29.12.2004   

PT

Jornal Oficial da União Europeia

L 385/74

DECISÃO DA COMISSÃO

de 27 de Dezembro de 2004

que altera a Decisão 2001/497/CE no que se refere à introdução de um conjunto alternativo de cláusulas contratuais típicas aplicáveis à transferência de dados pessoais para países terceiros

[notificada com o número C(2004) 5271]

(Texto relevante para efeitos do EEE)

(2004/915/CE)

A COMISSÃO DAS COMUNIDADES EUROPEIAS,

Tendo em conta o Tratado que institui a Comunidade Europeia,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1), nomeadamente o n.o 4 do artigo 26.o,

Considerando o seguinte:

(1)

A fim de facilitar o fluxo de dados a partir da Comunidade, é conveniente que os responsáveis pelo tratamento possam realizar transferências globais de dados, ao abrigo de um conjunto único de regras de protecção de dados. Na ausência de normas globais de protecção dos dados, as cláusulas contratuais típicas constituem um importante instrumento que permite a transferência de dados pessoais a partir de todos os Estados-Membros, ao abrigo de um conjunto de regras comuns. Para este efeito, a Decisão 2001/497/CE da Comissão, de 15 de Junho de 2001, relativa às cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros, nos termos da Directiva 95/46/CE (2), estabelece um conjunto de cláusulas contratuais típicas que prevê as garantias adequadas para a transferência de dados para países terceiros.

(2)

Adquiriu-se muita experiência desde a adopção da referida decisão. Além disso, um grupo de associações empresariais (3) apresentou um conjunto de regras contratuais típicas alternativas concebidas de modo a fornecer um nível de protecção de dados equivalente ao assegurado pelas cláusulas contratuais típicas fixadas na Decisão 2001/497/CE, recorrendo a mecanismos diferentes.

(3)

Dado que a utilização de cláusulas contratuais típicas para a transferência internacional de dados é voluntária, constituindo apenas uma das várias alternativas previstas na Directiva 95/46/CE no que se refere à transferência legal de dados pessoais para países terceiros, os exportadores comunitários de dados e os seus importadores em países terceiros devem ter a faculdade de escolher um dos conjuntos de cláusulas contratuais típicas ou outra base legal para a transferência de dados. Uma vez que cada conjunto no seu todo constitui um modelo, os exportadores de dados não devem, por isso, ter legitimidade para os alterar ou fundir, parcialmente ou na íntegra, seja de que modo for.

(4)

As cláusulas contratuais típicas apresentadas pelas associações empresariais visam o aumento da utilização de cláusulas contratuais entre os operadores, através de mecanismos como a maior flexibilidade dos requisitos em matéria de auditorias ou regras mais minuciosas em matéria de direito de acesso.

(5)

Por outro lado, enquanto alternativa ao sistema de responsabilidade conjunta e solidária previsto na Decisão 2001/497/CE, o novo conjunto agora apresentado inclui um regime de responsabilidade baseado em obrigações de diligência devida, segundo as quais o exportador de dados e o seu importador seriam responsáveis perante as pessoas em causa em caso de violação das respectivas obrigações contratuais; o exportador de dados é igualmente responsável por não envidar os esforços razoáveis para que o importador de dados possa cumprir as obrigações legais decorrentes das cláusulas (culpa in eligendo) e as pessoas em causa podem agir judicialmente contra o exportador a este respeito. A aplicação da cláusula I, alínea b), do novo conjunto de cláusulas contratuais típicas é particularmente importante neste caso, em especial ligado à possibilidade de os exportadores de dados realizarem auditorias às instalações dos importadores de dados ou de exigirem provas quanto a recursos financeiros suficientes para cumprimento das respectivas responsabilidades.

