|
31.8.2017 |
PT |
Jornal Oficial da União Europeia |
C 288/107 |
Parecer do Comité Económico e Social Europeu sobre a «Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE»
[COM(2017) 8 final — 2017/0002 (COD)]
(2017/C 288/15)
|
Relator: |
Jorge PEGADO LIZ |
|
Consulta |
Comissão Europeia, 26.4.2017 |
|
Base jurídica |
Artigo 16.o, n.o 2, do TFUE. |
|
|
|
|
Competência |
Secção Especializada de Transportes, Energia, Infraestruturas e Sociedade da Informação |
|
Adoção em secção |
16.5.2017 |
|
Adoção em plenária |
31.5.2017 |
|
Reunião plenária n.o |
526 |
|
Resultado da votação (votos a favor/votos contra/abstenções) |
161/0/2 |
1. Conclusões e recomendações
|
1.1 |
A Comissão, com a proposta em análise, dá efetivo cumprimento, de modo geralmente correto e adequado, de um ponto de vista estritamente técnico-jurídico, à necessária adaptação do atual regime do Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (1) e da Decisão n.o 1247/2002/CE do Parlamento Europeu, do Conselho e da Comissão (2) relativos à proteção dos dados de caráter pessoal pelas instituições, órgãos e organismos da União ao novo Regulamento Geral sobre a Proteção de Dados (RGPD) (3), que será aplicável em toda a UE a partir de 25 de maio de 2018. |
|
1.2 |
Tal não impede que o CESE recorde o teor das suas observações e recomendações relativas à proposta de RGPD, agora transformada no atual RGPD, e lamente que esta versão final não as tenha contemplado inteiramente, além de temer que a sua adoção e entrada em vigor tardias, atenta a rápida evolução tecnológica neste domínio, aumente os riscos de apropriação indevida de dados e o abuso do seu tratamento e comercialização, temendo-se que venha a tornar-se obsoleta antes mesmo da sua implementação. Na medida em que a proposta em apreço é uma adaptação daquele RGPD ao funcionamento das instituições europeias, aqueles receios valem, mutatis mutandis, para o texto em apreço, designadamente no que se refere à opacidade da sua linguagem, de difícil compreensão pelo cidadão médio. |
|
1.3 |
Por outro lado, o CESE considera que o que se passa nas instituições da UE deve ser tomado como exemplo para os procedimentos a nível nacional, pelo que reputa exigíveis cuidados especiais na redação da proposta em análise. |
|
1.4 |
Neste sentido o CESE estimaria que aspetos como a articulação da proposta em análise com o Estatuto dos Funcionários da União Europeia, o tratamento das situações de assédio, de ciberassédio e de comunicação de irregularidades dentro das instituições da UE, a sua aplicação no que concerne à Internet das coisas, aos megadados e à utilização de motores de pesquisa para efeitos de acesso, criação ou utilização de dados pessoais, bem como as informações pessoais publicadas nas páginas das instituições nas redes sociais (Facebook, Twitter, Instagram, LinkedIn, etc.), tivessem sido tratadas de forma explícita. |
|
1.5 |
Identicamente o CESE apreciaria que a proposta se tivesse preocupado em enunciar os termos da segurança dos sistemas informáticos que serão suporte dos tratamentos de dados e as garantias contra os ciberataques e a violação ou fugas desses dados, assegurando a sua neutralidade tecnológica, não as relegando apenas para normas internas específicas de cada serviço, e bem assim ser mais bem esclarecida a relação entre a proteção de dados e o combate ao crime e ao terrorismo, sem que tal significasse a adoção de medidas desproporcionadas ou excessivas de vigilância e, de todo o modo, sempre sujeitas ao controlo da Autoridade Europeia para a Proteção de Dados (AEPD). |
|
1.6 |
Mais apreciaria que a proposta tivesse definido as competências e as características de formação e de idoneidade exigíveis para ser designado como encarregado da proteção de dados, responsável pelo tratamento de dados e subcontratante, junto das instituições da UE, sempre sujeitas a controlo e monitorização da AEPD. |
|
1.7 |
O CESE estimaria ainda que, atenta a especificidade dos dados recolhidos e que incidem diretamente sobre a vida privada dos titulares, nomeadamente em termos de saúde, dados fiscais e sociais, fossem limitados ao estritamente necessário para os fins a que se destinam e fosse garantida a máxima proteção e as máximas garantias no tratamento de tais dados pessoais particularmente sensíveis apoiando-se nas normas internacionais e nas legislações nacionais mais avançadas e nas melhores práticas de alguns Estados-Membros. |
