Relatório da Comissão sobre a situação da protecção de dados no Sistema de Informação do Mercado Interno /* COM/2010/0170 final */
[pic] | COMISSÃO EUROPEIA | Bruxelas, 22.4.2010 COM(2010)170 final R ELATÓRIO DA COMISSÃO sobre a situação da protecção de dados no Sistema de Informação do Mercado Interno RELATÓRIO DA COMISSÃO sobre a situação da protecção de dados no Sistema de Informação do Mercado Interno RESUMO A Comissão está satisfeita com a forma como os direitos e as liberdades individuais no que respeita a dados de carácter pessoal (a seguir designados por «protecção de dados») são assegurados no Sistema de Informação do Mercado Interno (IMI). Baseado na Internet, o IMI é um sistema de intercâmbio de informações seguro e multilingue, que apoia os Estados-Membros no cumprimento das suas obrigações de cooperação administrativa. A Comissão regozija-se também com a aplicação da Recomendação relativa às orientações sobre a protecção de dados no IMI. Os Estados-Membros não comunicaram quaisquer problemas em matéria de protecção de dados. Este facto justifica a adopção de uma abordagem progressiva acordada com a Autoridade Europeia para a protecção de dados para criar o quadro jurídico para o IMI em resposta à evolução técnica, bem como o alargamento do sistema a outros domínios da legislação sobre o mercado interno. Em 2010, a Comissão irá explorar a possibilidade de alargar o âmbito do IMI a outros domínios do mercado interno e de adquirir mais experiência com a utilização prática do sistema na área dos serviços. No primeiro trimestre de 2011, a Comissão publicará um documento de trabalho sobre o funcionamento e o desenvolvimento do sistema IMI em 2010, que abrangerá também a protecção de dados. OBJECTIVO DO PRESENTE RELATÓRIO No presente relatório, anunciado na Recomendação da Comissão relativa às orientações sobre a protecção de dados no Sistema de Informação do Mercado Interno[1] (a seguir designada por «Recomendação»), é analisada a aplicação da recomendação pelos Estados-Membros e pela Comissão e avaliada a situação da protecção de dados no IMI. O relatório cobre igualmente novas questões que não foram abordadas na Recomendação, nomeadamente o âmbito de aplicação da nova Directiva «Serviços». Na elaboração do relatório, a Comissão teve em conta as reacções transmitidas pelos Estados-Membros na sequência de uma consulta ad hoc lançada em Novembro de 2009[2] e através de contactos periódicos com os coordenadores do IMI e os representantes dos Estados-Membros nas reuniões do IMAC-IMI (Mercado Interno — Comité IMI). DESENVOLVIMENTO DO IMI DURANTE 2009 O ano de 2009 foi crucial para o desenvolvimento do IMI. A utilização deste sistema para a legislação relativa às qualificações profissionais foi alargada a 20 novas profissões e a maior parte dos recursos foi dedicada à extensão do sistema a fim de cobrir a Directiva «Serviços»[3]. Os coordenadores nacionais do IMI participaram no projecto-piloto para o intercâmbio de informações sobre a Directiva «Serviços» (com base em casos reais e fictícios) e nas sessões de formação realizadas em Bruxelas[4]. A Comissão disponibilizou uma nova versão do software (1.7) para permitir o auto-registo das autoridades competentes. No final do ano, disponibilizou também uma versão provisória 2.0, que incluía uma aplicação informática separada para o mecanismo de alerta[5]. Este novo software tornou-se plenamente operacional no primeiro trimestre de 2010. Graças a estes esforços conjuntos da Comissão e dos Estados-Membros, tinham, até ao final de Janeiro de 2010, sido registadas no IMI 4 508 autoridades competentes, das quais 3 698 tinham acesso ao novo domínio «Serviços», embora se espere que esse número venha a aumentar substancialmente nos próximos meses. O número médio de diferentes utilizadores diários aumentou de 40, em Janeiro de 2009, para 180, em Dezembro do mesmo ano. Número total de pedidos enviados por trimestre e por domínio legislativo em 2009 [pic] No domínio das