Proteção das Pessoas Singulares no que diz Respeito ao Tratamento de Dados Pessoais e à Livre Circulação desses Dados

Mai 24, 2021 | Legislação - União Europeia, Repositório de Regulação

Directiva 95/46/CE – Proteção das Pessoas Singulares no que diz Respeito ao Tratamento de Dados Pessoais e à Livre Circulação desses Dados

Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A31995L0046

DIRECTIVA 95/46/CE DO PARLAMENTO EUROPEU E DO CONSELHO

de 24 de Outubro de 1995

relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

O PARLAMENTO EUROPEU O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o seu artigo 100º A,

Tendo em conta a proposta da Comissão (1),

Tendo em conta o parecer do Comité Económico e Social (2),

Deliberando nos termos do procedimento previsto no artigo 189º B do Tratado (3),

(1) Considerando que os objectivos da Comunidade, enunciados no Tratado, com a redacção que lhe foi dada pelo Tratado da União Europeia, consistem em estabelecer uma união cada vez mais estreita entre os povos europeus, em fomentar relações mais próximas entre os Estados que pertencem à Comunidade, em assegurar o progresso económico e social mediante acções comuns para eliminar as barreiras que dividem a Europa, em promover a melhoria constante das condições de vida dos seus poovos, em preservar e consolidar a paz e a liberdade e em promover a democracia com base nos direitos fundamentais reconhecidos nas Constituições e leis dos Estados-membros, bem como na Convenção europeia para a protecção dos direitos do Homem e das liberdades fundamentais;

(2) Considerando que os sistemas de tratamento de dados estão ao serviço do Homem; que devem respeitar as liberdades e os direitos fundamentais das pessoas singulares independentemente da sua nacionalidade ou da sua residência, especialmente a vida privada, e contribuir para o progresso económico e social, o desenvolvimente do comércio e o bem-estar dos indivíduos;

(3) Considerando que o estabelecimento e o funcionamento do mercado interno no qual, nos termos do artigo 7º A do Tratado, é assegurada a livre circulação das mercadorias, das pessoas, dos serviços e dos capitais, exigem não só que os dados pessoais possam circular livremente de um Estado-membro para outro, mas igualmente, que sejam protegidos os direitos fundamentais das pessoas;

(4) Considerando que o recurso ao tratamento de dados pesoais nos diversos domínios das actividades económicas e sociais é cada vez mais frequente na Comunidade; que o prograsso registado nas tecnologias da informação facilita consideravelmente o tratamento e a troca dos referidos dados;

(5) Considerando que a integração económica e social resultante do estabelecimento e funcionamento do mercado interno nos termos do artigo 7º A do Tratado irá necessariamente provocar um aumento sensível dos fluxos transfronteiras de dados pessoais entre todos os intervenientes, privados ou públicos, na vida económica e social dos Estados-membros; que o intercâmbio de dados pessoais entre empresas estabelecidas em diferentes Estados-membros tende a intensificar-se; que as administrações dos Estados-membros são chamadas, por força do direito comunitário, a colaborar e a trocar entre si dados pessoais a fim de poderem desempenhar as suas atribuições ou executar tarefas por conta de uma administração de outro Estado-membro, no âmbito do espaço sem fronteiras internas que o mercado interno constitui;

(6) Considerando, além disso, que o reforço da cooperação científica bem como a introdução coordenada de novas redes de telecomunicações na Comunidade exigem e facilitam a circulação transfronteiras de dados pessoais;

(7) Considerando que as diferenças entre os Estados-membros quanto ao nível de protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, no domónio do tratamento de dados pessoais, podem impedir a transmissão desses dados do território de um Estado-membro para o de outro Estado-membro; que estas diferenças podem, por conseguinte, constituir um obstáculo ao exercício de uma série de actividades económicas à escala comunitária, falsear a concorrência e entravar o exercício pelas administrações das funções que lhes incumbem nos termos do direito comunitário; que esta diferença de níveis de protecção resulta da disparidade das disposições legislativas, regulamentares e administrativas nacionais;

(8) Considerando que, para eliminar os obstáculos à circulação de dados pessoais, o nível de protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento destes dados deve ser equivalente em todos os Estados-membros; que a realização deste objectivo, fundamental para o mercado interno, não pode ser assegurada unicamente pelos Estados-membros, tendo especialmente em conta a dimensão das divergências que se verificam actualmente a nível das legislações nacionais aplicáveis na matéria e a necessidade do coordenar as legislações dos Estados-membros para assegurar que a circulação transfronteiras de dados pessoais seja regulada de forma coerente e em conformidade com o objectivo do mercado interno nos termos do artigo 7º A do Tratado; que é portanto necessária uma acção comunitária com vista à aproximação das legislações;

(9) Considerando que, devido à protecção equivalente resultante da aproximação das legislações nacionais, os Estados-membros deixarão de poder levantar obstáculos à livre circulação entre si de dados pessoais por razões de protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada; que é deixada aos Estadas-membros uma margem de manobra que, no contexto da aplicação da directiva, poderá ser utilizada pelos parceiros económicos e sociais; que os Estados-membros poderão, pois, especificar na sua legislação nacional as condições gerais de licitude do tratamento de dados; que, ao fazê-lo, os Estados-membros se esforçarão por melhorar a protecção actualmente assegurada na respectiva legislação nacional; que, nos limites dessa margem de manobra e em conformidade com o direito comunitário, poderão verficar-se disparidades na aplicação da directiva, o que poderá reflectir-se na circulação de dados quer no interior de um Estado-membro, quer na Comunidade;

(10) Considerando que o objectivo das legislações nacionais relativas ao tratamento de dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais, nomeadamente do direito à vida privada, reconhecido não só no artigo 8º da Convenção europeia para a protecção dos direitos do Homem e das liberdades fundamentais como nos princípios gerais do direito comunitário; que, por este motivo, a aproximação das referidas legislações não deve fazer diminuir a protecção que asseguram, devendo, pelo contrário, ter por objectivo garantir um elevado nível de protecção na Comunidade;

(11) Considerando que os princípios da protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, contidos na presente directiva, precisam e ampliam os princípios contidos na Convenção do Conselho da Europa, de 28 de Janeiro de 1981, relativa à protecção das pessoas no que diz respeito ao tratamento automatizado de dados pessoais;

(12) Considerando que os princípios da protecção devem aplicar-se a todo e qualquer tratamento de dados pessoais sempre que as actividades do responsável pelo tratamento sejam regidas pelo direito comunitário; que se deve excluir o tratamento de dados efectuado por uma pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas, por exemplo correspondência ou listas de endereços;

(13) Considerando que as actividades referidas nos títulos V e VI do Tratado da União Europeia, relativas à segurança pública, à defesa, à segurança do Estado ou às actividades do Estado no domínio penal, não são abrangidas pelo âmbito de aplicação do direito comunitário, sem prejuízo das obrigações que incumbem aos Estados-membros nos termos do nº 2 do artigo 56º e dos artigos 57º e 100º A do Tratado; que o tratamento de dados pessoais necessário à protecção do bem-estar económico do Estado não é abrangido pela presente directiva quando esse tratamento disser respeito a questões de segurança do Estado;

(14) Considerando que, tendo em conta a importância do desenvolvimento que, no âmbito da sociedade de informação, sofrem actualmente as técnicas de captação, transmissão, manipulação, gravação, conservação ou comunicação de dados de som e de imagem relativos às pessoas singulares, há que aplicar a presente directiva ao tratamento desses dados;

(15) Considerando que o tratamento desses dados só é abrangido pela presente directiva se for automatizado ou se os dados tratados estiverem contidos ou se destinarem a ficheiros estruturados segundo critérios específicos relativos às pessoas, a fim de permitir um acesso fácil aos dados pessoais em causa;

(16) Considerando que o tratamento de dados de som e de imagem, tais como os de vigilância por vídeo, não é abrangido pelo âmbito de aplicação da presente directiva se for executado para fins de segurança pública, de defesa, de segurança do Estado ou no exercício de actividades do Estado relativas a domínios de direito penal ou no exercício de outras actividades não abrangidas pelo âmbito de aplicação do direito comunitário;

