Bruxelas, 11.4.2016

COM(2016) 214 final

2012/0011(COD)

COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU

em conformidade com o artigo 294.º, n.º 6, do Tratado sobre o Funcionamento da
União Europeia

relativa à

posição do Conselho sobre a adoção de um Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e
e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)
e que revoga a Diretiva 95/46/CE


2012/0011 (COD)

COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU

em conformidade com o artigo 294.º, n.º 6, do Tratado sobre o Funcionamento da

União Europeia


relativa à

posição do Conselho sobre a adoção de um Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e
e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)

e que revoga a Diretiva 95/46/CE

1.Contexto

Data de transmissão da proposta ao Parlamento Europeu e ao Conselho
(documento COM(2012) 11 final – 2012/11 COD):

25 de janeiro de 2012.

Data do parecer do Comité Económico e Social Europeu:

SOC/455 EESC-2012-1303

23 de maio de 2012.

Data da posição do Parlamento Europeu em primeira leitura:

12 de março de 2014.

Data da transmissão da proposta alterada:

N/D.

Data da adoção da posição do Conselho:

8 de abril de 2016

2.Objetivo da proposta da Comissão

A Diretiva 95/46/CE 1 , o principal instrumento legislativo em matéria de proteção de dados pessoais na Europa, constituiu um marco na história da proteção de dados. Os seus objetivos, que consistem em assegurar o funcionamento do mercado único e a proteção efetiva dos direitos e das liberdades fundamentais das pessoas singulares, mantêm-se válidos. Todavia, essa diretiva foi adotada há 21 anos, quando a Internet estava apenas a dar os seus primeiros passos. Atualmente, neste novo e desafiante universo digital em que vivemos, as regras em vigor não asseguram o grau de harmonização nem a eficácia necessárias para garantir o direito à proteção dos dados pessoais.

Neste contexto, em 25 de janeiro de 2012, a Comissão propôs um regulamento destinado a substituir a Diretiva 95/46/CE e que instaura um quadro geral da UE para a proteção de dados. O regulamento proposto vem modernizar os princípios estipulados na Diretiva de 1995, adaptando-os à era digital e harmonizando a legislação sobre a proteção de dados a nível europeu. A proteção de dados deve ser objeto de normas rigorosas para restaurar a confiança das pessoas na forma como os seus dados pessoais são utilizados.

A proposta de regulamento visa reforçar os direitos individuais e consolidar o mercado interno da UE, garantir uma aplicação mais rigorosa da regulamentação, simplificar as transferências internacionais de dados pessoais e instaurar normas internacionais em matéria de proteção de dados.

As pessoas poderão assim passar a controlar melhor os seus dados pessoais, cujo acesso será facilitado. Além disso, será garantida a proteção dos dados pessoais independentemente do local onde se encontrem armazenados. Para este efeito, as novas regras preveem as seguintes medidas:

Melhoria do acesso aos respetivos dados - as pessoas passarão a receber mais informações, mais claras e mais compreensíveis, sobre a forma como os seus dados são tratados;

O «direito a ser esquecido» - quando um pessoa deixar de querer que os seus dados sejam tratados, e caso não existam motivos legítimos para a sua conservação, poderá obter a supressão dos mesmos;

O direito de uma pessoa saber se os seus dados foram pirateados - as empresas deverão notificar a autoridade de supervisão de eventuais violações de dados pessoais que coloquem as pessoas em risco e comunicar o mais rapidamente possível ao titular dos dados as violações que apresentem riscos elevados, para que este possa tomar as medidas adequadas;

O direito à portabilidade dos dados permitirá às pessoas transferir mais facilmente os seus dados pessoais de um prestador de serviços para outro.

O regulamento proposto contribui igualmente para realizar o potencial do mercado único digital graças às medidas seguintes:

Aplicação do princípio «Um continente, uma única legislação»: uma legislação única pan-europeia para a proteção de dados, que substitua a atual «manta de retalhos» existente, constituída por 28 legislações nacionais díspares;

Criação de um «balcão único» para as empresas: as empresas passarão a ter de lidar apenas com uma autoridade de supervisão e já não com 28 autoridades diferentes, tornando mais simples e menos oneroso fazer negócios em qualquer ponto da UE;

Condições de concorrência equitativas: atualmente, as empresas europeias têm de cumprir normas mais rigorosas do que as empresas estabelecidas fora da União e que também exercem atividades no mercado único da UE. Graças à reforma proposta, as empresas estabelecidas fora da União passarão a ter de aplicar as mesmas regras quando oferecem bens ou serviços no mercado da UE;

Neutralidade tecnológica: o regulamento permite que a inovação continue a prosperar ao abrigo das novas regras.