qualificações profissionais, o IMI ganhou maturidade e o seu êxito inequívoco ilustra o seu potencial como instrumento de cooperação administrativa na UE. Foi enviada uma média de 350 pedidos por trimestre. Mais de 90 % de todos os pedidos relativos às qualificações profissionais enviados em 2009 proveio da UE-15 (os Estados-Membros que aderiram antes de 2004), o que reflecte a direcção da migração da mão-de-obra. A Polónia e a Roménia foram os destinatários de 32 % de todos os pedidos. Ao analisar estes dados, é importante notar que 56 % dos pedidos obtiveram resposta no prazo de uma semana. Tempo necessário para tratar os pedidos ao abrigo da Directiva «Qualificações Profissionais» em 2009 Pedidos aceites | Cumulativos% | Pedidos respondidos | Cumulativos % | No prazo de 3 dias | 741 | 57,0 % | 518 | 43,0 % | No prazo de 1 semana | 216 | 73,7 % | 167 | 56,8 % | No prazo de 2 semanas | 166 | 86,5 % | 170 | 71,0 % | No prazo de 4 semanas | 120 | 95,7 % | 164 | 84,6 % | No prazo de 8 semanas | 35 | 98,4 % | 106 | 93,4 % | Mais de 8 semanas | 21 | 100,0 % | 80 | 100,0 % | Total: | 1299 | 1205 | (* A diferença entre pedidos aceites e respondidos é devida a pedidos retirados ou que estavam ainda pendentes no final de Dezembro de 2009) MELHORIA DA PROTECÇÃO DOS DADOS NO IMI, UMA ABORDAGEM PROGRESSIVA O IMI segue a abordagem conhecida por «privacidade desde a concepção», de acordo com a qual o requisito da protecção de dados é tido em conta desde a concepção dos sistemas que contêm informações. As considerações respeitantes à protecção dos dados fazem também parte da utilização quotidiana do sistema e são incluídas no material de formação, abordagem que ultrapassa a protecção formal ou teórica. Esta abordagem parece ser compensadora, dado que nenhum Estado-Membro comunicou qualquer incidente de protecção de dados no âmbito do IMI e que não foram recebidas queixas das pessoas em causa. A Comissão manteve nos últimos dois anos um diálogo com as autoridades responsáveis pela protecção de dados e a Autoridade Europeia para a Protecção de Dados (AEPD). O princípio essencial que rege a adopção de uma abordagem progressiva é que, dado que o sistema assegura um elevado nível de protecção técnico e processual dos dados e que a Comissão está claramente determinada a continuar a melhorá-lo, o quadro jurídico do IMI deve acompanhar a evolução técnica e o alargamento do sistema a outros domínios da legislação sobre o mercado interno. A adopção de uma abordagem progressiva, com base na experiência limitada com o sistema, permitiu à Comissão dar resposta a todas as preocupações expressas pela AEPD no seu parecer de 12 de Dezembro de 2007, e adoptar três textos jurídicos que tratam de questões relativas à protecção de dados no IMI: a) A Decisão da Comissão, de 12 de Dezembro de 2007, relativa à protecção dos dados pessoais no âmbito do Sistema de Informação do Mercado Interno (IMI)[6]; b) A Recomendação da Comissão, de 26 de Março de 2009, relativa às orientações sobre a protecção de dados no Sistema de Informação do Mercado Interno (IMI)[7]; c) A Decisão da Comissão, de 2 de Outubro de 2009, que estabelece as regras práticas do intercâmbio de informações por via electrónica entre os Estados-Membros no âmbito do capítulo VI da Directiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno[8]. Na secção 6 do presente relatório são debatidas as questões remanescentes, bem como o teor e a oportunidade de medidas futuras, incluindo a eventual adopção de um instrumento jurídico. APLICAÇÃO DA RECOMENDAÇÃO DA COMISSÃO Melhorias efectuadas pelos Estados-Membros Contactos com as autoridades responsáveis pela protecção de dados A Recomendação incentivou « os coordenadores (…) do IMI a estabelecer contactos com as respectivas autoridades nacionais responsáveis pela protecção de dados, para fins de orientação e assistência sobre a melhor forma de implementação d(ess)as orientações ao abrigo da legislação nacional ». Nos seus relatórios à Comissão, a