(17) Considerando que, no que se refere ao tratamento de som e de imagem para fins jornalísticos ou de expressão literária ou artística, nomeadamente no domínio do audiovisual, os princípios da directiva se aplicam de modo restrito de acordo com as disposições referidas no artigo 9º;

(18) Considerando que, a fim de evitar que uma pessoa seja privada da protecção a que tem direito por força da presente directiva, é necessário que qualquer tratamento de dados pesosais efectuado na Comunidade respeite a legislação de um dos Estados-membros; que, nesse sentido, é conveniente que o tratamento efectuado por uma pessoa que age sob a autoridade do responsável pelo tratamento estabelecido num Estado-membro seja regido pela legislação deste Estado-membro;

(19) Considerando que o estabelecimento no território de um Estado-membro pressupõe o exercício efectivo e real de uma actividade mediante uma instalação estável; que, para o efeito, a forma jurídica de tal estabelecimento, quer se trate de uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante; que, quando no território de vários Estados-membros estiver estabelecido um único responsável pelo tratamento, em especial através de uma filial, deverá assegurar, nomeadamente para evitar que a legislação seja contornada, que cada um dos estabelecimentos cumpra as obrigações impostas pela legislação nacional aplicável às respectivas actividades;

(20 Considerando que o facto de o tratamento de dados ser da responsabilidade de uma pessoa estabelecida num país terceiro não deve constituir obstáculo à protecção das pessoas assegurada pela presente directiva; que, nesses casos, o tratamento deverá ser regido pela legislação do Estado-membro onde se encontram os meios utilizados para o tratamento de dados em causa e que deverão oferecer-se garantias de que os direitos e as obrigações estabelecidos na presente directiva serão efectivamente respeitados;

(21) Considerando que a presente directiva não prejudica as regras de territorialidade aplicáveis em matéria de direito penal;

(22) Considerando que os Estados-membros precisarão, na sua legislação ou nas regras de execução adoptadas nos termos das presente directiva, as condições gerais em que o tratamento de dados é lícito; que, nomeadamente, o artigo 5º, conjugado com os artigos 7º e 8º, permite que os Estados-membros estabeleçam, independentemente das regras gerais, condições especiais para o tratamento de dados em sectores específicos e para as diferentes categorias de dados referidas no artigo 8º;

(23) Considerando que os Estados-membros podem assegurar a concretização da protecção das pessoas tanto por uma lei geral relativa à protecção das pessoas no que diz respeito ao tratamento de dados pessoais, como por leis sectoriais, por exemplo as relativas aos institutos de estatística;

(24) Considerando que a legislação para a protecção das pessoas colectivas relativamente ao tratamento de dados que lhes dizem respeito não é afectada pela presente directiva;

(25) Considerando que os princípios de protecção devem encontrar expressão, por um lado, nas obrigações que impendem sobre as pessoas, as autoridades públicas, as empresas, os serviços ou outros organismos responsáveis pelo tratamento de dados, em especial no que respeita à qualidade dos dados, à segurança técnica, à notificação à autoridade de controlo, às circunstâncias em que o tratamento pode ser efectuado, e, por outro, nos direitos das pessoas cujos dados são tratados serem informadas sobre esse tratamento, poderem ter acesso aos dados, poderem solicitar a sua rectificação e mesmo, em certas circunstâncias, poderem opor-se ao tratamento;

(26) Considerando que os princípios da protecção devem aplicar-se a qualquer informação relativa a uma pessoa identificada ou identificável; que, para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios susceptíveis de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por qualquer outra pessoa, para identificar a referida pessoa; que os princípios da protecção não se aplicam a dados tornados anónimos de modo tal que a pessoa já não possa ser identificável; que os códigos de conduta na acepção do artigo 27º podem ser um instrumento útil para fornecer indicações sobre os meios através dos quais os dados podem ser tornados anónimos e conservados sob uma forma que já não permita a identificação da pessoa em causa;

(27) Considerando que a protecção das pessoas se deve aplicar tanto ao tratamento automatizado de dados como ao tratamento manual; que o âmbito desta protecção não deve, na prática, depender das técnicas utilizadas, sob pena de se correr o sério risco de a protecção poder ser contornada; que, em todo o caso, no que respeita ao tratamento manual, a presente directiva apenas abrange os ficheiros e não as pastas não estruturadas; que, em particular, o conteúdo de um ficheiro deve ser estruturado de acordo com critéios específicos relativos às pessoas que permitam um acesso fácil aos dados pessoais; que, em conformidade com a definição da alínea c) do artigo 2º, os diferentes critérios que permitem determinar os elementos de um conjunto estruturado de dados pessoais e os diferentes critérios que regem o acesso a esse conjunto de dados podem ser definidos por cada Estado-membro; que as pastas ou conjuntos de pastas, bem como as suas capas, qu não estejam estruturadas de acordo com critérios específicos, de modo algum se incluem no âmbito de aplicação da presente directiva;

(28) Considerando que qualquer tratamento de dados pessoais deve ser efectuado de forma lícita e leal para com a pessoa em causa; que deve, em especial, incidir sobre dados adequados, pertinentes e não excessivos em relação às finalidades prosseguidas com o tratamento; que essas finalidades devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados; que as finalidades dos tratamentos posteriores à recolha não podem ser incompatíveis com as finalidades especificadas inicialmente;

(29) Considerando que o tratamento posterior de dados pessoais para fins históricos, estatísticos ou científicos não é de modo geral considerado incompatível com as finalidades para as quais os dados foram previamente recolhidos, desde que os Estados-membros estabeleçam garantias adequadas; que tais garantias devem em especial impedir a utilização de dados em apoio de medidas ou de decisões tomadas em desfavor de uma pessoa;

(30) Considerando que, para ser lícito, o tratamento de dados pessoais deve, além disso, ser efectuado com o consentimento da pessoa em causa ou ser necessário para a celebração ou execução de um contrato que vincule a pessoa em causa, ou para o cumprimento de uma obrigação legal, ou para a execução de uma missão de interesse público ou para o exercício da autoridade pública, ou ainda para a realização do interesse legítimo de uma pessoa, desde que os interesses ou os direitos e liberdades da pessoa em causa não prevaleçam; que, em especial, para assegurar o equilíbrio dos interesses em causa e garantir ao mesmo tempo uma concorrência real, os Estados-membros são livres de determinar as condições em que os dados pessoais podem ser utilizados e comunicados a terceiros no âmbito de actividades legítimas de gestão corrente das empresas e outros organismos; que, do mesmo modo, podem precisar as condições em que a comunicação a terceiros de dados pessoais pode ser efectuada para fins de mala directa ou de prospecção feita por uma instituição de solidariedade social ou outras associações ou fundações, por exemplo de carácter político, desde que respeitem as disposições que permitem à pessoa em causa opor-se, sem necessidade de indicar o seu fundamento ou de suportar quaisquer encargos, ao tratamento dos dados que lhe dizem respeito;

(31) Considerando que, do mesmo modo, o tratamento de dados pessoais deve ser considerado lícito quando se destinar a proteger um interesse essencial à vida da pessoa em causa;

(32) Considerando que cabe às legislações nacionais determinar se o responsável pelo tratamento que executa uma missão de interesse público ou exerce a autoridade pública deve ser uma administração pública ou outra pessoa sujeita ao direito público ou ao direito privado, por exemplo uma associação profissional;

(33) Considerando que os dados susceptíveis, pela sua natureza, de pôr em causa as liberdades fundamentais ou o direito à vida privada só deverão ser tratados com o consentimento explítico da pessoa em causa; que, no entanto, devem ser expressamente previstas derrogações a esta proibição no que respeita a necessidades específicas, designadamente quando o tratamento desses dados for efectuado com certas finalidades ligadas à saúde por pessoas sujeits por lei à obrigação de segredo profissional ou para as actividades legítimas de certas associações ou fundações que tenham por objectivo permitir o exercício das liberdades fundamentais;

(34) Considerando que, sempre que um motivo de interesse público importante o justifique, os Estados-membros devem também ser autorizados a estabelecer derrogações à proibição de tratamento de categorias de dados sensíveis em domínios como a saúde pública e a segurança social – em especial para garantir a qualidade e a rentabilidade no que toca aos métodos utilizados para regularizar os pedidos de prestações e de serviços no regime de seguro de doença – e como a investigação científica e as estatísticas públicas; que lhes incumbe, todavia, estabelecer garantias adequadas e específicas para a protecção dos direitos fundamentais e da vida privada das pessoas;

(35) Considerando, além disso, que o tratamento de dados pessoais pelas autoridades públicas para a consecução de objectivos consagrados no direito constitucional ou no direito internacioanl público, em benefício de associações religiosas oficialmente reconhecidas, é efectuado por motivos de interesse público importante;

(36) Considerando que quando, para o exercício de actividades do âmbito eleitoral, o funcionamento do sistema democrático exigir, em certos Estados-membros, que partidos políticos recolham dados sobre a opinião política das pessoas, o tratamento desses dados pode ser autorizado por motivos de interesse público importante, desde que sejam es-tabelecidas garantias adequadas;

(37) Considerando que o tratamento de dados pessoais para fins jornalísticos ou de expressão artística ou literária, nomeadamente no domínio do audiovisual, deve beneficiar de derrogações ou de restrições a determinadas disposições da presente directiva, desde que tal seja necessário para conciliar os direitos fundamentais da pessoa com a liberdade de expressão, nomeadamente a liberdade de receber ou comunicar informações, tal como é garantida, nomeadamente pelo artigo 10º da Convenção europeia para a protecção dos direitos do Homem e das liberdades fundamentais; que, por conseguinte, compete aos Estados-membros estabelecer, tendo em vista a ponderação dos direitos fundamentais, as derrogações e limitações necessárias que se prendam com as medidas gerais em matéria de legalidade do tratamento de dados, as medidas relativas à transferência de dados para países terceiros, bem como com as competências das autoridades de controlo; que tal facto não deverá, no entanto, levar os Estados-membros a prever derrogações às medidas destinadas a garantir a segurança do tratamento de dados; e que deverão igualmente ser atribuídas pelo menos à autoridade de controlo determinadas competências a posteriori, tais como a de publicar periodicamente um relatório ou de recorrer judicialmente;

(38) Considerando que, para que o tratamento de dados seja leal , a pessoa em causa deve poder ter conhecimento da existência dos tratamentos e obter, no momento em que os dados lhe são pedidos, uma informação rigorosa e completa das circunstâncias dessa recolha;

(39) Considerando que por vezes se tratam dados que não foram recolhidos directamente pelo responsável junto da pessoa em causa; que, além disso, os dados podem ser legitimamente comunicados a um terceiro sem que essa comunicação estivesse prevista na altura da recolha dos dados junto da pessoa em causa; que, em todos estes casos, a pessoa em causa deve ser informada no momento do registo dos dados ou, o mais tardar, quando os dados são comunicados pela primeira vez a um terceiro;

(40) Considerando que, no entanto, a imposição desta obrigação não é necessária caso a pessoa em causa esteja já informada; que, além disso, não existe essa obrigação caso o registo ou a comunicação dos dados estejam expressamente previstos na lei ou caso a informação da pessoa em causa se revele impossível ou exija esforços desproporcionados, o que pode ser o caso do tratamento para fins históricos, estatísticos ou científicos; que, para este efeito, podem ser tomados em consideração o número de pessoas em causa, a antiguidade dos dados e as medidas compensatórias que podem ser tomadas;

(41) Considerando que todas as pessoas devem poder beneficiar do direito de acesso aos dados que lhes dizem repeito e que estão em fase de tratamento, a fim de assegurarem, nomeadamente, a sua exactidão e a licitude do tratamento; que, pelas mesmas razões, todas as pessoas devem, além disso, ter o direito de conhecer a lógica subjacente ao tratamento automatizado dos dados que lhe dizem respeito, pelo menos no caso das decisões automatizadas referidas no nº 1 do artigo 15º; que este último direito não deve prejudicar o segredo comercial nem a propriedade intelectual, nomeadamente o direito de autor que protege o suporte lógico; que tal, todavia, não poderá traduzir-se pela recusa de qualquer informação à pessoa em causa;

(42) Considerando que, no interesse da pessoa em causa ou com o objectivo de proteger os direitos e liberdades de outrem, os Estados-membros podem limitar os direitos de acesso e de informação; que, por exemplo, podem precisar que o acesso aos dados médicos só poderá ser obtido por intermédio de um profissional da saúde;

(43) Considerando que restrições aos direitos de acesso e informação e a certas obrigações do responsável pelo tratamento podem igualmente ser previstas pelos Estados-membros na medida em que sejam necessárias para proteger, por exemplo, a segurança do Estado, a defesa, a segurança pública, os interesses económicos ou financeiros importantes de um Estado-membro ou da União, e para a investigação e a repressão de infracções penais ou de violações da deontologia das profissões regulamentadas; que há que enumerar, a título das excepções e restrições, as missões de controlo, de inspecção ou de regulamentação necessárias nos três últimos domínios citados referentes à segurança pública, ao interesse económio ou financeiro e à repressão penal; que esta enumeração de missões respeitante aos três domínios referidos não prejudica a legitimidade de excepções e de restrições por razões de segurança do Estado e de defesa;

(44) Considerando que os Estados-membros podem ser levados, por força das disposições do direito comunitário, a prever derrogações às disposições da presente directiva relativas ao direito de acesso, à informação das pessoas e à qualidade dos dados para salvaguardarem algumas finalidades dentre as acima enunciadas;

(45) Considerando que, nos casos de tratamento de dados lícito por razões de interesse público, de exercício da autoridade pública ou de interesse legítimo de uma pessoa, a pessoa em causa terá, ainda assim, o direito de, com base em razões preponderantes e legítimas relacionadas com a sua situação específica, se opor ao tratamento dos dados que lhe dizem respeito; que os Estados-membros, têm, no entanto, a possibilidade de prever disposições nacionais em contrário;

(46) Considerando que a protecção dos direitos e liberdades das pessoas em causa relativamente ao tratamento de dados pessoais exige que sejam tomadas medidas técnicas e organizacionais adequadas tanto aquando da concepção do sistema de tratamento como da realização do próprio tratamento, a fim de manter em especial a segurança e impedir assim qualquer tratamento não autorizado; que compete aos Estados-membros zelar por que os responsáveis pelo tratamento respeitem estas medidas; que estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos que o tratamento implica e a natureza dos dados a proteger;

(47) Considerando que, quando uma mensagem que contém dados pessoais é transmitida através de um serviço de telecomunicações ou de correio electrónico cujo único objectivo é a transmissão de mensagens deste tipo, será a pessoa de quem emana a mensagem, e não quem propõe o serviço de transmissão, que será em regra considerada responsável pelo tratamento dos dados pessoais contidos na mensagem; que, contudo, as pessoas que propõesm esses serviços serão em regra consideradas responsáveis pelo tratamento dos dados pessoais suplementares necessários ao funcionamento do serviço;

(48) Considerando que a notificação à autoridade de controlo tem por objectivo assegurar a publicidade das finalidades e principais características do tratamento, a fim de permitir verificar a sua conformidade com as disposições nacionais tomadas nos termos da presente directiva;

(49) Considerando que, a fim de evitar formalidades administrativas desnecessárias, os Estados-membros podem estabelecer isenções da obrigação de notificação, ou simplificações à notificação requerida, nos casos em que o tratamento não seja susceptível de prejudicar os direitos e liberdades das pessoas em causa, desde que seja conforme com um acto adoptado pelo Estado-membro que precise os seus limites; que podem igualmente ser estabelecidas isenções ou simplificações caso uma pessoa designada pelo responsável pelo tratamento se certifique de que o tratamento efectuado não é susceptível de prejudicar os direitos e liberdades das pessoas em causa; que essa pessoa encarregada da protecção de dados, empregada ou não do responsável pelo tratamento, deve exercer as suas funções com total independência;

(50) Considerando que poderá ser estabelecida a isenção ou a simplificação para tratamentos cuja única finalidade seja a manutenção de registos destinados, de acordo com o direito nacional, à informação do público e que possam ser consultados pelo público ou por qualquer pessoa que possa provar um interesse legítimo;

(51) Considerando que, no entanto, a simplificação ou a isenção da obrigação de notificação não liberam o responsável pelo tratamento de nenhuma das outras obrigações decorrentes da presente directiva;

(52) Considerando que, neste contexto, a verificação a posteriori pelas autoridades competentes deve ser, em geral, considerada uma medida suficiente;

(53) Considerando que, no entanto, certos tratamentos podem ocasionar riscos particulares para os direitos e liberdades das pessoas em causa, em virtude da sua natureza, do seu âmbito ou da sua finalidade, como acontece, por exemplo, se esse tratamento tiver por objectivo privar as pessoas de um direito, de uma prestação ou de um contrato, ou em virtude da utilização de tecnologias novas; que compete aos Estados-membros, se assim o entenderem, precisar esses riscos na respectiva legislação;

(54) Considerando que, de todos os tratamentos efectuados em sociedade, o número dos que apresentam tais riscos particulares deverá ser muito restrito; que os Estados-membros devem estabelecer um controlo prévio à realização desses tratamentos a efectuar pela autoridade de controlo ou pelo encarregado da protecção dos dados em cooperação com essa autoridade; que, na sequência desse controlo prévio, a autoridade de controlo pode, de acordo com o direito nacional, dar um parecer ou autorizar o tratamento dos dados; que esse controlo pode igualmente ser efectuado durante os trabalhos de elaboração de uma medida legislativa do parlamento nacional ou de uma medida baseada nessa medida legislativa, a qual defina a natureza do tratamento e especifique as garantias adequadas;

(55) Considerando que, se o responsável pelo tratamento não respeitar os direitos das pessoas em causa, as legislações nacionais devem prever a possibilidade de recurso judicial; que os danos de que podem ser vítimas as pessoas em virtude de um tratamento ilegal devem ser ressarcidos pelo rsponsável pelo tratamento, o qual só pode ser exonerado da sua responsabilidade se provar que o facto que causou o dano lhe não é imputável, nomeadamente quando provar existir responsabilidade da pessoa em causa ou um caso de força maior; que devem ser aplicadas sanções a todas as pessoas, de direito privado ou de direito público, que não respeitem as disposições nacionais tomadas nos termos da presente directiva;

(56) Considerando que os fluxos transfronteiras de dados pessoais são necessários ao desenvolvimento do comércio internacional; que a protecção das pessoas garantida na Comunidade pela presente directiva não obsta às transferências de dados pessoais para países terceiros que assegurem um nível de protecção adequado; que o carácter adequado do nível de protecção oferecido por um país terceiro deve ser apreciado em função de todas as circunstâncias associadas à transferência ou a uma categoria de transferências;

(57) Considerando em contrapartida que, sempre que um país terceiro não ofereça um nível de protecção adequado, a transferência de dados pessoais para esse país deve ser proibida;

(58) Considerando que devem poder ser previstas excepções a esta proibição em certas circunstâncias, quando a pessoa em causa tiver dado o seu consentimento, quando a transferência for necessária no âmbito de um contrato ou de um processo judicial, quando a protecção de um interesse público importante assim o exigir, por exemplo nos casos de transferências internacionais de dados entre as autoridades fiscais ou aduaneiras ou entre os serviços competentes em matéria de segurança social, ou quando a transferência for feita a partir de um registo instituído por lei e destinado a consulta pelo público ou por pessoas com um interesse legítimo; que nesse caso tal transferência não deve abranger a totalidade dos dados nem as categorias de dados contidos nesse registo; que, sempre que um registo se destine a ser consultado por pessoas com um interesse legítimo, a transferência apenas deverá poder ser efectuada a pedido dessas pessoas ou caso sejam elas os seus destinatários;

(59) Considerando que podem ser tomadas medidas especiais para sanar a insuficiência de proteção num país terceiro, se o responsável pelo tratamento apresentar garantias adequadas; que, além disso, devem ser previstos processos de negociação entre a Comunidade e os países terceiros em causa;

(60) Considerando que, em todo o caso, as transferências para países terceiros só podem ser efectuadas no pleno respeito das disposições adoptadas pelos Estados-membros nos termos da presente directiva, nomeadamente do seu artigo 8º;

(61) Considerando que, no âmbito das respectivas competências, os Estados-membros e a Comissão devem incentivar as organizações sectoriais interessadas a elaborar códigos de conduta com vista a facilitar a aplicação da presente directiva, tendo em conta as características específicas do tratamento efectuado em certos sectores e respeitando as disposições nacionais tomadas para a sua execução;

(62) Considerando que a criação nos Estados-membros de autoridades de controlo que exerçam as suas funções com total independência constitui um elemento essencial da protecção das pessoas no que respeita ao tratamento de dados pessoais;

(63) Considerando que essas autoridades devem ser dotadas dos meios necessários para a realização das suas funções, incluindo poderes de inquérito ou de intervenção, especialmente em caso de reclamações, e poderes para intervir em processos judiciais; que essas autoridades devem ajudar a garantir a transparência do tratamento de dados efectuado no Estado-membro sob cuja jurisdição se encontram;

(64) Considerando que as autoridades dos diferentes Estados-membros deverão prestar-se mutuamente assistência no desempenho das suas funções por forma a assegurar integralmente o respeito das regras de protecção em toda a União Europeia;

(65) Considerando que deve ser criado, a nível comunitário, um grupo de trabalho sobre a protecção das pessoas no que diz respeito ao tratamento de dados pessoais, o qual deve gozar de total independência no exercício das suas funções; que, atendendo à sua natureza específica, esse grupo deve aconselhar a Comissão e contribuir nomeadamente para a aplicação uniforme das normas nacionais adoptadas nos termos da presente directiva;

(66) Considerando que, no que se refere à transferência de dados para países terceiros, a aplicação da presente directiva requer a atribuição de competências de execução à Comissão e a criação de um procedimento de acordo com as normas estabelecidas na Decisão 87/373/CEE do Conselho (1);

(67) Considerando que, em 20 de Dezembro de 1994, se chegou a acordo sobre um modus vivendi entre o Parlamento Europeu, o Conselho e a Comissão quanto às medidas de execução de actos adoptados nos termos do procedimento previsto no artigo 189º B do Tratado;

(68) Considerando que os princípios enunciados na presente directiva para a protecção dos direitos e liberdades das pessoas, nomeadamente do seu direito à vida privada, no que diz respeito ao tratamento de dados pessoais, poderão ser completados ou especificados, nomeadamente em relação a certos sectores, através de regras específicas baseadas nesses princípios;

(69) Considerando que é conveniente conceder aos Estados-membros um prazo não superior a três anos a contar da data de entrada em vigor das medidas nacionais de transposição da presente directiva, durante o qual essas novas disposições nacionais serão aplicadas de forma progressiva a qualquer tratamento de dados já em curso; que, para facilitar uma aplicação rentável dessas disposições, os Estados-membros poderão prever um prazo suplementar, que expirará doze anos a contar da data de adopção da presente directiva, para assegurar a conformidade dos ficheiros, manuais existentes com determinadas disposições da directiva; que os dados contidos nesses ficheiros, que sejam objecto de um tratamento manual efectivo durante esse período de transição suplementar, deverão ser postos em conformidade com essas disposições aquando da realização desse tratamento;

(70) Considerando que a pessoa em causa não é obrigada a dar novamente o seu consentimento para que o responsável continue a efectuar, após a entrada em vigor das disposições nacionais tomadas nos termos da presente directiva, um tratamento de dados sensíveis necessário à execução de um contrato celebrado com base num consentimento livre e informado antes da entrada em vigor das disposições acima referidas;

(71) Considerando que a presente directiva não obsta a que um Estado-membro regulamente as actividades de mala directa junto dos consumidores residentes no seu território, desde que a referida regulamentação não diga respeito à protecção das pessoas no que se refere ao tratamento de dados pessoais;

(72) Considerando que a presente directiva permite tomar em consideração o princípio do direito de acesso do público aos documentos oficiais aquando da implementação dos princípios nela estabelecidos,

ADOPTARAM A PRESENTE DIRECTIVA:

CAPÍTULO I DISPOSIÇÕES GERAIS

Artigo 1º

Objecto da directiva

1. Os Estados-membros assegurarão, em conformidade com a presente directiva, a protecção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

2. Os Estados-membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados-membros por razões relativas à protecção assegurada por força do nº 1.

Artigo 2º

Definições

Para efeitos da presente directiva, entende-se por:

a) «Dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b) «Tratamento de dados pessoais» («tratamento»), qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

c) «Ficheiro de dados pessoais» («ficheiro»), qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, que seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

d) «Responsável pelo tratamento», a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinadas por disposições legislativas ou regulamentares nacionais ou comunitárias, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser indicados pelo direito nacional ou comunitário;

e) «Subcontratante», a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento;

f) «Terceiro», a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que não a pessoa em causa, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade directa do responsável pelo tratamento ou do subcontratante, estão habilitadas a tratar dos dados;

g) «Destinatário», a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que receba comunicações de dados, independentemente de se tratar ou não de um terceiro; todavia, as autoridades susceptíveis de receberem comunicações de dados no âmbito duma missão de inquérito específica não são consideradas destinatários;

h) «Consentimento da pessoa em causa», qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objecto de tratamento.

Artigo 3º

Âmbito de aplicação

1. A presente directiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

2. A presente directiva não se aplica ao tratamento de dados pessoais:

– efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado (incluindo o bem-estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as actividades do Estado no domínio do direito penal,

– efectuado por uma pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas.

Artigo 4º

Direito nacional aplicável

1. Cada Estado-membro aplicará as suas disposições nacionais adoptadas por força da presente directiva ao tratamento de dados pessoais quando:

a) O tratamento for efectuado no contexto das actividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado-membro; se o mesmo responsável pelo tratamento estiver estabelecido no território de vários Estados-membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpra as obrigações estabelecidas no direito nacional que lhe for aplicável;

b) O responsável pelo tratamento não estiver estabelecido no território do Estado-membro, mas num local onde a sua legislação nacional seja aplicável por força do direito internacional público;

c) O responsável pelo tratamento não estiver estabelecido no território da Comunidade e recorrer, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território desse Estado-membro, salvo se esses meios só forem utilizados para trânsito no território da Comunidade.

2. No caso referido na alínea c) do nº 1, o responsável pelo tratamento deve designar um representante estabelecido no território desse Estado-membro, sem prejuízo das acções que possam vir a ser intentadas contra o próprio responsável pelo tratamento.

CAPÍTULO II CONDIÇÕES GERAIS DE LICITUDE DO TRATAMENTO DE DADOS PESSOAIS

Artigo 5º

Os Estados-membros especificarão, dentro dos limites do disposto no presente capítulo, as condições em que é lícito o tratamento de dados pessoais.

SECÇÃO I

PRINCÍPIOS RELATIVOS À QUALIDADE DOS DADOS

Artigo 6º

1. Os Estados-membros devem estabelecer que os dados pessoais serão:

a) Objecto de um tratamento leal e lícito;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequadas;

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;

d) Exactos e, se necessário, actualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou rectificados;

e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. Os Estados-membros estabelecerão garantias apropriadas para os dados pessoais conservados durante períodos mais longos do que o referido, para fins históricos, estatísticos ou científicos.

2. Incumbe ao responsável pelo tratamento assegurar a observância do disposto no nº 1.

SECÇÃO II

PRINCÍPIOS RELATIVOS À LEGITIMIDADE DO TRATAMENTO DE DADOS

Artigo 7º

Os Estados-membros estabelecerão que o tratamento de dados pessoais só poderá ser efectuado se:

a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou

b) O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou

c) O tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito; ou

d) O tratamento for necessário para a protecção de interesses vitais da pessoa em causa; ou

e) O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados; ou

f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do nº 1 do artigo 1º

SECÇÃO III

CATEGORIAS ESPECÍFICAS DE TRATAMENTOS

Artigo 8º

Tratamento de certas categorias específicas de dados

1. Os Estados-membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual.

2. O nº 1 não se aplica quando:

a) A pessoa em causa tiver dado o seu consentimento explícito para esse tratamento, salvo se a legislação do Estado-membro estabelecer que a proibição referida no nº 1 não pode ser retirada pelo consentimento da pessoa em causa; ou

b) O tratamento for necessário para o cumprimento das obrigações e dos direitos do responsável pelo tratamento no domínio da legislação do trabalho, desde que o mesmo seja autorizado por legislação nacional que estabeleça garantias adequadas; ou

c) O tratamento for necessário para proteger interesses vitais da pessoa em causa ou de uma outra pessoa se a pessoa em causa estiver física ou legalmente incapaz de dar o seu consentimento; ou

d) O tratamento for efectuado, no âmbito das suas actividades legítimas e com as garantias adequadas, por uma fundação, uma associação ou qualquer outro organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, na condição de o tratamento dizer unicamente respeito aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem o consentimento das pessoas em causa; ou

e) O tratamento disser respeito a dados manifestamente tornados públicos pela pessoa em causa ou for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial.

3. O nº 1 não se aplica quando o tratamento dos dados for necessário para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos médicos ou gestão de serviços da saúde e quando o tratamento desses dados for efectuado por um profissional da saúde obrigado ao segredo profissional pelo direito nacional ou por regras estabelecidas pelos organismos nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de segredo equivalente.

4. Sob reserva de serem prestadas as garantias adequadas, os Estados-membros poderão estabelecer, por motivos de interesse público importante, outras derrogações para além das previstas no nº 2, quer através de disposições legislativas nacionais, quer por decisão da autoridade de controlo referida no artigo 28º

5. O tratamento de dados relativos a infracções, condenações penais ou medidas de segurança só poderá ser efectuado sob o controlo das autoridades públicas ou se o direito nacional estabelecer garantias adequadas e específicas, sob reserva das derrogações que poderão ser concedidas pelo Estado-membro com base em disposições nacionais que prevejam garantias específicas e adequadas. Contudo, o registo completo das condenações penais só pode ser mantido sob o controlo das autoridades públicas.

Os Estados-membros podem estabelecer que o tratamento de dados relativos a sanções administrativas ou decisões cíveis fique igualmente sujeito ao controlo das autoridades públicas.

6. As derrogações ao nº 1 prevista nos nºs 4 e 5 serão notificadas à Comissão.

7. Cabe aos Estados-membros determinar as condições em que um número nacional de identificação ou qualquer outro elemento de identificação de aplicação geral poderá ser objecto de tratamento.

Artigo 9º

Tratamento de dados pessoais e liberdade de expressão

Os Estados-membros estabelecerão isenções ou derrogações ao disposto no presente capítulo e nos capítulos IV e VI para o tratamento de dados pessoais efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária, apenas na medida em que sejam necessárias para conciliar o direito à vida privada com as normas que regem a liberdade de expressão.

SECÇÃO IV

INFORMAÇÃO DA PESSOA EM CAUSA

Artigo 10º

Informação em caso de recolha de dados junto da pessoa em causa

Os Estados-membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;

b) Finalidades do tratamento a que os dados se destinam;

c) Outras informações, tais como:

– os destinatários ou categorias de destinatários dos dados,

– o carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder,

– a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar,

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

Artigo 11º

Informação em caso de dados não recolhidos junto da pessoa em causa

1. Se os dados não tiverem sido recolhidos junto da pessoa em causa, os Estados-membros estabelecerão que o responsável pelo tratamento, ou o seu representante, deve fornecer à pessoa em causa, no momento em que os dados forem registados ou, se estiver prevista a comunicação de dados a terceiros, o mais tardar aquando da primeira comunicação desses dados, pelo menos as seguintes informações, salvo se a referida pessoa já delas tiver conhecimento:

a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;

b) Finalidades do tratamento;

c) Outras informações, tais como:

– as categorias de dados envolvidos,

– os destinatários ou categorias de destinatários dos dados,

– a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar,

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

2. O nº 1 não se aplica quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação da pessoa em causa se revelar impossível ou implicar esforços desproporcionados ou quando a lei dispuser expressamente o registo dos dados ou a sua divulgação. Nestes casos, os Estados-membros estabelecerão as garantias adequadas.

SECÇÃO V

DIREITO DE ACESSO DA PESSOA EM CAUSA AOS DADOS

Artigo 12º

Direito de acesso

Os Estados-membros garantirão às pessoas em causa o direito de obterem do responsável pelo tratamento:

a) Livremente e sem restrições, com periodicidade razoável e sem demora ou custos excessivos:

– a confirmação de terem ou não sido tratados dados que lhes digam respeito, e informações pelo menos sobre os fins a que se destina esse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados,

– a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem dos dados,

– o conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito, pelo menos no que se refere às decisões automatizadas referidas no nº 1 do artigo 15º;

b) Consoante o caso, a rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente directiva, nomeadamente devido ao carácter incompleto ou inexacto desses dados;

c) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea b), salvo se isso for comprovadamente impossível ou implicar um esforço desproporcionado.

SECÇÃO VI

DERROGAÇÕES E RESTRIÇÕES

Artigo 13º

Derrogações e restrições

1. Os Estados-membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no nº 1 do artigo 6º, no artigo 10º, no nº 1 do artigo 11º e nos artigos 12º e 21º, sempre que tal restrição constitua uma medida necessária à protecção:

a) Da segurança do Estado;

b) Da defesa;

c) Da segurança pública;

d) Da prevenção, investigação, detecção e repressão de infracções penais e de violações da deontologia das profissões regulamentadas;

e) De um interesse económico ou financeiro importante de um Estado-membro ou da União Europeia, incluindo nos domínios monetário, orçamental ou fiscal;

f) De missões de controlo, de inspecção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d) e e);

g) De pessoa em causa ou dos direitos e liberdades de outrem.

2. Sob reserva de garantias jurídicas adequadas, nomeadamente a de que os dados não serão utilizados para tomar medidas ou decisões em relação a pessoas determinadas, os Estados-membros poderão restringir através de uma medida legislativa os direitos referidos no artigo 12º nos casos em que manifestamente não exista qualquer perigo de violação do direito à vida privada da pessoa em causa e os dados forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.

SECÇÃO VII

DIREITO DE OPOSIÇÃO DA PESSOA EM CAUSA

Artigo 14º

Direito de oposição da pessoa em causa

Os Estados-membros reconhecerão à pessoa em causa o direito de:

a) Pelo menos nos casos referidos nas alíneas e) e f) do artigo 7º, se opor em qualquer altura, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, salvo disposição em contrário do direito nacional. Em caso de oposição justificada, o tratamento efectuado pelo responsável deixa de poder incidir sobre esses dados;

b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de mala directa; ou ser informada antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de mala directa ou utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunicações ou utilizações.

Os Estados-membros tomarão as medidas necessárias para garantir que as pessoas em causa tenham conhecimento do direito referido no primeiro parágrafo da alínea b).

Artigo 15º

Decisões individuais automatizadas

1. Os Estados-membros reconhecerão a qualquer pessoa o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, como por exemplo a sua capacidade profissional, o seu crédito, confiança de que é merecedora, comportamento.

2. Os Estados-membros estabelecerão, sob reserva das restantes disposições da presente directiva, que uma pessoa pode ficar sujeita a uma decisão do tipo referido no nº 1 se a mesma:

a) For tomada no âmbito da celebração ou da execução de um contrato, na condição de o pedido de celebração ou execução do contrato apresentado pela pessoa em causa ter sido satisfeito, ou de existirem medidas adequadas, tais como a possibilidade de apresentar o seu ponto de vista, que garantam a defesa dos seus interesses legítimos; ou

b) For autorizada por uma lei que estabeleça medidas que garantam a defesa dos interesses legítimos da pessoa em causa.

SECÇÃO VIII

CONFIDENCIALIDADE E SEGURANÇA DO TRATAMENTO

Artigo 16º

Confidencialidade do tratamento

Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais, não procederá ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de obrigações legais.

Artigo 17º

Segurança do tratamento

1. Os Estados-membros estabelecerão que o responsável pelo tratamento deve pôr em prática medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.

Estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.

2. Os Estados-membros estabelecerão que o responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar e deverá zelar pelo cumprimento dessas medidas.

3. A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que:

– o subcontratante apenas actuará mediante instruções do responsável pelo tratamento,

– as obrigações referidas no nº 1, tal como definidas pela legislação do Estado-membro onde o subcontratante está estabelecido, incumbem igualmente a este último.

4. Para efeitos de conservação de provas, os elementos do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no nº 1, deverão ficar consignados por escrito ou sob forma equivalente.

SECÇÃO IX

NOTIFICAÇÃO

Artigo 18º

Obrigação de notificação à autoridade de controlo

1. Os Estados-membros estabelecerão que o responsável pelo tratamento ou, eventualmente, o seu representante deve notificar a autoridade de controlo referida no artigo 28º antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.

2. Os Estados-membros apenas poderão estabelecer a simplificação ou a isenção da notificação nos seguintes casos e condições:

– se, para as categorias de tratamentos que, atendendo aos dados a tratar, não são susceptíveis de prejudicar os direitos e liberdades das pessoas em causa, especificarem as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de pessoas em causa, os destinatários ou categorias de destinatários a quem serão comunicados os dados e o período de conservação dos dados; e/ou

– se o responsável pelo tratamento nomear, nos termos do direito nacional a que está sujeito, um encarregado da protecção dos dados pessoais, responsável nomeadamente por

– garantir, de modo independente, a aplicação, a nível interno, das disposições nacionais tomadas nos termos da presente directiva,

– manter um registo dos tratamentos efectuados pelo responsável do tratamento, contendo as informações referidas no nº 2 do artigo 21º,

assegurando assim que os tratamentos não são susceptíveis de prejudicar os direitos e liberdades das pessoas em causa.

3. Os Estados-membros poderão estabelecer que o nº 1 não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo.

4. Os Estados-membros podem isentar da obrigação de notificação os tratamentos de dados referidos no nº 2, alínea d), do artigo 8º, ou prever uma simplificação dessa notificação.

5. Os Estados-membros podem determinar que todos ou alguns dos tratamentos não automatizados de dados pessoais sejam notificados, eventualmente de forma simplificada.

Artigo 19º

Conteúdo de notificação

1. Os Estados-membros especificarão as informações que devem constar da notificação. Essas informações devem incluir, pelo menos:

a) O nome e o endereço do responsável pelo tratamento e, eventualmente, do seu representante;

b) A ou as finalidades do tratamento;

c) Uma descrição da ou das categorias de pessoas em causa e dos dados ou categorias de dados que lhes respeitem;

d) Os destinatários ou categorias de destinatários a quem os dados poderão ser comunicados;

e) As transferências de dados previstas para países terceiros;

f) Uma descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação do artigo 17º

2. Os Estados-membros especificarão os procedimentos de notificação à autoridade de controlo das alterações que afectem as informações referidas no nº 1.

Artigo 20º

Controlo prévio

1. Os Estados-membros especificarão os tratamentos que possam representar riscos específicos para os direitos e liberdades das pessoas em causa e zelarão por que sejam controlados antes da sua aplicação.

2. Esse controlo prévio será efectuado pela autoridade de controlo referida no artigo 28º após recepção de uma notificação do responsável pelo tratamento ou pelo encarregado da protecção de dados que, em caso de dúvida, deverá consultar a autoridade de controlo.

3. Os Estados-membros poderão igualmente efectuar este controlo durante os trabalhos de preparação de uma medida do parlamento nacional ou de uma medida baseada nessa medida legislativa, a qual defina a natureza do tratamento e estabeleça as garantias adequadas.