(6)

No que se refere ao exercício dos direitos de terceiros beneficiários por parte das pessoas em causa, prevê-se maior participação do exportador de dados na apreciação das queixas daquelas pessoas, sendo o exportador obrigado a contactar o importador de dados e, se for o caso, executar o contrato no prazo normal de um mês. Se o exportador de dados se recusar a executar o contrato e a violação do importador de dados se mantiver, o titular dos dados pode então recorrer às cláusulas para agir contra o importador de dados e até proceder judicialmente contra ele num Estado-Membro. A aceitação desta jurisdição e o acordo no sentido de cumprir uma decisão de um tribunal competente ou de uma autoridade de protecção de dados não prejudicam os eventuais direitos processuais dos importadores de dados previstos em países terceiros, tal como o direito de recurso.

(7)

Todavia, a fim de prevenir abusos decorrentes desta flexibilidade adicional, é conveniente prever que as autoridades de protecção de dados podem, com maior facilidade, proibir ou suspender as transferências de dados com base no novo conjunto de cláusulas contratuais típicas nos casos em que o exportador de dados se recusar a dar os passos necessários para executar as obrigações contratuais contra o importador de dados ou naqueles em que este último se recusar a cooperar de boa fé com as autoridades competentes de supervisão em matéria de protecção de dados.

(8)

A utilização de cláusulas contratuais típicas não afectará a aplicação das disposições nacionais aprovadas nos termos das Directivas 95/46/CE ou 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (directiva sobre a privacidade e as comunicações electrónicas) (4), em especial no que toca ao envio de comunicações comerciais a cidadãos da União Europeia.

(9)

Com esta base, as garantias previstas nas cláusulas contratuais típicas apresentadas podem considerar-se adequadas, na acepção do n.o 2 do artigo 26.o da Directiva 95/46/CE.

(10)

O parecer emitido pelo grupo de protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, instituído pelo artigo 29.o da Directiva 95/46/CE (5), relativo ao nível de protecção previsto nas cláusulas contratuais típicas apresentadas foi tido em conta.

(11)

A fim de avaliar a aplicação das alterações à Decisão 2001/497/CE, é conveniente que a Comissão as aprecie três anos após a respectiva notificação aos Estados-Membros.

(12)

A Decisão 2001/497/CE deve ser alterada em conformidade.

(13)

As medidas previstas na presente decisão são conformes com o parecer do comité instituído pelo artigo 31.o da Directiva 95/46/CE,

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

A Decisão 2001/497/CE é alterada do seguinte modo:

1.

Ao artigo 1.o, é aditado o seguinte parágrafo:

«Os responsáveis pelo tratamento de dados podem escolher entre os conjuntos I e II constantes do anexo. Não podem, porém, alterar as cláusulas nem combinar separadamente as cláusulas ou os conjuntos.».

2.

No artigo 4.o, os n.os 2 e 3 passam a ter a seguinte redacção:

«2.   Para efeitos do n.o 1, sempre que o responsável pelo tratamento de dados alegar garantias adequadas com base nas cláusulas contratuais típicas do conjunto II do anexo, as autoridades competentes para a protecção de dados podem exercer os respectivos poderes previstos para proibir ou suspender os fluxos de dados se:

a)

O importador de dados se recusar a cooperar de boa fé com as autoridades de protecção de dados ou a cumprir as respectivas obrigações que decorrem claramente do contrato;

b)

O exportador de dados se recusar a adoptar as medidas apropriadas para executar o contrato contra o importador de dados no prazo normal de um mês, após o aviso da autoridade competente responsável pela protecção dos dados ao exportador de dados.

Para efeitos da primeira alínea, a recusa de má fé ou a recusa de execução do contrato por parte do importador de dados não inclui os casos em que a cooperação ou a execução entrariam em conflito com as exigências da legislação nacional aplicáveis ao importador de dados, que não ultrapassem o necessário numa sociedade democrática com base num dos interesses enunciados no n.o 1 do artigo 13.o da Directiva 95/46/CE, em especial as sanções, fixadas em instrumentos internacionais e/ou nacionais, a obrigação de apresentar declarações de rendimentos ou relativas ao branqueamento de capitais.