maioria dos Estados-Membros declarou que tinha consultado as respectivas autoridades nacionais de protecção de dados. Essas consultas confirmaram aos utilizadores do IMI que os dados pessoais podem ser objecto de intercâmbio através do sistema, em conformidade com a legislação em matéria de protecção dos dados, e, ao mesmo tempo, permitiram às autoridades reguladoras nacionais estabelecer relações de trabalho com representantes de administrações públicas, para as quais a protecção de dados tem elevado valor e que estão empenhadas no êxito deste projecto verdadeiramente europeu. Declarações de privacidade Na sequência de uma sugestão da AEPD, a Recomendação incentivou também os coordenadores IMI a discutir o conteúdo das declarações de privacidade com as autoridades locais responsáveis pela protecção de dados. Não foi possível tornar a Recomendação muito específica quanto a esta questão porque, apesar de a directiva sobre protecção de dados ter previsto uma harmonização completa, os Estados-Membros dispõem de uma margem de discrição no que se refere à aplicação de algumas disposições. Os relatórios dos Estados-Membros confirmam a existência de diferentes práticas nacionais sobre o conteúdo e o formato das declarações de privacidade. Segundo uma pequena maioria de Estados-Membros, o formato e conteúdo adequados das informações a fornecer aos indivíduos devem ser decididas localmente por cada autoridade competente, em conformidade com a legislação local. Nalguns Estados-Membros, em contrapartida, são propostos modelos adaptáveis para todo o Estado-Membro[9]. Sensibilização e formação Uma das mais importantes realizações da Recomendação foi esta ter aumentado a sensibilização, em matéria de protecção de dados, dos agentes e utilizadores do IMI que estão agora familiarizados com os princípios gerais de protecção dos dados, e ter também apresentado sugestões práticas para garantir um elevado nível de protecção dos dados no IMI. Graças à Recomendação, as referências às orientações sobre a protecção de dados foram igualmente incorporadas no material de formação IMI elaborado para as autoridades competentes. Melhorias efectuadas pela Comissão Plano de segurança do IMI A segurança e a confidencialidade dos dados são reguladas pela Decisão da Comissão, de 16 de Agosto de 2006, relativa à segurança dos sistemas de informação utilizados pelos serviços da Comissão[10]. Esta decisão foi actualizada com as regras de aplicação adoptadas em 2009 e orientações e normas recentes que são, em geral, idênticas às normas internacionais. As medidas de segurança no IMI foram revistas e actualizadas em conformidade e, em 2009, foi elaborado um plano de segurança global que será revisto em 2010. Melhorias técnicas Quando o intercâmbio de informações diz respeito a dados sensíveis, surge agora no ecrã uma mensagem que indica que as informações são sensíveis e que o gestor do caso apenas deve solicitar essas informações se as mesmas forem absolutamente necessárias e estiverem directamente relacionadas com o exercício da actividade profissional ou a prestação de um determinado serviço. Na concepção e aplicação do novo mecanismo de alerta foram também tidas plenamente em conta considerações em matéria de protecção de dados (ver secção 5.2.3.2). O sítio web do IMI foi também melhorado a fim de tornar mais intuitiva para os utilizadores a procura da documentação pertinente. A secção sobre protecção de dados[11] foi actualizada com todos os textos legislativos relacionados com essa matéria, com a correspondência com a AEDP e com questões-tipo utilizadas no sistema. Para efeitos de transparência, na sequência de uma sugestão da AEDP, foram identificadas as perguntas relativas a dados sensíveis. O novo domínio legislativo da Directiva «Serviços» Utilização do IMI para a Directiva «Serviços» A Directiva «Serviços» não fez especificamente referência ao IMI (mas apenas, de forma mais geral, a um sistema electrónico de intercâmbio de informações). Foi, por