17.11.2009   

PT

Jornal Oficial da União Europeia

C 276/1

1.

Em 22 de Abril de 2009, a Comissão adoptou uma proposta de regulamento do Conselho que altera o Regulamento (CE) n.o 881/2002 que institui certas medidas restritivas específicas contra determinadas pessoas e entidades associadas a Osama Bin Laden, à rede Al-Qaida e aos talibã (a seguir designada «proposta»). No mesmo dia, a Comissão enviou a proposta à AEPD para consulta, nos termos do n.o 2 do artigo 28.o do Regulamento (CE) n.o 45/2001. A AEPD, recordando que já em 9 de Março de 2009 formulara observações de carácter informal acerca de um projecto de proposta, regista que essas observações foram tidas em conta na proposta ora em apreço.

2.

A AEPD congratula-se não só por ter sido consultada, mas também por esta consulta ser referida no preâmbulo da proposta, tal como já aconteceu nalguns outros textos legislativos sobre os quais foi chamada a pronunciar-se, em conformidade com o Regulamento (CE) n.o 45/2001.

3.

A proposta vem alterar o Regulamento (CE) n.o 881/2002, um dos instrumentos comunitários adoptados para combater o terrorismo através de medidas restritivas — designadamente, congelamento de bens — contra pessoas singulares e colectivas suspeitas de associação com organizações terroristas. É seu objectivo, em particular, ter em conta a recente evolução da jurisprudência do Tribunal de Justiça, e em especial o processo Kadi (1), estabelecendo «um procedimento que respeite os direitos fundamentais e que deverá ser seguido no que respeita aos indivíduos e às entidades recentemente incluídos na lista pelas Nações Unidas» (ponto 4 da exposição de motivos).

4.

Se o Tribunal foi chamado a abordar especificamente, nos seus acórdãos, o respeito pelo direito fundamental de defesa e, em especial, pelo direito de audição, a verdade é que a jurisprudência nesta matéria tem repercussões mais alargadas, podendo ser resumida do seguinte modo: os padrões da União Europeia em matéria de protecção dos direitos fundamentais devem ser respeitados, quer as medidas restritivas sejam adoptadas ao nível da UE ou tenham a sua origem em organizações internacionais como, por exemplo, as Nações Unidas (2).

5.

Entre os direitos fundamentais consagrados na UE, conta-se o direito à protecção dos dados pessoais, reconhecido pelo Tribunal de Justiça como um dos princípios decorrentes do n.o 2 do artigo 6.o do TUE e confirmado no artigo 8.o da Carta dos Direitos Fundamentais da União Europeia.

6.

Neste sentido, a AEPD regista com satisfação a jurisprudência recente do Tribunal de Justiça, e também a intenção da Comissão de lhe dar seguimento melhorando o procedimento de listagem e tomando expressamente em consideração o direito à protecção dos dados pessoais. Com efeito, a AEPD, não deixando de reconhecer em pleno o objectivo de combater o terrorismo através do tratamento e do intercâmbio de dados pessoais, está firmemente convicta de que a protecção dos dados pessoais é crucial para conferir legitimidade e eficácia às medidas restritivas adoptadas pela Comissão. Na base destas medidas está o tratamento de dados pessoais, que, por si só — quer as medidas tenham ou não por objecto o congelamento de bens —, deve imperiosamente ficar subordinado às regras e salvaguardas em matéria de protecção de dados. É, pois, extremamente importante proporcionar clareza e certeza jurídica quanto às regras aplicáveis no tratamento dos dados pessoais daqueles cujos nomes constam da lista, tal como se menciona no ponto 8 da exposição de motivos.

7.

Ainda mais importante se torna fazê-lo na perspectiva da entrada em vigor do Tratado de Lisboa, que virá não só dar efeito vinculativo à Carta dos Direitos Fundamentais, mas também consignar, no artigo 16.o do TFUE e no artigo 39.o do TUE, a necessidade de regras e salvaguardas em matéria de protecção de dados em todas as esferas de actividade da União Europeia. Além disso, o Tribunal de Justiça passará a dispor de plena competência, mesmo no domínio da Política Externa e de Segurança Comum, para apreciar a legalidade — e, em especial, o respeito pelos direitos fundamentais — das decisões que estabeleçam medidas restritivas contra pessoas singulares ou colectivas (artigo 240.o-A do TFUE).

8.

A AEPD regista com satisfação que no preâmbulo se faz referência à necessidade de aplicar o regulamento em conformidade com o direito fundamental à protecção de dados pessoais (considerando 10) e de prever salvaguardas específicas adequadas para os casos em que a Comissão trate dados relativos a infracções penais cometidas por pessoas singulares constantes da lista e a condenações penais ou medidas de segurança referentes a tais pessoas.

9.

A AEPD considera também positivo o facto de a proposta reconhecer expressamente, no considerando 12, a aplicabilidade das regras em matéria de protecção de dados, com particular relevo para o Regulamento (CE) n.o 45/2001, ao tratamento de dados pessoais neste domínio. Com efeito, tal como previsto no seu artigo 3.o, o Regulamento (CE) n.o 45/2001 «é aplicável ao tratamento de dados pessoais por todas as instituições e órgãos comunitários, na medida em que esse tratamento seja executado no exercício de actividades que dependam total ou parcialmente do âmbito de aplicação do direito comunitário». Refira-se a propósito que, se está relacionado com a Posição Comum 2002/402/PESC e com as actividades das Nações Unidas neste domínio, o Regulamento (CE) n.o 881/2002 nem por isso deixa de ter como base o Tratado que institui a Comunidade Europeia.

10.

A título geral, a AEPD salienta que o Regulamento (CE) n.o 45/2001 prevê uma série de deveres para os responsáveis pelo tratamento — nomeadamente, qualidade dos dados, licitude do tratamento, notificação, segurança do tratamento — e de direitos para as pessoas em causa — nomeadamente, acesso, rectificação, bloqueio, apagamento, comunicação a terceiros, recursos — que são aplicáveis a menos que sejam estabelecidas excepções e restrições ao abrigo do artigo 20.o. Seja como for, as restrições ao direito fundamental à protecção de dados devem obedecer a regras estritas em matéria de proporcionalidade, ou seja, devem limitar-se — quanto ao fundo e quanto à sua aplicação no tempo — àquilo que é necessário para responder ao interesse público em questão, tal como confirmado pela jurisprudência do Tribunal de Justiça, inclusive no domínio das medidas restritivas. Importa que assim seja, tanto mais que os direitos e os deveres em causa, a par da necessidade de uma supervisão independente do tratamento de dados pessoais, estão no âmago do direito fundamental à protecção de dados, tal como é explicitamente reiterado no artigo 8.o da Carta dos Direitos Fundamentais da UE.

11.

Além disso, registando embora com agrado que alguns desses deveres e direitos são abordados, implícita ou explicitamente, no texto da proposta, a AEPD frisa que esta não pode ser interpretada no sentido de excluir ou limitar a aplicabilidade dos deveres e dos direitos das pessoas em causa que nela não se encontrem mencionados.

12.

Neste contexto, a AEPD passa agora, nos pontos que se seguem, a analisar as disposições da proposta à luz dos mais relevantes princípios de protecção de dados, formulando recomendações sobre o que pode ser aperfeiçoado, bem como orientações quanto ao modo de abordar algumas outras questões que ainda não estão contempladas, mas que poderão vir a surgir em virtude da aplicação desses mesmos princípios. Nalguns casos, será talvez conveniente entrar em mais pormenores quanto à aplicação dos deveres e direitos em matéria de protecção de dados no domínio das medidas restritivas.

13.

As observações aqui tecidas mais não podem do que reflectir a importância crucial da protecção dos dados pessoais para conferir legitimidade e eficácia às medidas restritivas adoptadas pela Comissão, e não abordam nem afectam outras questões de fundo eventualmente associadas à inclusão numa determinada lista em aplicação de outras regras.

14.

O artigo 7.o-A trata dos procedimentos a seguir para a listagem e a desalistagem de pessoas singulares ou colectivas, ao passo que o artigo 7.o-C prevê um procedimento específico para aqueles que tenham sido incluídos na lista antes de 3 de Setembro de 2008.

15.

A AEPD saúda estas disposições, na medida em que vêm reforçar o respeito pelos direitos fundamentais, proporcionando às pessoas em causa a possibilidade de serem informadas acerca dos motivos para a inclusão nas listas, bem como a oportunidade de manifestarem as suas opiniões sobre o assunto. Além disso, prevê-se no n.o 4 que a desalistagem ao nível da ONU desencadeará automaticamente uma desalistagem ao nível da UE, o que está em consonância com o princípio segundo o qual os dados devem ser mantidos actualizados, tal como previsto na alínea d) do n.o 1 do artigo 4.o do Regulamento (CE) n.o 45/2001.

16.

A AEPD salienta, todavia, que as disposições em causa não excluem obrigações similares decorrentes do Regulamento (CE) n.o 45/2001, nomeadamente a obrigação de fornecer informações à pessoa em causa, ao abrigo do artigo 11.o, e em especial do artigo 12.o — informação a facultar caso os dados não tenham sido recolhidos junto da pessoa em causa —, a obrigação, prevista no artigo 14.o, de rectificar imediatamente os dados pessoais incompletos ou inexactos, e a obrigação, estabelecida no artigo 17.o, de comunicar qualquer rectificação ou apagamento a terceiros a quem os dados tenham sido transmitidos, excepto se tal for impossível ou implicar um esforço desproporcionado.

17.

Tal como já mencionado no ponto 10, é sempre possível, claro está, aplicar a essas disposições as excepções e restrições que se revelem necessárias, ao abrigo do artigo 20.o do Regulamento (CE) n.o 45/2001. Pode assim suceder, por exemplo, que seja necessário protelar o momento em que as pessoas em causa são informadas, para preservar o «efeito surpresa» da decisão de as incluir na lista e de congelar os seus bens. Nesta conformidade, a AEPD recomenda ao legislador que pondere a hipótese de descrever explicitamente na proposta as excepções aos princípios da protecção de dados que podem revelar-se necessárias, como, por exemplo, o protelamento da informação a que se refere o artigo 12.o até que seja tomada a decisão provisória.

18.

Consoante se afirma no texto proposto como n.o 1 do artigo 7.o-D, se as Nações Unidas ou um Estado apresentar informações classificadas, a Comissão tratará tais informações em conformidade com as suas disposições internas em matéria de segurança (Decisão 2001/844/CE, CECA, Euratom) (3) e, quando aplicável, o acordo sobre a segurança das informações classificadas celebrado entre a União Europeia e o Estado que apresentou as informações. No n.o 2 do mesmo artigo, especifica-se que os documentos classificados num nível correspondente a «EU Top Secret», «EU Secret» ou «EU Confidential» não serão divulgados sem o consentimento da entidade que os transmitiu.

19.

O artigo em apreço suscita duas questões, a primeira das quais tem a ver com o impacto da disposição em termos de acesso da pessoa em causa aos seus dados pessoais, conforme previsto no artigo 13.o do Regulamento (CE) n.o 45/2001, ao passo que a segunda se prende com a possibilidade de acesso da AEPD e do Tribunal de Justiça aos dados pessoais contidos em informações classificadas, tal como pode ser necessário para o correcto desempenho das respectivas incumbências.

20.

O acesso às informações classificadas está subordinado às regras sobre segurança a que é feita referência, bem como aos acordos entre a UE e o Estado que as apresentou. Só as pessoas com necessidade de saber — ou seja, aquelas que precisam de acesso para estarem em condições de exercer uma função ou tarefa — podem obter acesso a tais informações (4). Para as informações com os níveis de classificação mencionados no n.o 2 do artigo 7.o-D, é necessária, além disso, uma credenciação de segurança.

21.

As regras internas da Comissão em matéria de segurança devem ser lidas em conjugação com o Regulamento (CE) n.o 1049/2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão, no qual são desenvolvidos os aspectos relacionados com o direito de acesso às informações das três maiores instituições da UE. No artigo 9.o, o acto em questão aborda o tratamento dos documentos sensíveis e enumera as três categorias de classificação acima referidas. Segundo o n.o 3 do mesmo artigo, os documentos sensíveis apenas serão divulgados com o acordo da entidade de origem, regra esta que também está consagrada no texto proposto como n.o 2 do artigo 7.o-D.

22.

As regras internas da Comissão em matéria de segurança coadunam-se com o direito de acesso do público aos documentos. O mesmo não sucede, porém, com determinados direitos específicos, designadamente o direito de acesso das pessoas em causa aos seus próprios dados pessoais, com base no artigo 13.o do Regulamento (CE) n.o 45/2001. As regras internas de segurança não fazem referência nem às regras em matéria de protecção de dados, nem aos direitos das pessoas em causa enquanto tais. E tão-pouco abordam a situação em que alguém pede acesso aos seus dados pessoais contidos num documento classificado. Assim acontece também no caso dos acordos celebrados com um ou outro Estado em matéria de segurança das informações classificadas.

23.

Nos termos do artigo 13.o do Regulamento (CE) n.o 45/2001, a pessoa em causa tem, entre outros, o direito de, a qualquer momento, obter do responsável pelo tratamento, gratuitamente, no prazo de três meses a contar da data de recepção do pedido, a comunicação, sob forma inteligível, dos dados sujeitos a tratamento [cf. alínea c)].

24.

A AEPD compreende perfeitamente que, tratando-se de medidas restritivas dirigidas contra determinadas pessoas ou entidades e destinadas a evitar actos terroristas, haja motivos fundamentados para não comunicar informações classificadas (pessoais) à pessoa em causa. Base para esta restrição é, como já mencionado no ponto 10, o artigo 20.o do Regulamento (CE) n.o 45/2001. A AEPD chama, todavia, a atenção para o requisito da necessidade que é estabelecido nesse artigo, bem como para o procedimento previsto nos seus n.os 3 e 4.

25.

O artigo 20.o estipula que as restrições às disposições referidas devem constituir uma medida necessária para a consecução dos objectivos enumerados. Como a questão do acesso das pessoas em causa não é abordada nem nas regras internas da Comissão em matéria de segurança, nem nos acordos com determinados Estados, e visto que o n.o 2 do artigo 7.o-D proposto impõe uma obrigação incondicional de obter o consentimento da entidade de origem antes de proceder à divulgação de documentos classificados, não está garantido que só em caso de necessidade possa ser estabelecida uma restrição ao direito de acesso. A disposição não define nenhum critério substantivo, deixando total poder discricionário à entidade de origem das informações — que pode ser uma parte não submetida à legislação e aos padrões da UE em matéria de protecção dos direitos fundamentais.

26.

Os n.os 3 e 4 do artigo 20.o contêm regras relativas à aplicação de uma restrição. De acordo com o n.o 3, a instituição envolvida deverá informar a pessoa em causa dos principais motivos da aplicação da restrição e do seu direito de recorrer à AEPD. O n.o 4 inclui mais uma regra que diz especificamente respeito a uma restrição ao direito de acesso. Nele se afirma que, ao investigar uma reclamação com base no número anterior, a Autoridade Europeia para a Protecção de Dados só comunicará à pessoa em causa se os dados foram tratados correctamente e, em caso negativo, se foram introduzidas todas as correcções necessárias (5). A proposta de alteração do Regulamento (CE) n.o 881/2002 deve assegurar que estas regras possam ser cumpridas. Trata-se de um ponto que está estreitamente associado à segunda questão suscitada pelo artigo 7.o-D na versão proposta.

27.

A condição estabelecida no n.o 2 do artigo 7.o-D, segundo a qual as informações classificadas apenas serão divulgadas com o consentimento da entidade que as transmitiu, também é de molde a afectar a supervisão independente por parte da AEPD. Por força da aplicabilidade do Regulamento (CE) n.o 45/2001, o tratamento de dados pessoais pode ser objecto dos recursos previstos no seu artigo 32.o, bem como dos poderes de execução confiados à AEPD nos termos do seu artigo 47.o. Esta última disposição, em especial, confere à AEPD poderes para obter, de qualquer responsável pelo tratamento de dados ou de uma instituição ou organismo comunitário, o acesso a todos os dados pessoais, bem como a todas as informações necessárias aos seus inquéritos [ver alínea a) do n.o 2 do artigo 47.o do Regulamento (CE) n.o 45/2001]. É possível que, no contexto da proposta em apreço, a AEPD venha a fazer uso destes poderes a fim de desempenhar a sua função ao abrigo do n.o 4 do artigo 20.o do mesmo regulamento. Sucede porém que, com a actual formulação do artigo 7.o-D, o exercício efectivo destes poderes ficaria totalmente submetido à discrição da entidade de origem das informações.

28.

O texto do artigo 7.o-D, na sua versão actual, colidiria assim com as regras estabelecidas no Regulamento (CE) n.o 45/2001. A AEPD assinala, a este respeito, que o artigo 20.o não prevê restrições às funções e competências que lhe são confiadas nos termos dos artigos 46.o e 47.o

29.

Além das vias de recurso junto das autoridades independentes de protecção de dados, a legislação nesta matéria consagra o direito de interpor recurso perante um Tribunal [ver artigo 22.o da Directiva 95/46/CE e artigo 32.o do Regulamento (CE) n.o 45/2001]. Neste contexto, a AEPD assinala que o texto do n.o 2 do artigo 7.o-D, na sua versão actual, também poderá abalar a eficácia desta reapreciação judicial, ao afectar a capacidade do TJE para ajuizar se está assegurado um justo equilíbrio entre, por um lado, a necessidade de combater o terrorismo internacional e, por outro lado, a protecção dos direitos fundamentais. Tal como o afirmou o Tribunal de Primeira Instância no acórdão de 4 de Dezembro de 2008, o Tribunal pode precisar, para o fazer, de ter acesso a informações classificadas (6).

30.

À luz do que precede, a AEPD insta o legislador a alterar o artigo 7.o-D de modo a garantir que: a) o requisito da necessidade, estabelecido no artigo 20.o do Regulamento (CE) n.o 45/2001, seja cumprido no caso de a Comissão negar a alguém o acesso aos seus dados pessoais contidos em documentos classificados, b) sejam observadas as regras previstas nos n.os 3 e 4 do artigo 20.o, e c) sejam plenamente respeitados os poderes da AEPD, tal como enunciados no artigo 47.o

31.

Para tal, e como primeiro passo, poder-se-ia limitar o alcance do n.o 2 do artigo 7.o-D, acrescentando à palavra «divulgados» os termos «ao público». Trata-se de uma alteração que também é coerente em termos jurídicos, uma vez que, tal como acima se explica, a disposição é retirada do n.o 3 do artigo 9.o do Regulamento (CE) n.o 1049/2001, que diz exclusivamente respeito ao acesso do público aos documentos. A alteração sugerida resolverá, em grande medida, os problemas que já aqui foram evocados: a restrição ao direito de acesso das pessoas em causa deixará de ficar totalmente à discrição da entidade de origem, e nem a AEPD, nem o TJE continuarão a deparar com limitações à sua possibilidade de acesso a tais informações para o desempenho das respectivas funções.

32.

Há, no entanto, um problema que persiste, e isto enquanto as regras internas da Comissão e os acordos sobre a segurança das informações não abordarem explicitamente a questão do acesso das pessoas em causa, nem assegurarem o cumprimento do requisito da necessidade estabelecido no artigo 20.o do Regulamento (CE) n.o 45/2001. Se a AEPD (e o TJE) pode ter acesso com base no princípio da «necessidade de saber» e após credenciação de segurança dos funcionários que estejam de facto a tratar as informações, já é de duvidar que o mesmo seja possível no que se refere às pessoas em causa. A AEPD insta, pois, a Comissão a garantir que o direito de acesso às informações pessoais contidas em documentos classificados apenas sofra restrições nos casos em que tal se revele necessário.

33.

O artigo 7.o-E descreve com bastante pormenor as tarefas da Comissão em termos de tratamento de dados pessoais (n.o 1) e os dados pessoais que serão tratados (n.os 2 a 4). No n.o 5, o artigo designa uma unidade da Comissão como responsável pelo tratamento, na acepção da alínea d) do n.o 2 do Regulamento (CE) n.o 45/2001.

34.

A AEPD acolhe com agrado o texto do n.o 1 do artigo 7.o-E, na medida em que é seu objectivo proporcionar um fundamento jurídico para o tratamento de dados pessoais, em conformidade com o artigo 5.o do Regulamento (CE) n.o 45/2001. Efectivamente, todas as actividades de tratamento de dados pessoais deverão ter como base um dos fundamentos jurídicos enumerados no artigo em apreço. Assim, a AEPD regista que as alíneas a) («necessário ao exercício de funções de interesse público») e b) («necessário para o respeito de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito») poderão assumir particular relevância no contexto da imposição de medidas restritivas.

35.

A AEPD recorda todavia que, nos termos do artigo 4.o do Regulamento (CE) n.o 45/2001, os dados pessoais devem ser «adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos», pelo que a Comissão deve assegurar que os dados pessoais recolhidos sejam necessários para fins de imposição das medidas restritivas previstas no projecto de regulamento.

36.

Nesta conformidade, a AEPD recomenda que o n.o 1 do artigo 7.o-E seja alterado do seguinte modo: «A Comissão assegura o tratamento dos dados pessoais necessários para exercer as tarefas previstas no presente regulamento».

