30.11.2010   

PT

Jornal Oficial da União Europeia

C 323/1

1.

Em 31 de Março de 2010, a Comissão adoptou uma proposta de Regulamento do Parlamento Europeu e do Conselho relativo à iniciativa de cidadania (3). A proposta surge no seguimento de uma consulta pública sobre este tema, realizada entre 11 de Novembro de 2009 e 31 de Janeiro de 2010 (4).

2.

A iniciativa de cidadania é uma das inovações introduzidas no direito comunitário pelo Tratado de Lisboa e prevê que um milhão, pelo menos, de cidadãos nacionais de um número significativo de Estados-Membros pode convidar a Comissão a apresentar uma proposta legislativa. O regulamento proposto baseia-se no artigo 11.o, n.o 4, do Tratado da União Europeia (TUE) e no artigo 24.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia (TFUE), que dispõem que as normas processuais e as condições para a apresentação de uma iniciativa de cidadania sejam determinadas de acordo com o processo legislativo ordinário.

3.

A proposta foi enviada à AEPD, em conformidade com o artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001, no mesmo dia em que foi adoptada. A AEPD foi informalmente consultada antes da adopção da proposta. A AEPD congratulou-se com essa consulta informal e verifica com agrado que todas as suas observações foram tidas em conta na proposta final.

4.

De um modo geral, a AEPD está satisfeita com a forma como a questão da protecção de dados é abordada na proposta de regulamento. A nível mais pormenorizado, a AEPD tem algumas sugestões de alteração, que são analisadas no capítulo II do presente parecer.

5.

A título de observação preliminar, a AEPD deseja salientar que o pleno respeito pelas regras de protecção de dados contribui consideravelmente para a fiabilidade, a eficácia e o êxito deste novo e importante instrumento.

6.

A proposta determina as normas processuais e as condições para a apresentação de uma iniciativa de cidadania, em conformidade com os artigos 11.o, n.o 4, do TUE e 24.o, n.o 1, do TFUE. A proposta de regulamento define o número mínimo de Estados-Membros, o número mínimo de cidadãos por Estado-Membro e a idade mínima que os cidadãos devem ter para poderem participar numa iniciativa. A proposta estabelece ainda as condições substantivas e processuais para a análise de uma iniciativa pela Comissão.

7.

O presente parecer debruça-se apenas sobre as disposições relevantes numa perspectiva de protecção de dados. São elas as regras relativas ao registo de uma iniciativa de cidadania (artigo 4.o), as normas processuais para a recolha de declarações de apoio (artigos 5.o e 6.o) e os requisitos de verificação e autenticação das declarações de apoio (artigo 9.o). No artigo 12.o da proposta presta-se especial atenção à protecção de dados. O artigo 13.o trata, além disso, da responsabilidade dos organizadores de uma iniciativa de cidadania. Estas disposições são, seguidamente, analisadas em pormenor.

8.

Antes de dar início à recolha das declarações de apoio dos signatários, compete ao organizador registar a iniciativa junto da Comissão através de um registo em linha, devendo fornecer as informações referidas no anexo II da proposta de regulamento. Nessas informações incluem-se os dados pessoais do organizador, nomeadamente o nome completo, o endereço postal e o endereço electrónico. Nos termos do artigo 4.o, n.o 5, da proposta, uma proposta de iniciativa de cidadania será acessível ao público através do registo. Embora o texto não o explicite claramente, a AEPD supõe que o endereço postal e o endereço electrónico do organizador não serão, em princípio, acessíveis ao público através do registo. Se assim não for, a AEPD convida o legislador a avaliar e explicar a necessidade desse acesso, bem como a clarificar o texto do artigo 4.o nesta matéria.

9.