conseguinte, necessário determinar formalmente que o IMI será utilizado para esse efeito, o que foi feito por decisão[12] adoptada pela Comissão em conformidade com o procedimento previsto na Directiva «Serviços» (decisão «comitologia»). Esta decisão «comitologia» estabelece as modalidades práticas do intercâmbio de informações no domínio dos Serviços no IMI. Contribui para o elevado nível de protecção dos dados do sistema e proporciona maior transparência e rigor às regras gerais decorrentes da Decisão 2008/49/CE e às orientações relativas à protecção de dados contidas na Recomendação. Remete para decisão posterior as salvaguardas adicionais em matéria de protecção dos dados, caso sejam necessárias, à luz da experiência com o sistema[13]. Uma concepção compatível com a protecção de dados para o mecanismo de alerta O mecanismo de alerta é um mecanismo de aviso instituído nos termos dos artigos 29.º, n.º 3, e 32.º da Directiva «Serviços», que complementa o sistema RAPEX para os produtos e contribui para prevenir o risco para os beneficiários decorrente dos serviços. O mecanismo de alerta permite aos Estados-Membros cumprir uma obrigação jurídica de intercâmbio de informações e é, por conseguinte, plenamente legítimo do ponto de vista da protecção de dados. No entanto, a Comissão está ciente das implicações de um tal sistema em matéria de protecção de dados. Teve, pois, especial cuidado na sua concepção, assegurando a sua compatibilidade com a protecção de dados, e insta os Estados-Membros, que são responsáveis pela protecção de dados aquando do envio ou recepção de alertas, a estar vigilantes na aplicação correcta das regras. O mecanismo de alerta contém uma série de salvaguardas em matéria de protecção de dados, que são características gerais do sistema IMI, bem como algumas salvaguardas específicas com o objectivo de garantir que: a) O acesso aos dados seja limitado a determinadas autoridades competentes/utilizadores Em conformidade com a abordagem geral no IMI, o acesso a informações por força do mecanismo de alerta é estritamente limitado à necessidade de informação. As autoridades competentes e os utilizadores do IMI apenas dispõem de acesso aos alertas se lhes tiver sido concedido acesso específico pelos Estados-Membros não só ao IMI em geral, como à aplicação específica para os alertas. Por defeito, as autoridades competentes e os utilizadores do IMI não podem enviar ou receber alertas. Esta função tem de ser activada separadamente. b) Não seajam enviados alertas desnecessários Não pode ser enviado um alerta sem o preenchimento de uma lista de controlo, a fim de assegurar a observância dos critérios aplicáveis, como, por exemplo, a existência de circunstâncias ou actos específicos graves relacionados com uma actividade de serviços que possam causar danos importantes. Se a autoridade de origem não verifica todos os critérios pertinentes, o sistema não lhe permite emitir um alerta. Além disso, o alerta não é directamente enviado a outros Estados-Membros, mas é primeiramente apresentado a um coordenador de alertas no mesmo Estado-Membro. Esse coordenador de alertas deve, uma vez mais, tomar uma posição sobre se o alerta deve ou não ser enviado para outros Estados-Membros. c) Os alertas não sejam distribuídos a mais destinatários do que o necessário para cumprir os requisitos de informação previstos na legislação Quando são enviados alertas a outros Estados-Membros, a autoridade de origem e o coordenador de alertas precisam de determinar quais os Estados-Membros que necessitam de receber o alerta. Se o Estado-Membro em que um serviço é prestado deseja enviar um alerta, por defeito só o Estado-Membro de estabelecimento do prestador de serviços e a Comissão devem receber o alerta. Esta configuração por defeito garante que a adição de outros Estados-Membros à lista dos destinatários seja objecto de uma decisão caso a caso, em função das necessidades de informação. Além disso, quando o alerta é enviado para outros