DECISÃO (UE) 2018/1996 DA COMISSÃO

de 14 de dezembro de 2018

que estabelece regras internas relativas à comunicação de informações aos titulares dos dados e à limitação de certos direitos no contexto do tratamento de dados pessoais para efeitos de inquéritos de defesa comercial e de política comercial

A COMISSÃO EUROPEIA

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 249.o, n.o 1,

Considerando o seguinte:

(1)	No âmbito do seu mandato ao abrigo dos Regulamentos (UE) 2015/478 (1), (UE) 2015/755 (2), (UE) 2016/1036 (3) e (UE) 2016/1037 (4) do Parlamento Europeu e do Conselho, a Comissão leva a cabo a política comercial da União.

(2)

Em especial, no decurso dos inquéritos de defesa comercial, os dados pessoais na aceção do artigo 3.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (5) são inevitavelmente tratados. A Comissão recolhe informações com interesse para o inquérito, incluindo dados pessoais. Sob reserva da obrigação de proteger as informações confidenciais, todas as informações disponibilizadas por qualquer das partes num inquérito deverão ser rapidamente transmitidas às outras partes interessadas que participam no inquérito através do acesso ao dossiê não confidencial. Esta transmissão de dados é necessária e legalmente exigida para a defesa dos direitos das partes interessadas num processo judicial. As funções da Comissão no domínio da política comercial e da defesa comercial são a principal responsabilidade da Direção-Geral do Comércio («DG Comércio»), cujas entidades organizacionais atuam como responsáveis pelo tratamento.

(3)

Os dados pessoais tratados pela Comissão são, por exemplo, dados de identificação, dados de contacto, dados profissionais e dados relacionados com o objeto do inquérito, ou apresentados no contexto desse objeto. Os dados pessoais são armazenados num ambiente eletrónico seguro para impedir o acesso ou a transferência ilegais de dados a pessoas exteriores à Comissão. Certos dados pessoais podem ser incluídos num ambiente eletrónico distinto ao qual pode aceder um número regulamentado de partes interessadas no inquérito. Os dados pessoais são conservados nos serviços da Comissão responsáveis pelo inquérito até ao final do mesmo. O período de conservação administrativa tem um prazo de cinco anos que se inicia a partir do final do inquérito. No final do período de conservação, as informações relativas ao processo, incluindo os dados pessoais, são transferidas para os arquivos históricos da Comissão (6).

(4)

No exercício das suas funções, a Comissão é obrigada a respeitar os direitos das pessoas singulares no que se refere ao tratamento de dados pessoais, consagrados no artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia e no artigo 16.o, n.o 1, do Tratado, bem como os direitos enunciados no Regulamento (UE) 2018/1725. Ao mesmo tempo, a Comissão tem de cumprir as regras de confidencialidade rigorosas previstas no artigo 19.o do Regulamento (UE) 2016/1036, no artigo 29.o do Regulamento (UE) 2016/1037, no artigo 8.o do Regulamento (UE) 2015/478 e no artigo 5.o do Regulamento (UE) 2015/755.

(5)

Em determinadas circunstâncias, é necessário conciliar os direitos dos titulares dos dados nos termos do Regulamento (UE) 2018/1725 com a necessidade de eficácia dos inquéritos, bem como com o pleno respeito dos direitos e liberdades fundamentais de outros titulares dos dados. Para o efeito, o artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento (UE) 2018/1725 confere à Comissão a possibilidade de limitar a aplicação dos artigos 14.o a 17.o, 19.o, 20.o e 35.o, bem como do princípio da transparência estabelecido no artigo 4.o, n.o 1, alínea a), na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 17.o, 19.o, 20.o e 35.o do referido regulamento.

(6)

A fim de garantir a eficácia dos inquéritos de defesa comercial, respeitando simultaneamente as normas de proteção dos dados pessoais ao abrigo do Regulamento (UE) 2018/1725, que substituiu o Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (7), é necessário adotar regras internas por força das quais a Comissão possa limitar os direitos dos titulares dos dados, em conformidade com o artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento (UE) 2018/1725.

(7)

Por conseguinte, é necessário estabelecer regras internas que abranjam todas as operações de tratamento realizadas pela Comissão no exercício da sua função de inquérito no domínio da defesa comercial. Essas regras deverão ser aplicáveis a operações de tratamento realizadas antes da abertura de um inquérito, no decurso dos inquéritos e durante o controlo do seguimento dado ao resultado dos inquéritos.

(8)

A fim de dar cumprimento aos artigos 14.o, 15.o e 16.o do Regulamento (UE) 2018/1725, a Comissão deverá informar todas as pessoas das suas atividades de tratamento dos seus dados pessoais e dos seus direitos, de forma transparente e coerente, através da publicação de um aviso relativo à proteção de dados no seu sítio Web. Se for caso disso, a Comissão deverá apresentar garantias adicionais para assegurar que os titulares dos dados são informados individualmente num formato adequado.