37.

Importa, além disso, verificar atentamente, tanto em geral como caso a caso, a relevância das categorias de dados de que se faz uso no contexto das medidas restritivas — nomeadamente, identificadores gerais (isto é, número fiscal e número da segurança social) e «funções ou profissão» —, especialmente porque se trata de elementos de informação que podem incluir categorias particulares de dados e exigir salvaguardas específicas.

38.

Neste contexto, a AEPD saúda o princípio estabelecido no n.o 3, de acordo com o qual os apelidos e os nomes próprios dos pais da pessoa singular podem ser incluídos no anexo se forem necessários num caso específico unicamente para efeitos de verificação da identidade da pessoa singular em causa. Esta disposição reflecte bem um dos princípios em matéria de protecção de dados, a saber, o princípio da limitação da finalidade, que deve ser especificado de forma adequada e aplicado em relação a todo o artigo. Assim, a AEPD recomenda expressamente que se aplique o princípio em questão a todas as categorias de dados, introduzindo para tal a seguinte alteração no n.o 2 do artigo 7.o-E: «O anexo I incluirá apenas as informações necessárias para efeitos de verificação da identidade das pessoas singulares incluídas na lista, não devendo em caso algum conter mais do que as seguintes informações».

39.

A AEPD regista igualmente com satisfação o texto do n.o 4, segundo o qual determinadas categorias de dados, tais como aqueles que dizem respeito a infracções penais, condenações penais ou medidas de segurança, apenas poderão ser tratados em casos específicos, sob reserva das garantias específicas adequadas, e não serão divulgados publicamente, nem objecto de intercâmbio.

40.

Quanto ao n.o 5, a AEPD reconhece que a designação de um responsável pelo tratamento, no anexo II do Regulamento (CE) n.o 881/2002, virá conferir maior visibilidade ao responsável e reforçar o seu papel enquanto «ponto de contacto», assim facilitando o exercício dos direitos das pessoas em causa ao abrigo do Regulamento (CE) n.o 45/2001. A AEPD lembra contudo a necessidade de também assegurar que o responsável pelo tratamento esteja em condições de garantir eficazmente não só o exercício dos direitos das pessoas em causa, mas também o cumprimento das demais obrigações decorrentes do Regulamento (CE) n.o 45/2001. Nesta perspectiva, talvez a Comissão possa clarificar este ponto da proposta, aditando por exemplo, no n.o 5, uma referência explícita à necessidade de o responsável pelo tratamento garantir que sejam cumpridas as obrigações decorrentes do Regulamento (CE) n.o 45/2001.

41.

Uma questão importante que não é explicitamente abordada na proposta, mas está implícita no procedimento de listagem, reside em saber se os dados pessoais tratados pelas instituições comunitárias podem ser partilhados com as Nações Unidas e/ou com países terceiros e, na afirmativa, em que condições.

42.

A este respeito, a AEPD chama a atenção para o artigo 9.o do Regulamento (CE) n.o 45/2001, que estabelece as condições para a transferência de dados pessoais para destinatários distintos das instituições e dos órgãos comunitários que não estejam sujeitos à Directiva 95/46/CE. Há uma vasta gama de soluções à disposição, desde o consentimento da pessoa em causa [alínea a) do n.o 6] e o exercício de um direito num processo judicial [alínea d) do n.o 6] — que se pode revelar útil caso as informações tenham sido facultadas pela pessoa incluída, tendo em vista desencadear uma reapreciação da inclusão na lista — até à existência, a nível da ONU, de mecanismos destinados a garantir uma protecção adequada dos dados pessoais transmitidos pela UE.

43.

A AEPD recorda que as diversas actividades de tratamento previstas devem estar em consonância com este sistema, a fim de assegurar uma protecção adequada dos dados pessoais trocados com países terceiros e organizações internacionais, e que poderá ser necessário, em conformidade, introduzir especificações na proposta e estabelecer convénios com a ONU.

44.

O artigo 6.o da proposta exclui a responsabilidade, excepto em caso de negligência, das pessoas singulares e colectivas que apliquem medidas restritivas. A este respeito, a AEPD esclarece que o artigo não deve ser entendido no sentido de excluir a responsabilidade extracontratual, em conformidade com o n.o 4 do artigo 32.o do Regulamento (CE) n.o 45/2001 e com o artigo 23.o da Directiva 95/46/CE, relativamente a uma operação de tratamento de dados pessoais ao arrepio da legislação aplicável em matéria de protecção de dados. Nesta perspectiva, as medidas restritivas assentam no tratamento e na divulgação de dados pessoais, o que, em caso de ilegalidade, pode por si só — independentemente das medidas restritivas adoptadas — causar danos morais, tal como já reconhecido pelo Tribunal de Justiça (7).

45.

Cabe registar que poderá ser necessário um controlo prévio por parte da AEPD, em conformidade com o artigo 27.o do Regulamento (CE) n.o 45/2001, uma vez que a proposta prevê operações de tratamento que dizem respeito a categorias particulares de dados (suspeitas de infracção, condenações penais ou medidas de segurança) e que têm por objectivo negar a determinadas pessoas o pleno usufruto do seu direito à propriedade.

46.

Tendo em conta o artigo 28.o do Regulamento (CE) n.o 45/2001, a AEPD espera ser consultada sobre as propostas legislativas e as medidas administrativas referentes ao tratamento de dados pessoais que possam vir a ser apresentadas para efeitos de imposição de medidas restritivas a pessoas suspeitas de actos de terrorismo.

47.

A AEPD saúda a intenção da Comissão de, com a sua proposta, dar seguimento à jurisprudência recente do Tribunal de Justiça, melhorando o procedimento de listagem e tomando expressamente em consideração o direito à protecção dos dados pessoais, que representa um factor crucial para conferir legitimidade e eficácia às medidas restritivas adoptadas pela Comissão.

48.

A AEPD regista com satisfação que no preâmbulo se faz referência à necessidade de aplicar o regulamento em conformidade com o direito fundamental à protecção de dados pessoais, e considera também positivo o facto de a proposta reconhecer expressamente, no considerando 12, a aplicabilidade das regras em matéria de protecção de dados, com particular relevo para o Regulamento (CE) n.o 45/2001, ao tratamento de dados pessoais neste domínio.

49.

A título geral, a AEPD salienta que o Regulamento (CE) n.o 45/2001 prevê uma série de deveres para os responsáveis pelo tratamento e de direitos para as pessoas em causa, deveres e direitos esses que são aplicáveis mesmo que não sejam expressamente mencionados na proposta. Todavia, nalguns casos, será talvez conveniente entrar em mais pormenores quanto à aplicação — e às eventuais excepções e restrições — dos deveres e direitos em matéria de protecção de dados no domínio das medidas restritivas.

50.

A AEPD congratula-se com os artigos 7.o-A e 7.o-C, na medida em que vêm reforçar o respeito pelos direitos fundamentais, proporcionando às pessoas em causa a possibilidade de serem informadas acerca dos motivos para a inclusão nas listas. A AEPD salienta, todavia, que as disposições em causa não excluem obrigações similares decorrentes do Regulamento (CE) n.o 45/2001. Nesta conformidade, a AEPD recomenda ao legislador que pondere a hipótese de descrever explicitamente na proposta as excepções aos princípios da protecção de dados que podem revelar-se necessárias, como, por exemplo, o protelamento da informação a que se refere o artigo 12.o até que seja tomada a decisão provisória.

51.

A AEPD considera que, ao subordinar a divulgação de documentos confidenciais ao consentimento da entidade de origem, o artigo 7.o-D pode afectar o direito de acesso da pessoa em causa aos seus dados pessoais, conforme previsto no artigo 13.o do Regulamento (CE) n.o 45/2001, e a possibilidade de acesso da AEPD e do Tribunal de Justiça aos dados pessoais contidos em informações classificadas, tal como pode ser necessário para o correcto desempenho das respectivas incumbências. Nesta perspectiva, a AEPD insta o legislador a alterar a disposição em causa, em especial mediante o aditamento dos termos «ao público» a seguir a «divulgados».

52.

A AEPD acolhe com agrado o texto do artigo 7.o-E, na medida em que é seu objectivo proporcionar um fundamento jurídico para o tratamento de dados pessoais, em conformidade com o artigo 5.o do Regulamento (CE) n.o 45/2001. Recomenda, contudo, algumas alterações, destinadas a garantir que os dados tratados sejam utilizados para finalidades específicas e sejam relevantes, bem como a assegurar que o papel do responsável pelo tratamento esteja em conformidade com o Regulamento (CE) n.o 45/2001.

53.

A AEPD recorda que as eventuais transferências para países terceiros e organizações internacionais devem estar em consonância com o artigo 9.o do Regulamento (CE) n.o 45/2001, a fim de assegurar uma protecção adequada dos dados pessoais trocados neste contexto. A este respeito, poderá ser necessário introduzir especificações na proposta e estabelecer convénios com a ONU.

54.

A AEPD assinala ainda que a proposta não afecta a responsabilidade em caso de ilegalidade no tratamento e na divulgação de dados pessoais, refere que pode ser necessário um controlo prévio ao abrigo do artigo 27.o do Regulamento (CE) n.o 45/2001 e observa que espera ser consultada a respeito de futuras propostas legislativas e medidas administrativas neste domínio.

17.11.2009   

PT

Jornal Oficial da União Europeia

C 276/8

1.

Em 10 de Junho de 2009, a Comissão aprovou a Comunicação ao Parlamento Europeu e ao Conselho «Um espaço de liberdade, de segurança e de justiça ao serviço dos cidadãos» (1). A AEPD apresenta o presente parecer nos termos do artigo 41.o do Regulamento (CE) n.o 45/2001.

2.

Antes de aprovar a Comunicação, a Comissão consultou informalmente a AEPD, por carta de 19 de Maio de 2009. A 20 de Maio de 2009, respondendo a essa consulta, a AEPD enviou observações informais destinadas a melhorar o texto da Comunicação. Além disso, a AEPD deu o seu contributo activo para a carta de 14 de Janeiro de 2009 do Grupo da Polícia e Justiça acerca do programa plurianual no domínio da liberdade, segurança e justiça (2).

3.

A Comunicação realça, no ponto 1, que a União se deve dotar «de um novo programa plurianual que, a partir dos progressos e dos ensinamentos retirados das deficiências actuais, se projecta no futuro com ambição. Este novo programa deverá definir prioridades para os próximos cinco anos». Este programa plurianual (já conhecido por «programa de Estocolmo») dará seguimento aos programas de Tampere e da Haia, que imprimiram um forte impulso político à área da liberdade, segurança e justiça.

4.

A Comunicação deverá servir de base ao novo programa plurianual. A este respeito, a AEPD regista que, embora os programas plurianuais não sejam, em si mesmos, vinculativos, têm um impacto considerável na política a ser definida pelas instituições no sector em causa, pois muitas das medidas concretas, legislativas e outras, decorrerão do programa.

5.

É desta perspectiva que a própria Comunicação deve ser encarada. É a próxima etapa de um debate que começou sensivelmente em Junho de 2008, com a apresentação de dois relatórios dos chamados «Grupos do Futuro» criados pela Presidência do Conselho para apresentar sugestões: «Liberdade, Segurança, Privacidade — os Assuntos Internos Europeus num mundo aberto» (3) e «Proposta de soluções para o futuro Programa da UE no domínio da Justiça» (4).

6.

O presente parecer, além de exprimir uma reacção à Comunicação, é também um contributo da AEPD para o debate mais vasto sobre o futuro do espaço de liberdade, segurança e justiça que terá de conduzir à adopção de um novo programa de trabalho estratégico (programa de Estocolmo), conforme anunciado pela Presidência sueca da UE (5); o parecer debruçar-se-á ainda sobre determinadas consequências da eventual entrada em vigor do Tratado de Lisboa.

7.

Depois de na Parte III especificarmos as grandes perspectivas do parecer, passaremos na Parte IV a uma avaliação geral da Comunicação.

8.

Na Parte V abordaremos a questão da resposta à necessidade de respeitar permanentemente a protecção da vida privada e dos dados pessoais num contexto de crescente intercâmbio destes dados. Centrar-nos-emos no ponto 2.3 da Comunicação, relativo à protecção dos dados pessoais e da vida privada, e de um modo geral na necessidade de continuar a adoptar novas medidas, legislativas e outras, para melhorar o quadro da protecção de dados.

9.

Na Parte VI são debatidas as necessidades e possibilidades de conservação, acesso e intercâmbio de informações para efeitos de aplicação da lei ou, como se diz na Comunicação, para «uma Europa que protege». O ponto 4 da Comunicação enuncia uma série de objectivos em termos de fluxo de informação e ferramentas tecnológicas, designadamente nos pontos 4.1.2 (Dominar a informação), 4.1.3 (Mobilizar as ferramentas tecnológicas necessárias) e 4.2.3.2 (Sistemas de informação). Neste contexto, pode dizer-se que a proposta que levanta o maior desafio é a da definição de um modelo europeu de informação (in ponto 4.1.2). O presente parecer da AEPD faz uma análise aprofundada dessa proposta.

10.

Quanto à Parte VII, afora um tópico específico do espaço de liberdade, segurança e justiça que é pertinente para a protecção de dados, a saber, o acesso à justiça e a justiça electrónica (ou e-Justice).

11.

No presente parecer a necessidade de proteger os direitos fundamentais será o principal ângulo do qual perspectivaremos a análise da Comunicação e o futuro do espaço de liberdade, segurança e justiça em geral, concebido por um novo programa plurianual. Além disso, o parecer basear-se-á nos contributos da AEPD para a definição da política da UE neste domínio, sobretudo no exercício das suas funções consultivas. Até à data a AEPD aprovou mais de trinta pareceres e observações (acessíveis no seu sítio internet) sobre iniciativas decorrentes do programa da Haia.

12.

No seu parecer sobre a Comunicação, a AEPD terá designadamente em conta as quatro perspectivas adiante enunciadas, que são relevantes para o futuro do espaço de liberdade, segurança e justiça e que também ocupam um lugar preponderante na própria Comunicação.

13.

A primeira perspectiva é o crescimento exponencial da informação digital sobre os cidadãos em consequência da evolução das tecnologias da informação e da comunicação (6). A sociedade está a evoluir para o que muitas vezes se chama uma «sociedade da vigilância», em que todas as operações e quase todos os movimentos dos cidadãos são passíveis de registo digital. Tanto a «Internet das coisas» como a «inteligência ambiente» já estão em rápido desenvolvimento graças à utilização das etiquetas RFID. Recorre-se cada vez mais à digitalização das características do corpo humano (biométrica). Tudo isto nos leva a um mundo cada vez mais interligado, em que os organismos de segurança pública têm acesso a enormes volumes de informação potencialmente útil, o que pode afectar directamente a vida das pessoas em causa.

14.

A segunda perspectiva é a internacionalização. Por um lado, nesta era digital o intercâmbio de dados não está circunscrito às fronteiras externas da União e, por outro lado, cada vez se torna mais necessária a cooperação internacional em todo o leque de actividades da UE no espaço de liberdade, segurança e justiça — das quais a luta antiterrorista, a cooperação policial e judiciária, a justiça em matéria civil e o controlo das fronteiras constituem tão-só alguns exemplos.

15.

A terceira perspectiva é a utilização dos dados para efeitos de aplicação da lei: as recentes ameaças à sociedade, relacionadas ou não com o terrorismo, fizeram com que surgissem (pedidos no sentido de) mais possibilidades de recolha, armazenamento e intercâmbio de dados pessoais por parte das autoridades de aplicação da lei. Em muitos casos os particulares são activamente implicados, como acontece, entre outros, com a directiva sobre conservação de dados (7) e com os vários instrumentos sobre PNR (8).

16.

A quarta perspectiva é a livre circulação. O desenvolvimento progressivo de um espaço de liberdade, segurança e justiça implica que as fronteiras internas e os eventuais obstáculos à livre circulação nesse espaço continuem a ser eliminados. De modo algum os novos instrumentos neste domínio devem voltar a erguer esses obstáculos. No contexto actual a livre circulação compreende, por um lado, a livre circulação de pessoas e, por outro, a livre circulação de dados (pessoais).

17.

Estas quatro perspectivas demonstram a rápida mudança que se está a operar na conjuntura em que a informação é utilizada. Em tais circunstâncias, é indubitável a importância de se dispor de um mecanismo forte para proteger os direitos fundamentais do cidadão, designadamente a protecção dos dados e da vida privada. São estes os motivos que levam a AEPD a escolher a necessidade de protecção como principal ângulo de análise, conforme referido no ponto 11.

18.

Tanto a Comunicação como o programa de Estocolmo visam especificar as intenções da UE para os próximos cinco anos, possivelmente com efeitos ainda mais longínquos. A AEPD constata que a Comunicação está redigida em termos neutrais relativamente ao Tratado de Lisboa. Embora compreenda perfeitamente os motivos que levaram a Comissão a adoptar esta abordagem, a AEPD lamenta que a Comunicação não tenha tirado o melhor partido das possibilidades adicionais oferecidas pelo Tratado de Lisboa. No presente parecer será dado maior realce à perspectiva do Tratado de Lisboa.

19.

A Comunicação baseia-se nos resultados da acção que a UE tem vindo a desenvolver, ao longo dos últimos anos, no espaço de liberdade, segurança e justiça. Pode dizer-se que esses resultados são desencadeados por acontecimentos específicos, com destaque para medidas que alargam as competências das autoridades de aplicação da lei e são invasivas para o cidadão. Isto é óbvio nos domínios em que são intensivamente usados e trocados dados pessoais e que por isso se revestem da maior importância para a protecção de dados. Os resultados são induzidos pelos acontecimentos na medida em que certos eventos externos, como o 11 de Setembro e os atentados à bomba de Madrid e Londres, deram um forte impulso às actividades legislativas. Por exemplo, a transferência de dados sobre os passageiros para os Estados Unidos pode ser vista como consequência do 11 de Setembro (9), ao passo que os atentados à bomba em Londres conduziram à aprovação da Directiva 2006/24/CE, relativa à conservação de dados (10). Procurou-se uma acção mais invasiva, já que o legislador comunitário se centrou em medidas destinadas a facilitar a utilização e o intercâmbio de dados, e que foi dada menor urgência ao debate de medidas de protecção dos dados pessoais. A principal medida de protecção existente foi aprovada após três anos de debates no Conselho — trata-se da Decisão-Quadro 2008/977/JAI do Conselho relativa à protecção de dados pessoais tratados no quadro da cooperação policial e judiciária em matéria penal (11). O que se obteve foi uma decisão-quadro do Conselho não inteiramente satisfatória (ver pontos 29-30).

20.

A experiência dos últimos anos demonstra que, antes de se adoptarem novos instrumentos, é necessário reflectir nas consequências que estes terão para as autoridades de aplicação da lei e para os cidadãos europeus. Tanto o sacrifício da vida privada como a eficácia na aplicação da lei devem ser devidamente ponderados nessa reflexão — primeiro nas fases de proposta e discussão de novos instrumentos, e depois, em revisões periódicas, quando já tiverem sido implementados. Essa mesma reflexão também é essencial antes de se lançar um novo programa plurianual com iniciativas importantes para o futuro próximo.

21.

A AEPD saúda o facto de a Comunicação reconhecer que a protecção dos direitos fundamentais, designadamente a protecção dos dados pessoais, é uma das problemáticas mais relevantes para o futuro do espaço de liberdade, segurança e justiça. O ponto 2 da Comunicação qualifica a UE como um espaço singular para a protecção dos direitos fundamentais, baseado em valores comuns. Também é positivo que a adesão à Convenção Europeia dos Direitos do Homem seja mencionada como questão prioritária — é mesmo a primeira orientação prioritária formulada na Comunicação. Essa adesão representa um passo importante no sentido da criação de um sistema harmonioso e coerente para a protecção dos direitos fundamentais. Por último, mas não menos importante, há o facto de a Comunicação ter reservado um lugar de relevo à protecção de dados.

22.

Esse destaque dado na Comunicação traduz a firme intenção de assegurar a protecção dos direitos dos cidadãos e de adoptar, assim, uma abordagem mais equilibrada. Os governos precisam de instrumentos adequados para garantirem a segurança dos cidadãos; por outro lado, na nossa sociedade europeia, têm de respeitar inteiramente os direitos fundamentais desses mesmos cidadãos. Para estar ao serviço dos cidadãos (12), a União Europeia tem de preservar este equilíbrio.

23.

A AEPD considera que a Comunicação tem na devida conta a necessidade de manter esse equilíbrio, e inclusive a necessidade de proteger os dados pessoais, e reconhece que a tónica deve ser inflectida. Este aspecto é importante, na medida em que as políticas adoptadas para o espaço de liberdade, segurança e justiça não devem fomentar a mudança gradual para uma sociedade da vigilância. A AEPD espera que o Conselho adopte a mesma abordagem no programa de Estocolmo, nomeadamente subscrevendo as orientações formuladas no ponto 25 infra.

24.

Tudo isto é tanto mais importante quanto o espaço de liberdade, segurança e justiça é um espaço que «molda as circunstâncias em que os cidadãos vivem, e em especial o espaço privado de sua responsabilidade e de segurança política e social, protegido pelos direitos fundamentais», conforme sublinhado pelo Tribunal Constitucional alemão no seu recentíssimo acórdão (de 30 de Junho de 2009) relativo ao Tratado de Lisboa (13).

25.

A AEPD salienta que, num espaço com tais características:

26.

A AEPD subscreve a abordagem estratégica da Comunicação que reserva um lugar de relevo, ao tema da protecção de dados. Com efeito, muitas das iniciativas tomadas no espaço de liberdade, segurança e justiça recorrem à utilização de dados pessoais e, para serem bem sucedidas, têm absoluta necessidade de uma boa protecção desses dados. O respeito pela vida privada e a protecção dos dados representam, não apenas uma obrigação jurídica cada vez mais reconhecida ao nível da UE, mas igualmente uma questão crucial para os cidadãos europeus, como mostram os resultados do Eurobarómetro (15). Além disso, para assegurar a confiança dos serviços de aplicação da lei também é fundamental que o acesso aos dados pessoais seja restringido.

27.

No ponto 2.3 da Comunicação afirma-se ser necessário um regime completo de protecção de dados que abranja o conjunto das competências da União (16). A AEPD subscreve totalmente este objectivo, independentemente da entrada em vigor do Tratado de Lisboa. Observa ainda que esse regime pode não corresponder necessariamente a uma moldura jurídica única, aplicável a todos os tipos de tratamento. À luz dos tratados em vigor, são poucas as possibilidades de adoptar um quadro jurídico único e abrangente que seja aplicável a todos os tipos de tratamento, devido à estrutura de pilares e ao facto de que — pelo menos no primeiro pilar — a protecção dos dados tratados pelas instituições europeias assenta numa base jurídica separada (o artigo 286.o do TCE). A AEPD assinala, contudo, que se podem introduzir alguns melhoramentos se as possibilidades oferecidas pelos actuais tratados forem plenamente aproveitadas, conforme já salientado pela Comissão na sua comunicação «Aplicação do programa da Haia: O rumo a seguir» (17). Depois de o Tratado de Lisboa entrar em vigor, o artigo 16.o do TFUE proporcionará a base jurídica necessária à adopção de um quadro jurídico único e abrangente que seja aplicável a todos os tipos de tratamento.

28.

A AEPD regista que — seja como for — importa assegurar a coerência do quadro jurídico da protecção de dados, se necessário harmonizando e consolidando os diferentes instrumentos jurídicos aplicáveis ao espaço de liberdade, segurança e justiça.

29.

O primeiro passo foi dado recentemente, com a aprovação da Decisão-Quadro 2008/977/JAI do Conselho (18). Este instrumento não pode, todavia, ser qualificado de quadro jurídico abrangente, sobretudo porque as suas disposições não têm aplicação geral; de facto, não se aplicam às situações internas, em que os dados pessoais provêm do próprio Estado-Membro que os utiliza. Esta limitação diminui forçosamente o valor acrescentado da decisão-quadro do Conselho, a não ser que todos os Estados-Membros decidam incluir as situações internas na legislação nacional de aplicação — o que não é provável.

30.

A segunda razão pela qual a AEPD considera que, a longo prazo, a Decisão-Quadro 2008/977/JAI do Conselho não oferece um quadro jurídico satisfatório para a protecção de dados num espaço de liberdade, segurança e justiça, é o facto de muitas das suas disposições essenciais não serem consentâneas com a Directiva 95/46/CE. À luz dos tratados em vigor, poder-se-ia dar um segundo passo: alargar o âmbito de aplicação da decisão-quadro do Conselho e alinhá-la pela Directiva 95/46/CE.

31.

Também se poderia contribuir para a concretização de um regime completo de protecção de dados definindo uma visão clara e a longo prazo. Esta visão poderia incluir uma abordagem global e coerente para definir a recolha e o intercâmbio de dados — bem como a forma de utilizar as bases de dados existentes — e, simultaneamente, as garantias de protecção de dados; deveria evitar a sobreposição e a duplicação desnecessárias de instrumentos (e, por conseguinte, do tratamento de dados pessoais); deveria igualmente fomentar a coerência das políticas comunitárias nesta matéria e a confiança na forma como as autoridades oficiais tratam os dados dos cidadãos. A AEPD recomenda ao Conselho que, no programa de Estocolmo, anuncie a necessidade de uma visão clara e a longo prazo.

32.

A AEPD recomenda ainda que sejam avaliadas e perspectivadas as medidas já adoptadas nesta matéria, bem como a sua aplicação concreta e a sua eficácia. Devem, avaliar-se, nesse contexto, o sacrifício da vida privada e a eficácia da aplicação da lei. Caso estas avaliações demonstrem que determinadas medidas não dão os resultados esperados ou são desproporcionadas em relação aos objectivos em vista, ponderar-se-á a possibilidade de adoptar a seguinte abordagem faseada:

A AEPD recomenda que o programa de Estocolmo faça referência a um sistema de avaliação das medidas em vigor.

33.

Por último, mas não menos importante, deve ser dada especial importância à necessidade de aplicar melhor as garantias existentes, em conformidade com a comunicação da Comissão sobre o acompanhamento do programa de trabalho para uma melhor aplicação da directiva relativa à protecção de dados (19) e com as sugestões formuladas pela AEPD no seu parecer sobre essa comunicação (20). Infelizmente, no âmbito do terceiro pilar a Comissão não tem possibilidade de iniciar processos por incumprimento.

34.

O Tratado de Lisboa abre caminho à criação de um quadro verdadeiramente abrangente para a protecção de dados. O n.o 2 do artigo 16.o do Tratado relativo ao Funcionamento da União Europeia prevê que o Conselho e o Parlamento Europeu estabeleçam as normas relativas à protecção de dados pelas instituições, órgãos e organismos da União, pelos Estados-Membros no exercício de actividades relativas à aplicação do direito da União, e por entidades do sector privado.

35.

No entender da AEPD, o destaque dado na Comunicação à concretização de um regime completo de protecção de dados traduz a vontade da Comissão de propor uma moldura legal aplicável a todas as actividades de tratamento de dados. A AEPD subscreve inteiramente esta ambição, que visa reforçar a coerência do sistema, garantir a segurança jurídica e melhorar, deste modo, a protecção. Mais concretamente, deixariam de existir as dificuldades criadas pela existência de uma linha divisória entre os pilares nas situações em que os dados recolhidos no sector privado para efeitos comerciais são posteriormente utilizados para fins repressivos. Esta linha divisória entre os pilares não reflecte totalmente a realidade, conforme demonstrado pelos importantes acórdãos do Tribunal de Justiça sobre os PNR (21) e a conservação de dados (22).

36.

A AEPD sugere que o programa de Estocolmo dê lugar de destaque a esta argumentação a favor de um regime completo de protecção de dados, que revela que este é mais do que uma simples preferência: é uma necessidade criada pela evolução das práticas na utilização de dados. A AEPD recomenda que o programa de Estocolmo aponte como prioridade a criação de um novo enquadramento jurídico que venha, nomeadamente, substituir a Decisão-Quadro 2008/977/JAI do Conselho.

37.

A AEPD sublinha que a ideia de um regime completo de protecção de dados baseado num quadro jurídico geral não exclui a adopção de regras adicionais sobre protecção de dados para os sectores policial e judiciário. Essas regras adicionais poderão ter em conta as necessidades específicas dos serviços de aplicação da lei, como se prevê na Declaração n.o 21, anexada ao Tratado de Lisboa (23).

38.

A Comunicação toma nota das mudanças tecnológicas que estão a transformar a comunicação entre as pessoas singulares e as organizações públicas e privadas. Torna-se assim necessário, no entender da Comissão, reafirmar um certo número de princípios fundamentais da protecção de dados.

39.

A AEPD saúda estas intenções da Comissão. É, de facto, da maior pertinência que se proceda a uma avaliação, para verificar se aqueles princípios são efectivamente aplicados na perspectiva da evolução tecnológica. Em primeiro lugar, importa referir que essa reafirmação dos princípios da protecção de dados não tem forçosamente uma ligação directa com a evolução tecnológica, podendo também tornar-se necessária de outros pontos de vista (mencionados na parte III supra), como a internacionalização, a crescente utilização dos dados para efeitos de aplicação da lei e a livre circulação.

40.

Acresce que, no entender da AEPD, essa avaliação pode ser incluída na consulta pública anunciada pela Comissão na conferência «Personal data — more use, more protection?», de 19 e 20 de Maio de 2009. Esta consulta pública poderá dar um contributo valioso neste contexto (24). A AEPD sugere que a articulação entre as intenções da Comissão (afirmadas no ponto 2.3), por um lado, e a consulta pública sobre o futuro da protecção de dados, por outro, seja destacada pelo Conselho — no texto do programa de Estocolmo — e pela Comissão — nas suas declarações públicas sobre a consulta.

41.

A referida avaliação poderá abranger, por exemplo, os seguintes aspectos:

42.

A avaliação de que falamos deverá também incidir sobre as possibilidades de tornar mais eficaz a aplicação dos princípios da protecção de dados. Neste contexto, haveria vantagem em examinar os instrumentos susceptíveis de reforçar as responsabilidades das entidades responsáveis pelo tratamento dos dados. Esses instrumentos devem permitir que os responsáveis pelo tratamento prestem contas da gestão dos dados. «Administração dos dados» é, neste contexto, um conceito pertinente que abarca todos os meios jurídicos, técnicos e organizativos a que as organizações recorrem para garantir a plena responsabilidade pela forma como os dados são tratados, a saber, planeamento e controlo, utilização de tecnologias sólidas, boa formação dos efectivos, auditorias do cumprimento das regras, etc.

43.

A AEPD saúda a alusão, feita na Comunicação, a uma certificação para as tecnologias respeitadoras da vida privada. Além desta, poder-se-ia também falar de uma «privacidade na concepção» e na necessidade de encontrar as «melhores técnicas disponíveis» que sejam consentâneas com o enquadramento comunitário da protecção de dados.

44.

A AEPD considera que tanto a «privacidade na concepção» como as tecnologias respeitadoras da vida privada poderão contribuir para uma melhor protecção e uma utilização mais eficaz das informações. A AEPD sugere duas vias, que não se excluem mutuamente:

a AEPD sugere que estas (possíveis) vias sejam mencionadas no programa de Estocolmo.

45.

Outro dos assuntos mencionados na Comunicação é o desenvolvimento e a promoção de normas internacionais em matéria de protecção de dados pessoais. Neste momento estão a ser desenvolvidas muitas actividades que visam a definição de normas viáveis de aplicação universal, como por exemplo a Conferência Internacional dos Comissários para a Protecção dos Dados e da Vida Privada. Esta conferência poderá levar, no futuro próximo, à celebração de um acordo internacional. A AEPD sugere que o programa de Estocolmo apoie estas actividades.

46.

A Comunicação alude ainda à celebração de acordos bilaterais, tomando como ponto de partida os progressos já feitos com os Estados Unidos. A AEPD concorda com a necessidade de um enquadramento jurídico claro para a transferência de dados para países terceiros, tendo por isso saudado a colaboração desenvolvida pelas autoridades da UE e dos EUA, no Grupo de Contacto de Alto Nível, a respeito de um eventual instrumento transatlântico em matéria de protecção de dados e, simultaneamente, preconizado mais clareza e cuidado com determinados aspectos (27). Nesta perspectiva, interessa também registar as ideias formuladas no relatório sobre os Assuntos Internos a favor da realização de um espaço euro-atlântico de cooperação no domínio da liberdade, segurança e justiça, a cujo respeito, segundo o relatório, a UE deverá tomar posição até 2014. A criação desse espaço não será possível sem que existam garantias apropriadas em matéria de protecção de dados.

47.

Na opinião da AEPD, as normas europeias de protecção de dados — baseadas na Convenção 108 do Conselho da Europa para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal (28) e na jurisprudência do Tribunal de Justiça Europeu e do Tribunal Europeu dos Direitos do Homem — deverão determinar o nível de protecção a estabelecer num acordo geral com os Estados Unidos em matéria de protecção e intercâmbio de dados. Esse acordo geral poderá servir de base à celebração de convénios específicos aplicáveis ao intercâmbio de dados pessoais. Este aspecto assume ainda maior importância se tivermos em conta a intenção, formulada no ponto 4.2.1 da Comunicação, de que a União deverá concluir acordos de cooperação policial quando tal se justificar.

48.

A AEPD compreende perfeitamente a necessidade de reforçar a cooperação internacional, inclusive, em certos casos, com países que não protegem os direitos fundamentais. Não obstante (29), importa ter em conta que esta cooperação internacional pode provocar um grande acréscimo na recolha e na transferência internacional de dados. Assim sendo, é essencial que os princípios do tratamento legal e equitativo, bem como os da equidade do processo em geral, se apliquem à recolha e à transferência de dados pessoais através das fronteiras da União e que esses dados só sejam transferidos para países terceiros ou organizações internacionais se os terceiros envolvidos assegurarem o devido nível de protecção ou derem outras garantias adequadas.

49.

A concluir, a AEPD recomenda que o programa de Estocolmo realce que devem ser celebrados acordos gerais com os Estados Unidos e outros países terceiros, no domínio da protecção e do intercâmbio de dados, tendo por base o nível de protecção garantido no território da UE. Numa perspectiva mais vasta, a AEPD assinala que importa promover activamente o respeito pelos direitos fundamentais, e em especial o direito à protecção de dados, nas relações com países terceiros e organizações internacionais (30). Além disso, o programa de Estocolmo poderia fazer alusão à ideia geral de que o intercâmbio de dados pessoais com países terceiros requer que estes assegurem o devido nível de protecção ou dêem outras garantias adequadas.

50.

Um dos grandes objectivos políticos da União Europeia, no espaço de liberdade, segurança e justiça, é melhorar o intercâmbio de informações. O ponto 4.1.2 da Comunicação salienta que a segurança na União Europeia depende de mecanismos eficientes para o intercâmbio de informações entre as autoridades nacionais e outros intervenientes europeus. É lógico que o intercâmbio de informações mereça este destaque, na medida em que não dispomos de uma força de polícia, de um sistema de justiça penal, de um controlo de fronteiras, à escala europeia. Daí que as medidas relativas a informações são contributos essenciais da União Europeia que permitem às autoridades dos Estados-Membros combater eficazmente a criminalidade transfronteiras e proteger as fronteiras externas com a mesma eficácia. No entanto, essas medidas não contribuem apenas para a segurança dos cidadãos, contribuem também para a sua liberdade — a livre circulação de pessoas foi atrás mencionada como perspectiva do presente parecer — e para a justiça.

51.

Foram estes, precisamente, os motivos que levaram à introdução do princípio da disponibilidade no programa da Haia. Este princípio implica que as informações necessárias para combater a criminalidade devem transpor as fronteiras internas da UE sem encontrar obstáculos. Diversas experiências recentes vieram comprovar a dificuldade de traduzir este princípio em medidas legislativas. O Conselho não aceitou a proposta da Comissão, de 12 de Outubro de 2005, tendo em vista a aprovação de uma decisão-quadro do Conselho relativa ao intercâmbio de informações com base no princípio da disponibilidade (31). Os Estados-Membros não estavam, com efeito, dispostos a aceitar as consequências do princípio da disponibilidade em toda a sua extensão. Foram, em vez disso, adoptados instrumentos mais limitados (32), como a Decisão 2008/615/JAI do Conselho, de 23 de Junho de 2008, relativa ao aprofundamento da cooperação transfronteiras, em particular no domínio da luta contra o terrorismo e a criminalidade transfronteiras (adiante designada por «Decisão de Prüm») (33).

52.

Embora o princípio da disponibilidade estivesse no cerne do programa da Haia, a Comissão parece ter agora ambições mais modestas; tenciona estimular mais ainda o intercâmbio de informações entre as autoridades dos Estados-Membros, graças à introdução do modelo europeu de informação. A Presidência sueca da UE, que segue a mesma linha de pensamento (34), irá apresentar uma proposta de estratégia de intercâmbio de informações. O Conselho já começou a trabalhar neste ambicioso projecto de definição de uma Estratégia de Gestão de Informação da União Europeia, que está estreitamente ligado ao do modelo europeu de informação. A AEPD regista estes desenvolvimentos com o maior interesse e salienta que nestes projectos deve ser dada a maior atenção à vertente da protecção de dados.

53.

Em primeiro lugar, deve-se partir do princípio de que o futuro do espaço de liberdade, segurança e justiça não pode ir «a reboque» das tecnologias, querendo isto dizer que as oportunidades quase ilimitadas oferecidas pelas novas tecnologias têm sempre de ser contrabalançadas com os princípios da protecção de dados e só devem ser utilizadas se obedecerem a esses princípios.

54.

A AEPD regista que a Comunicação apresenta o modelo de informação, não só como um modelo técnico, mas como uma poderosa capacidade de análise estratégica e uma melhor recolha e tratamento das informações operacionais. Reconhece igualmente que determinados aspectos estratégicos — como os critérios de recolha, partilha e tratamento das informações — devem ser tidos em conta, no respeito pelos princípios da protecção de dados.

55.

Tanto as tecnologias da informação como as condições jurídicas são — e continuarão a ser — essenciais. A AEPD saúda o facto de a Comunicação partir do princípio de que o modelo europeu de informação não pode ser visto com base em considerações técnicas. É essencial que as informações só sejam recolhidas, partilhadas e tratadas caso existam necessidades concretas e se forem respeitados os princípios da protecção de dados. A AEDP também concorda inteiramente com a necessidade de criar um mecanismo de acompanhamento que permita avaliar o funcionamento dos intercâmbios de informações. A AEPS sugere ao Conselho que aprofunde estes aspectos no programa de Estocolmo.

56.

Neste contexto, a AEPD sublinha que a protecção de dados, que visa proteger os cidadãos, não deve ser encarada como um obstáculo à gestão efectiva dos dados. Com efeito, a protecção de dados oferece ferramentas úteis para melhorar a conservação, o acesso e o intercâmbio de informações; além disso, os direitos da pessoa em causa (a saber que informações a seu respeito são tratadas, bem como a rectificar as informações incorrectas) podem contribuir para a exactidão dos dados existentes nos sistemas de gestão de dados.

57.

A legislação sobre protecção de dados tem, no essencial, as seguintes consequências: se os dados forem necessários para uma finalidade específica e legítima, podem ser utilizados; se não forem necessários para um fim bem definido, os dados pessoais não devem ser utilizados. No primeiro caso, poderão ser necessárias medidas adicionais que ofereçam as devidas garantias.

58.

A AEPD não está, contudo, de acordo com a Comunicação quando esta refere a «identificação das necessidades futuras» como fazendo parte do modelo de informação. A AEPD salienta que, também no futuro, o princípio da limitação da finalidade deverá orientar a criação de sistemas de informação (35). Este princípio é uma das principais garantias que o sistema de protecção de dados oferece ao cidadão: este tem de poder saber, com antecedência, para que efeito são recolhidos dados a seu respeito, e que tais dados só serão utilizados para esse efeito, designadamente no futuro. Esta garantia está mesmo consagrada no artigo 8.o da Carta dos Direitos Fundamentais da União Europeia. O princípio da limitação da finalidade pode ter excepções — especialmente pertinentes no espaço de liberdade, segurança e justiça — mas estas não podem determinar a arquitectura de um sistema.

59.

Tudo deve partir da escolha da arquitectura adequada. A Comunicação reconhece a importância de uma verdadeira arquitectura dos sistemas de informação (ponto 4.1.3), mas, infelizmente, apenas para efeitos de interoperabilidade.

60.

A AEPD destaca outro aspecto: no modelo europeu de informação, os requisitos de protecção de dados não devem ser vistos unicamente como uma condição necessária à legalidade dos sistemas, devem antes fazer parte integrante de todo o processo de desenvolvimento de qualquer sistema (36). Há que utilizar os conceitos da «privacidade na concepção» e da necessidade de encontrar as «melhores técnicas disponíveis» (37), como se afirma no ponto 43 supra, e o modelo europeu de informação deverá assentar nestes mesmos conceitos. Significa isto, em concreto, que a arquitectura dos sistemas de informação concebidos para efeitos de segurança pública deve sempre obedecer ao princípio da «privacidade na concepção». A AEPD recomenda ao Conselho que inclua estes elementos no programa de Estocolmo.

61.

A AEPD realça que a interoperabilidade não é uma mera questão técnica, mas também tem consequências para a protecção dos cidadãos, e em particular para a protecção de dados. Na perspectiva da protecção de dados, a interoperabilidade dos sistemas, se for bem realizada, apresenta a vantagem manifesta de evitar o duplo armazenamento. Todavia, também é óbvio que a viabilização técnica do acesso/intercâmbio de dados se torna, muitas vezes, num poderoso incentivo para aceder/trocar efectivamente esses dados. Por outras palavras, a interoperabilidade apresenta riscos especiais de interligação de bases de dados com finalidades diferentes (38), podendo afectar as estritas limitações à finalidade das bases.

62.

Resumindo, o simples facto de ser tecnicamente possível trocar informações digitais entre bases de dados interoperáveis, ou fundir essas bases de dados, não é motivo para abrir excepção ao princípio da limitação da finalidade. A interoperabilidade deve, em cada caso concreto, assentar em opções políticas claras e cuidadosas. A AEPD sugere que este conceito seja especificado no programa de Estocolmo.

63.

A Comunicação não se debruça explicitamente sobre uma das mais importantes tendências dos últimos anos, a saber, a utilização para fins de aplicação da lei dos dados recolhidos no sector privado para efeitos comerciais. Esta tendência não diz respeito apenas aos dados de tráfego das comunicações electrónicas e às informações sobre os passageiros dos voos para (determinados) países terceiros (39), estando também presente no sector financeiro. Exemplo disso é a Directiva 2005/60/CE do Parlamento Europeu e do Conselho, de 26 de Outubro de 2005, relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais e de financiamento do terrorismo (40). Outro exemplo, bem conhecido e amplamente debatido, é o tratamento, pela Sociedade Mundial de Telecomunicações Financeiras Interbancárias (SWIFT) (41), de dados pessoais necessários para efeitos do programa do Departamento do Tesouro dos Estados Unidos para detecção do financiamento do terrorismo.

64.

A AEPD considera que o programa de Estocolmo deve consagrar especial atenção a estas tendências — que podem ser encaradas como derrogações ao princípio da limitação da finalidade e constituem com frequência uma forte invasão da vida privada, pois a utilização desses dados pode ser muito reveladora dos comportamentos individuais. Para cada caso específico em que se proponha a sua adopção, tem de haver provas muito fortes que justifiquem uma medida de natureza tão invasiva. Se forem apresentadas essas provas, importa garantir o pleno respeito pelos direitos das pessoas singulares.

65.

No entender da AEPD, a utilização para efeitos de aplicação da lei de dados pessoais recolhidos para fins comerciais só deve ser autorizada em condições rigorosas, tais como:

66.

Ao longo dos últimos anos, o espaço de liberdade, segurança e justiça registou um aumento significativo do número de sistemas de informação baseados na legislação da UE. Umas vezes decide-se criar um sistema que implica o armazenamento centralizado dos dados a nível europeu, outras vezes a legislação prevê unicamente o intercâmbio de informações entre as bases de dados nacionais. O Sistema de Informação de Schengen é, provavelmente, o melhor exemplo de sistema com armazenamento centralizado. A Decisão 2008/615/JAI do Conselho (Decisão de Prüm) (44) é, do ponto de vista da protecção de dados, o exemplo mais significativo de sistema sem armazenamento centralizado, já que prevê um intercâmbio maciço de dados biométricos entre as autoridades dos Estados-Membros.

67.

A Comunicação mostra que esta tendência para criar novos sistemas se irá prolongar. O primeiro exemplo, apresentado no ponto 4.2.2, é o de um sistema de informação que vem ampliar o sistema europeu de informação sobre os registos criminais (ECRIS) de modo a abranger os nacionais de países terceiros. A Comissão já encomendou um estudo sobre o registo europeu de pessoas nacionais de países terceiros condenadas (European Index for Convicted Third Country Nationals — EICTCN), que poderá levar à criação de uma base de dados centralizada. Um segundo exemplo é o intercâmbio de informações sobre pessoas singulares contidas em registos de insolvência de outros Estados-Membros, no quadro da justiça electrónica (ponto 3.4.1 da Comunicação), sem armazenamento centralizado.

68.

A opção por um sistema descentralizado teria certas vantagens em termos de protecção de dados. De facto, a descentralização evita o duplo armazenamento dos dados — pela autoridade do Estado-Membro e pelo sistema centralizado —, a responsabilidade pelos dados é clara porque a autoridade do Estado-Membro será responsável pelo tratamento, e o controlo por parte dos serviços judiciários e das autoridades de protecção de dados pode ser efectuado ao nível dos Estados-Membros. Não obstante, este sistema revela deficiências no intercâmbio de dados com outras autoridades, por exemplo no que toca à actualização das informações, tanto no país de origem como no país de destino, e ao controlo efectivo de ambas as partes. Ainda é mais complicado garantir a responsabilidade do sistema técnico pelo intercâmbio. Estas lacunas podem ser colmatadas se se optar por um sistema centralizado em que os organismos da União Europeia sejam responsáveis, pelo menos, por determinadas partes do sistema (por exemplo, a infra-estrutura técnica).

69.

Neste contexto, haveria vantagem em definir critérios de base para optar entre sistemas centralizados e descentralizados, assegurando-se assim a realização de opções políticas claras e cuidadosas em cada caso concreto. Os critérios assim definidos podem contribuir para o funcionamento dos próprios sistemas, e bem assim para a protecção dos dados dos cidadãos. A AEPD sugere que o programa de Estocolmo inclua a intenção de definir estes critérios.

70.

No ponto 4.2.3.2 da Comunicação é feita uma breve reflexão sobre o futuro dos sistemas de informação de grande escala, com destaque para o Sistema de Informação de Schengen (SIS) e o Sistema de Informação sobre Vistos (VIS).

71.

Nesse mesmo ponto 4.2.3.2 faz-se ainda referência à criação de um sistema de registo electrónico das entradas e saídas do território dos Estados-Membros, bem como de programas de viajantes registados. Este sistema fora anunciado anteriormente pela Comissão, no âmbito do pacote de propostas sobre as fronteiras, por iniciativa do Vice-Presidente Franco Frattini (45). Nas suas observações preliminares (46), a AEPD mostrou-se bastante crítica em relação a esta proposta, considerando não estar suficientemente demonstrada a necessidade de criar esse sistema, de natureza invasiva, em acréscimo aos sistemas de grande escala já existentes. A AEPD não tem conhecimento de novos elementos que comprovem a necessidade de tal sistema, sugerindo pois ao Conselho que não faça referência a esta ideia no programa de Estocolmo.

72.

Neste contexto, a AEPD gostaria de remeter para os seus pareceres sobre várias iniciativas no domínio do intercâmbio de informações na UE (47), nos quais formulou muitas sugestões e comentários acerca das consequências que a utilização das grandes bases de dados a nível da UE pode ter em termos de protecção de dados. Entre outros aspectos, a AEPD consagrou especial atenção à necessidade de criar garantias fortes e bem adaptadas, bem como à proporcionalidade e à necessidade de efectuar estudos de impacto antes de serem propostas ou tomadas quaisquer medidas nesta matéria. A AEPD sempre preconizou um equilíbrio correcto e consentâneo com a protecção de dados entre, por um lado, os requisitos de segurança e, por outro, a protecção da vida privada das pessoas singulares abrangidas pelos sistemas. Foi também essa a posição que tomou enquanto autoridade de controlo das partes centrais dos sistemas.

73.

A AEPD aproveita ainda esta oportunidade para salientar que é necessário adoptar uma abordagem coerente para todos os intercâmbios de informações na UE — isto é, deve haver coerência, nos aspectos jurídicos, técnicos e de controlo, entre os sistemas já implantados e os que estão a ser desenvolvidos. De facto, hoje mais do que antes, é manifesta a necessidade de uma visão corajosa e abrangente de como deveria ser o intercâmbio de informações na UE, e de qual deveria ser o futuro dos sistemas de informação de grande escala. Só com base nessa visão poderia, talvez, ser reanalisada a criação de um sistema de registo electrónico das entradas e saídas do território dos Estados-Membros.

74.

A AEPD sugere que o programa de Estocolmo faça referência à intenção de elaborar essa visão, devendo-se neste contexto reflectir sobre a eventual entrada em vigor do Tratado de Lisboa e sobre as consequências que daí advirão para os sistemas com base jurídica dos primeiro e terceiro pilares.

75.

Por último, a Comunicação refere a instituição de uma nova agência que, também segundo a Comunicação, terá igualmente competência em relação ao sistema de registo electrónico das entradas e saídas. A Comissão aprovou, entretanto, uma proposta de criação da referida agência (48). A AEPD apoia em princípio esta proposta, na medida em que pode tornar mais eficaz o funcionamento dos sistemas em causa, inclusive no que toca à protecção de dados; no momento oportuno apresentará um parecer sobre a mesma proposta.

76.

O papel da Europol é mencionado em diversos pontos da Comunicação, segundo a qual é prioritário que a Europol desempenhe um papel preponderante na coordenação, intercâmbio de informações e formação dos profissionais. Além disso, o ponto 4.2.2 da Comunicação faz referência às recentes mudanças do quadro jurídico da cooperação entre a Eurojust e a Europol e anuncia que vão prosseguir os trabalhos no sentido do reforço da Eurojust, nomeadamente em matéria de investigação nos domínios da criminalidade organizada transfronteiras. A AEPD apoia inteiramente estes objectivos, desde que sejam devidamente respeitadas as garantias de protecção de dados.

77.

A este respeito, a AEPD saúda o novo projecto de acordo recentemente alcançado entre a Europol e a Eurojust (49), que visa melhorar e intensificar a cooperação entre os dois organismos e estabelecer entre eles um intercâmbio de informações eficiente. Para este trabalho é fundamental uma protecção de dados eficiente.

78.

A AEPD observa que a Comunicação não analisa o tema da crescente utilização de dados biométricos em diversos instrumentos jurídicos da União Europeia relativos ao recurso ao intercâmbio de informações, incluindo os instrumentos que criam os sistemas de informação de grande escala. Ora, isso é lamentável por se tratar de uma questão extremamente importante e sensível do ponto de vista da protecção de dados e da vida privada.

79.

Embora reconheça as vantagens, em termos gerais, do recurso à biometria, a AEPD tem insistentemente salientado o grande impacto da utilização desse tipo de dados sobre os direitos individuais, e tem sugerido, portanto, a inserção de salvaguardas rigorosas para a utilização da biometria em cada sistema específico. O recente acórdão do Tribunal Europeu dos Direitos do Homem no processo S. e Marper contra Reino Unido  (50) dá indicações úteis a este respeito, designadamente sobre a justificação e os limites da utilização de dados biométricos. Mais concretamente, a utilização de dados relativos ao ADN pode revelar informações sensíveis sobre as pessoas singulares, tendo designadamente em conta que continuam em expansão as possibilidades técnicas de extrair informações do ADN. Também é problemática a utilização em grande escala de dados biométricos constantes de sistemas informáticos, devido às inexactidões associadas à recolha e comparação desses dados. Por todos estes motivos, o legislador da UE deve mostrar contenção relativamente ao uso de tais dados.

80.

Outro tema recorrente nos últimos anos tem sido a utilização de impressões digitais de crianças e idosos, devido às imperfeições inerentes aos sistemas biométricos nestas faixas etárias. A AEPD preconizou a realização de um estudo aprofundado que identificasse devidamente a exactidão dos sistemas (51) e propôs um limite de idade (14 anos) para as crianças, sob reserva de prova em contrário decorrente desse estudo. A AEPD recomenda que esta questão seja referida no programa de Estocolmo.

81.