Estados-Membros, não é enviado a todas as autoridades competentes dos Estados-Membros de destino, mas apenas para uma caixa postal para recepção de alertas (geralmente o coordenador de alertas nacional). O destinatário decidirá quais são as autoridades competentes no seu Estado-Membro que são afectadas e que terão de ser informadas. d) A Comissão, embora receba alertas tal como previsto na Directiva «Serviços», não tenha acesso a dados pessoais A Directiva «Serviços» prevê todos os alertas que devem ser enviados para a Comissão, mas, ao contrário dos Estados-Membros, a Comissão não necessita de acesso a dados pessoais. Assim, a Comissão recebe alertas sem dados pessoais. e) Se, apesar das precauções, forem enviados alertas infundados estes possam ser rapidamente retirados ou os dados incorrectos possam ser rectificados ou apagados O sistema IMI permite que uma autoridade competente que tenha enviado um alerta infundado o retire imediatamente, tornando-o invisível para todos os utilizadores do IMI. Se o alerta foi justificado mas é necessário rectificar algumas informações, a autoridade competente de origem podem fazer essa correcção em qualquer momento. Além disso, o sistema IMI permite igualmente que outras autoridades competentes que receberam o alerta indiquem que determinadas informações fornecidas num alerta são incorrectas. f) Os alertas sejam cancelados quando já não existe risco, os dados passem imediatamente a ser invisíveis para todos os utilizadores, e os dados pessoais sejam apagados seis meses após o encerramento A partir do momento em que o risco que desencadeou o alerta tiver desaparecido, o alerta tem de ser cancelado. O sistema IMI permite, assim, ao Estado-Membro de estabelecimento cancelar o alerta, sendo enviados às autoridades responsáveis avisos por correio electrónico. Depois de ter sido cancelado, um alerta passa a ser invisível. Seis meses após o cancelamento, o mais tardar, todos os dados pessoais são automaticamente apagados e retirados do sistema. QUESTÕES A CONSIDERAR Embora a maioria dos Estados-Membros tenha manifestado opiniões favoráveis no respeitante à protecção de dados no IMI, alguns Estados-Membros levantaram algumas questões, que são em seguida analisadas. Regras aplicáveis em matéria de segurança e confidencialidade dos dados O tratamento de dados pessoais no IMI implica o tratamento conjunto (entre a Comissão e os Estados-Membros), o controlo conjunto (entre os diferentes utilizadores e intervenientes) e a supervisão conjunta (pelas autoridades nacionais de protecção de dados e a AEPD). Perante um cenário de uma tal complexidade, nem sempre é fácil atribuir responsabilidades. As autoridades de protecção de dados dinamarquesas e alemãs entendem que, uma vez que as autoridades competentes situadas nos seus territórios devem cumprir determinadas exigências nacionais (por exemplo, um mecanismo de autenticação mais forte, como se refere na secção seguinte), devem insistir para que o IMI satisfaça estes requisitos nacionais ou deixar de utilizar o sistema. As autoridades competentes transmitiram estes pedidos à Comissão, que é responsável pela segurança do sistema. A Comissão é de opinião que o IMI é um sistema seguro e que uma rede verdadeiramente europeia como o IMI não poderia simplesmente funcionar se cada Estado-Membro insistisse que as suas normas de segurança nacionais fossem respeitadas. A adopção da directiva sobre protecção de dados há quase 20 anos tinha o duplo objectivo de proteger o direito fundamental à protecção de dados, por um lado, e o de garantir a livre circulação de dados pessoais entre os Estados-Membros e entre os Estados-Membros e as instituições da União Europeia[14], por outro lado. Nesta base, a Comissão insiste em que, dado o elevado nível de garantias em matéria de protecção de dados no sistema IMI e o princípio da cooperação leal decorrente do artigo 4.º, n.