O organizador é responsável pela recolha das declarações de apoio junto dos signatários necessárias para uma proposta de iniciativa de cidadania. Nos termos do artigo 5.o, n.o 1, as declarações de apoio devem seguir o modelo constante do anexo III da proposta de regulamento. Esse modelo exige que um signatário forneça determinadas informações (evidentes) de carácter pessoal, como o nome próprio e o apelido, e, no caso de um formulário em papel, a assinatura efectiva. Para efeitos da verificação da autenticidade de uma declaração de apoio pela autoridade competente, também é obrigatório fornecer outras informações: a cidade e o país onde o signatário reside, a sua data e local de nascimento, a nacionalidade, o número de identificação pessoal, o tipo de número de identificação/documento de identificação e o Estado-Membro que emitiu o número de identificação/documento de identificação. Outros campos, de preenchimento não obrigatório, indicados no modelo são a rua onde o signatário reside e o seu endereço electrónico.

10.

A AEPD considera que todos os campos de preenchimento obrigatório do modelo são necessários para o objectivo de organizar a iniciativa de cidadania e garantir a autenticidade das declarações de apoio, à excepção do número de identificação pessoal. Existem diferenças entre os Estados-Membros quanto à forma como a utilização desses números de identificação únicos, quando existem, é regulamentada. Em todo o caso, a AEPD não entende o valor acrescentado da identificação pessoal para efeitos da verificação da autenticidade das declarações de apoio. As outras informações solicitadas já podem ser consideradas suficientes para atingir esse objectivo. A AEPD recomenda, assim, que esse campo seja suprimido do modelo constante do anexo III.

11.

A AEPD também questiona a necessidade de incluir os campos de preenchimento não obrigatório no formulário normalizado e recomenda que sejam suprimidos do modelo constante do anexo III, caso essa necessidade não seja demonstrada.

12.

A AEPD recomenda, além disso, o aditamento de uma declaração de privacidade normalizada no final do modelo, que indique a identidade do responsável pelo tratamento dos dados, os objectivos da recolha, os outros destinatários dos dados e o prazo de conservação dos dados. O fornecimento dessas informações à pessoa em causa é exigido pelo artigo 10.o da Directiva 95/46/CE.

13.

O artigo 6.o da proposta de regulamento trata da recolha das declarações de apoio através de sistemas de recolha em linha. Este artigo dispõe que o organizador deve certificar-se, antes da recolha das declarações, que o sistema em linha tem características técnicas e de segurança adequadas, a fim de garantir, nomeadamente, que os dados fornecidos em linha são conservados em segurança «de modo a impedir […] a sua alteração ou a utilização para outros fins além do apoio à iniciativa de cidadania e também de modo a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração ou a divulgação ou acesso não autorizados» (5).

14.

O artigo 6.o, n.o 2, afirma ainda que o organizador pode, a todo o tempo, solicitar à autoridade competente em causa que ateste a conformidade do sistema de recolha em linha com esses requisitos. O organizador deve, em qualquer caso, solicitar essa atestação antes de apresentar as declarações de apoio para efeitos de verificação (ver artigo 9.o infra).

15.

O artigo 6.o, n.o 5, obriga ainda a Comissão a adoptar as especificações técnicas para a aplicação dessas regras de segurança em conformidade com o procedimento de comitologia previsto no artigo 19.o, n.o 2, da proposta.

16.

A AEPD congratula-se com a ênfase dada no artigo 6.o da proposta à segurança dos sistemas de recolha em linha. A obrigação de garantir a segurança do tratamento de dados é um dos requisitos de protecção de dados previstos no artigo 17.o da Directiva 95/46/CE. A AEPD verifica com satisfação que, na sequência das suas observações informais, a Comissão harmonizou o texto do artigo 6.o, n.o 4, da proposta com o texto do artigo 17.o da Directiva 95/46/CE. Congratula-se igualmente com a inclusão no artigo 6.o, n.o 4, de uma obrigação de garantir que os dados não são utilizados para outros fins além do apoio à iniciativa de cidadania. Contudo, a AEPD exorta o legislador a incluir no artigo 12.o uma obrigação comparável de âmbito geral (ver ponto 27 infra).

17.