|
1.8 |
O CESE salienta a necessidade de que a proposta preveja expressamente o reforço dos meios da AEPD e a afetação de pessoal suficiente e de elevados conhecimentos e competência técnica na área da proteção dos dados. |
|
1.9 |
O CESE reafirma, uma vez mais, a necessidade de que os dados das pessoas coletivas (empresas, ONG, sociedades comerciais, etc.), legalmente constituídas, sejam também objeto de proteção no âmbito da recolha e tratamento. |
|
1.10 |
Finalmente o CESE enuncia, na sua análise na especialidade, uma série de modificações em vários preceitos que, a serem adotadas, contribuirão para uma mais efetiva proteção dos dados pessoais no seio das instituições da UE, não só em relação aos seus funcionários mas também aos milhares de cidadãos europeus que com elas contactam, e daí que inste a Comissão, mas também o Parlamento Europeu e o Conselho, a tomá-las em consideração na redação final da proposta. |
2. Objeto e enquadramento da proposta
|
2.1 |
Conforme identificado pela Comissão na respetiva exposição de motivos, o objetivo da sua proposta é proceder à revogação do Regulamento (CE) n.o 45/2001 (4) e da Decisão n.o 1247/2002/CE relativos à proteção dos dados de caráter pessoal pelas instituições, órgãos e organismos da União, com dois objetivos:
|
|
2.2 |
Acontece que, depois de uma longa e atribulada gestação, o Conselho e o Parlamento acabaram por adotar o Regulamento Geral sobre a Proteção de Dados (RGPD) (5), que será aplicável em toda a UE a partir de 25 de maio de 2018; este regulamento implica uma adaptação de vários instrumentos legislativos (6), entre os quais se destacam os referidos Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE. |
|
2.3 |
Tendo em consideração os resultados dos inquéritos e das consultas das partes interessadas, e do estudo de avaliação relativo à sua aplicação ao longo dos últimos 15 anos, de que a Comissão dá extensa conta, concluiu esta, designadamente, que:
|
|
2.4 |
Tendo em conta a natureza e a extensão das alterações a introduzir nos anteriores instrumentos legais, a Comissão decidiu a sua revogação in totu e a substituição pelo regulamento, ora em apreço, coerente com as demais disposições citadas para entrarem em vigor simultaneamente com o Regulamento (UE) 2016/679 e conforme previsto no seu artigo 98.o. |
3. Observações na generalidade
|
3.1 |
De um ponto de vista estritamente técnico-jurídico, o CESE marca o seu acordo de princípio, quanto:
|
|
3.2 |
Isto não prejudica o teor das suas observações e recomendações relativas à proposta de RGPD (8), agora transformada no atual RGPD (9), que esta versão final não contempla inteiramente e cuja adoção e entrada em vigor tardias ainda mais prejudicam, atenta a rápida evolução tecnológica neste domínio, que aumenta os riscos de apropriação indevida de dados e o abuso do seu tratamento e comercialização, temendo-se que venha a tornar-se obsoleta antes mesmo da sua implementação. Na medida em que a proposta em apreço é uma adaptação daquele RGPD ao funcionamento das instituições europeias, aqueles receios valem, mutatis mutandis, para o texto em apreço, designadamente no que se refere à opacidade da sua linguagem, de difícil compreensão pelo cidadão médio, que melhor teria sido se apresentado e discutido em simultâneo com aquela proposta. |
|
3.3 |
Por outro lado, considerando que o que se passa nas instituições da UE deve ser considerado como exemplo para os procedimentos a nível nacional, o CESE estimaria que certos temas tivessem sido abordados na proposta em análise. |
|
3.4 |
Não é, desde logo, claro se a mesma foi devidamente articulada com o Estatuto dos Funcionários da União Europeia [Regulamento n.o 31 (CEE) (10)], dado faltarem dispositivos normativos específicos que garantam que os dados pessoais dos funcionários e colaboradores das instituições sejam objeto de uma garantia de proteção mais eficaz no que concerne ao seu recrutamento, carreira, período de vigência do contrato e eventuais renovações e da sua avaliação. |
|
3.4.1 |
Se não neste diploma, deveriam ser previstas disposições de caráter geral com regras relativas ao registo de saúde dos funcionários e seus familiares, à proteção de dados criados ou utilizados pelos funcionários e respetivos dados genéticos, ao tratamento e proteção das mensagens enviadas por correio eletrónico, quer as enviadas por cidadãos aos organismos da UE, quer as emitidas ou trocadas entre funcionários desses organismos entre si e com o exterior e aos seus conteúdos e páginas da Internet visitadas (11). |