Para efeitos da alínea a) do n.o 1, a cooperação pode incluir, nomeadamente, a apresentação dos meios de processamento de dados do importador para auditoria ou a obrigação de respeitar o parecer da autoridade de controlo da protecção de dados da Comunidade.

3.   A proibição ou suspensão, nos termos dos n.os 1 e 2, serão levantadas assim que os seus fundamentos deixem de se verificar.

4.   Sempre que os Estados-Membros adoptarem medidas nos termos dos n.os 1, 2 e 3, devem informar sem demora a Comissão, que do facto dará conhecimento aos outros Estados-Membros.».

3.

A primeira frase do artigo 5.o passa a ter a seguinte redacção:

«A Comissão apreciará da aplicação da presente decisão, com base nas informações disponíveis, três anos após a sua notificação e após a notificação das eventuais alterações aos Estados-Membros.».

4.

O anexo é alterado do seguinte modo:

1.

A expressão «CONJUNTO I» é inserida após o título.

2.

É aditado o texto constante do anexo da presente decisão.

Artigo 2.o

A presente decisão é aplicável a partir de 1 de Abril de 2005.

Artigo 3.o

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 27 de Dezembro de 2004.

Pela Comissão

Charlie McCREEVY

Membro da Comissão

(1)  JO L 281 de 23.11.1995, p. 31. Directiva alterada pelo Regulamento (CE) n.o 1883/2003 (JO L 284 de 31.10.2003, p. 1).

(2)  JO L 181 de 4.7.2001, p. 19.

(3)  International Chamber of Commerce (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce In Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) e Federation of European Direct Marketing Associations (FEDMA).

(4)  JO L 201 de 31.7.2002, p. 37.

(5)  Parecer n.o 8/2003, disponível em http://europa.eu.int/comm/privacy

ANEXO

«

CONJUNTO II

Cláusulas contratuais típicas para a transferência de dados pessoais da Comunidade para países terceiros (transferências entre responsáveis pelo tratamento de dados)

Acordo de transferência de dados

Entre

_ (nome)

_ (endereço e país de estabelecimento),

a seguir designado “exportador de dados”),

e

_ (nome)

_ (endereço e país de estabelecimento),

a seguir designado “importador de dados”;

individualmente, uma “parte”; em conjunto, “as partes”.

Definições

Para efeitos das presentes cláusulas:

a)

“Dados pessoais”, “categorias específicas de dados/dados sensíveis”, “tratamento”, “responsável pelo tratamento”, “subcontratante”, “pessoa em causa” e “autoridade de controlo/autoridade” devem ser entendidos na acepção da Directiva 95/46/CE, de 24 de Outubro de 1995 (por «a autoridade» deve entender-se a autoridade competente para a protecção de dados no território em que o exportador de dados se encontrar estabelecido);

b)

O «exportador de dados» é o responsável pelo tratamento que transfere os dados pessoais;

c)

O «importador de dados» é o responsável pelo tratamento que aceita receber dados pessoais, provenientes do exportador de dados, para posterior tratamento nos termos das presentes cláusulas, que não se encontre sujeito a um sistema de um país terceiro que garanta protecção adequada;

d)

As «cláusulas» são as presentes cláusulas contratuais, que constituem um documento independente que não inclui termos comerciais estabelecidos pelas partes em acordos comerciais separados.

Os elementos da transferência (bem como os dados pessoais abrangidos) são especificados no anexo B, que é parte integrante das cláusulas.

I.   Obrigações do exportador de dados

O exportador de dados garante o seguinte:

a)

Os dados pessoais são recolhidos, tratados e transferidos nos termos da legislação aplicável ao exportador de dados;

b)

São envidados esforços razoáveis no intuito de assegurar que o importador de dados possa cumprir as obrigações legais decorrentes das presentes cláusulas;

c)

A pedido do importador de dados, ser-lhe-ão enviadas cópias da legislação relevante em matéria de protecção de dados, ou referências a esta legislação (se necessário e não incluindo o aconselhamento jurídico), do país em que o exportador de dados se encontrar estabelecido;

d)