A AEPD tem dúvidas quanto ao calendário da atestação pela autoridade competente em causa. O organizador só é obrigado a solicitar essa atestação no final do processo, antes de apresentar as declarações de apoio recolhidas a essa autoridade, podendo fazê-lo anteriormente. Partindo do princípio de que a atestação do sistema de recolha em linha tem um valor acrescentado, a AEPD considera que a atestação deveria ter lugar antes de as declarações serem recolhidas, a fim de evitar a recolha de dados pessoais de pelo menos um milhão de cidadãos através de um sistema que depois se constate não estar suficientemente protegido. A AEPD convida, por isso, o legislador a incluir esta obrigação no texto do artigo 6.o, n.o 2, garantindo, evidentemente, que o procedimento de atestação não constitua uma carga administrativa desnecessária para o organizador.

18.

Relativamente a este aspecto, a AEPD chama a atenção para o artigo 18.o da Directiva 95/46/CE, que obriga os responsáveis pelo tratamento a notificar a autoridade nacional em matéria de protecção de dados antes da realização de um tratamento, excepto se forem aplicáveis algumas isenções. Não fica explícito como esta obrigação de notificar, sob reserva de isenção, está relacionada com a atestação pela autoridade nacional competente prevista na proposta de regulamento. A fim de evitar encargos administrativos na medida do possível, a AEPD convida o legislador a esclarecer a relação entre o procedimento de notificação previsto no artigo 18.o da Directiva 95/46/CE e o procedimento de atestação previsto no artigo 6.o da proposta de regulamento.

19.

Quanto às normas de execução relativas às especificações técnicas, a AEPD espera ser consultada antes da sua adopção, uma vez que o documento de trabalho da Comissão sobre os resultados do Livro Verde menciona que durante a consulta pública foram propostos vários sistemas para garantir a autenticidade das assinaturas em linha, como por exemplo a ideia de um cartão de cidadão europeu com circuito integrado que permita assinaturas electrónicas. Um tal sistema implica, evidentemente, novas questões em matéria de protecção de dados (6).

20.

Após ter recolhido as declarações de apoio necessárias dos signatários, o organizador deve apresentá-las à autoridade competente em causa para efeitos de verificação e atestação. O organizador transfere os dados pessoais dos signatários para a autoridade competente do Estado-Membro que emitiu o documento de identificação do signatário indicado na declaração de apoio. No prazo de três meses, a autoridade competente deve verificar as declarações de apoio com base em «controlos adequados» e entregar um certificado ao organizador (7). O certificado é utilizado quando a iniciativa é efectivamente apresentada à Comissão.

21.

A AEPD congratula-se com este sistema descentralizado, mediante o qual a Comissão não ficará na posse dos dados pessoais dos signatários mas somente dos certificados emitidos pelas autoridades nacionais competentes. Esse sistema diminui os riscos de tratamento inadequado dos dados pessoais, visto que reduz ao mínimo os destinatários desses dados.

22.

O texto não diz claramente o que se entende por «controlos adequados» pela autoridade competente. Além disso, o respectivo considerando 15 não fornece qualquer esclarecimento sobre o assunto. A AEP pergunta-se como irão as autoridades competentes verificar a autenticidade das declarações de apoio. Está particularmente interessada em saber se as autoridades competentes conseguirão controlar as declarações com base em informações sobre a identidade dos cidadãos que estejam disponíveis a partir de outras fontes, como os registos nacionais ou regionais. A AEPD convida o legislador a especificar esta questão.

23.

O artigo 12.o da proposta de regulamento é exclusivamente consagrado à protecção dos dados pessoais. Esta disposição sublinha que o organizador e a autoridade competente devem respeitar o disposto na Directiva 95/46/CE e as disposições nacionais adoptadas nesta matéria. No considerando 20 também é feita menção à aplicabilidade do Regulamento (CE) n.o 45/2001 ao tratamento de dados efectuado pela Comissão aquando do registo do organizador de uma iniciativa. A AEPD saúda estas declarações.

24.

A disposição também especifica que, para efeitos do tratamento de dados pessoais que lhe compete efectuar, o organizador e a autoridade competente devem ser considerados responsáveis pelo respectivo tratamento. A AEPD está satisfeita com esta especificação. É ao responsável pelo tratamento que compete a principal responsabilidade pelo cumprimento das regras de protecção de dados. O artigo 12.o da proposta evita dúvidas sobre quem deve ser considerado como responsável pelo tratamento.