|
3.4.2 |
Identicamente, mereciam um tratamento especial as situações de assédio, de ciberassédio e de comunicação de irregularidades dentro das instituições da UE, não obstante o disposto no artigo 68.o. |
|
3.4.3 |
O CESE interroga-se igualmente quanto aos termos de aplicação da proposta em análise e do Regulamento (UE) 2016/679, no que concerne à Internet das coisas, aos megadados e à utilização de motores de pesquisa para efeitos de acesso, criação ou utilização de dados pessoais, bem como as informações pessoais publicadas nas páginas das instituições nas redes sociais (Facebook, Twitter, Instagram, LinkedIn, etc.), independentemente do consentimento expresso do titular dos dados. |
|
3.5 |
O CESE apreciaria que a proposta da Comissão, para além da referência à confidencialidade das comunicações eletrónicas no artigo 34.o da proposta de regulamento, se tivesse preocupado em enunciar os termos da segurança dos sistemas informáticos que serão suporte dos tratamentos de dados e as garantias contra os ciberataques e a violação ou fugas desses dados (12), assegurando a sua neutralidade tecnológica, não as relegando apenas para normas internas específicas de cada serviço, e bem assim ser mais bem esclarecida a relação entre a proteção de dados e o combate ao crime e ao terrorismo sem que tal significasse a adoção de medidas desproporcionadas ou excessivas de vigilância e, de todo o modo, sempre sujeitas ao controlo da AEPD. |
|
3.6 |
O CESE salienta que a interconexão de dados pessoais dentro das organizações da UE não pode ser deixada apenas ao princípio da responsabilidade previsto no considerando 16, instando nesse sentido a Comissão a introduzir uma regra específica exigindo que a interconexão só possa ser realizada depois de autorizada pela AEPD solicitada pelo responsável pelo tratamento ou, em conjunto, pelo subcontratante. |
|
3.7 |
Mais apreciaria que, sem prejuízo do constante do ponto 51 do Preâmbulo e do artigo 44.o, n.o 3, da proposta, tivesse definido as competências e as características de formação e de idoneidade exigíveis para ser designado como encarregado da proteção de dados, responsável pelo tratamento de dados e subcontratante, junto das instituições da UE (13), cujas eventuais violações dos seus deveres funcionais deveriam ser objeto de sanções verdadeiramente dissuasoras, a nível disciplinar, civil e criminal, enunciadas na proposta sempre sujeitas a controlo e monitorização da AEPD. |
|
3.8 |
Embora reconhecendo que a proposta em análise representa um aumento do nível de proteção relativamente ao atual Regulamento (CE) n.o 45/2001, o CESE estimaria que, atenta a especificidade dos dados recolhidos e que incidem diretamente sobre a vida privada dos titulares, nomeadamente em termos de saúde, dados fiscais e sociais, a proposta os limitasse ao estritamente necessário para os fins a que se destinam e oferecesse a máxima proteção e as máximas garantias no tratamento dos dados pessoais, apoiando-se nas normas internacionais e nas legislações nacionais mais avançadas e nas boas práticas de alguns Estados-Membros (14). |
|
3.9 |
Embora consciente de que tanto o Regulamento (UE) 2016/679 como a proposta em apreço apenas se aplicam a dados cujos titulares sejam pessoas singulares, reafirma-se a necessidade de que os dados das pessoas coletivas (empresas, ONG, sociedades comerciais, etc.), legalmente constituídas, sejam também objeto de proteção no âmbito da recolha e tratamento. |
4. Observações na especialidade
|
4.1 |
A análise na especialidade do texto da proposta sugere algumas dúvidas e reservas, à luz dos princípios fundamentais da defesa da vida privada constantes da Carta dos Direitos Fundamentais da UE e dos princípios da proporcionalidade e da precaução. |
4.2 Artigo 3.o
As instituições e organismos da União são definidos no n.o 2, alínea a), como as instituições, órgãos, organismos e agências da União estabelecidos pelo, ou com base, no Tratado da União Europeia, no TFUE ou no Tratado Euratom. O CESE questiona-se se esta definição inclui também os grupos de trabalho, conselhos consultivos, comités, plataformas, grupos eventuais, etc., bem como redes informáticas internacionais das quais as instituições façam parte mas não sejam detidas por estas.