Responderá às consultas das pessoas em causa ou da autoridade relativas ao tratamento dos dados por parte do importador de dados, a menos que as partes tenham acordado que será o importador de dados a dar as respostas; neste caso, se o importador de dados não quiser ou não puder responder, o exportador de dados deve responder, dentro do possível e com a informação de que razoavelmente disponha. As respostas serão dadas num prazo razoável;

e)

Fornecerá uma cópia das cláusulas às pessoas em causa, a pedido destas, que constituem os terceiros beneficiários previstos na cláusula III, a menos que as cláusulas contenham informação confidencial; neste caso, pode ser suprimida esta informação. Quando for suprimida informação, o exportador de dados deve dar conhecimento às pessoas em causa, por escrito, da causa da referida supressão e do direito de comunicá-la à autoridade. No entanto, o exportador de dados deve acatar as decisões da autoridade relativas ao acesso das pessoas em causa ao texto integral das cláusulas, desde que estas pessoas tenham aceitado respeitar a confidencialidade da informação suprimida. O exportador de dados deve também fornecer uma cópia das cláusulas à autoridade, sempre que lhe seja exigido.

II.   Obrigações do importador de dados

O importador de dados garante o seguinte:

a)

Adoptar as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilegal ou contra a perda acidental, a alteração, a divulgação ou o acesso não autorizados, cujo nível de segurança seja adequado ao risco decorrente do tratamento e da natureza dos dados a proteger;

b)

Adoptar os procedimentos necessários para que os terceiros autorizados a aceder aos dados pessoais, incluindo os subcontratantes, respeitem e mantenham a confidencialidade e a segurança dos dados pessoais. Todas as pessoas sob a autoridade do importador de dados, incluindo os subcontratantes, devem ser obrigados a tratar os dados pessoais apenas sob a orientação do importador de dados. Esta regra não se aplica às pessoas autorizadas a aceder aos dados pessoais ou cujo acesso seja determinado por disposições legais;

c)

Não existem razões para crer que, na data de subscrição das presentes cláusulas, exista legislação local que possa ter um efeito negativo substancial sobre as garantias previstas nestas cláusulas e informará o exportador de dados (que, sempre que seja exigido, notificará, por sua vez, a autoridade) assim que tiver conhecimento de legislação deste teor;

d)

Tratará os dados pessoais para os fins descritos no anexo B e tem legitimidade para oferecer as garantias e cumprir as obrigações estabelecidas nas presentes cláusulas;

e)

Indicará ao exportador de dados um ponto de contacto da sua organização autorizado a responder às consultas relativas ao tratamento de dados pessoais e cooperará de boa fé com o exportador de dados, as pessoas em causa e a autoridade no tocante a todas as referidas consultas num prazo razoável. Em caso de dissolução legal do exportador de dados, ou caso as partes tenham acordado neste sentido, o importador de dados assumirá a responsabilidade pelo cumprimento do disposto na alínea e) da cláusula I;

f)

A pedido do exportador de dados, fornecer-lhe-á provas que demonstrem que dispõe dos recursos financeiros necessários para cumprir as suas responsabilidades nos termos da cláusula III (que podem incluir a cobertura de seguros);

g)

A pedido razoável do exportador de dados, facultará o acesso às suas instalações de tratamento de dados, aos seus ficheiros de dados e a toda a documentação necessária para o tratamento para fins de revisão, auditoria ou certificação, a realizar pelo exportador de dados (ou por qualquer inspector ou auditor imparcial e independente escolhido pelo exportador de dados e a que o importador de dados não se tenha oposto em termos razoáveis), para determinar se são cumpridas as garantias e as obrigações previstas nas presentes cláusulas, mediante notificação razoável e durante as horas de trabalho habituais. O pedido será sujeito aos necessários consentimento ou aprovação de uma autoridade reguladora ou de controlo do país do importador de dados, caso sejam previstos; o importador de dados tratará de obter tempestivamente este consentimento ou esta aprovação;

h)

Tratará os dados pessoais, ao seu critério, nos termos:

i)

da legislação de protecção de dados do país em que o exportador de dados se encontrar estabelecido;

ii)

das disposições pertinentes (1) de qualquer decisão da Comissão, nos termos do n.o 6 do artigo 25.o da Directiva 95/46/CE, das quais conste que o importador de dados cumpre o disposto na referida autorização ou decisão e se encontra estabelecido num país em que estas são aplicáveis, mas não é abrangido pelas mesmas para efeitos da transferência ou das transferências de dados pessoais (2),

iii)

dos princípios relativos ao tratamento de dados fixados no anexo A.

