|
16.10.2010 |
PT |
Jornal Oficial da União Europeia |
C 280/16 |
Parecer da Autoridade Europeia para a Protecção de Dados sobre a proposta de directiva do Parlamento Europeu e do Conselho relativa aos resíduos de equipamentos eléctricos e electrónicos (REEE)
2010/C 280/02
A AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.o,
Tendo em conta a Carta dos Direitos Fundamentais da União Europeia, nomeadamente o artigo 8.o,
Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, nomeadamente o artigo 17.o,
Tendo em conta o Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados, nomeadamente o artigo 41.o,
ADOPTOU O SEGUINTE PARECER:
I. INTRODUÇÃO
|
1. |
Em 3 de Dezembro de 2008, a Comissão adoptou uma proposta de directiva do Parlamento Europeu e do Conselho relativa aos resíduos de equipamentos eléctricos e electrónicos (REEE) (a seguir designada por «a proposta») (1). A proposta tem o propósito de reformular a Directiva 2002/96/CE relativa aos resíduos de equipamentos eléctricos e electrónicos (REEE), adoptada em 27 de Janeiro de 2003 (a seguir designada por «a directiva») (2) sem mudar a motivação e a fundamentação da recolha e da reciclagem de REEE. |
|
2. |
A AEPD não foi consultada, apesar de tal consulta ser exigida no artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001 (3). Por iniciativa própria, a AEPD adoptou o presente parecer com base no artigo 41.o, n.o 2, do mesmo regulamento. A AEPD recomenda que seja feita referência a este parecer no preâmbulo da proposta. |
|
3. |
A AEPD está ciente de que o parecer surge numa fase tardia do processo legislativo, mas ainda assim considera que é adequado e útil formulá-lo, uma vez que a proposta suscita importantes questões de protecção de dados, que não são abordadas no texto. O presente parecer não se destina a alterar o objectivo e o conteúdo principais e predominantes da proposta, cujo «centro de gravidade» (4) continua a ser a protecção do ambiente, mas apenas a conferir-lhe uma dimensão adicional, que se está a tornar cada vez mais importante para a nossa sociedade da informação (5). |
|
4. |
A AEPD, também ciente do âmbito limitado do procedimento de reformulação, insta, todavia, o legislador a ter em conta estas recomendações, nos termos do ponto 8 do Acordo Interinstitucional relativo ao procedimento de reformulação (que prevê a possibilidade de introduzir alterações nas disposições inalteradas) (6). |
II. CONTEXTO E ANTECEDENTES DA PROPOSTA E SUA PERTINÊNCIA PARA A PROTECÇÃO DE DADOS
|
5. |
O objectivo da proposta é actualizar a directiva existente relativa à eliminação, reutilização e reciclagem dos REEE. Os problemas técnicos, jurídicos e administrativos registados nos primeiros anos de aplicação da directiva conduziram à apresentação da proposta, que estava prevista no artigo 17.o, n.o 5, da directiva. |
|
6. |
Os equipamentos eléctricos e electrónicos (EEE) constituem um vasto grupo de produtos que inclui um conjunto variado de suportes capazes de armazenar dados pessoais — como os equipamentos informáticos e de telecomunicações (designadamente, computadores pessoais, computadores portáteis e terminais de comunicações electrónicos) — caracterizados, no actual contexto técnico e económico, por ciclos de inovação cada vez mais rápidos e, devido à convergência tecnológica, pela disponibilidade de equipamentos polivalentes. A evolução dos suportes electrónicos de armazenamento está a acelerar rapidamente, sobretudo no que diz respeito à capacidade de armazenamento e à dimensão, e consequentemente as forças de mercado levam a que a rotação dos EEE (que contêm grandes quantidades de dados pessoais, muitas vezes de natureza sensível) acelere em conformidade. Deste modo, não só os REEE «são considerados como o fluxo de resíduos que cresce mais rapidamente na UE» (7), como também há, em caso de eliminação inadequada, um risco manifestamente acrescido de perda e dispersão dos dados pessoais armazenados neste tipo de equipamentos. |
