Tratamento de Dados Pessoais pelas Instituições e pelos Órgãos Comunitários e à Livre Circulação desses Dados

Mai 24, 2021 | Legislação - União Europeia, Repositório de Regulação

Regulamento (CE) n.° 45/2001 – Tratamento de Dados Pessoais pelas Instituições e pelos Órgãos Comunitários e à Livre Circulação desses Dados

Regulamento (CE) n.° 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados

https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32001R0045

Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho

de 18 de Dezembro de 2000

relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o seu artigo 286.o,

Tendo em conta a proposta da Comissão(1),

Tendo em conta o parecer do Comité Económico e Social(2),

Deliberando nos termos do processo previsto no artigo 251.o do Tratado(3),

Considerando o seguinte:

(1) O artigo 286.o do Tratado exige a aplicação às instituições e aos órgãos comunitários dos actos comunitários relativos à protecção das pessoas singulares em matéria de tratamento de dados pessoais e de livre circulação desses dados.

(2) Um sistema de protecção de dados pessoais completamente desenvolvido não consiste apenas na instituição dos direitos das pessoas em causa e dos deveres daqueles que tratam os dados pessoais, mas também na previsão de sanções adequadas para os infractores e na sua fiscalização por um órgão independente de supervisão.

(3) O n.o 2 do artigo 286.o do Tratado prevê a criação de um órgão independente de supervisão, incumbido de fiscalizar a aplicação dos citados actos comunitários às instituições e órgãos da Comunidade.

(4) O n.o 2 do artigo 286.o do Tratado prevê a adopção das demais disposições que se afigurem adequadas.

(5) É necessário um regulamento que confira às pessoas direitos susceptíveis de protecção judicial, que fixe as obrigações, em matéria de tratamento de dados, dos responsáveis por esse tratamento nas instituições e nos órgãos comunitários, e que crie uma autoridade independente de controlo responsável pela fiscalização do tratamento de dados pessoais efectuados pelas instituições e órgãos comunitários.

(6) Foi consultado o grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29.o da Directiva 95/46/CE de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados(4).

(7) As pessoas susceptíveis de protecção são aquelas cujos dados pessoais são tratados pelas instituições ou órgãos comunitários, independentemente do contexto, por exemplo, por trabalharem para essas instituições ou órgãos.

(8) Os princípios da protecção de dados devem aplicar-se a toda a informação relativa a uma pessoa identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios susceptíveis de serem razoavelmente utilizados pelo responsável pelo tratamento dos dados ou por qualquer outra pessoa, para identificar a referida pessoa. Os princípios da protecção não se devem aplicar a dados tornados anónimos de modo a que a pessoa em causa já não possa ser identificada.

(9) A Directiva 95/46/CE do Parlamento Europeu e do Conselho exige aos Estados-Membros que garantam a protecção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais, a fim de assegurar a livre circulação dos dados pessoais na Comunidade.

(10) A Directiva 97/66/CE do Parlamento Europeu e do Conselho, de 15 de Dezembro de 1997, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das telecomunicações(5), precisa e completa a Directiva 95/46/CE no que diz respeito ao tratamento de dados pessoais no sector das telecomunicações.

(11) Várias outras disposições comunitárias, nomeadamente em matéria de assistência mútua entre as administrações nacionais e a Comissão, destinam-se igualmente a precisar e a completar a Directiva 95/46/CE nos sectores a que dizem respeito.

(12) Deve ser assegurada em toda a Comunidade a aplicação coerente e homogénea das regras de protecção das liberdades e dos direitos fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

(13) Pretende-se, assim, garantir simultaneamente, quer o respeito efectivo das regras de protecção das liberdades e dos direitos fundamentais das pessoas, quer a livre circulação de dados pessoais entre Estados-Membros e as instituições e órgãos comunitários ou entre estas instituições e órgãos, no exercício das respectivas competências.

(14) É, para esse efeito, conveniente a adopção de disposições obrigatórias para as instituições e órgãos comunitários. Essas disposições devem ser aplicadas a todo e qualquer tratamento de dados pessoais efectuado por todas as instituições e todos os órgãos comunitários, na medida em que esse tratamento for efectuado para o exercício de actividades que dependem total ou parcialmente do âmbito de aplicação do direito comunitário.

(15) Quando esse tratamento for efectuado pelas instituições e órgãos comunitários para o exercício de actividades que não se enquadram no âmbito de aplicação do presente Regulamento, em especial para as previstas nos títulos V e VI do Tratado da União Europeia, a protecção das liberdades e dos direitos fundamentais das pessoas é assegurada no respeito do artigo 6.o do Tratado da União Europeia. O acesso aos documentos, incluindo as condições de acesso aos documentos que contêm dados de carácter pessoal, está previsto nas regulamentações adoptadas com base no artigo 255.o do Tratado CE cujo âmbito de aplicação se estende aos títulos V e VI do Tratado da União Europeia.

(16) Essas disposições não são aplicáveis a órgãos instituídos fora do quadro comunitário e a Autoridade Europeia para a protecção de dados não tem competência para fiscalizar o tratamento de dados pessoais por esses órgãos.

(17) A eficácia da protecção das pessoas no que se refere ao tratamento de dados pessoais na União requer a coerência das regras e dos procedimentos aplicáveis na matéria às actividades que têm por base diferentes quadros jurídicos; a elaboração de princípios fundamentais relativos à protecção dos dados pessoais no domínio da cooperação judiciária em matéria penal, bem como da cooperação policial e alfandegária, e a criação de um secretariado para as autoridades de controlo comuns, instituídas pela Convenção Europol, pela Convenção relativa à utilização da informática no domínio das alfândegas e pela Convenção de Schengen constituem, neste âmbito, uma primeira fase.

(18) O presente regulamento não deverá afectar os direitos e obrigações dos Estados-Membros decorrentes das Directivas 95/46/CE e 97/66/CE. Não tem por objectivo alterar os procedimentos e práticas legalmente aplicados pelos Estados-Membros em matéria de segurança nacional, de defesa da ordem bem como da prevenção, detecção, investigação e diligências em matéria de infracção penal, respeitando o disposto no Protocolo relativo aos Privilégios e Imunidades das Comunidades Europeias bem como o direito internacional.

(19) As instituições e órgãos comunitários devem dirigir-se às autoridades competentes nos Estados-Membros sempre que considerem que devem ser efectuadas intercepções de comunicações nas suas redes de telecomunicações, de acordo com as disposições nacionais aplicáveis.

(20) As disposições aplicáveis às instituições e órgãos comunitários devem corresponder às previstas para a harmonização das legislações nacionais ou para a aplicação de outras políticas comunitárias, nomeadamente em matéria de assistência mútua; no entanto e no que respeita ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários, pode vir a ser necessário adoptar certas precisões e complementos a fim de assegurar a protecção.

(21) O mesmo se aplica aos direitos das pessoas cujos dados são objecto de tratamento, às obrigações das instituições e dos órgãos comunitários responsáveis pelo tratamento de dados e aos poderes de que deve dispor a autoridade independente de controlo, responsável pela boa aplicação do presente regulamento.

(22) Nem os direitos concedidos à pessoa em causa nem o seu exercício prejudicam as obrigações a que está sujeito o responsável pelo tratamento.

(23) A autoridade independente de controlo exercerá as suas funções nos termos do Tratado e no respeito dos direitos do homem e das liberdades fundamentais e conduzirá os seus inquéritos na observância do Protocolo relativo aos Privilégios e Imunidades e do Estatuto dos Funcionários e outros Agentes das Comunidades Europeias.

(24) Deverão ser adoptadas as medidas técnicas necessárias para permitir o acesso aos registos das operações de tratamento mantidos pelos responsáveis pela protecção de dados, por intermédio da autoridade independente de controlo.

(25) As decisões da autoridade independente de controlo relacionadas com excepções, autorizações e condições relativas a certos tratamentos de dados, tal como definidas no regulamento, devem ser publicadas no relatório de actividades. Independentemente da publicação anual de um relatório de actividades, a autoridade independente de controlo poderá publicar relatórios sobre questões específicas.

(26) Determinados tratamentos susceptíveis de apresentar riscos específicos quanto aos direitos e liberdades das pessoas interessadas, serão sujeitos ao controlo prévio da autoridade independente de controlo. O parecer dado no âmbito desse controlo prévio, incluindo o parecer que resulte da falta de resposta no prazo previsto, não prejudica o exercício subsequente dos poderes da autoridade independente de controlo relativamente ao tratamento em causa.

(27) O tratamento de dados pessoais para o desempenho de funções de interesse público pelas instituições e órgãos comunitários inclui o tratamento de dados pessoais indispensáveis à gestão e ao funcionamento dessas instituições e órgãos.

(28) Num certo número de casos, o presente regulamento prevê que o tratamento de dados deva ser autorizado pela legislação comunitária ou pelas normas que a transpõem. Todavia, a título transitório, quando essa legislação não exista e enquanto ela não for adoptada, a Autoridade Europeia para a protecção de dados pode autorizar o tratamento dos referidos dados mediante a adopção de garantias adequadas, devendo ter nomeadamente em conta, nesse contexto, as disposições aprovadas pelos Estados-Membros para regular casos similares.

(29) Os casos acima referidos dizem respeito ao tratamento de dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde ou à vida sexual, necessários para o cumprimento dos direitos e obrigações do responsável pelo tratamento no sector do direito do trabalho ou por um importante motivo de interesse público. Trata-se igualmente do tratamento de dados relativos a infracções, condenações penais ou medidas de segurança, ou ainda da autorização de submeter a pessoa em causa a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a apreciar determinados aspectos da sua personalidade.

(30) Pode ser necessário fiscalizar as redes informáticas que operam sob a responsabilidade das instituições e órgãos comunitários a fim de prevenir a sua utilização não autorizada. A Autoridade Europeia para a protecção de dados determinará se tal é possível e em que condições.

(31) A responsabilidade decorrente da violação do presente regulamento regula-se pelo segundo parágrafo do artigo 288.o do Tratado.

(32) Um ou vários responsáveis pela protecção de dados zelarão, em cada instituição ou órgão comunitário, pela aplicação das disposições do presente regulamento e aconselharão os responsáveis pelo tratamento no exercício das suas obrigações.

(33) Nos termos do seu artigo 21.o, o Regulamento (CE) n.o 322/97 do Conselho, de 17 de Fevereiro de 1997, relativo às estatísticas comunitárias(6) é aplicável sem prejuízo da Directiva 95/46/CE.

(34) Nos termos do n.o 8 do seu artigo 8.o, o Regulamento (CE) n.o 2533/98 do Conselho, de 23 de Novembro de 1998, relativo à compilação de informação estatística pelo Banco Central Europeu(7), é aplicável sem prejuízo da Directiva 95/46/CE.

(35) Nos termos do n.o 2 do seu artigo 1.o, o Regulamento (Euratom, CEE) n.o 1588/90 do Conselho, de 11 de Junho de 1990, relativo à transmissão de informações abrangidas pelo segredo estatístico ao Serviço de Estatística das Comunidades Europeias(8), não derroga as disposições específicas, comunitárias ou nacionais, relativas à salvaguarda de segredos que não sejam o segredo estatístico.

(36) O presente regulamento não tem por objectivo limitar a margem de manobra dos Estados-Membros na elaboração de normas de direito interno em matéria de protecção de dados ao abrigo do artigo 32.o da Directiva 95/46/CE, nos termos do artigo 249.o do Tratado,

ADOPTARAM O PRESENTE REGULAMENTO:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.o

Objecto do regulamento

1. As instituições e os órgãos criados pelos Tratados que instituem as Comunidades Europeias, ou com base nesses Tratados, adiante designados “instituições e órgãos comunitários”, asseguram, nos termos do presente regulamento, a protecção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais, e não limitam nem proíbem a livre circulação de dados pessoais entre eles ou entre eles e destinatários abrangidos pela legislação nacional dos Estados-Membros que transponha a Directiva 95/46/CE.

2. A autoridade independente de controlo criada no presente regulamento, adiante designada Autoridade Europeia para a protecção de dados, controla a aplicação das disposições do presente regulamento a todas as operações de tratamento efectuadas pelas instituições e órgãos comunitários.

Artigo 2.o

Definições

Para efeitos do presente regulamento, entende-se por:

a) “Dados pessoais”, qualquer informação relativa a uma pessoa singular identificada ou identificável, adiante designada “pessoa em causa”. É considerado identificável quem possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b) “Tratamento de dados pessoais”, adiante designado “tratamento”, qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, divulgação ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

c) “Ficheiro de dados pessoais”, adiante designado “ficheiro”, qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, que seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

d) “Responsável pelo tratamento”, a instituição ou órgão comunitário, a direcção-geral, a unidade ou qualquer outra entidade organizativa que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios de tratamento sejam determinados por um acto comunitário específico, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser indicados por esse acto comunitário;

e) “Subcontratante”, qualquer pessoa singular ou colectiva, autoridade pública, serviço ou qualquer outro organismo que trate dados pessoais por conta do responsável pelo tratamento;

f) “Terceiro”, qualquer pessoa singular ou colectiva, autoridade pública, serviço ou qualquer outro organismo que não a pessoa em causa, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade directa do responsável pelo tratamento ou do subcontratante, estão habilitadas a tratar os dados;

g) “Destinatário”, qualquer pessoa singular ou colectiva, autoridade pública, serviço ou qualquer outro organismo que receba comunicações de dados, independentemente de se tratar ou não de um terceiro; todavia, as autoridades susceptíveis de receberem comunicações de dados no âmbito de inquéritos específicos não são consideradas destinatários;

h) “Consentimento da pessoa em causa”, qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objecto de tratamento.

Artigo 3.o

Âmbito de aplicação

1. O presente regulamento é aplicável ao tratamento de dados pessoais por todas as instituições e órgãos comunitários, na medida em que esse tratamento seja executado no exercício de actividades que dependam total ou parcialmente do âmbito de aplicação do direito comunitário.

2. O presente regulamento é aplicável ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

CAPÍTULO II

NORMAS GERAIS DE LICITUDE DO TRATAMENTO DE DADOS PESSOAIS

SECÇÃO 1

PRINCÍPIOS RELATIVOS À QUALIDADE DOS DADOS

Artigo 4.o

Qualidade dos dados

1. Os dados pessoais devem ser:

a) Objecto de um tratamento leal e lícito;

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não ser posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que o responsável pelo tratamento estabeleça garantias adequadas, nomeadamente para assegurar que os dados não sejam tratados para quaisquer outros fins nem utilizados como fundamento de medidas ou decisões relativas a qualquer indivíduo em particular;

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e/ou tratados posteriormente;

d) Exactos e, se necessário, actualizados; devem ser tomadas todas as medidas razoáveis para que os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou rectificados;

e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. A instituição ou o órgão comunitário deve estabelecer que os dados pessoais que devam ser conservados durante períodos mais longos do que o referido, para fins históricos, estatísticos ou científicos, só serão conservados sob uma forma que os torne anónimos, ou, quando tal seja impossível, só serão armazenados desde que a identidade da pessoa em causa seja cifrada. Os dados nunca devem ser utilizados para quaisquer outros fins que não sejam históricos, estatísticos ou científicos.

2. Incumbe ao responsável pelo tratamento assegurar a observância do disposto no n.o 1.

SECÇÃO 2

PRINCÍPIOS RELATIVOS À LEGITIMIDADE DO TRATAMENTO DE DADOS

Artigo 5.o

Licitude do tratamento

O tratamento de dados pessoais só pode ser efectuado se:

a) For necessário ao exercício de funções de interesse público com fundamento nos Tratados que instituem as Comunidades Europeias ou noutros actos legislativos aprovados com base nesses Tratados, ou no exercício da autoridade pública de que estão investidos a instituição ou o órgão comunitário ou um terceiro a quem os dados sejam comunicados; ou

b) For necessário para o respeito de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; ou

c) For necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências pré-contratuais a pedido da pessoa em causa; ou

d) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou

e) For necessário para a protecção de interesses vitais da pessoa em causa.

Artigo 6.o

Mudança de finalidade

Sem prejuízo do disposto nos artigos 4.o, 5.o e 10.o:

1. Os dados pessoais só podem ser objecto de tratamento para finalidades diferentes daquelas para que foram recolhidos, se a mudança de finalidade for expressamente autorizada pelas regras internas da instituição ou do órgão comunitário.

2. Os dados pessoais recolhidos exclusivamente para garantir a segurança ou o controlo das operações ou sistemas de tratamento não podem ser utilizados para qualquer outra finalidade, com excepção da prevenção, investigação, detecção e repressão de infracções penais graves.

Artigo 7.o

Transferências de dados pessoais entre instituições ou órgãos comunitários ou no seu seio

Sem prejuízo dos artigos 4.o, 5.o, 6.o e 10.o:

1. Os dados pessoais só podem ser transferidos entre instituições ou órgãos comunitários ou no seu seio, se forem necessários para o desempenho legítimo de funções da competência do destinatário.

2. Se os dados forem transferidos a pedido do destinatário, tanto o responsável pelo tratamento como o destinatário assumem a responsabilidade pela legitimidade dessa transferência.

O responsável pelo tratamento tem a obrigação de verificar a competência do destinatário e de avaliar provisoriamente a necessidade da transferência desses dados. Em caso de dúvida quanto a essa necessidade, o responsável pelo tratamento pedirá informações complementares ao destinatário.

