior desenvolvimento do quadro mundial para a protecção de dados; um maior desenvolvimento do regime especial aplicável à transferência de dados para países terceiros; a celebração de acordos internacionais em matéria de competência ou acordos similares com países terceiros; o investimento em mecanismos destinados a garantir o respeito das normas a nível mundial, nomeadamente o recurso, pelas empresas multinacionais, a regras vinculativas para as empresas.

A AEPD convida a Comissão a começar a elaborar uma visão sobre esta perspectiva, em associação com as principais partes interessadas.

81.

Em matéria de aplicação da lei, a AEPD apresenta à Comissão as seguintes sugestões:

—	Efectuar uma reflexão mais aprofundada sobre as implicações da participação de empresas privadas nas actividades de aplicação da lei,

—	Preservar o efeito útil do artigo 13.o da directiva, eventualmente propondo legislação destinada a harmonizar as condições e as salvaguardas no que respeita ao recurso às isenções previstas nesse mesmo artigo.

82.

A plena aplicação da directiva significa: 1) que seja assegurado que os Estados-Membros cumpram integralmente as obrigações que lhes são impostas pelo direito europeu; e 2) que sejam plenamente utilizados outros instrumentos, não vinculativos, que possam ser úteis para garantir um nível elevado e harmonizado de protecção de dados. A AEPD solicita à Comissão que indique claramente de que forma utilizará os diferentes instrumentos e como distingue as suas próprias competências das que incumbem ao Grupo.

83.

No que respeita a esses instrumentos:

—	Em certos casos, pode ser necessária uma acção legislativa específica a nível da UE,

—	Incentiva-se a Comissão a procurar obter uma melhor implementação da directiva, recorrendo a processos por incumprimento,

—

Convida-se a Comissão a utilizar o instrumento da comunicação interpretativa — respeitando ao mesmo tempo o papel consultivo do Grupo e da AEPD — no que respeita às seguintes questões: conceito de dados pessoais; definição do papel do responsável pelo controlo ou pelo tratamento dos dados; determinação da legislação aplicável; princípio da limitação da finalidade e utilização incompatível; razões jurídicas para o tratamento de dados, especialmente no que se refere ao consentimento inequívoco e ao equilíbrio de interesses,

—	Os instrumentos não vinculativos incluem os instrumentos baseados no princípio da «privacidade na concepção»,

—

Igualmente, a mais longo prazo: acções colectivas; acções iniciadas por pessoas colectivas cujas actividades visem proteger os interesses de certas categorias de pessoas; obrigação de os responsáveis pelo controlo de dados notificarem violações da segurança aos titulares dos dados; disposições que facilitem a utilização de rótulos de privacidade ou o recurso a auditorias da privacidade por terceiros numa escala transnacional.

84.

A AEPD convida a Comissão a apresentar ao Grupo um documento que dê indicações claras quanto à repartição de papéis entre a Comissão e o Grupo e que contemple as seguintes questões:

—	Pedidos da Comissão no sentido de tratar uma série de questões concretas e específicas, com base numa clara estratégia das funções e prioridades do Grupo,

—	Possibilidade de estabelecer mecanismos num memorando de entendimento,

—	Plena participação do Grupo na interpretação da directiva e nos debates conducentes a eventuais alterações da mesma.

85.	Há que estudar devidamente as consequências do Tratado Reformador, por forma a assegurar uma aplicação tão ampla quanto possível dos princípios da protecção de dados consignados na directiva. A AEPD enviou à Presidência da CIG uma carta com sugestões a este respeito.

Feito em Bruxelas, em 25 de Julho de 2007.

Peter HUSTINX

Autoridade Europeia para a Protecção de Dados

(1) JO L 281 de 23.11.1995, p. 31.

(2) JO L 8 de 12.1.2001, p. 1.

(3) A seguir designada por «comunicação».

(4) A seguir designada por «directiva».

(5) Cf. ponto 37 do presente parecer.

(6) Em especial, o acórdão do Tribunal nos processos Lindqvist (cf. nota 15) e PNR (cf. nota 17).

(7) Página 9, (primeiro parágrafo) da comunicação.