4.3 Artigo 4.o
|
4.3.1 |
Tendo em conta que o regulamento ora em apreço se aplica aos dados processados no âmbito das instituições da UE, o CESE estimaria ver consagrada a introdução expressa do princípio da não discriminação, em virtude dos dados tratados. |
|
4.3.2 |
No que diz respeito ao artigo 4.o, n.o 1, alínea b), no caso de tratamento para fins de arquivo de interesse público, investigação científica ou histórica ou para fins estatísticos, o mesmo deve estar sujeito a uma autorização prévia por parte da Autoridade Europeia para a Proteção de Dados, não prevista no artigo 58.o. |
|
4.3.3 |
Finalmente entende-se que deveria existir uma disposição expressa equivalente ao atual artigo 7.o do Regulamento (CE) n.o 45/2001 no que concerne à transferência dos dados entre as instituições da UE. |
4.4 Artigo 5.o
|
4.4.1 |
Não se entende por que razão o artigo 5.o, n.o 1, alínea b), da proposta de regulamento não está sujeito ao estabelecido no n.o 2 do mesmo artigo, ao contrário do que sucede com o artigo 6.o, alíneas c) e e), submetidas ambas ao disposto no n.o 3 do RGPD. |
|
4.4.2 |
O CESE considera que na alínea d) deverá ser acrescentado que o consentimento deve estar sujeito a um princípio de boa-fé. |
4.5 Artigo 6.o
|
4.5.1 |
A aplicação deste artigo deve estar sempre sujeita a uma autorização por parte da Autoridade Europeia para a Proteção de Dados. |
|
4.5.2 |
Nestes casos, o titular dos dados deve ser sempre informado previamente desta eventualidade aquando da recolha ou no momento em que for tomada uma nova decisão, podendo, eventualmente solicitar a retificação, oposição, apagamento ou limitação deste tratamento. |
4.6 Artigo 8.o
|
4.6.1 |
É entendimento do CESE que a exceção à regra da validade do consentimento por crianças de menos de 16 (entre os 13 e 16 anos), já de si aberrante, apenas é admissível para os Estados-Membros, por razões culturais de direito interno (artigo 8.o do RGPD), mas não deve ser admitida como regra para as instituições da UE (artigo 8.o, n.o 1) que determina os 13 anos. |
|
4.6.2 |
Por outro lado não se concretiza de que forma a AEPD deve desenvolver a «atenção especial» com as crianças, referida no artigo 58.o, n.o 1, alínea b), designadamente no caso das listas de utilizadores previstas no artigo 36.o quando os seus dados sejam acessíveis ao público. |
4.7 Artigo 10.o
|
4.7.1 |
No n.o 1 deverá também ser incluída a filiação partidária (que não é sinónimo de opinião política) e a vida privada. |
|
4.7.2 |
No n.o 2, alínea b), mesmo para efeitos de cumprimento de obrigações e exercício de direitos específicos do titular de dados, deve ser sempre dado conhecimento prévio ao seu titular. |
|
4.7.3 |
No n.o 2, alínea d), o tratamento só deverá poder ser efetuado se existir um consentimento do titular. |
|
4.7.4 |
A alínea e) só deverá constituir uma exceção desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos dados. |
4.8 Artigo 14.o
Na medida em que as instituições da UE não estejam autorizadas a cobrar taxas pelos serviços prestados, a recusa em dar seguimento só deve ser aplicada como ultima ratio.
4.9 Artigos 15.o, 16.o e 17.o
|
4.9.1 |
No caso das informações adicionais, previstas no artigo 15.o, n.o 2, dever-se-á acrescentar ainda a exigência de que o titular dos dados seja informado sobre o caráter obrigatório ou facultativo da resposta do responsável pelo tratamento, bem como as possíveis consequências da ausência de resposta. |
|
4.9.2 |
No caso de recolha de dados em redes abertas, o titular dos dados deve ser informado sempre que os seus dados pessoais possam circular nas redes sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados. |
|
4.9.3 |
O direito previsto no artigo 17.o, n.o 1, deve ser obtido livremente e sem restrições, com uma periodicidade razoável, de forma célere ou imediata e sem custos. |
|
4.9.4 |
O CESE sugere que o titular dos dados também deveria obrigatoriamente ser informado sobre a confirmação de que os dados que lhe digam respeito estão, ou não, a ser tratados. |
|
4.9.5 |
As informações prestadas no artigo 17.o, n.o 1, devem ser feitas de forma inteligível, clara e compreensível, nomeadamente, sobre os dados sujeitos a tratamento e quaisquer informações sobre a origem desses dados. |
4.10 Artigo 21.o
O entendimento que se tem da exclusão da proposta de regulamento de disposições idênticas às do artigo 21.o, n.os 2 e 3, do RGPD é a de que tal significará que os dados nunca poderão ser tratados para efeito de comercialização direta, o que será louvável, mas a incerteza desta interpretação deveria ser expressamente esclarecida na letra do preceito.