Por fim, o regulamento proposto prevê que as autoridades de supervisão possam aplicar coimas às empresas que violem as regras da UE num montante até 2 % do seu volume de negócios anual global.

3.Observações sobre a posição do Conselho

A posição do Conselho reflete o acordo político alcançado em 15 de dezembro de 2015 entre o Parlamento Europeu e o Conselho nos trílogos informais e posteriormente aprovado pelo Conselho, em 8 de abril de 2016.

A Comissão subscreve este acordo, dado que é conforme com os objetivos da sua proposta.

O acordo mantém a natureza do instrumento jurídico proposto pela Comissão, ou seja, um regulamento em detrimento de uma diretiva, a qual exigiria a transposição para 28 ordenamentos jurídicos nacionais. Garante igualmente o nível de harmonização necessário, deixando simultaneamente aos Estados-Membros uma margem de manobra no que diz respeito às especificações das regras de proteção dos dados no setor público.

A posição do Conselho confirma a abordagem da Comissão quanto ao âmbito de aplicação territorial do regulamento, que se aplicará igualmente aos responsáveis pelo tratamento de dados ou a subcontratantes estabelecidos num país terceiro sempre que as atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a pessoas que residam na União ou com a observação dos comportamentos dessas pessoas.

Em consonância com a abordagem da Comissão, o acordo reforça os princípios relativos ao tratamento de dados (minimização dos dados, por exemplo) e os direitos dos respetivos titulares, consagrando o direito a ser esquecido e o direito de portabilidade dos dados, continuando a desenvolver os direitos já reconhecidos, como o direito à informação ou o direito de acesso.

Também preserva e desenvolve a abordagem assente no risco, já presente na proposta da Comissão e que exige que os responsáveis pelo tratamento dos dados e, em alguns casos, os subcontratantes, tenham em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o grau de probabilidade e de gravidade dos riscos para os direitos e as liberdades dos titulares dos dados. Além disso, o acordo alcançado sobre o mecanismo do «balcão único» tem solidez jurídica e institucional e confere um valor acrescentado significativo às empresas e aos titulares dos dados. Este mecanismo basear-se-á no princípio da «autoridade mais apta» para tomar a decisão e será aplicado unicamente nos casos que assumam uma dimensão transnacional importante. A posição do Conselho mantém os principais elementos de simplificação, que consistem em instaurar o princípio de uma decisão única em toda a UE e um único interlocutor para as empresas e as pessoas.

O acordo também clarifica e especifica as regras relativas às transferências internacionais no que respeita, por exemplo, aos critérios a ter em conta para avaliar o nível de proteção num país terceiro ou os instrumentos que proporcionam garantias adequadas para as transferências internacionais.

A posição do Conselho autoriza as autoridades de supervisão a aplicarem sanções financeiras em caso de infração ao regulamento, que podem variar entre 2 e 4 % do volume de negócios anual global da empresa em causa.

Por último, e contrariamente à proposta da Comissão, a posição do Conselho não considera o regulamento um desenvolvimento do acervo de Schengen. Por conseguinte, a Comissão considera ser necessário emitir uma declaração nesta matéria.

4.Conclusão

A Comissão congratula-se com os resultados das negociações interinstitucionais e aceita, por conseguinte, a posição do Conselho em primeira leitura.

5.Declaração da Comissão — Pertinência do regulamento em relação ao acervo de Schengen

«A Comissão lamenta que a sua proposta inicial tenha sido alterada com a supressão dos considerandos 136, 137 e 138 relacionados com o acervo de Schengen. A Comissão considera que no que respeita aos vistos, ao controlo das fronteiras e ao regresso, o regulamento geral sobre a proteção de dados constitui um desenvolvimento do acervo de Schengen para os quatro Estados associados à execução, à aplicação e ao desenvolvimento do referido acervo.»

(1) Diretiva 95/46/CE relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, JO L 281 de 23.11.1995, p. 31.