(8) Considerando 11 da directiva

(9) Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas) (JO L 201 de 31.7.2002, p. 37).

(10) Pág. 11 da comunicação.

(11) Pág. 6 da comunicação (primeiro parágrafo).

(12) Cf., por exemplo, o parecer n.o 4/2007 do Grupo sobre o conceito de dado pessoal (WP 137), aprovado em 20 de Junho de 2007.

(13) O Grupo de Missão da Internet é um subgrupo do Grupo do artigo 29.o.

(14) Cf., por exemplo, o comentário sobre a comunicação da Comissão sobre a interoperabilidade das bases de dados europeias, de 10 de Março de 2006, publicado no sítio Internet da AEPD.

(15) Cf.: «Relatório sobre a Sociedade da Vigilância», preparado pela Rede de Estudos sobre Vigilância para o Comissário do Reino Unido para a Informação e apresentado na 28.a Conferência Internacional dos Comissários para a Protecção dos Dados e da Vida Privada em Londres, em 2-3 de Novembro de 2006 [ver: www.privacyconference2006.co.uk (Secção Documentos)].

(16) Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31), a seguir designada por «directiva». Ver, por exemplo, o documento de trabalho sobre uma interpretação comum do n.o 1 do artigo 26.o da Directiva 95/46/CE, de 24 de Outubro de 1995, aprovado em 25 de Novembro de 2005 (WP114); documento de trabalho que define um procedimento de cooperação para a emissão de pareceres comuns sobre as garantias adequadas resultantes das «Regras Vinculativas das Empresas», aprovado em 14 de Abril de 2005 (WP107) e Parecer 8/2003 sobre o projecto de cláusulas contratuais-tipo apresentado por um grupo de associações profissionais («o modelo do contrato alternativo»), aprovado em 17 de Dezembro de 2003 (WP84).

(17) Acórdão do Tribunal de 6 de Novembro de 2003, Processo C-101/01, COL [2003], p.I-12971, pontos 56-71.

(18) Ver carta ao Director-Geral da DG Justiça, Liberdade e Segurança da Comissão Europeia sobre a comunicação intitulada «Uma Estratégia relativa à dimensão externa do espaço de liberdade, segurança e justiça», de 28 de Novembro de 2005, disponível no sítio Internet da AEPD.

(19) Decisão do Tribunal de 30 de Maio de 2006, Parlamento Europeu c/ Conselho da União Europeia (C-317/04) e Comissão Europeia (C-318/04), Processos apensos C-317/04 e C-318/04, Col. [2006], p. I-4721.

(20) Convenção do Conselho da Europa para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal, de 28 de Janeiro de 1981.

(21) A falta de precisão da Convenção n.o 108 foi referida pela AEPD em vários pareceres, relativamente à necessidade de uma decisão-quadro do Conselho.

(22) Directiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de Março de 2006, relativa à conservação dos dados tratados em ligação com a oferta de serviços de comunicações electrónicas públicos e que altera a Directiva 2002/58/CE (JO L 105 de 13.4.2006, p. 54).

(23) Questão do «vazio jurídico», tal como foi expresso pela AEPD em diversas ocasiões, sobretudo em relação ao processo PNR (ver, por exemplo, relatório anual 2006, p. 47).

(24) Acórdão do Tribunal de 20 de Maio de 2003, Processos apensos C-465/00, C-138/01 e C-139/01, Col. [2003], p. I-4989.

(25) Cf. carta da AEPD à Presidência da CIG, de 23 de Julho de 2007, sobre a protecção de dados no âmbito do Tratado Reformador, disponível no sítio Internet da AEPD.

(26) Cf. a comunicação, p. 6.

(27) Cf. o documento estratégico da AEPD «The EDPS as an advisor to the Community Institutions on proposals for legislation and related documents», disponível no sítio da AEPD na Internet (ponto 5.2 do documento).

(28) Este assunto também foi tratado no parecer n.o 4/2007 do Grupo, referido na nota 9.

(29) Vale a pena mencionar o projecto EuroPriSe, promovido pela Autoridade para a Protecção de Dados de Schleswig-Holstein no âmbito do projecto Eten, da Comissão Europeia.

(30) Cf. página 11 da comunicação.