º 3, do Tratado da União Europeia, as autoridades nacionais de protecção de dados não devem criar obstáculos à utilização do sistema pelas autoridades nacionais competentes. Para uma autenticação mais forte no IMI O sistema de autenticação do IMI é uma versão avançada da autenticação de factor único, dado que combina um nome de utilizador e uma senha com um PIN. Ao tentar aceder ao sistema, é pedido ao utilizador que forneça uma combinação de caracteres do código PIN escolhidos aleatoriamente. As autoridades de protecção de dados alemãs e dinamarquesas manifestaram algumas preocupações a respeito do sistema de autenticação IMI. A Comissão considera que o actual mecanismo de autenticação é adequado, tendo em conta os conhecimentos técnicos disponíveis e os custos de aplicação, mas concorda que a longo prazo é desejável uma autenticação mais forte. Como os Estados-Membros introduziram diferentes sistemas de autenticação que nem sempre são interoperáveis, a solução preferível para uma autenticação mais forte no IMI parece residir nas identidades electrónicas geridas a nível dos Estados-Membros e que seriam interoperáveis através de software adaptado. Uma das opções é o projecto STORK, que está actualmente a ser desenvolvido por um consórcio em que participam alguns Estados-Membros e que é financiado no âmbito do Programa de Apoio à Política em matéria de TIC - Competitividade e Inovação. A Comissão acompanhará de perto a sua evolução ao longo dos próximos meses, que serão essenciais para decidir da sua utilização no IMI. São feitas outras referências à segurança dos dados na secção 7.2. Conservação de dados A política de conservação de dados no IMI é muito estrita[15] e, segundo alguns agentes e utilizadores, deveria ser revista. O apagamento rápido de dados pessoais no sistema nem sempre é do interesse da pessoa em causa, que pode preferir que os seus dados sejam conservados no IMI por um período mais longo, por exemplo, no âmbito de procedimentos judiciais. Numa decisão recente[16], o Tribunal de Justiça Europeu declarou que o direito de acesso à informação[17] se aplica não apenas relativamente ao presente mas também no que respeita ao passado. Por conseguinte, o Tribunal considera que a limitação do acesso por meio da supressão de dados pode ser contrária à lei, a não ser que possa ser demonstrado que a conservação prolongada da informação representa um ónus excessivo para o responsável pelo tratamento. A Comissão não considera que a conservação de informações pessoais no IMI por um período mais longo constitua um ónus excessivo e, por conseguinte, tenciona reflectir sobre um período mais longo de conservação, que poderá também incluir uma fase transitória de bloqueio dos dados, tornando-os invisíveis para todos os utilizadores, antes da sua supressão final. As possíveis implicações de uma política de bloqueio, nomeadamente quem poderia ter acesso aos dados bloqueados e para que fins, serão cuidadosamente analisadas. Este exemplo ilustra bem a necessidade de reflectir atentamente antes de decidir sobre um conjunto de regras que rejam o funcionamento do IMI no quadro de um instrumento juridicamente vinculativo. É essencial que a Comissão e os Estados-Membros possam, sem deixar de garantir ao mesmo tempo uma correcta protecção dos dados, bem como a participação das autoridades de protecção de dados no processo, beneficiar de experiência suficiente com o sistema, a fim de evitar estabelecer regras de protecção ineficientes ou mesmo contraproducentes. Utilização nacional do IMI A transposição da Directiva «Serviços» nos Países Baixos prevê que o IMI seja utilizado para fins nacionais, isto é, para o intercâmbio de informações também entre administrações dos Países Baixos. A Comissão Europeia louva esta abordagem, que ilustra o potencial do IMI para utilização entre administrações. No entanto, a utilização a nível nacional do IMI pelos Estados-Membros está sujeita a três condições: a) Que o tratamento de dados pessoais e a conservação de informações nos servidores da Comissão sejam considerados lícitos pelo