|
7. |
Há muito tempo que as políticas da União Europeia em matéria de ambiente e desenvolvimento sustentável procuram reduzir o desperdício dos recursos naturais e introduzir medidas para prevenir a poluição. |
|
8. |
A eliminação, a reutilização e a reciclagem dos REEE estão incluídas neste quadro. Essas medidas procuram evitar a eliminação dos resíduos dos equipamentos eléctricos e electrónicos juntamente com os resíduos mistos, obrigando os produtores a assegurar que a eliminação é efectuada em conformidade com as prescrições da directiva. |
|
9. |
Entre as várias medidas previstas pela directiva, importa destacar, em particular, as que visam reutilizar (isto é, qualquer operação através da qual os REEE ou os seus componentes sejam utilizados para o mesmo fim para que foram concebidos, incluindo o prosseguimento da utilização dos equipamentos ou dos respectivos componentes que forem entregues em centros de recolha, distribuidores, instalações de reciclagem ou fabricantes), reciclar (isto é, o reprocessamento, no âmbito de um processo de produção, dos materiais residuais para o fim original ou para outros fins) e encontrar outras formas de valorização dos REEE, de modo a reduzir a quantidade de resíduos a eliminar [ver artigos 1.o e 3.o, alínea d) e e), da directiva]. |
|
10. |
Estas operações, nomeadamente a reutilização e a reciclagem dos REEE, sobretudo de equipamentos informáticos e de telecomunicações, podem apresentar um risco, maior do que no passado, de as pessoas que recolhem os REEE, ou que vendem e compram os equipamentos usados ou reciclados, tomarem conhecimento de eventuais dados pessoais neles armazenados. Esses dados podem ser, frequentemente, de natureza sensível ou dizerem respeito a um grande número de pessoas. |
|
11. |
Por todos estas razões, a AEPD considera urgente que todas as partes interessadas (utilizadores e produtores de equipamentos eléctricos e electrónicos) sejam sensibilizadas para os riscos que correm os dados pessoais, especialmente na fase final do ciclo de vida dos EEE. Nessa fase, apesar de os EEE terem menos valor económico, é provável que contenham uma grande quantidade de dados pessoais, sendo, por isso, susceptíveis de ter um elevado valor «intrínseco» para o titular dos dados e/ou outras pessoas. |
III. ANÁLISE DA PROPOSTA
III.1. Aplicabilidade da Directiva 95/46/CE
|
12. |
A AEPD não tem observações a fazer sobre o objectivo geral da proposta e apoia inteiramente a iniciativa tomada, que se destina a melhorar as políticas respeitadoras do ambiente no domínio dos REEE. |
|
13. |
Contudo, a proposta, bem como a directiva, está unicamente centrada nos riscos ambientais relacionados com a eliminação dos REEE. Não tem em conta outros riscos adicionais para as pessoas singulares e/ou organizações que possam surgir das operações de eliminação, reutilização ou reciclagem de REEE, nomeadamente os que se prendem com a probabilidade de uma aquisição, difusão ou divulgação indevidas dos dados pessoais armazenados nos REEE. |
|
14. |
É importante referir que a Directiva 95/46/CE (8) é aplicável a «qualquer operação ou conjunto de operações efectuadas sobre dados pessoais», incluindo o seu «apagamento ou destruição» [artigo 2.o, alínea b)]. A eliminação dos EEE pode envolver operações de tratamento de dados. Por este motivo, há uma sobreposição entre a proposta e a supramencionada directiva e, como tal, as regras de protecção de dados podem ser aplicadas a actividades abrangidas pela proposta. |
III.2. Eliminação dos REEE e medidas de segurança
|
15. |