(9)

Com base no artigo 25.o do Regulamento (UE) 2018/1725, a Comissão pode também limitar a comunicação de informações aos titulares dos dados e o exercício de outros direitos dos titulares dos dados, a fim de proteger os seus próprios inquéritos de defesa comercial, bem como os direitos de outras pessoas relacionadas com os inquéritos.

(10)

Além disso, a fim de manter uma cooperação eficaz, pode ser necessário que a Comissão limite a aplicação dos direitos dos titulares dos dados, a fim de proteger as operações de tratamento de outras instituições e outros órgãos e organismos da União ou das autoridades competentes dos Estados-Membros. Para o efeito, a Comissão deverá consultar essas instituições e esses órgãos e organismos, e essas autoridades sobre os motivos relevantes para a imposição de limitações, e sobre a necessidade e a proporcionalidade das referidas limitações.

(11)

A Comissão pode igualmente ter de limitar a comunicação de informações aos titulares dos dados e a aplicação de outros direitos dos titulares dos dados, no que diz respeito aos dados pessoais recebidos de países terceiros ou de organizações internacionais, a fim de cumprir o seu dever de cooperação com esses países ou organizações e, dessa forma, salvaguardar um importante objetivo de interesse público geral da União. No entanto, em determinadas circunstâncias, o interesse ou os direitos fundamentais do titular dos dados podem prevalecer sobre o interesse da cooperação internacional.

(12)	A Comissão deverá tratar todas as limitações de forma transparente e registar cada aplicação de limitações no sistema de registo correspondente.

(13)

Nos termos do artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725, os responsáveis pelo tratamento podem adiar, omitir ou abster-se de comunicar ao titular dos dados informações sobre os motivos que levaram à aplicação de uma limitação, caso essa informação possa, de algum modo, comprometer a finalidade da limitação. Tal é, em especial, o caso das limitações de direitos previstas nos artigos 16.o e 35.o do Regulamento (UE) 2018/1725.

(14)

A Comissão deverá reexaminar regularmente as limitações impostas, a fim de assegurar que os direitos do titular dos dados de ser informado em conformidade com os artigos 16.o e 35.o do Regulamento (UE) 2018/1725 são limitados apenas enquanto tais limitações forem necessárias para permitir que a Comissão leve a cabo os seus inquéritos de defesa comercial.

(15)	Sempre que outros direitos dos titulares dos dados sejam limitados, o responsável pelo tratamento deverá avaliar, caso a caso, se a comunicação da limitação comprometeria a sua finalidade.

(16)	Incumbe ao encarregado da proteção de dados da Comissão Europeia proceder a um reexame independente da aplicação das limitações, a fim de assegurar o cumprimento da presente decisão.

(17)

O Regulamento (UE) 2018/1725 substitui o Regulamento (CE) n.o 45/2001, sem qualquer período transitório, a partir da data da sua entrada em vigor. O Regulamento (CE) n.o 45/2001 previa a possibilidade de aplicar limitações a certos direitos dos titulares dos dados. A fim de evitar comprometer a política comercial e a realização dos inquéritos de defesa comercial, a presente decisão deverá ser aplicável a partir da data de entrada em vigor do Regulamento (UE) 2018/1725.

(18)	A Autoridade Europeia para a Proteção de Dados emitiu um parecer em 30 de novembro de 2018,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

Objeto e âmbito de aplicação

1. A presente decisão estabelece as regras a seguir pela Comissão a fim de informar os titulares dos dados do tratamento dos seus dados, em conformidade com os artigos 14.o, 15.o e 16.o do Regulamento (UE) 2018/1725, no âmbito da realização de inquéritos em matéria de política comercial e de defesa comercial.

Estabelece igualmente as condições em que a Comissão pode limitar a aplicação dos artigos 4.o, 14.o a 17.o, 19.o, 20.o e 35.o do Regulamento (UE) 2018/1725, em conformidade com o artigo 25.o, n.o 1, alíneas c), g) e h), do referido regulamento.

2. A presente decisão é aplicável ao tratamento de dados pessoais por parte da Comissão para efeitos de atividades realizadas para cumprir as funções referidas nos Regulamentos (UE) 2016/1036, (UE) 2016/1037, (UE) 2015/478 e (UE) 2015/755, ou em relação a tais atividades.

3. A presente decisão é aplicável ao tratamento de dados pessoais por todos os serviços da Comissão, na medida em que tratem dados pessoais que constem das informações que têm de transmitir à Comissão ou dados pessoais já tratados pela Comissão para efeitos das atividades referidas no n.o 2 do presente artigo ou com elas relacionados.