4.11 Artigo 24.o
|
4.11.1 |
O CESE entende que se deveria acrescentar no n.o 2, alínea c), que este consentimento só ocorra após informação expressa das repercussões das decisões sobre a esfera jurídica do titular dos dados, porquanto só nessa medida o consentimento será devidamente informado. |
|
4.11.2 |
No que diz respeito ao n.o 3, o CESE entende que as medidas adequadas deveriam ser definidas pela Autoridade Europeia para a Proteção de Dados e não pelo responsável pelo tratamento. |
4.12 Artigo 25.o
|
4.12.1 |
O CESE teme que a redação dada ao artigo 25.o da proposta de regulamento represente uma interpretação demasiado lata do disposto no artigo 23.o do RGPD quanto ao âmbito das limitações à aplicação dos preceitos que estabelecem os direitos fundamentais do titular dos dados, e aconselharia a sua revisão de forma crítica com base numa análise criteriosa e eventualmente limitativa das várias alíneas, designadamente pelo que se refere à restrição do direito à confidencialidade nas redes de comunicações eletrónicas prevista no artigo 7.o da Carta dos Direitos Fundamentais contemplada na atual Diretiva Privacidade Eletrónica e mantida na proposta de regulamento em apreciação noutro parecer do CESE. |
|
4.12.2 |
O CESE opõe-se frontalmente à possibilidade prevista no artigo 25.o, n.o 2, no que concerne à possibilidade de limitação pelas instituições e organismos da União da aplicação das limitações aos direitos dos titulares que não resultem de atos legais expressos que as autorizem. Identicamente no artigo 34.o. |
4.13 Artigo 26.o
Deverá ser clarificado que os responsáveis pelo tratamento de dados pessoais, subcontratantes, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções e por um período razoável.
4.14 Artigos 29.o e 39.o
Sendo certo, e bem, que o disposto nos artigos 24.o, n.o 3, e 40.o e seguintes do RGPD não foi acolhido na proposta de regulamento (códigos de conduta), tal como expressamente referido no preâmbulo no ponto relativo ao artigo 26.o, não parece curial que, nos artigos 29.o, n.o 5, e 39.o, n.o 7, da proposta de regulamento se aceite que a mera adesão a um código de conduta referido no artigo 40.o do RGPD possa ser considerado garantia suficiente para o desempenho de funções de subcontratante que não seja instituição ou organismo da União.
4.15 Artigo 31.o
O CESE entende que a mera «possibilidade», contida no artigo 31.o, n.o 5, seja antes convertida em «obrigação» de conservação dos registos de atividades de tratamento num registo central, acessível ao público.
4.16 Artigo 33.o
O CESE sugere ainda que o responsável pelo tratamento e subcontratante devem exercer o controlo dos suportes de dados, o controlo de inserção, o controlo de utilização e o controlo de transmissão de dados, devendo, para o efeito:
|
— |
impedir o acesso de pessoas não autorizadas às instalações utilizadas para o tratamento desses dados; |
|
— |
impedir que os suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoas não autorizadas; |
|
— |
impedir a introdução não autorizada, bem como a tomada de conhecimento, alteração ou eliminação não autorizadas de dados pessoais inseridos; |
|
— |
impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através das instalações de transmissão de dados; |
|
— |
garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais; |
|
— |
garantir que as pessoas autorizadas só podem ter acesso aos dados abrangidos pela autorização prévia. |
4.17 Artigo 34.o
O CESE espera que este artigo venha a estar em consonância com as disposições relativas à proposta de Regulamento Privacidade Eletrónica e que as instituições e organismos da UE estejam sujeitos ao escrutínio da AEPD relativamente à confidencialidade das comunicações eletrónicas.
4.18 Artigo 42.o
O CESE teme que a expressão «após» constante no n.o 1 possa ser entendida como um dever de consulta apenas depois de aprovado o ato e deixe de ser consultada mesmo informalmente, como acontece hoje.