A AEPD pretende realçar os riscos significativos que podem afectar as pessoas singulares e/ou as organizações que actuam como «responsáveis pelo tratamento» (9) nos casos em que os REEE, em especial os equipamentos informáticos e de telecomunicações, contêm dados pessoais relativos aos utilizadores desses equipamentos e/ou a terceiros no momento da eliminação. O acesso ou a difusão ilegítimos dessas informações pessoais, por vezes constituídas por categorias específicas de dados, que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, e por dados relativos à saúde e à vida sexual (os denominados «dados sensíveis») (10), são, na verdade, susceptíveis de afectar a privacidade e a dignidade das pessoas a quem as informações dizem respeito, bem como outros interesses legítimos dessas pessoas singulares/organizações (nomeadamente interesses económicos). |
|
16. |
Em termos gerais, a AEPD considera necessário salientar a importância da adopção de medidas de segurança adequadas em todas as fases (do princípio até ao fim) do tratamento de dados pessoais, como foi repetidamente afirmado noutros pareceres (11). O mesmo vale, a fortiori, na fase delicada em que o responsável pelo tratamento de dados pretende eliminar os equipamentos que contêm dados pessoais. |
|
17. |
Na verdade, o respeito das medidas de segurança constitui, muitas vezes, um pré-requisito para garantir eficazmente o direito à protecção dos dados pessoais. |
|
18. |
Seria, por conseguinte, incoerente introduzir a obrigação de adoptar medidas de segurança (às vezes dispendiosas) no exercício corrente das operações de tratamento de dados pessoais [como prevê o artigo 17.o da Directiva 95/46/CE, quando aplicável (12)] e depois não ponderar, pura e simplesmente, a introdução de garantias adequadas em relação à eliminação dos REEE. |
|
19. |
Seria igualmente incoerente dar importância à questão da segurança dos dados a ponto de introduzir uma notificação da violação de dados através do artigo 2.o da Directiva 2009/136/CE (13) e depois não prever qualquer tipo de garantia ou salvaguarda durante a eliminação dos REEE, bem como em caso de reutilização ou reciclagem dos mesmos. |
|
20. |
A AEPD lamenta que a proposta não tenha em conta os efeitos potencialmente nocivos que a eliminação dos REEE pode ter sobre a protecção dos dados pessoais armazenados nos equipamentos «usados». |
|
21. |
Este aspecto também não foi tido em conta na avaliação de impacto realizada pela Comissão (14), não obstante a experiência ter demonstrado que a não adopção de medidas de segurança adequadas em caso de eliminação dos REEE pode comprometer a protecção dos dados pessoais (15). Devido à complexidade das questões envolvidas (por exemplo, a quantidade de métodos legítimos, tecnologias e intervenientes no ciclo de eliminação dos REEE), a AEPD considera que teria sido conveniente realizar uma «avaliação do impacto sobre a privacidade e a protecção de dados» nos processos relativos à eliminação dos REEE. |
|
22. |
Todavia, a AEPD aconselha vivamente que se desenvolvam as «Melhores Técnicas Disponíveis» em matéria de privacidade, protecção de dados e segurança neste domínio. |
|
23. |
Acresce ainda que, durante a consulta pública prévia à reformulação da directiva, as partes interessadas, nomeadamente as empresas informáticas e de comunicações electrónicas (16), levantaram por vezes questões relativas à segurança e à protecção dos dados pessoais. |
|
24. |
Por último, vale a pena realçar que algumas autoridades nacionais responsáveis pela protecção de dados publicaram orientações para minimizar os riscos que podem resultar da não adopção das medidas de segurança necessárias, nomeadamente aquando da eliminação de materiais sujeitos à aplicação da directiva (17). |
|
25. |
A AEPD reitera que a Directiva 95/46/CE é aplicável na fase de eliminação dos REEE que contêm dados pessoais. Os responsáveis pelo tratamento — principalmente os que utilizam equipamentos informáticos e de comunicações — têm, por conseguinte, de cumprir as suas obrigações de segurança para prevenir a difusão ou divulgação indevidas de dados pessoais. Para esse efeito e a fim de não ser responsabilizado pela violação das medidas de segurança, o responsável pelo tratamento, no sector público ou privado, com a cooperação dos responsáveis pela protecção de dados (quando estejam presentes), deve adoptar políticas adequadas em matéria de eliminação dos REEE que contêm dados pessoais. |