Artigo 2.o

Exceções e limitações aplicáveis

1. Sempre que a Comissão exercer as suas funções, no que diz respeito aos direitos dos titulares dos dados, nos termos do Regulamento (UE) 2018/1725, deve considerar se se aplicam quaisquer exceções previstas nesse regulamento.

2. Sob reserva do disposto nos artigos 3.o a 7.o da presente decisão, a Comissão pode limitar a aplicação dos artigos 14.o a 17.o, 19.o, 20.o e 35.o do Regulamento (UE) 2018/1725, bem como o princípio da transparência enunciado no artigo 4.o, n.o 1, alínea a), desse regulamento, na medida em que as suas disposições correspondam aos direitos e às obrigações estabelecidos nos artigos 14.o a 17.o, 19.o, 20.o e 35.o do mesmo regulamento, sempre que o exercício desses direitos e dessas obrigações ponha em perigo a finalidade das atividades de política comercial e de defesa comercial da Comissão, ou prejudique os direitos e as liberdades de outros titulares dos dados.

3. Sob reserva do disposto nos artigos 3.o a 7.o da presente decisão, a Comissão pode também limitar os direitos e as obrigações referidos no n.o 2 do presente artigo, no que respeita aos dados pessoais obtidos junto de outras instituições e de outros órgãos e organismos da União, de autoridades competentes dos Estados-Membros ou de países terceiros ou de organizações internacionais, nas seguintes circunstâncias:

Caso o exercício desses direitos e dessas obrigações possa ser limitado por outras instituições e outros órgãos e organismos da União, com base noutros atos previstos no artigo 25.o do Regulamento (UE) 2018/1725 ou em conformidade com o capítulo IX do referido regulamento, ou em conformidade com o Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho (8) ou com o Regulamento (UE) 2017/1939 do Conselho (9);

Caso o exercício desses direitos e dessas obrigações possa ser limitado pelas autoridades competentes dos Estados-Membros com base nos atos referidos no artigo 23.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (10), ou em medidas nacionais de transposição do artigo 13.o, n.o 3, do artigo 15.o, n.o 3, ou do artigo 16.o, n.o 3, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (11);

c)	Caso o exercício desses direitos e dessas obrigações possa pôr em causa a cooperação da Comissão com países terceiros ou organizações internacionais na realização de inquéritos de defesa comercial.

Antes de aplicar limitações nas circunstâncias referidas nas alíneas a) e b) do primeiro parágrafo, a Comissão deve consultar as instituições, os órgãos e os organismos relevantes da União ou as autoridades competentes dos Estados-Membros, a menos que seja claro para a Comissão que a aplicação de uma limitação está prevista num dos atos referidos nessas alíneas.

A alínea c) do primeiro parágrafo não se aplica caso os interesses ou direitos fundamentais e liberdades dos titulares dos dados prevaleçam sobre o interesse da Comissão em cooperar com países terceiros ou com organizações internacionais.

4. Os n.os 1, 2 e 3 não prejudicam a aplicação de outras decisões da Comissão que estabelecem regras internas relativas à comunicação de informações aos titulares dos dados e à limitação de determinados direitos ao abrigo do artigo 25.o do Regulamento (UE) 2018/1725 e do artigo 23.o do regulamento interno da Comissão.

Artigo 3.o

Comunicação de informações aos titulares dos dados

1. A Comissão publica no seu sítio Web um aviso relativo à proteção de dados, a fim de informar todos os titulares dos dados das suas atividades de defesa comercial que envolvam o tratamento dos seus dados pessoais. Se for caso disso, a Comissão deve assegurar que os titulares dos dados são informados individualmente num formato adequado.

2. Sempre que a Comissão limitar, total ou parcialmente, a comunicação de informações aos titulares dos dados cujos dados sejam tratados para efeitos de inquéritos de política comercial ou de defesa comercial deve documentar e registar os motivos da limitação, em conformidade com o artigo 6.o.

Artigo 4.o

Direito de acesso pelos titulares dos dados, direito ao apagamento dos dados e direito à limitação do tratamento

1. Sempre que a Comissão limitar, total ou parcialmente, o direito de acesso aos dados pessoais por parte dos titulares dos dados, o direito ao apagamento ou o direito à limitação do tratamento, a que se referem, respetivamente, os artigos 17.o, 19.o e 20.o do Regulamento (UE) 2018/1725, deve informar o titular dos dados em causa, na sua resposta ao pedido de acesso, apagamento ou limitação do tratamento, da limitação aplicada e dos principais motivos para tal, bem como da possibilidade de apresentar reclamações à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça da União Europeia.

2. A comunicação de informações sobre os motivos da limitação a que se refere o n.o 1 pode ser adiada, omitida ou recusada enquanto prejudicar a finalidade da limitação.