25.

O artigo 12.o também prevê os prazos máximos de conservação dos dados pessoais recolhidos. Para o organizador, esse prazo é de um mês após a apresentação da iniciativa à Comissão, ou de 18 meses, pelo menos, a contar da data de registo de uma proposta de iniciativa. As autoridades competentes devem destruir os dados até um mês após a emissão do certificado. A AEPD congratula-se com estes limites, uma vez que asseguram o cumprimento do requisito estabelecido no artigo 6.o, n.o 1, alínea e), da Directiva 95/46/CE.

26.

A AEPD também expressa satisfação pela repetição, no artigo 12.o, do texto extraído do artigo 17.o, n.o 1, da Directiva 95/46/CE sobre a segurança do tratamento de dados. Fica, deste modo, esclarecido que essas obrigações não se aplicam somente quando se utiliza um sistema de recolha em linha (ver ponto 13 e acima), mas em todas as situações abrangidas pela proposta de regulamento.

27.

Tal como é afirmado no ponto 16, a AEPD recomenda ao legislador que adite um novo número ao artigo 12.o que garanta que os dados pessoais recolhidos pelo organizador (através de um sistema de recolha em linha ou por outros meios) não são utilizados para outros fins além do apoio à iniciativa de cidadania e que os dados recebidos pela autoridade competente apenas são utilizados para verificar a autenticidade das declarações de apoio a uma iniciativa de cidadania.

28.

No artigo 13.o afirma-se que os Estados-Membros devem assegurar que os organizadores residentes ou estabelecidos no seu território são responsáveis, nos termos da respectiva lei civil ou penal, em caso de incumprimento da proposta de regulamento e, em especial, se não respeitarem os requisitos aplicáveis aos sistemas de recolha em linha ou em caso de utilização fraudulenta dos dados. No considerando 19 é feita referência ao capítulo III da Directiva 95/46/CE, relativo aos recursos judiciais, responsabilidade e sanções, afirmando-se que este capítulo é plenamente aplicável ao tratamento de dados efectuado ao abrigo do regulamento proposto. O artigo 13.o da proposta deve ser considerado complementar a este considerando, referindo explicitamente, ao contrário do capítulo III da Directiva 95/46/CE, a lei civil e penal dos Estados-Membros. A AEPD congratula-se, evidentemente, com esta disposição.

29.

Tal como é dito na introdução, e foi explicitado pela análise efectuada no capítulo II do presente parecer, a AEPD está, de um modo geral, satisfeita com a forma como a questão do tratamento de dados é abordada na proposta de regulamento relativo à iniciativa de cidadania. A protecção de dados foi claramente tida em conta e a proposta está elaborada de forma a garantir a conformidade com as normas de protecção de dados. A AEPD está particularmente satisfeita com o artigo 12.o, que se ocupa exclusivamente da protecção de dados e que clarifica as responsabilidades e os prazos de conservação. A AEPD deseja salientar que o pleno respeito pelas regras de protecção de dados contribui consideravelmente para a fiabilidade, a eficácia e o êxito deste novo e importante instrumento. Apesar de estar, de um modo geral, satisfeita com a proposta, a AEPD ainda considera necessário introduzir algumas melhorias.

30.

A AEPD recomenda que o legislador altere o artigo 6.o de modo a que o organizador seja obrigado a solicitar a atestação da segurança do sistema de recolha em linha antes de iniciar a recolha das declarações de apoio. Além disso, esses procedimentos de certificação não devem constituir uma carga administrativa desnecessária para o organizador. A AEPD recomenda ainda que a relação entre o procedimento de notificação previsto pelo artigo 18.o da Directiva 95/46/CE e o procedimento de atestação previsto no artigo 6.o da proposta de regulamento seja esclarecida.

31.

A fim de melhorar a proposta, a AEPD recomenda ao legislador que: