Síntese do Parecer da Autoridade Europeia para a Proteção de Dados sobre a proposta de Regulamento relativo à privacidade e às comunicações eletrónicas (Regulamento «privacidade e comunicações eletrónicas»)

(O texto integral do presente parecer encontra-se disponível em alemão, francês e inglês no sítio web da AEPD em www.edps.europa.eu)

O presente parecer define a posição da AEPD sobre a proposta de Regulamento relativo à privacidade e às comunicações eletrónicas, que revoga e substitui a Diretiva relativa à privacidade e comunicações eletrónicas.

Na ausência do Regulamento «privacidade e comunicações eletrónicas», o quadro da privacidade e proteção de dados da UE estaria incompleto. Embora o RGPD — Regulamento Geral sobre a Proteção de Dados — represente uma grande conquista, necessitamos de um instrumento jurídico específico para proteger o direito à vida privada garantido pelo artigo 7.o da Carta dos Direitos Fundamentais, do qual a confidencialidade das comunicações é uma componente essencial. Por conseguinte, a AEPD congratula-se com e apoia a proposta que visa fazer precisamente isso. A AEPD também apoia a escolha do instrumento jurídico, ou seja, um regulamento que será diretamente aplicável e contribuirá para um maior nível de harmonização e consistência. Saúda a ambição de proporcionar um elevado nível de proteção no que diz respeito aos conteúdos e aos metadados e apoia o objetivo de alargar as obrigações de confidencialidade a um maior leque de serviços — nomeadamente os chamados serviços de distribuição de conteúdos audiovisuais —, o que reflete o avanço da tecnologia. Considera igualmente que a decisão de conceder poderes sancionatórios apenas às autoridades de proteção de dados e a disponibilidade dos mecanismos de cooperação e consistência no seio do futuro Comité Europeu para a Proteção de Dados (CEPD), contribuirá para uma aplicação da legislação mais consistente e eficaz na UE.

Ao mesmo tempo, a AEPD manifesta preocupações relativamente a se a proposta, na sua redação atual, pode de facto cumprir a promessa de assegurar um elevado nível de proteção da privacidade nas comunicações eletrónicas. Precisamos de um novo quadro jurídico para a privacidade e as comunicações eletrónicas, mas precisamos de um que seja mais inteligente, mais claro e mais forte. Há ainda muito por fazer: a complexidade das regras, conforme descrito na Proposta, é assustadora. As comunicações estão subdivididas em metadados, dados de conteúdo, dados emitidos por equipamentos terminais. Sendo que cada um destes grupos tem direito a um nível diferente de confidencialidade e está sujeito a diferentes exceções. Esta complexidade pode criar um risco — porventura involuntário — de lacunas na proteção.

A maior parte das definições nas quais a proposta se baseia será negociada e decidida no contexto de um instrumento jurídico diferente: o Código Europeu das Comunicações Eletrónicas. Presentemente, não existe uma justificação jurídica para ligar tão estreitamente os dois instrumentos e as definições de concorrência e incidência no mercado do Código são simplesmente inadequadas no contexto dos direitos fundamentais. Por conseguinte, a AEPD defende a inclusão de um conjunto de definições necessárias no Regulamento «privacidade e comunicações eletrónicas», tendo em conta o seu âmbito de aplicação e objetivos previstos.

É igualmente necessário prestar especial atenção à questão do tratamento dos dados de comunicações eletrónicas por parte de responsáveis pelo tratamento que não os prestadores de serviços de comunicações eletrónicas. As proteções suplementares oferecidas aos dados de comunicações seriam infrutuosas se pudessem ser facilmente contornadas mediante, por exemplo, a transferência de dados para terceiros. Deve também assegurar-se que as regras em matéria de privacidade e comunicações eletrónicas não permitem um nível de proteção inferior ao consagrado no RGPD. Por exemplo, o consentimento deve ser genuíno, oferecendo uma opção de livre escolha aos utilizadores, em cumprimento do RGPD. As «tracking walls» devem ser eliminadas. Além disso, as novas regras devem também definir requisitos sólidos para privacidade desde a conceção e por defeito. Por último, no presente Parecer, a AEPD aborda igualmente outras questões prementes, nomeadamente as restrições ao âmbito de aplicação dos direitos.

O presente parecer (parecer) dá resposta a um pedido da Comissão Europeia (Comissão) dirigido à Autoridade Europeia para a Proteção de Dados (AEPD), na qualidade de autoridade de supervisão e órgão consultivo independente, para que forneça um parecer sobre a proposta de Regulamento relativo à privacidade e às comunicações eletrónicas (1) (Proposta). A proposta destina-se a revogar e substituir a Diretiva 2002/58/CE relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (2). A Comissão solicitou igualmente o parecer do Grupo de Trabalho do Artigo 29.o para a Proteção de Dados (WP29), para o qual a AEPD contribuiu na qualidade de membro de pleno direito (3).

O presente parecer vem no seguimento do nosso Parecer Preliminar 5/2016 sobre a revisão da Diretiva relativa à privacidade e às comunicações eletrónicas (2002/58/CE) (4), emitido em 22 de julho de 2016. A AEPD poderá ainda prestar mais aconselhamento em fases subsequentes do processo legislativo.

A revisão da proposta é uma das principais iniciativas da estratégia para o mercado único digital (5), tendo como objetivo reforçar a confiança e a segurança nos serviços digitais na UE, e sobretudo assegurar um elevado nível de proteção dos cidadãos e a igualdade de condições para todos os intervenientes no mercado em toda a União Europeia.

A proposta visa a modernização e a atualização da Diretiva Privacidade e Comunicações Eletrónicas, como parte de um esforço mais amplo com vista ao estabelecimento de um quadro jurídico coerente e harmonizado para a proteção de dados na Europa. A Diretiva Privacidade e Comunicações Eletrónicas pormenoriza e completa a Diretiva 95/46/CE (6), que será substituída pelo recentemente aprovado Regulamento Geral sobre a Proteção de Dados (RGPD) (7).

Em primeiro lugar, AEPD, na secção 2, apresenta uma síntese das suas principais observações sobre a proposta, incidindo sobre os seus aspetos positivos. Em segundo lugar, na secção 3, levanta as suas principais preocupações remanescentes e apresenta recomendações sobre como resolvê-las. No anexo do presente Parecer são descritas preocupações e recomendações para se introduzirem mais aperfeiçoamentos, que debatem a proposta mais pormenorizadamente. Dar resposta às preocupações suscitadas no presente parecer e no respetivo anexo e introduzir aperfeiçoamentos ao texto do Regulamento «privacidade e comunicações eletrónicas» serviria não apenas para proteger melhor os utilizadores finais e os titulares dos dados em causa, mas também para introduzir mais segurança jurídica para todas as partes interessadas envolvidas.

A AEPD congratula-se com a proposta da Comissão de um Regulamento «privacidade e comunicações eletrónicas» modernizado, atualizado e reforçado. Comunga da opinião de que existe uma necessidade contínua de dispor de regras específicas para proteger a confidencialidade e segurança das comunicações eletrónicas na UE e de complementar e pormenorizar os requisitos previstos no RGPD. Considera igualmente que necessitamos de disposições jurídicas simples, direcionadas e tecnologicamente neutras que proporcionem proteção forte, inteligente e eficaz no futuro próximo.

A AEPD saúda a ambição declarada de prestar um elevado nível de proteção relativamente aos conteúdos e aos metadados, mormente os elementos positivos importantes descritos na secção 2.1.

Embora saúde a proposta, a AEPD continua preocupada com o número de disposições suscetíveis de comprometer a intenção da Comissão de assegurar um elevado nível de proteção da privacidade nas comunicações eletrónicas. Concretamente, a AEPD tem as seguintes principais preocupações:

Estas principais preocupações - juntamente com as recomendações sobre como as resolver — são descritas no presente parecer. Além das nossas observações gerais e principais preocupações especificadas no corpo do parecer, a AEPD também apresenta outras — e por vezes de caráter mais técnico — observações e recomendações sobre a proposta num anexo, designadamente, para facilitar o trabalho dos legisladores e de outras partes interessadas que pretendam aperfeiçoar o texto durante o processo legislativo. Por último, salientamos também a importância de um processamento célere deste dossiê por parte dos legisladores, a fim de assegurar que o Regulamento «privacidade e comunicações eletrónicas», conforme previsto, possa ser aplicado a partir de 25 de maio de 2018, a data na qual o próprio RGPD também se tornará aplicável.

A importância da confidencialidade das comunicações, tal como estabelecido no artigo 7.o da Carta, está a crescer com o aumento da importância do papel que as comunicações eletrónicas desempenham na nossa sociedade e na nossa economia. As salvaguardas delineadas no presente parecer irão desempenhar um papel fundamental para garantir o êxito dos objetivos estratégicos de longo prazo da Comissão descritos na sua Estratégia para o mercado único digital.

Feito em Bruxelas, 24 de abril de 2017.

Giovanni BUTTARELLI

Autoridade Europeia para a Proteção de Dados

(1) Proposta de Regulamento do Parlamento Europeu e do Conselho relativo ao respeito pela vida privada e à proteção dos dados pessoais nas comunicações eletrónicas e que revoga a Diretiva 2002/58/CE (Regulamento relativo à privacidade e às comunicações eletrónicas), COM(2017) 10 final, 2017/0003 (COD).

(2) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (JO L 201 de 31.7.2002, p. 37).

(3) Parecer do WP29 1/2017 sobre a proposta de Regulamento para o Regulamento relativo à privacidade e às comunicações eletrónicas (2002/58/CE) (WP247), adotado em 4 de abril de 2017. Consultar igualmente o Parecer do WP29 3/2016 sobre a avaliação e a revisão da Diretiva relativa à privacidade e às comunicações eletrónicas (2002/58/CE) (WP240), adotado em 19 de julho de 2016.

(4) Ver https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf.

(5) «Estratégia para o Mercado Único Digital na Europa» — Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, 6 de maio de 2015 [COM(2015) 192 final], disponível em: http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52015DC0192&from=PT.

(6) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(7) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(8) Proposta de Diretiva do Parlamento Europeu e do Conselho que estabelece o Código Europeu das Comunicações Eletrónicas, COM (2016) 590 final/2, 2016/0288(COD) de 12.10.2016.