|
26. |
Caso os responsáveis pelo tratamento que eliminam os EEE não possuam as competências e/ou os conhecimentos técnicos necessários para apagar os dados pessoais em causa, podem confiar essa tarefa a subcontratantes qualificados (por exemplo, centros de assistência, fabricantes e distribuidores de equipamentos) nas condições prescritas no artigo 17.o, n.os 2, 3 e 4, da Directiva 95/46/CE. Esses subcontratantes certificarão, por sua vez, o desempenho das operações em questão e/ou realizá-las-ão. |
|
27. |
Devido a estas considerações, a AEPD chega à conclusão de que a reformulação da directiva deve adicionar princípios de protecção de dados às disposições consagradas à protecção do ambiente. |
|
28. |
A AEPD recomenda, portanto, que o Conselho e o Parlamento Europeu incluam uma disposição específica na proposta actual em que se declare que a directiva é aplicável à eliminação dos REEE sem prejuízo do disposto na Directiva 95/46/CE. |
III.3. Reutilização ou reciclagem dos REEE e medidas de segurança
|
29. |
Encontrando-se numa situação que lhes permite tomar decisões autónomas sobre os dados contidos nos equipamentos eléctricos e electrónicos (EEE), as pessoas incumbidas das operações de eliminação podem ser consideradas como «responsáveis pelo tratamento» (18). Por conseguinte, devem adoptar procedimentos internos no sentido de evitar operações de tratamento desnecessárias em relação a quaisquer dados pessoais armazenados nos REEE, nomeadamente outras operações para além das estritamente necessárias para verificar a eliminação efectiva dos dados neles contidos. |
|
30. |
Além disso, não devem permitir que pessoas não autorizadas tomem conhecimento ou tratem dados armazenados nos EEE. Em especial, quando os suportes de armazenamento forem reciclados ou reutilizados, voltando a entrar, desse modo, no mercado, há um risco acrescido de difusão ou divulgação indevidas de dados pessoais, sendo necessário prevenir o acesso não autorizado aos mesmos. |
|
31. |
A AEPD recomenda, assim, que o Conselho e o Parlamento Europeu incluam uma disposição específica na actual proposta tendo em vista proibir a comercialização de equipamentos usados que não tenham sido previamente sujeitos a medidas de segurança adequadas, em conformidade com as normas técnicas mais avançadas [por exemplo «multi-pass overwriting» (gravação por cima em múltiplas passagens)], a fim de apagar quaisquer dados pessoais que eles possam conter. |
III.4. Privacidade e segurança desde a fase de concepção
|
32. |
O próximo quadro jurídico sobre resíduos electrónicos deverá incluir não só uma disposição específica sobre o «princípio de concepção ecológica» dos equipamentos em geral (ver artigo 4.o da proposta, relativo à «Concepção dos produtos»), mas também — como já foi declarado noutros pareceres da AEPD (19) — uma disposição relativa ao princípio da «privacidade desde a fase de concepção» (20) ou, mais precisamente, neste domínio, da «segurança desde a fase de concepção» (21). Na medida do possível, a protecção da privacidade e dos dados deve ser integrada na concepção dos equipamentos eléctricos e electrónicos «por defeito», a fim de permitir que os utilizadores apaguem — por meios simples e gratuitos — dados pessoais que possam existir nos equipamentos aquando da eliminação destes últimos (22). |
|
33. |
Esta abordagem é claramente sustentada pelo artigo 3.o, n.o 3, alínea c), da Directiva 1999/5/CE (23) relativa à concepção dos equipamentos de rádio e equipamentos terminais de telecomunicações e pelo artigo 14.o, n.o 3, da Directiva 2002/58/CE (24). |
|
34. |
Por conseguinte, os produtores devem incorporar garantias de privacidade e segurança através de soluções tecnológicas (25). Neste contexto, as iniciativas destinadas a aconselhar os interessados sobre a necessidade de apagar todos os dados pessoais antes da eliminação dos REEE (incluindo a disponibilização pelos produtores de software gratuito para o efeito) também devem ser promovidas e apoiadas (26). |