Opção escolhida pelo importador de dados:_

Iniciais do importador de dados:_;

i)

Não divulgará nem transferirá dados pessoais a terceiros responsáveis pelo tratamento de dados estabelecidos fora do Espaço Económico Europeu (EEE), a menos que notifique a transferência ao exportador de dados e

i)

o terceiro responsável pelo tratamento proceda ao tratamento dos dados em conformidade com a decisão da Comissão da qual conste que um país terceiro oferece protecção adequada;

ii)

o terceiro responsável pelo tratamento subscreva as presentes cláusulas ou outro acordo de transferência de dados aprovado por uma autoridade competente da UE;

iii)

tenha sido dada às pessoas em causa oportunidade para se opor, depois de terem sido informadas das finalidades da transferência, das categorias de destinatários e do facto de os países para os quais se exportarão os dados poderem ter normas de protecção de dados diferentes;

iv)

no que se refere às transferência ulteriores de dados sensíveis, as pessoas em causa tenham dado o seu consentimento inequívoco para esse efeito.

III.   Responsabilidade e direitos de terceiros

a)

Cada parte é responsável perante a outra parte pelos danos causados pela violação das presentes cláusulas. A responsabilidade entre partes limita-se aos danos efectivamente sofridos. As indemnizações punitivas (que se destinariam a castigar uma das partes por comportamento indigno) são especificamente excluídas. Cada uma das partes é responsável perante as pessoas em causa pela violação de direitos de terceiros, nos termos das presentes cláusulas. Este facto não prejudica a responsabilidade do exportador de dados, ao abrigo da respectiva legislação de protecção de dados;

b)

As partes estipulam que as pessoas em causa devem ter o direito de invocar, na qualidade de terceiros beneficiários, a presente cláusula, bem como as alíneas b), d) e e) da cláusula I, as alíneas a), c), d), e), h) e i) da cláusula II, a alínea a) da cláusula III, a cláusula V, a alínea d) da cláusula VI e a cláusula VII, contra o importador de dados ou o exportador de dados, pela violação das respectivas obrigações contratuais, no que se refere ao dados pessoais que lhe digam respeito, e aceitam a jurisdição do país de estabelecimento do exportador de dados para este efeito. Nos casos de alegada infracção por parte do importador de dados, a pessoa em causa deve, antes de tudo, solicitar ao exportador de dados que tome as medidas apropriadas para executar os respectivos direitos contra o importador de dados; caso o exportador de dados não o faça num prazo razoável (que, em circunstâncias normais, é de um mês), a pessoa em causa pode então executar os seus direitos directamente contra o importador. As pessoas em causa podem agir directamente contra um exportador de dados que não tenha envidado esforços razoáveis para verificar a capacidade do importador de dados para cumprir as respectivas obrigações legais nos termos das presentes cláusulas (recai sobre o exportador de dados o ónus de provar que envidou esforços razoáveis).

IV.   Legislação aplicável às cláusulas

As presentes cláusulas são reguladas pela legislação do país em que o exportador de dados se encontra estabelecido, com excepção das disposições legislativas e regulamentares relativas ao tratamento de dados pessoais por parte do importador de dados nos termos da alínea h) da cláusula II, a aplicar apenas caso o importador de dados a tenha seleccionado, na referida cláusula.