Artigo 21º

Publicidade dos tratamentos

1. Os Estados-membros tomarão as medidas necessárias para assegurar a publicidade dos tratamentos.

2. Os Estados-membros estabelecerão que a autoridade de controlo referida no artigo 28º manterá um registo dos tratamentos notificados por força do artigo 18º

Esse registo deverá conter, pelo menos, as informações enumeradas no nº 1, alíneas a) a e), do artigo 19º

O registo poderá ser consultado por qualquer pessoa.

3. Os Estado-membros estabelecerão que, no que respeita aos tratamentos não sujeitos a notificação, o responsável pelo tratamento, ou outra entidade designada pelos Estados-membros, comunicará de forma adequada, a qualquer pessoa que o solicite, pelo menos as informações referidas no nº 1, alíneas a) a e), do artigo 19º

Os Estados-membros poderão estabelecer que a presente disposição não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo.

CAPÍTULO III RECURSOS JUDICIAIS, RESPONSABILIDADE E SANÇÕES

Artigo 22º

Recursos

Sem prejuízo de quaisquer garantias graciosas, nomeadamente por parte da autoridade de controlo referida no artigo 28º, previamente a um recurso contencioso, os Estados-membros estabelecerão que qualquer pessoa poderá recorrer judicialmente em caso de violação dos direitos garantidos pelas disposições nacionais aplicáveis ao tratamento em questão.

Artigo 23º

Responsabilidade

1. Os Estados-membros estabelecerão que qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto incompatível com as disposições nacionais de execução da presente directiva tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido.

2. O responsável pelo tratamento poderá ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.

Artigo 24º

Sanções

Os Estados-membros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente directiva a determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adoptadas nos termos da presente directiva.

CAPÍTULO IV TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS

Artigo 25º

Princípios

1. Os Esstados-membros estabelecerão que a transferência para um país terceiro de dados pessoais objecto de tratamento, ou que se destinem a ser objecto de tratamento após a sua transferência, só pode realizar-se se, sob reserva da observância das disposições nacionais adoptadas nos termos das outras disposições da presente directiva, o país terceiro em questão assegurar um nível de protecção adequado.

2. A adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, serão tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país terceiro em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse país.

3. Os Estados-membros e a Comissão informar-se-ão mutuamente dos casos em que consideram que um país terceiro não assegura um nível de protecção adequado na acepção do nº 2.

4. Sempre que a Comissão verificar, nos termos do procedimento previsto no nº 2 do artigo 31º, que um país terceiro não assegura um nível de protecção adequado na acepção do nº 2 do presente artigo, os Estados-membros tomarão as medidas necessárias para impedir qualquer transferência de dados de natureza idêntica para o país terceiro em causa.

5. Em momento oportuno, a Comissão encetará negociações com vista a obviar à situação resultante da constatação feita em aplicação do nº 4.

6. A Comissão pode constatar, nos termos do procedimento previsto no nº 2 do artigo 31º, que um país terceiro assegura um nível de protecção adequado na acepção do nº 2 do presente artigo em virtude da sua legislação interna ou dos seus compromissos internacionais, subscritos nomeadamente na sequência das negociações referidas no nº 5, com vista à protecção do direito à vida privada e das liberdades e direitos fundamentais das pessoas.

Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.

Artigo 26º

Derrogações

1. Em derrogação ao disposto no artigo 25º e sob reserva de disposições em contrário do seu direito nacional em casos específicos, os Estados-membros estabelecerão que a transferência de dados pessoais para um país terceiro que não assegure um nível de protecção adequado na acepção do nº 2 do artigo 25º poderá ter lugar desde que:

a) A pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência; ou

b) A transferência seja necessária para a execução de um contrato entre a pessoa em causa e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou

c) A transferência seja necessária à execução ou celebração de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o responsável pelo tratamento e um terceiro; ou

d) A transferência seja necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial; ou

e) A transferência seja necessária para proteger os interesses vitais da pessoa em causa; ou

f) A transferência seja realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destine à informação do público e se encontre aberto à consulta pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.

2. Sem prejuízo do nº 1, um Estado-membro pode autorizar uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro que não assegura um nível de protecção adequado na acepção do nº 2 do artigo 25º, desde que o responsável pelo tratamento apresente garantias suficientes de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respectivos direitos; essas garantias podem, designadamente, resultar de cláusulas contratuais adequadas.

3. O Estado-membro informará a Comissão e os restantes Estados-membros das autorizações que conceder nos termos do nº 2.

Em caso de oposição, por um Estado-membro ou pela Comissão devidamente justificada no que se refere à protecção da privacidade e dos direitos e liberdades fundamentais das pessoas, a Comissão adoptará as medidas adequadas, nos termos do procedimento previsto no nº 2 do artigo 31º

Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.

4. Sempre que a Comissão decidir, nos termos do procedimento previsto no nº 2 do artigo 31º, que certas cláusulas contratuais-tipo oferecem as garantias suficientes referidas no nº 2, os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.

CAPÍTULO V CÓDIGOS DE CONDUTA

Artigo 27º

1. Os Estados-membros e a Comissão promoverão a elaboração de códigos de conduta destinados a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições nacionais tomadas pelos Estados-membros nos termos da presente directiva.

2. Os Estados-membros estabelecerão que as associações profissionais e as outras organizações representativas de outras categorias de responsáveis pelo tratamento que tenham elaborado projectos de códigos nacionais ou que tencionem alterar ou prorrogar códigos nacionais existentes, podem submetê-los à apreciação das autoridades nacionais.

Os Estados-membros estabelecerão que essas autoridades se certificarão, nomeadamente, da conformidade dos projectos que lhe são apresentados com as disposições nacionais tomadas nos termos da presente directiva. Se o considerarem oportuno, as autoridades solicitarão a opinião das pessoas em causa ou dos seus representantes.

3. Os projectos de códigos comunitários, assim como as alterações ou prorrogações de códigos comunitários existentes, poderão ser submetidos ao grupo referido no artigo 29º O grupo pronunicar-se-á, nomeadamente, quanto à conformidade dos projectos submetidos à sua apreciação com as disposições nacionais adoptadas em aplicação da presente directiva. Se o considerar oportuno, solicitará a opinião das pessoas em causa ou dos seus representantes. A Comissão pode garantir uma publicidade adequada dos códigos aprovados pelo grupo.

CAPÍTULO VI AUTORIDADE DE CONTROLO E GRUPO DE PROTECÇÃO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS

Artigo 28º

Autoridade de controlo

1. Cada Estado-membro estabelecerá que uma ou mais autoridades públicas serão responsáveis pela fiscalização da aplicação no seu território das disposições adoptadas pelos Estados-membros nos termos da presente directiva.

Essas autoridades exercerão com total independência as funções que lhes forem atribuídas.

2. Cada Estado-membro estabelecerá que as autoridades de controlo serão consultadas aquando da elaboração de medidas regulamentares ou administrativas relativas à protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais.

3. Cada autoridade do controlo disporá, nomeadamente:

– de poderes de inquérito, tais como o poder de aceder aos dados objecto de tratamento e de recolher todas as informações necessárias ao desempenho das suas funções de controlo,

– de poderes efectivos de intervenção, tais como, por exemplo, o de emitir pareceres previamente à execução adequada desses pareceres, o de ordenar o bloqueio, o apagamento ou a destruição dos dados, o de proibir temporária ou definitivamente o tratamento, o de dirigir uma advertência ou uma censura ao responsável pelo tratamento ou o de remeter a questão para os parlamentos nacionais ou para outras instituições políticas,

– do poder de intervir em processos judiciais no caso de violação das disposições nacionais adoptadas nos termos da presente directiva ou de levar essas infracções ao conhecimento das autoridades judiciais.

As decisões da autoridade de controlo que lesem interesses são passíveis de recurso jurisdicional.

4. Qualquer pessoa ou associação que a represente pode apresentar à autoridade de controlo um pedido para protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais. A pessoa em causa será informada do seguimento dado ao seu pedido.