IV. CONCLUSÕES
|
35. |
Tendo em conta o exposto, a AEPD recomenda que as autoridades responsáveis pela protecção de dados, designadamente através do Grupo do Artigo 29.o para a Protecção de Dados, e a AEPD sejam estreitamente envolvidas nas iniciativas respeitantes à eliminação de REEE, através de consultas numa fase suficientemente precoce, antes do desenvolvimento das medidas em causa. |
|
36. |
Considerando o contexto em que os dados pessoais são tratados, a AEPD aconselha que a proposta inclua disposições específicas:
|
|
37. |
A AEPD recomenda, assim, vivamente que a proposta seja alterada, em conformidade com a Directiva 95/46/CE, do seguinte modo: — Considerando 11: «Além disso, a presente directiva deve ser aplicável sem prejuízo do disposto na legislação em matéria de protecção de dados, nomeadamente na Directiva 95/46/CE. Uma vez que os equipamentos eléctricos e electrónicos (EEE) constituem um vasto grupo de produtos, que abrange um número diversificado de suportes capazes de armazenar dados pessoais (como os equipamentos informáticos e de telecomunicações), as operações de eliminação a eles relativas, em especial a reutilização e a reciclagem, podem apresentar riscos de acesso não autorizado aos dados pessoais armazenado nos REEE. Por conseguinte, na medida do possível, devem ser sempre integradas garantias de protecção da privacidade e dos dados na concepção dos equipamentos eléctricos e electrónicos capazes de armazenar dados pessoais, a fim de permitir que os utilizadores apaguem — de forma simples e gratuita — os dados desse tipo eventualmente presentes no momento da eliminação.»; — Artigo 2.o, n.o 3: «A presente directiva é aplicável sem prejuízo do disposto na legislação em matéria de protecção de dados, nomeadamente na Directiva 95/46/CE.». |
|
38. |
Além disso, a AEPD considera conveniente que as seguintes alterações sejam tomadas em consideração: — Artigo 4.o, n.o 2: «Os Estados-Membros incentivarão a adopção de medidas de promoção de uma concepção e produção dos equipamentos eléctricos e electrónicos que facilitem o apagamento de todos os dados pessoais contidos nos EEE aquando da sua eliminação»; — Artigo 8.o, n.o 7: «Os Estados-Membros garantirão que todos os REEE recolhidos que contenham dados pessoais e que sejam tratados com vista à sua posterior reciclagem ou reutilização só sejam comercializados depois de tais dados serem removidos através das melhores técnicas disponíveis.»; — Artigo 14.o, n.o 6: «Os Estados-Membros podem exigir que os utilizadores de EEE que contenham dados pessoais sejam informados pelos produtores e/ou distribuidores, nomeadamente nas instruções de utilização ou no ponto de venda, a respeito da necessidade de apagarem os dados pessoais que os EEE possam conter antes da sua eliminação». |
Feito em Bruxelas, em 14 de Abril de 2010.
Peter HUSTINX
Autoridade Europeia para a Protecção de Dados
(1) COM(2008) 810 final.
(2) JO L 37 de 13.2.2003, p. 24.
(3) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).
(4) Ver TJE, 23.2.1999, C-42/97 Parlamento Europeu contra Conselho da União Europeia, [1999] Colect. I-869, n.o 43.
(5) Ver também, inter alia, TJE, 30.1.2001, C-36/98 Reino de Espanha contra o Conselho, [2001] Colect. I-779, n.o 59: «Se o exame de um acto comunitário demonstrar que ele prossegue uma dupla finalidade ou que tem dois componentes e se um destes for identificável como principal ou preponderante, enquanto o outro é apenas acessório, o acto deve ter por fundamento uma única base jurídica, ou seja, a exigida pela finalidade ou componente principal ou preponderante».
(6) Acordo Interinstitucional, de 28 de Novembro de 2001, para um recurso mais estruturado à técnica de reformulação dos actos jurídicos (JO C 77 de 28.3.2002, p. 1).