4.19 Artigo 44.o
O CESE entende que, em princípio, apenas funcionários devem ser nomeados como encarregados de proteção de dados. No caso de, excecionalmente, tal não for possível, deverão, todavia, ser contratados através das regras de contratação pública para a prestação de serviços e sujeitos a apreciação da AEPD.
4.20 Artigo 45.o
|
4.20.1 |
Não obstante o referido antes, sempre que não for um funcionário, o encarregado da proteção de dados em virtude da natureza do seu cargo deve poder ser demitido a qualquer tempo, bastando para tanto parecer favorável da AEPD (artigo 45.o, n.o 8, do regulamento). |
|
4.20.2 |
Entende-se que o período do seu mandato deve ser fixo de 5 anos e renovável uma só vez. |
4.21 Artigo 56.o
Acontecimentos recentes e bem conhecidos com mais altos funcionários das instituições aconselham o estabelecimento de incompatibilidades e de impedimentos por um período de tempo razoável para o exercício de certas funções, designadamente em empresas privadas após o fim do seu mandato.
4.22 Artigo 59.o
Em certas línguas, designadamente na versão inglesa, o termo «actions» usado no ponto 5 é demasiado restrito e deve ser substituído pelo termo «proceedings» (na versão portuguesa o conceito está corretamente traduzido).
4.23 Artigo 63.o
No que diz respeito ao n.o 3, e atenta a sensibilidade da matéria objeto da proposta em apreço, o CESE considera que se deverá inverter o princípio do indeferimento tácito, obrigando desta forma a Autoridade Europeia para a Proteção de Dados a responder expressamente a todas as reclamações que lhe sejam solicitadas sob pena de, não o fazendo, se considerarem deferidas.
4.24 Artigo 65.o
Tal como referido no parecer do CESE sobre a proposta que esteve na origem do Regulamento (UE) 2016/679, salienta-se a necessidade de que a proposta preveja, para além do mencionado no artigo 67.o, a possibilidade de a reação com base na violação dos dados pessoais ser efetuada por meio de ação de grupo, sem necessidade de mandato individual, tendo em conta que, de um modo geral, quando tais violações sucedem, não existe apenas uma pessoa afetada mas, sim, uma pluralidade por vezes indeterminada de pessoas.
|
4.25 |
A proposta de regulamento está eivada de expressões ou noções de caráter ambíguo e subjetivo, que se aconselha a rever e substituir. É o caso, por exemplo, de «na medida do possível», «se possível», «sem demora», «elevado risco», «na devida conta», «prazo razoável», «particular importância». |
Bruxelas, 31 de maio de 2017.
O Presidente do Comité Económico e Social Europeu
Georges DASSIS
(1) JO L 8 de 12.1.2001, p. 1.
(2) JO L 183 de 12.7.2002, p. 1.
(3) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (JO L 119 de 4.5.2016, p. 1).
(4) Em relação a cuja proposta o CESE emitiu o seu parecer (JO C 51 de 23.2.2000, p. 48).
(5) Regulamento (UE) 2016/679 de 27.4.2016 (JO L 119 de 4.5.2016, p. 1).
(6) COM(2017) 10 final, COM(2017) 9 final.
(7) COM(2017) 9 final.
(8) JO C 229 de 31.7.2012, p. 90.
(9) Regulamento (UE) 2016/679.
(10) JO 45 de 14.6.1962, p. 1385/62 e sucessivas alterações.
(11) Tal como constante, por exemplo, da coletânea de «Avis et Recommandations de la Commission de la Vie privé de la Belgique sur la vie privé sur le lieu de travail, 01.2013» [Pareceres e recomendações da Comissão para a Proteção da Vida Privada belga sobre a privacidade no local de trabalho] (janeiro de 2013).
(12) Como consta, por exemplo, da «Recommandation d’initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données» [Recomendação de iniciativa relativa às medidas de segurança a respeitar a fim de evitar as fugas de dados], Comissão para a Proteção da Vida Privada belga, 1/2013 de 21 de janeiro de 2013.
(13) Tal como referido, por exemplo, em «Guidelines on Data Protection Officers» [Orientações relativas aos responsáveis pela proteção de dados], WP 243 do artigo 29.o, de 13 de dezembro de 2016.
(14) Ver, por exemplo, a Lei portuguesa de proteção de dados (Lei 67/98 de 26 de outubro de 1998).