V.   Resolução de litígios com pessoas em causa ou com a autoridade

a)

Em caso de litígio ou queixa apresentada por uma pessoa em causa ou pela autoridade relativamente ao tratamento de dados pessoais contra uma ou ambas as partes, as partes informar-se-ão reciprocamente desses litígios ou queixas e devem cooperar com vista à sua resolução amigável de forma célere;

b)

As partes comprometem-se a participar em qualquer procedimento de mediação habitualmente disponível e não vinculativo iniciado por uma pessoa em causa ou pela autoridade. Caso participem no procedimento, as partes podem escolher fazê-lo à distância (quer por telefone quer por outros meios electrónicos). As partes comprometem-se igualmente a considerar a participação em outros procedimentos de arbitragem ou mediação, desenvolvidos para os litígios em matéria de protecção de dados;

c)

Cada uma das partes deve acatar a decisão de um tribunal competente do país de estabelecimento do exportador de dados ou da autoridade, que é definitiva e não admite recurso.

VI.   Resolução

a)

Se o importador de dados violar as respectivas obrigações decorrentes das presentes cláusulas, o exportador de dados pode suspender temporariamente a transferência de dados pessoais para o importador de dados, até que cesse o incumprimento ou o contrato chegue ao seu termo;

b)

No caso de:

i)

a transferência de dados pessoais para o importador de dados ter sido temporariamente suspensa pelo exportador de dados durante mais de um mês, nos termos da alínea a);

ii)

ao respeitar as presentes cláusulas, o importador de dados viole as respectivas obrigações legais no país de importação;

iii)

o importador de dados violar de forma substancial ou persistente as garantias previstas ou os compromissos assumidos em virtude das presentes cláusulas;

iv)

uma decisão definitiva que não admita recurso de um tribunal competente do país de estabelecimento do exportador de dados ou da autoridade considerar ter havido incumprimento das cláusulas por parte do importador de dados ou do exportador de dados;

v)

ter sido solicitada a administração judicial ou a liquidação do importador de dados, quer a título pessoal quer a título empresarial, e desde que esta solicitação não tenha sido indeferida nos prazos previstos na legislação aplicável, é emitida uma ordem de liquidação, é designado um liquidatário para alguns dos seus activos e um síndico de falências, se o importador de dados for um particular, se este tiver dado início a um acordo voluntário de empresa ou se se encontrar numa situação análoga perante qualquer jurisdição,

o exportador de dados, sem prejuízo de quaisquer outros direitos que possa invocar contra o importador de dados, pode resolver as presentes cláusulas, devendo informar a autoridade a este respeito, sempre que tal for exigido. Nos casos previstos nas alíneas i), ii) ou iv), o importador de dados pode igualmente resolver as presentes cláusulas;

c)

Cada uma das partes pode resolver as presentes cláusulas em duas circunstâncias: i) se a Comissão declarar que o país (ou um sector do mesmo) para o qual se transferem os dados e no qual o importador procede ao tratamento dos dados garante um nível de protecção adequado, nos termos do n.o 6 do artigo 25.o da Directiva 95/46/CE (ou qualquer outro texto que a substitua); ii) a Directiva 95/46/CE (ou outro texto que a substitua) passa a ser directamente aplicável no referido país;

d)

As partes estipulam que a resolução das presentes cláusulas em qualquer momento, em quaisquer circunstâncias e independentemente dos motivos [salvo a resolução prevista na alínea c) da cláusula VI], não as dispensa do cumprimento das obrigações e/ou das condições previstas nas presentes cláusulas relativamente ao tratamento dos dados pessoais transferidos.

VII.   Alteração das presentes cláusulas

As partes não podem alterar as presentes cláusulas, excepto para actualizar as informações do anexo B, caso em que devem informar a autoridade, se tal for exigido. Este facto não obsta a que as partes aditem cláusulas comerciais adicionais, se necessário.