(7) Ver Commission Staff working paper accompanying the Proposal for a Directive of the European Parliament and of the Council on waste electrical and electronic equipment (WEEE) (recast). Impact Assessment [Documento de trabalho dos serviços da Comissão que acompanha a Proposta de Directiva do Parlamento Europeu e do Conselho relativa aos resíduos de equipamentos eléctricos e electrónicos (REEE) (Reformulação). Avaliação de impacto] 3.12.2008 [COM(2008) 810 final] SEC(2008) 2933, p. 17.
(8) Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).
(9) Ver definição de «responsável pelo tratamento» no artigo 2.o, alínea d), da Directiva 95/46/CE.
(10) Ver artigo 8.o da Directiva 95/46/CE.
(11) Ver Parecer da AEPD sobre a Agência para a gestão operacional de sistemas informáticos de grande escala (JO C 70 de 19.3.2010, p. 13), pontos 46 e 47; Parecer sobre a proposta de directiva relativa à aplicação dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO C 128 de 6.6.2009, p. 20), pontos 27-31.
(12) Ver artigo 3.o da mesma directiva.
(13) Directiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de Novembro de 2009, que altera a Directiva 2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas, a Directiva 2002/58/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas e o Regulamento (CE) n.o 2006/2004 relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de defesa do consumidor (JO L 337 de 18.12.2009, p. 11).
(14) Commission Staff Working Paper accompanying the Proposal for a Directive of the European Parliament and of the Council on waste electrical and electronic equipment (WEEE) (recast), SEC(2008) 2933, 3.12.2008; mas ver «United Nations University, 2008 Review of Directive 2002/96/EC on Waste Electrical and Electronic Equipment (WEEE)», Comissão Europeia, Bélgica, 2007, p. 273 (http://ec.europa.eu/environment/waste/REEE/pdf/final_rep_unu.pdf); «Data security is also an issue — removing personal data from a hard-drive» (A segurança dos dados também é um problema — remover os dados pessoais de um disco rígido).
(15) Ver, por exemplo, o artigo da BBC, publicado na Internet, intitulado «Children's files on eBay computer», de 4 de Maio de 2007, em que se noticiava que um computador com dados pessoais sobre o acolhimento e a adopção de crianças fora vendido na eBay (http://news.bbc.co.uk/2/hi/uk_news/england/6627265.stm); ver também o artigo da BBC, na Internet, intitulado «Bank customer data sold on eBay», de 26 de Agosto de 2008, sobre a venda de um disco rígido com dados pessoais de um milhão de clientes de um banco na eBay (http://news.bbc.co.uk/2/hi/uk_news/7581540.stm).
(16) Ver HP, Stakeholder Consultation on the Review of Directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical and Electronic Equipment (WEEE), pp. 7-8; DELL (projecto de observações), WEEE Review Policy Options of the stakeholder consultation on the review of directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical And Electronic Equipment (WEEE), p. 2, ponto 1.1. e 4, ponto 1.3. (3.6.2008); Royal Philips Electronics Position and Proposal, Stakeholder consultation on the Revision of the WEEE Directive, p. 12 (5.6.2008) (http://circa.europa.eu/Public/ircenv/weee_2008_review/library). Ver também WEEE Consultation Response, Summary of responses and Government response to fourth consultation on implementation of Directives 2002/96/EC and 2003/108/EC on Waste Electrical and Electronic Equipment, Dezembro de 2006, p. 30: «Protecção e segurança dos dados. Algumas empresas de gestão de resíduos gostariam que fossem emitidas orientações sobre a protecção e a segurança dos dados, sobretudo tendo em conta o facto de terem de tratar dados sensíveis» (http://www.berr.gov.uk/files/file35961.pdf).
(17) Landesbeauftragter für Datenschutz und Informationsfreiheit Bremen, Entwicklung eines Konzeptes zur Löschung und Datenträgervernichtung durch Behörden und Unternehmen, 16. Mai 2007 (http://www.datenschutz-bremen.de/rtf/datenloeschung.rtf); Garante per la protezione dei dati personali, Electrical and Electronic Waste and Data Protection, 13 de Outubro de 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1583482), também mencionado no Décimo segundo relatório anual do Grupo do Artigo 29.o para a Protecção de Dados, 16 de Junho de 2009, p. 57; ver também International Working Group on Data Protection and Telecommunications, Recommendation on Data Protection and E-Waste, Sófia, 12-13.3.2009 (http://www.datenschutz-berlin.de/attachments/650/675.38.14.pdf?1264671551).