direito nacional, b) Que o sistema seja utilizado tal como existe, com as mesmas questões-tipo e funcionalidades, e c) Que o Estado-Membro assuma inteiramente a responsabilidade por todas as questões (protecção de dados ou outras questões) relacionadas com a utilização do sistema para fins nacionais. Por conseguinte, caso os Estados-Membros estejam interessados na utilização nacional do IMI, a Comissão recomenda que consultem primeiramente as respectivas autoridades nacionais de protecção de dados e que contactem seguidamente a Comissão, a fim de debater esta questão e assegurar que a mesma não coloca quaisquer problemas na perspectiva da legislação sobre protecção de dados. Salvaguardas específicas de protecção dos dados na legislação comunitária juridicamente vinculativa No seu parecer de 12 de Dezembro de 2007 e na troca de correspondência com a Comissão, a AEPD apelou ao estabelecimento de salvaguardas específicas e juridicamente vinculativas em matéria de protecção de dados na legislação da UE, atendendo a que o âmbito de aplicação do IMI se estende para além das Directivas «Serviços» e «Qualificações Profissionais». As autoridades de protecção de dados alemãs manifestaram uma opinião semelhante. Em 2010, a nova Comissão analisará numa nova perspectiva o funcionamento do mercado único e a possibilidade de reforçar a contribuição do IMI para melhorar a aplicação da legislação relativa ao mercado interno pelos Estados-Membros. Considerará, assim, quais os outros domínios políticos que poderão beneficiar da utilização do IMI. Existe já um sólido pacote de medidas sobre protecção de dados, e as reacções dos Estados-Membros têm sido favoráveis. Por conseguinte, a Comissão entende que seria insensato dar seguimento a uma proposta legislativa antes de definir o âmbito do IMI e antes de tirar partido da experiência de utilização prática do sistema para os serviços. Qualquer proposta futura deverá ser compatível com esta evolução, de modo a garantir uma base sólida e duradoura para o IMI e a protecção de dados. Entretanto, a Comissão continuará a melhorar a protecção de dados no IMI em estreita cooperação com os Estados-Membros e a AEPD, como a seguir referido. MELHORIAS FUTURAS Melhorias técnicas Em software a publicar futuramente serão incluídos avisos automáticos e listas de urgência para aceitação de uma resposta, de modo a que os pedidos não permaneçam abertos mais tempo do que é necessário. No que diz respeito ao procedimento em linha para rectificação, bloqueio ou apagamento de dados, uma vez que até agora não foram feitos pedidos e que é muito improvável que sejam feitos muitos pedidos no futuro, a Comissão considera que seria mais adequado introduzir um procedimento simplificado, que será devidamente documentado com a ajuda do responsável da Comissão pela protecção de dados e da AEPD. Segurança dos dados Em conformidade com as novas orientações e normas recentemente adoptadas pela Comissão, esta procederá a uma nova avaliação do risco para o IMI em 2010 e actualizará o plano de segurança em conformidade, identificando as partes do sistema que devem ser consideradas, as possíveis ameaças e as medidas necessárias em matéria de infra-estruturas e software . Se a avaliação do risco revelar a necessidade de introduzir medidas de segurança adicionais, essas medidas serão gradualmente incorporadas em software a publicar futuramente. No início de 2011, será também efectuada uma auditoria externa, que incidirá principalmente no desempenho e estabilidade do sistema, mas que poderá também abranger algumas questões de segurança e protecção de dados. Revisão da Directiva «Qualificações Profissionais» Em 2010-2011, será efectuada uma avaliação da Directiva «Qualificações Profissionais» que abrangerá uma avaliação da cooperação administrativa e da utilização do IMI, incluindo problemas em matéria de protecção de dados. CONCLUSÕES A Comissão está satisfeita com a aplicação da Recomendação e com a situação da protecção de dados