3. A Comissão deve documentar os motivos da limitação em conformidade com o artigo 6.o.

4. Sempre que o direito de acesso for limitado total ou parcialmente, o titular dos dados deve exercer o seu direito de acesso por intermédio da Autoridade Europeia para a Proteção de Dados, nos termos do artigo 25.o, n.os 6, 7 e 8, do Regulamento (UE) 2018/1725.

Artigo 5.o

Comunicação de violações de dados pessoais aos titulares dos dados

Sempre que limitar a comunicação de uma violação de dados pessoais ao titular dos dados, como referido no artigo 35.o do Regulamento (UE) 2018/1725, a Comissão documenta e regista os motivos da limitação, em conformidade com o artigo 6.o da presente decisão.

Artigo 6.o

Documentação e registo das limitações

1. A Comissão deve documentar num registo os motivos de qualquer limitação aplicada nos termos da presente decisão, incluindo uma avaliação da necessidade e da proporcionalidade da limitação, tendo em conta os elementos pertinentes referidos no artigo 25.o, n.o 2, do Regulamento (UE) 2018/1725.

Para o efeito, a documentação constante do registo deve indicar de que forma o exercício desse direito comprometeria a finalidade dos inquéritos de política comercial e de defesa comercial, ou das limitações aplicadas nos termos do artigo 2.o, n.os 2 ou 3, ou afetaria negativamente os direitos e as liberdades de outros titulares dos dados.

2. A documentação e, se for caso disso, os documentos que contenham elementos factuais e jurídicos subjacentes devem conservar-se registados. São colocados à disposição da Autoridade Europeia para a Proteção de Dados, a pedido desta.

Artigo 7.o

Duração das limitações

1. As limitações referidas nos artigos 3.o, 4.o e 5.oContinuam a ser aplicáveis enquanto as razões que as justificam continuarem a ser aplicáveis.

2. Nos casos em que os motivos para uma limitação referida nos artigos 3.o ou 5.o deixem de existir, a Comissão deve anular a limitação e expor os principais motivos dessa limitação ao titular dos dados. Simultaneamente, a Comissão deve informar o titular dos dados da possibilidade de apresentar, em qualquer momento, uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça da União Europeia.

3. A Comissão deve reexaminar a aplicação das limitações referidas nos artigos 3.o e 5.o semestralmente a partir da sua adoção e aquando do encerramento do inquérito. Em seguida, a Comissão/o responsável pelo tratamento deve verificar, numa base anual, a necessidade de manter qualquer limitação/adiamento.

Artigo 8.o

Reexame pelo encarregado da proteção de dados da Comissão Europeia

1. O encarregado da proteção de dados deve ser informado, sem demora injustificada, sempre que os direitos dos titulares dos dados forem limitados em conformidade com a presente decisão. Mediante pedido, o encarregado da proteção de dados deve ter acesso ao registo e a quaisquer documentos que contenham elementos factuais e jurídicos subjacentes.

2. O encarregado da proteção de dados pode solicitar o reexame das limitações. O encarregado da proteção de dados deve ser informado por escrito do resultado do reexame solicitado.

Artigo 9.o

Entrada em vigor

A presente decisão entra em vigor no dia da sua publicação no Jornal Oficial da União Europeia.

É aplicável a partir de 11 de dezembro de 2018.

Feito em Bruxelas, em 14 de dezembro de 2018.

Pela Comissão

O Presidente

Jean-Claude JUNCKER

(1) Regulamento (UE) 2015/478 do Parlamento Europeu e do Conselho, de 11 de março de 2015, relativo ao regime comum aplicável às importações (JO L 83 de 27.3.2015, p. 16).

(2) Regulamento (UE) 2015/755 do Parlamento Europeu e do Conselho, de 29 de abril de 2015, relativo ao regime comum aplicável às importações de certos países terceiros (JO L 123 de 19.5.2015, p. 33).

(3) Regulamento (UE) 2016/1036 do Parlamento Europeu e do Conselho, de 8 de junho de 2016, relativo à defesa contra as importações objeto de dumping dos países não membros da União Europeia (JO L 176 de 30.6.2016, p. 21).

(4) Regulamento (UE) 2016/1037 do Parlamento Europeu e do Conselho, de 8 de junho de 2016, relativo à defesa contra as importações que são objeto de subvenções de países não membros da União Europeia (JO L 176 de 30.6.2016, p. 55).

(5) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(6) A conservação dos ficheiros na Comissão é regulamentada pela lista de conservação comum, um documento regulamentar [última versão: SEC(2012) 713] sob a forma de um calendário de retenção que estabelece os períodos de retenção para os diferentes tipos de ficheiros da Comissão.

(7) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(8) Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO L 135 de 24.5.2016, p. 53).

(9) Regulamento (UE) 2017/1939 do Conselho, de 12 de outubro de 2017, que dá execução a uma cooperação reforçada para a instituição da Procuradoria Europeia (JO L 283 de 31.10.2017, p. 1).

(10) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(11) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).