Dito isto, a AEPD sugere que sejam definidos critérios de base para a utilização de dados biométricos. Esses critérios deverão assegurar que os dados apenas sejam utilizados em caso de necessidade, de forma adequada e proporcionada, e se o legislador mostrar que a utilização tem finalidades determinadas, explícitas e legítimas. Mais concretamente, significa isto que os dados biométricos, e em particular o ADN, não devem ser utilizados caso seja possível chegar ao resultado pretendido usando informações menos sensíveis.

82.

As tecnologias também servirão para melhorar a cooperação judiciária. No ponto 3.4.1 da Comunicação, a justiça electrónica é-nos apresentada como um meio de facilitar o acesso dos cidadãos à Justiça; consiste num portal com informações e videoconferências como parte integrante do procedimento legal; abre ainda caminho aos procedimentos legais em linha e anuncia a interligação dos registos nacionais, como os registos de insolvência. A AEPD regista que a Comunicação não faz referência a novas iniciativas ligadas à justiça electrónica, mas consolida as acções que já estão a ser desenvolvidas. A AEPD intervém em algumas destas acções, no seguimento do seu parecer de 19 de Dezembro de 2008 sobre a comunicação da Comissão «Rumo a uma estratégia europeia em matéria de e-Justice» (52).

83.

A justiça electrónica é um projecto ambicioso, que merece todo o apoio: pode, de facto, melhorar o sistema de justiça na Europa e a protecção judicial dos cidadãos, e representa um avanço importante para a realização de um espaço europeu da justiça. Tendo presente esta apreciação positiva, cabe fazer as seguintes observações:

84.

A AEPD subscreve o destaque dado na Comunicação à protecção dos direitos fundamentais, designadamente à protecção dos dados pessoais, como sendo uma das problemáticas mais relevantes para o futuro do espaço de liberdade, segurança e justiça. Na opinião da AEPD, a Comunicação está certa ao defender o equilíbrio entre a necessidade de dispor de instrumentos adequados para garantir a segurança dos cidadãos, por um lado, e a necessidade de proteger os direitos fundamentais desses mesmos cidadãos, por outro; a Comunicação reconhece, além disso, que deve ser dada maior importância à protecção dos dados pessoais.

85.

A AEPD subscreve totalmente o ponto 2.3 da Comunicação, segundo o qual deve ser instituído um regime completo de protecção de dados que abranja o conjunto das competências da União, independentemente da entrada em vigor do Tratado de Lisboa. Para o efeito, a AEPD recomenda que:

86.

A AEPD saúda a intenção da Comissão de reafirmar os princípios da protecção de dados, que deve estar ligada à consulta pública anunciada pela Comissão na conferência «Personal data — more use, more protection?», que teve lugar em 19 e 20 de Maio de 2009. No essencial, a AEPD realça que importa respeitar o princípio da limitação da finalidade, fundamento da legislação em matéria de protecção de dados, e examinar as possibilidades de tornar mais eficaz a aplicação dos princípios nessa matéria graças a instrumentos destinados a reforçar as competências dos responsáveis pelo tratamento dos dados.

87.

Tanto a «privacidade na concepção» como as tecnologias respeitadoras da vida privada poderão ser promovidas mediante

88.

No que toca aos aspectos externos da protecção de dados, a AEPD recomenda que:

89.

A AEPD toma nota, com o maior interesse, do avanço registado no sentido de uma Estratégia de Gestão de Informação da União Europeia e de um modelo europeu de informação, e salienta que nestes projectos deve ser dada a maior atenção à vertente da protecção de dados, a aprofundar no programa de Estocolmo. A arquitectura do intercâmbio de informações deve basear-se na «privacidade na concepção» e nas «melhores técnicas disponíveis».

90.

O simples facto de ser tecnicamente possível trocar informações digitais entre bases de dados interoperáveis, ou fundir essas bases de dados, não é motivo para abrir excepção ao princípio da limitação da finalidade. A interoperabilidade deve, em cada caso concreto, assentar em opções políticas claras e cuidadosas. A AEPD sugere que este conceito seja especificado no programa de Estocolmo.

91.

No entender da AEPD, a utilização para efeitos de aplicação da lei de dados pessoais recolhidos para fins comerciais só deve ser autorizada em condições rigorosas, que são especificadas no ponto 65 do presente parecer.

92.

Eis algumas sugestões para a utilização de informações de carácter pessoal:

93.

A AEPD, que apoia a justiça electrónica, formulou algumas observações sobre a forma de melhorar este projecto (cf. ponto 83).

17.11.2009   

PT

Jornal Oficial da União Europeia

C 276/21

17.11.2009   

PT

Jornal Oficial da União Europeia

C 276/23

17.11.2009   

PT

Jornal Oficial da União Europeia

C 276/24

17.11.2009   

PT

Jornal Oficial da União Europeia

C 276/30

17.11.2009   

PT

Jornal Oficial da União Europeia

C 276/35

17.11.2009   

PT

Jornal Oficial da União Europeia

C 276/40

1.

A Comissão recebeu, em 9 de Novembro de 2009, uma notificação de um projecto de concentração nos termos do artigo 4.o do Regulamento (CE) n.o 139/2004 do Conselho (1), através da qual a empresa Eurotank Belgium B.V. («Eurotank», Bélgica), controlada em última instância pela Vitol Holding B.V. («Vitol», Países Baixos), adquire, na acepção do artigo 3.o, n.o 1, alínea b), do referido regulamento, o controlo exclusivo das empresas Petroplus Refining Antwerp N.V. («Petroplus», Bélgica) e Petroplus Refining Antwerp Bitumen N.V. («Petroplus Bitumen», Bélgica), mediante aquisição de acções.

2.

As actividades das empresas em causa são:

3.

Após uma análise preliminar, a Comissão considera que a operação de concentração notificada pode encontrar-se abrangida pelo âmbito de aplicação do Regulamento (CE) n.o 139/2004. Contudo, a Comissão reserva-se a faculdade de tomar uma decisão final sobre este ponto. De acordo com a Comunicação da Comissão relativa a um procedimento simplificado de tratamento de certas operações de concentração nos termos do Regulamento (CE) n.o 139/2004 do Conselho (2), o referido processo é susceptível de beneficiar da aplicação do procedimento previsto na Comunicação.

4.

A Comissão solicita aos terceiros interessados que lhe apresentem as suas eventuais observações sobre o projecto de concentração em causa.

As observações devem ser recebidas pela Comissão no prazo de 10 dias após a data de publicação da presente comunicação. Podem ser enviadas por fax (+32 22964301 ou 22967244) ou pelo correio, com a referência COMP/M.5686 — Vitol Holding/Petroplus Refining Antwerp/Petroplus Refining Antwerp Bitumen, para o seguinte endereço:

17.11.2009   

PT

Jornal Oficial da União Europeia

C 276/41

1.

Abrir um processo de autorização da prospecção e exploração de petróleo e gás natural no bloco 1-18 «Trakiya», numa área de 940,12 km2 delimitada pelas coordenadas geográficas dos pontos 1 a 10, em conformidade com o anexo.

2.

Que a autorização referida no ponto 1 será sujeita a concurso.

3.

Que a autorização de prospecção e pesquisa será concedida por um período de cinco anos, a contar da data de entrada em vigor do contrato de prospecção e pesquisa, prorrogável em conformidade com o artigo 31.o, n.o 3, da Lei dos Recursos Naturais do Subsolo.

4.

Que o concurso para a concessão da autorização referida no ponto 1 se realizará no centésimo quinquagésimo dia seguinte à data da publicação da presente decisão no Jornal Oficial da União Europeia, no edifício do Ministério da Economia, da Energia e do Turismo da Bulgária, rua Triaditsa, n.o 8, Sófia.

5.

Estabelecer como data-limite para a aquisição da documentação de participação no concurso o centésimo vigésimo dia seguinte à data da publicação da presente decisão no Jornal Oficial da União Europeia, até às 17h00.

6.

Estabelecer como data-limite para a apresentação de pedidos de participação no concurso o centésimo trigésimo dia seguinte à data da publicação da presente decisão no Jornal Oficial da União Europeia, até às 17h00.

7.

Estabelecer como data-limite para a apresentação das propostas em conformidade com a documentação de participação no concurso o centésimo quadragésimo quarto dia seguinte à data da publicação da presente decisão no Jornal Oficial da União Europeia, até às 17h00.

8.

Que o concurso não será presencial.

9.

Fixar o custo da documentação de participação no concurso em 500 BGN. Essa documentação pode ser adquirida no Ministério da Economia, da Energia e do Turismo (sala 802, rua Triaditsa, n.o 8, Sófia) até à data-limite estabelecida no ponto 5.

10.

Exigir que os candidatos à participação no concurso satisfaçam os requisitos estabelecidos no artigo 23.o, n.o 1, da Lei dos Recursos Naturais do Subsolo.

11.

Que cada candidatura será avaliada com base nas propostas de programa de trabalho, de meios de protecção ambiental, de mecanismos de formação e de bónus que a integrem, bem como em função da capacidade financeira e de gestão dos proponentes, como previsto na documentação de participação no concurso.

12.

Fixar a caução de participação no concurso em 10 000 BGN, a constituir até à data-limite estabelecida no ponto 6 por transferência para a conta bancária do Ministério da Economia, da Energia e do Turismo, indicada na documentação de participação no concurso.

13.

Que, caso uma proposta não seja admitida a concurso, a caução será reembolsada no prazo máximo de 14 dias a contar da data em que seja comunicado ao proponente que não foi admitido a concurso.

14.

Que a caução do adjudicatário será retida e que as cauções dos outros participantes no concurso serão reembolsadas no prazo máximo de 14 dias a contar da data de publicação no diário da República da Bulgária da decisão do Conselho de Ministros de autorizar a prospecção e exploração.

15.

Que as comunicações de participação no concurso e as propostas, conformes, a concurso devem ser apresentadas ao Ministério da Economia, da Energia e do Turismo (rua Triaditsa, n.o 8, Sófia) em língua búlgara, em conformidade com o artigo 46.o da Lei dos Recursos Naturais do Subsolo.

16.

Que as propostas apresentadas a concurso devem satisfazer as condições e requisitos enunciados na documentação de participação no concurso.

17.

Que o concurso se manterá mesmo que apenas seja admitido um proponente.

18.

Que o Ministério da Economia, da Energia e do Turismo:

18.1.

Enviará o texto da presente decisão para publicação no Jornal Oficial da União Europeia, no diário da República da Bulgária e no sítio web do Conselho de Ministros;

18.2.

Organizará a realização do concurso.

19.

Que a presente decisão pode ser contestada no Supremo Tribunal Administrativo, no prazo máximo de 14 dias a contar da data da sua publicação no Jornal Oficial da União Europeia.