(18) «O conceito de responsável pelo tratamento é […] funcional, no sentido em que se destina a atribuir responsabilidades a quem tem a influência concreta, sendo assim baseado numa análise factual e não numa análise formal»: ver Grupo do Artigo 29.o para a Protecção de Dados, WP 169, Opinion 1/2010 on the concepts of«controller»and«processor», aprovado em 16 de Fevereiro de 2010.
(19) Ver, por exemplo The EDPS and EU Research and Technological Development. Documento de Estratégia, 28 de Abril de 2008, p. 2; Parecer da AEPD sobre os sistemas de transporte inteligentes (JO C 47 de 25.2.2010, p. 6); Parecer da AEPD sobre a farmacovigilância (JO C 229 de 23.9.2009, p. 19).
(20) A favor de uma ampla aplicação deste princípio, ver Grupo do Artigo 29.o para a Protecção de Dados — Working Party on Police and Justice, The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data, WP 168, adoptado em 1 de Dezembro de 2009, p. 3 e 12; ver também Recomendação da Comissão relativa à aplicação dos princípios de protecção da privacidade e dos dados nas aplicações assentes na identificação por radiofrequências, C(2009) 3200 final, p. 8.
(21) Ver Comunicação da Comissão, Uma Agenda Europeia de Investigação e de Inovação em matéria de Segurança — posição inicial da Comissão sobre as principais conclusões e recomendações do ESRIF, COM(2009) 691 final, p. 6 e 14.
(22) Ver também o parecer da AEPD, de 18 de Março de 2010, sobre a promoção da confiança na Sociedade da Informação através de uma melhor protecção dos dados e da privacidade.
(23) Artigo 3.o, n.o 3, da Directiva 1999/5/CE do Parlamento Europeu e do Conselho, de 9 de Março de 1999, relativa aos equipamentos de rádio e equipamentos terminais de telecomunicações e ao reconhecimento mútuo da sua conformidade (JO L 91 de 7.4.1999, p. 10): «[…] a Comissão pode decidir que os aparelhos de certas classes de equipamento ou determinados tipos de aparelhos sejam construídos por forma a […] incluírem salvaguardas que assegurem a protecção dos dados pessoais e da privacidade do utilizador e do assinante».
(24) «Caso seja necessário, poderão ser adoptadas medidas para garantir que o equipamento terminal seja construído de uma forma compatível com o direito de os utilizadores protegerem e controlarem a utilização dos seus dados pessoais, em conformidade com o disposto na Directiva 1999/5/CE e na Decisão 87/95/CEE do Conselho, de 22 de Dezembro de 1986, relativa à normalização no domínio das tecnologias da informação e das telecomunicações». Ver também o considerando 46 da mesma directiva, mencionado na nota de rodapé 13.
(25) A favor desta perspectiva política, ver também V. Reding, Discurso de Fundo no Dia da Protecção de Dados, de 28 de Janeiro de 2010, no Parlamento Europeu, em Bruxelas, SPEECH/10/16: «As empresas devem utilizar a sua capacidade de inovação para melhorarem a protecção da privacidade e dos dados pessoais desde o início do ciclo de desenvolvimento. A privacidade desde a fase de concepção é um princípio que interessa tanto aos cidadãos como às empresas. A privacidade desde a fase de concepção permitirá uma protecção mais eficaz das pessoas singulares e aumentará a confiança nos novos serviços e produtos, a qual terá, por sua vez, um impacto positivo na economia. Vi alguns exemplos animadores, mas ainda há muito a fazer».
(26) Ver, por exemplo, Royal Canadian Mounted Police, B2-002 — IT Media Overwrite and Secure Erase Products (05/2009), in http://www.rcmp-grc.gc.ca/ts-st/pubs/it-ti-sec/index-eng.htm