no IMI. No entanto, continuará a trabalhar noutras melhorias do sistema, em especial a nível técnico e de segurança dos dados. Além disso, a Comissão tenciona também explorar a possibilidade de alargar o âmbito do IMI a outros domínios do mercado interno, beneficiando de uma maior experiência prática adquirida com a sua utilização no domínio dos serviços. Qualquer proposta futura de legislação da UE terá em conta estas evoluções e reflexões, de modo a proporcionar uma base sólida e duradoura para o IMI e a protecção de dados. No primeiro trimestre de 2011, será publicado um documento de trabalho sobre o funcionamento e o desenvolvimento do sistema IMI em 2010. Esse relatório abrangerá igualmente a protecção de dados. [1] C(2009) 2041final. JO L 100 de 18.4.2009, p. 12. [2] Dezassete Estados-Membros responderam à consulta, que consistia nas seguintes questões:- Contactaram a vossa autoridade nacional de protecção de dados? Essa autoridade emitiu um parecer sobre a aplicação das orientações a nível nacional?- Estabeleceram uma declaração de privacidade geral para todos os utilizadores do IMI ou esse assunto é tratado localmente pelas vossas autoridades competentes (AC)?- As vossas AC defrontaram-se com quaisquer problemas relacionados com a protecção de dados aquando do envio de pedidos ou da resposta a pedidos no IMI?- As vossas AC comunicaram quaisquer problemas ao tratar questões relacionadas com registos criminais?- As vossas AC receberam quaisquer pedidos de acesso, apagamento ou rectificação de pessoas em causa?- As vossas AC estão cientes da possibilidade de apagamento precoce de dados pessoais do sistema? As AC utilizam essa possibilidade?- Incluíram a protecção de dados nas vossas sessões de informação IMI? [3] Directiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de Dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36). [4] Em 2009, a Comissão realizou três sessões de formação de um dia cada para os coordenadores do IMI em Bruxelas, tendo estado presentes em cada sessão cerca de 60 participantes. Durante o mesmo período, os Estados-Membros realizaram mais de 100 acções de formação para as autoridades competentes a nível local, regional e nacional. [5] Artigo 32.º da Directiva «Serviços». [6] C(2007) 6306; JO L 13 de 16.1.2008, p. 13. [7] C(2009) 2041 final; JO L 100 de 18.4.2009, p. 12. [8] C(2009) 7493; JO L 263 de 7.10.2009, p. 32. [9] A declaração de privacidade ( cláusula de privacidad ) disponibilizada pela equipa IMI espanhola constitui um bom exemplo de um modelo nacional elaborado com a assistência técnica da autoridade nacional de protecção dos dados:http://www.mpt.es/documentacion/sistema_IMI/documentos/protec_datos/ClausulaIMI_ES/document_es/Clausula_IMI.pdf. [10] C(2006) 3602. [11] http://ec.europa.eu/internal_market/imi-net/data_protection_en.html [12] Decisão da Comissão, de 2 de Outubro de 2009, que estabelece as regras práticas do intercâmbio de informações por via electrónica entre os Estados-Membros no âmbito do capítulo VI da Directiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno. [13] Ver ponto 13 da Recomendação, quadro «Trabalhos em curso», alínea d). [14] Este princípio é claramente estabelecido no artigo 1.º, n.º 2, da directiva sobre protecção de dados e no artigo 1.º, n.º 1, e no considerando 13 do regulamento sobre protecção de dados: «Pretende-se, assim, garantir simultaneamente, quer o respeito efectivo das regras de protecção das liberdades e dos direitos fundamentais das pessoas, quer a livre circulação de dados pessoais entre Estados-Membros e as instituições e órgãos comunitários ou entre estas instituições e órgãos, no exercício das respectivas competências». [15] É possível apagar precocemente dados pessoais com um duplo clique e, de qualquer modo, todos os dados pessoais são automaticamente apagados seis meses após o encerramento dos pedidos de informação. [16] C-553/07, Rotterdam contra Rijkeboer. [17] Ver artigo 12.º, alínea a), da Directiva 95/46/CE.