Em particular, qualquer pessoa pode apresentar à autoridade de controlo um pedido de verificação da licitude de qualquer tratamento de dados, sempre que sejam aplicáveis as disposições nacionais adoptadas por força do artigo 13º O requerente será pelo menos informado da realização da verificação.

5. Cada autoridade de controlo elaborará periodicamente um relatório sobre a sua actividade. O relatório será publicado.

6. Cada autoridade de controlo é competente, independentemente do direito nacional aplicável ao tratamento em causa, para o exercício no território do seu Estado-membro dos poderes que lhe foram atribuídos em conformidade com o nº 3. Cada autoridade de controlo pode ser solicitada a exercer os seus poderes por uma autoridade de outro Estado-membro.

As autoridades de controlo cooperarão entre si na medida do necessário ao desempenho das suas funções, em especial através do intercâmbio de quaisquer informações úteis.

7. Os Estados-membros determinarão que os membros e agentes das autoridades de controlo fiquem sujeitos, mesmo após a cessação das suas actividades, à obrigação de segredo profissional em relação às informações confidenciais a que tenham acesso.

Artigo 29º

Grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais

1. É criado um Grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais, a seguir designado «grupo».

O grupo tem carácter consultivo e é independente.

2. O grupo é composto por um representante da autoridade ou autoridades de controlo designadas por cada Estado-membro, por um representante da autoridade ou autoridades criadas para as instituições e organismos comunitários, bem como por um representante da Comissão.

Cada membro do grupo será designado pela instituição, autoridade ou autoridades que representa. Sempre que um Estado-membro tiver designado várias autoridades de controlo, estas nomearão um representante comum. O mesmo acontece em relação às autoridades criadas para as instituições e organismos comunitários.

3. O grupo tomará as suas decisões por maioria simples dos representantes das autoridades de controlo.

4. O grupo elegerá o seu presidente. O mandato do presidente tem uma duração de dois anos e é renovável.

5. O secretariado do grupo será assegurado pela Comissão.

6. O grupo elaborará o seu regulamento interno.

7. O grupo analisará as questões inscritas na ordem de trabalhos pelo seu presidente, que por iniciativa deste, quer a pedido de um representante das autoridades de controlo, quer ainda a pedido da Comissão.

Artigo 30º

1. O grupo tem por atribuições:

a) Analisar quaisquer questões relativas à aplicação das disposições nacionais tomadas nos termos da presente directiva, com vista a contribuir para a sua aplicação uniforme;

b) Dar parecer à Comissão sobre o nível de protecção na Comunidade e nos países terceiros;

c) Aconselhar a Comissão sobre quaisquer projectos de alteração da presente directiva ou sobre quaisquer projectos de medidas adicionais ou específicas a tomar para proteger os direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como sobre quaisquer outros projectos de medidas comunitárias com incidência sobre esses direitos e liberdades;

d) Dar parecer sobre os códigos de conduta elaborados a nível comunitário.

2. Se o grupo verificar que surgem divergências susceptíveis de prejudicar a equivalência da protecção das pessoas no que diz respeito ao tratamento de dados pessoais na Comunidade entre a legislação ou a prática dos Estados-membros, informará desse facto a Comissão.

3. O grupo pode, por sua própria iniciativa, formular recomendações sobre quaisquer questões relativas à protecção das pessoas no que diz respeito ao tratamento de dados pessoais na Comunidade.

4. Os pareceres e recomendações do grupo serão transmitidos à Comissão e ao comité referido no artigo 31º

5. A Comissão informará o grupo do seguimento que deu aos seus pareceres e recomendações. Para o efeito, elaborará um relatório que será igualmente enviado ao Parlamento Europeu e ao Conselho. O relatório será publicado.

6. O grupo elaborará um relatório anual sobre a situação da protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na Comunidade e nos países terceiros, que será comunicado à Comissão, ao Parlamento Europeu e ao Conselho. O relatório será publicado.

CAPÍTULO VII MEDIDAS DE EXECUÇÃO COMUNITÁRIAS

Artigo 31º

Comitologia

1. A Comissão será assistida por um comité composto por representantes dos Estados-membros e presidido pelo representante da Comissão.

2. O representante da Comissão submeterá à apreciação do comité um projecto das medidas a tomar. O comité emitirá o seu parecer sobre esse projecto num prazo que o presidente pode fixar em função da urgência da questão em causa.

O parecer será emitido por maioria, nos termos previstos no nº 2 do artigo 148º do Tratado. Nas votações no comité, os votos dos representantes dos Estados-membros estão sujeitos à ponderação definida no artigo atrás referido. O presidente não participa na votação.

A Comissão adoptará medidas que são imediatamente aplicáveis. Todavia, se não forem conformes com o parecer emitido pelo comité, essas medidas serão imediatamente comunicadas pela Comissão ao Conselho. Nesse caso:

– a Comissão diferirá a aplicação das medidas que aprovou por um prazo de três meses a contar da data da comunicação,

– o Conselho, deliberando por maioria qualificada, pode tomar uma decisão diferente no prazo previsto no travessão anterior.

DISPOSIÇÕES FINAIS

Artigo 32º

1. Os Estados-membros porão em vigor as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente directiva o mais tardar três anos a contar da data da sua adopção.

Quando os Estados-membros adoptarem essas disposições, estas devem incluir uma referência à presente directiva ou ser acompanhadas dessa referência na publicação oficial. As modalidades dessa referência serão adoptadas pelos Estados-membros.

2. Os Estados-membros assegurarão que os tratamentos já em curso à data da entrada em vigor das disposições nacionais tomadas nos termos da presente directiva cumprirão essas disposições o mais tardar três anos a contar da referida data.

Em derrogação ao parágrafo anterior, os Estados-membros poderão estabelecer que o tratamento de dados já existente em ficheiros manuais à data de entrada em vigor das disposições nacionais tomadas nos termos da presente directiva cumprirá o disposto nos artigos 6º, 7º e 8º no prazo de doze anos a contar da data de adopção da presente directiva. Os Estados-membros possibilitarão, no entanto, à pessoa em causa obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.

3. Em derrogação ao nº 2, os Estados-membros poderão estabelecer que, sob reserva das garantias adequadas, os dados conservados unicamente com finalidades de investigação histórica não terão que cumprir os artigos 6º, 7º e 8º da presente directiva.

4. Os Estados-membros comunicarão à Comissão o texto das disposições de direito interno que adoptem no domínio regido pela presente directiva.

Artigo 33º

A Comissão apresentará periodicamente ao Parlamento Europeu e ao Conselho, e pela primeira vez o mais tardar três anos após a data referida no nº 1 do artigo 32º, um relatório sobre a aplicação da presente directiva, eventualmente acompanhado de propostas de alteração adequadas. O relatório será publicado.

A Comissão analisará, nomeadamente, a aplicação da presente directiva ao tratamento de dados de som e de imagem relativos às pessoas singulares e apresentará as propostas adequadas que se revelem necessárias, tendo em conta o desenvolvimento das tecnologias da informação, e à luz da situação quanto aos trabalhos sobre a sociedade de informação.

Artigo 34º

Os Estados-membros são os destinatários da presente directiva.

Feito no Luxemburgo, em 24 de Outubro de 1995.

Pelo Parlamento Europeu

O Presidente

K. HAENSCH

Pelo Conselho

O Presidente

L. ATIENZA

(1) JO nº C 277 de 5. 11. 1990, p. 3, e JO nº C 311 de 27. 11. 1992, p. 30.

(2) JO nº C 159 de 17. 6. 1991, p. 38.

(3) Parecer do Parlamento Europeu de 11 de Março de 1992 (JO nº C 94 de 13. 4. 1992, p. 198), confirmado em 2 de Dezembro de 1993 (JO nº C 342 de 20. 12. 1993, p. 30), posição comum do Conselho de 20 de Fevereiro de 1995 (JO nº C 93 de 13. 4. 1995, p. 1) e decisão do Parlamento Europeu de 15 de Junho de 1995 (JO nº C 166 de 3. 7. 1995).

(1) JO nº L 197 de 18. 7. 1987, p. 33.