VIII.   Descrição da transferência

Os elementos da transferência e dos dados pessoais são especificados no anexo B. As partes estipulam que o anexo B pode conter informações comerciais de natureza confidencial, que não divulgarão a terceiros, excepto se a legislação o exigir ou em resposta a um organismo regulador ou governamental competente, ou ainda quando for necessário em virtude da alínea e) da cláusula I. As partes podem aditar anexos para abranger transferências adicionais, que devem ser apresentados à autoridade, se tal for exigido. Em alternativa, o anexo B pode ser redigido de forma a abranger múltiplas transferências.

Data: _

_

_

PELO IMPORTADOR DE DADOS

PELO EXPORTADOR DE DADOS

ANEXO A

PRINCÍPIOS RELATIVOS AO TRATAMENTO DE DADOS

1.

Limitação da finalidade — Os dados pessoais podem ser tratados e subsequentemente utilizados ou comunicados apenas para os fins descritos no anexo B ou ulteriormente autorizados pela pessoa em causa.

2.

Proporcionalidade e qualidade dos dados — Os dados pessoais devem ser exactos e, se necessário, regularmente actualizados. Devem ser adequados, relevantes e proporcionais em relação às finalidades para as quais são transferidos e posteriormente tratados.

3.

Transparência — As pessoas em causa devem receber as informações necessárias relativas à garantia da lealdade do tratamento (tais como informações acerca das finalidades do tratamento e da transferência), a menos que esta informação já tenha sido facultada pelo exportador de dados.

4.

Segurança e confidencialidade — O responsável pelo tratamento de dados deve adoptar medidas de segurança técnicas e organizativas para garantir o nível de segurança adequado aos riscos decorrentes do tratamento, tais como a destruição acidental ou ilegal, a perda acidental ou a alteração, a divulgação ou o acesso não autorizados. Qualquer pessoa sob a autoridade do responsável pelo tratamento dos dados, incluindo um subcontratante, não deve proceder ao tratamento de dados sem instruções do referido responsável.

5.

Direitos de acesso, rectificação, supressão e oposição — O artigo 12.o da Directiva 95/46/CE prevê que as pessoas em causa devem receber, directamente ou por terceiros, as informações pessoais que sobre elas possua uma organização, à excepção dos pedidos manifestamente abusivos, tanto por terem sido apresentados a intervalos desrazoáveis ou porque o seu número ou natureza são repetitivos ou sistemáticos, ou para os quais não seja necessário o consentimento do interessado nos termos da legislação do país do exportador de dados. Se a autoridade tiver dado a sua autorização prévia, não é necessária também a autorização da pessoa em causa quando este facto for de molde a prejudicar seriamente os interesses do importador de dados ou de outras organizações que com ele lidem, bem como quando estes interesses devam prevalecer sobre os interesses em matéria de direitos e liberdades fundamentais da pessoa em causa. Não é necessário identificar as fontes dos dados pessoais sempre que isso não seja possível mediante esforços razoáveis ou acarrete a violação de direitos de terceiros. As pessoas em causa devem poder rectificar, alterar ou suprimir as informações pessoais que a elas se referem, sempre que sejam inexactas ou que o seu tratamento não respeite os princípios do presente anexo. Se existir fundamento para duvidar da legitimidade do pedido, a organização pode solicitar outras justificações antes de proceder à rectificação, alteração ou supressão. Não é necessário notificar a rectificação, alteração ou supressão dos dados a terceiros a quem tenham sido divulgados, quando isso exija um esforço desproporcionado. As pessoas em causa devem poder opor-se ao tratamento de dados pessoais a elas referentes, caso existam fundamentos legítimos imperiosos relacionados com a sua situação específica. O ónus da prova para efeitos de qualquer recusa neste sentido recai sobre o importador de dados e as pessoas em causa podem sempre contestar esta recusa junto da autoridade.

6.

Dados sensíveis — O importador de dados deve tomar as medidas adicionais necessárias (por exemplo, relativas à segurança) para proteger os dados sensíveis, nos termos das respectivas obrigações decorrentes da cláusula II.

7.

Dados utilizados para efeitos de marketing — Caso os dados sejam tratados para efeitos de marketing directo, devem existir procedimentos eficazes para permitir que a pessoa em causa se possa opor, em qualquer momento, à utilização dos seus dados para tais efeitos.

8.

Decisões automatizadas — Para efeitos do presente anexo, por «decisões automatizadas» deve entender-se decisões do exportador de dados ou do importador de dados que produzam efeitos jurídicos relativamente a uma pessoa em causa ou que a prejudiquem significativamente, que se baseiem em exclusivo no tratamento automatizado de dados pessoais destinados a avaliar determinados aspectos pessoais com ela relacionados, tal como o desempenho profissional, a idoneidade creditícia, fiabilidade, conduta, etc. O importador de dados não deve tomar decisões automatizadas relativas às pessoas em causa, a não ser que:

a)

i)

Estas decisões tenham sido tomadas pelo importador de dados no momento de subscrever ou executar um contrato com a pessoa em causa, e

ii)

a pessoa em causa tenha oportunidade para debater os efeitos de uma decisão automatizada relevante com um representante da parte que toma esta decisão ou para lhe apresentar observações;

ou

b)

A legislação aplicável ao exportador de dados estabeleça o contrário.

ANEXO B

DESCRIÇÃO DA TRANSFERÊNCIA

[a preencher pelas partes]

Image

EXEMPLOS DE CLÁUSULAS COMERCIAIS (FACULTATIVAS)

Pagamento de indemnizações entre o exportador e o importador de dados:

“Cada uma das partes indemnizará a outra, ficando esta livre de quaisquer custos, encargos, danos, despesas ou perdas que decorram do incumprimento do disposto nas presentes cláusulas. A indemnização dependerá do seguinte: a) a parte ou partes a indemnizar (a “parte indemnizada”) deve notificar a reclamação sem demora à outra parte (a “parte indemnizadora”); b) a parte ou partes indemnizadoras devem ter controlo exclusivo relativamente à defesa e à resolução de uma reclamação deste tipo; e c) a parte ou partes indemnizadas devem ter a possibilidade de cooperar e de prestar assistência de modo razoável à parte indemnizadora na defesa e resolução da reclamação.”.

Resolução de litígios entre o exportador e o importador de dados (as partes podem estipular a substituição desta cláusula por qualquer outra cláusula de jurisdição ou de resolução alternativa de litígios)

“Os eventuais litígios entre o importador e o exportador de dados relativos a uma alegada violação do disposto nas presentes cláusulas devem ser decididos em última instância com recurso às regras de arbitragem da Câmara de Comércio Internacional, por um ou mais árbitros designados em conformidade com as referidas regras. O local de arbitragem é [ ]. O número de árbitros é de [ ].”.

Repartição dos custos

“Cada parte cumprirá as obrigações que lhe incumbem por força das presentes cláusulas a expensas suas.”.

Cláusula adicional de resolução

“Em caso de resolução das presentes cláusulas, o importador de dados deve, consoante a escolha do exportador, devolver-lhe sem demora todos os dados pessoais abrangidos pelas presentes cláusulas, e as suas cópias, ou destruí-las totalmente, certificando esta destruição ao exportador, a menos que a legislação nacional ou a regulamentação local aplicável ao importador o impeça de devolver ou destruir total ou parcialmente esses dados. Nesta circunstância, o importador compromete-se a manter a confidencialidade dos dados pessoais e a não voltar a tratá-los activamente. O importador de dados garante que, a pedido do exportador de dados, colocará à sua disposição ou de um inspector por ele designado, ao qual o importador não se tenha oposto em termos razoáveis, as suas instalações de tratamento para verificar o cumprimento desta obrigação, mediante notificação prévia razoável e durante o horário de trabalho.”

».

(1)  Por «disposições pertinentes» deve entender-se as disposições de uma autorização ou decisão que não sejam de execução (que serão reguladas pelas presentas cláusulas).

(2)  No entanto, as disposições do anexo A.5 relativas aos direitos de acesso, rectificação, supressão e oposição devem ser aplicadas quando for escolhida esta opção, prevalecendo sobre qualquer disposição comparável da decisão da Comissão seleccionada.