O destinatário zelará por que a necessidade da transferência de dados pessoais possa ser posteriormente verificada.

3. O destinatário só pode proceder ao tratamento dos dados pessoais para as finalidades para que foram transmitidos.

Artigo 8.o

Transferência de dados pessoais para destinatários, distintos das instituições e dos órgãos comunitários, abrangidos pela Directiva 95/46/CE

Sem prejuízo dos artigos 4.o 5.o, 6.o e 10.o, os dados pessoais só podem ser transferidos para destinatários abrangidos por legislação nacional aprovada por força da Directiva 95/46/CE, se:

a) O destinatário demonstrar que os dados são necessários no desempenho de funções de interesse público ou inerentes ao exercício da autoridade pública, ou

b) O destinatário demonstrar a necessidade da sua transferência e não existirem motivos para supor que os interesses legítimos da pessoa em causa podem ser prejudicados.

Artigo 9.o

Transferência de dados pessoais para destinatários, distintos das instituições e dos órgãos comunitários, não abrangidos pela Directiva 95/46/CE

1. Os dados pessoais só podem ser transferidos para destinatários distintos das instituições e dos órgãos comunitários que não estejam sujeitos à legislação nacional aprovada por força da Directiva 95/46/CE, se for garantido um nível de protecção adequado no país do destinatário ou no quadro da organização internacional destinatária e se os dados forem transferidos exclusivamente para o desempenho de funções da competência do responsável pelo tratamento.

2. O carácter adequado do nível de protecção assegurado pelo país terceiro ou pela organização internacional em questão é apreciado em função de todas as circunstâncias que envolvam a operação de transferência ou o conjunto das operações de transferência de dados. São nomeadamente tidas em conta a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, o país terceiro ou a organização internacional destinatária, a legislação, geral ou sectorial, em vigor no país terceiro ou aplicável à organização internacional em causa, bem como as regras profissionais e as medidas de segurança aplicadas nesse país ou organização internacional.

3. As instituições e os órgãos comunitários informam a Comissão e a Autoridade Europeia para a protecção de dados dos casos em que consideram que o país terceiro ou a organização internacional em questão não assegura um nível de protecção adequado nos termos do n.o 2.

4. A Comissão informa os Estados-Membros dos casos a que se refere o n.o 3.

5. As instituições e órgãos comunitários tomam as medidas necessárias para dar cumprimento às decisões tomadas pela Comissão, verificando, por força dos n.os 4 e 6 do artigo 25.o da Directiva 95/46/CE, se determinado país terceiro ou organização internacional assegura um nível de protecção adequado.

6. Em derrogação dos n.os 1 e 2, a instituição ou o órgão comunitário podem transferir dados pessoais desde que:

a) A pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência projectada; ou

b) A transferência seja necessária para a execução de um contrato entre a pessoa em causa e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou

c) A transferência seja necessária à conclusão ou execução de um contrato celebrado no interesse da pessoa em causa, entre o responsável pelo tratamento e um terceiro; ou

d) A transferência seja necessária ou legalmente exigida por motivos de interesse público importantes para a declaração, o exercício ou a defesa de um direito num processo judicial; ou

e) A transferência seja necessária para proteger os interesses vitais da pessoa em causa; ou

f) A transferência seja realizada a partir de um registo que, nos termos do direito comunitário, se destine à informação do público e se encontre aberto à consulta do público ou de qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas para a consulta no direito comunitário sejam cumpridas no caso concreto.

7. Sem prejuízo no disposto no n.o 6, a Autoridade Europeia para a protecção de dados pode autorizar uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro ou uma organização internacional que não assegure um nível de protecção adequado na acepção dos n.os 1 e 2, desde que o responsável pelo tratamento apresente garantias suficientes de protecção da vida privada e das liberdades e direitos fundamentais das pessoas, assim como do exercício dos respectivos direitos; essas garantias podem, designadamente, resultar de cláusulas contratuais adequadas.

8. As instituições e os órgãos comunitários informam a Autoridade Europeia para a protecção de dados das categorias de casos em que aplicaram os n.os 6 e 7.

SECÇÃO 3

CATEGORIAS ESPECÍFICAS DE TRATAMENTO

Artigo 10.o

Tratamento de categorias específicas de dados

1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual.

2. O n.o 1 não é aplicável quando:

a) A pessoa em causa tiver dado o seu consentimento explícito para o tratamento desses dados, excepto se as regras internas da instituição ou do órgão comunitário previrem que a proibição a que se refere o n.o 1 não pode ser afastada pelo consentimento da pessoa em causa; ou

b) O tratamento for necessário para o cumprimento dos direitos e obrigações específicos do responsável pelo tratamento em matéria de direito de trabalho, na medida em que seja permitido pelos Tratados que instituem as Comunidades Europeias ou por outros actos legislativos aprovados com base nesses Tratados, ou, se necessário, na medida em que seja aceite pela Autoridade Europeia para a protecção dos dados, mediante garantias adequadas; ou

c) O tratamento for necessário para proteger interesses vitais da pessoa em causa ou de outra pessoa, se a pessoa em causa estiver física ou legalmente incapacitada de dar o seu consentimento; ou

d) O tratamento se referir a dados manifestamente tornados públicos pela pessoa em causa ou for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial; ou

e) O tratamento for efectuado, no âmbito de actividades lícitas e mediante as garantias adequadas, por um organismo sem fins lucrativos que constitua uma entidade integrada numa instituição ou num órgão comunitário, que não esteja sujeito à legislação nacional aplicável à protecção de dados por força do artigo 4.o da Directiva 95/46/CE e que prossiga fins políticos, filosóficos, religiosos ou sindicais, desde que aquele tratamento se refira apenas aos membros deste organismo ou a pessoas que com ele mantenham contactos regulares relacionados com os seus objectivos, e que os dados não sejam divulgados a terceiros sem o consentimento da pessoa em causa.

3. O n.o 1 não é aplicável quando o tratamento de dados for necessário para efeitos de medicina preventiva, diagnósticos médicos, prestação de cuidados ou tratamentos médicos ou gestão dos serviços de saúde e quando o tratamento desses dados for efectuado por um profissional de saúde obrigado ao sigilo profissional ou por outra pessoa igualmente sujeita a uma obrigação de sigilo equivalente.

4. Sob reserva das garantias adequadas, por importantes motivos de interesse público, e para além das derrogações previstas no n.o 2, podem ser estabelecidas outras derrogações pelos Tratados que instituem as Comunidades Europeias ou por outros actos legislativos aprovados com base nesses Tratados, ou, se necessário, mediante decisão da Autoridade Europeia para a protecção de dados.

5. O tratamento de dados relativos a infracções, condenações penais ou medidas de segurança só pode ser efectuado se for autorizado pelos Tratados que instituem as Comunidades Europeias ou por outros actos legislativos aprovados com base nesses Tratados ou, se necessário, pela Autoridade Europeia para a protecção de dados, mediante garantias específicas adequadas.

6. A Autoridade Europeia para a protecção de dados determina as condições em que um número pessoal ou outro elemento de identificação geral pode ser objecto de tratamento por uma instituição ou órgão comunitário.

SECÇÃO 4

INFORMAÇÃO DA PESSOA EM CAUSA

Artigo 11.o

Informação em caso de recolha de dados junto da pessoa em causa

1. O responsável pelo tratamento deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos, as seguintes informações, excepto se essa pessoa já delas tiver conhecimento:

a) Identidade do responsável pelo tratamento;

b) Finalidades do tratamento a que os dados se destinam;

c) Destinatários ou categorias de destinatários dos dados;

d) O carácter obrigatório ou facultativo da resposta, bem como as eventuais consequências da falta de resposta;

e) Existência de um direito de acesso aos dados que lhe digam respeito e do direito de os rectificar;

f) Outras informações complementares, como:

i) o fundamento jurídico do tratamento a que os dados se destinam;

ii) os prazos de conservação dos dados;

iii) o direito de recurso, a qualquer momento, à Autoridade Europeia para a protecção de dados,

desde que, tendo em conta as circunstâncias específicas da recolha dos dados, essas informações complementares sejam necessárias para garantir à pessoa em causa o tratamento leal desses dados.

2. Em derrogação do disposto no n.o 1, a comunicação de informações ou de certos elementos de uma informação, com excepção das informações previstas nas alíneas a), b) e d) do n.o 1, pode ser adiada pelo tempo necessário para efeitos estatísticos. A informação deve ser comunicada logo que deixe de existir a razão subjacente à sua retenção.

Artigo 12.o

Informação em caso de dados não recolhidos junto da pessoa em causa

1. Se os dados não tiverem sido recolhidos junto da pessoa em causa, o responsável pelo tratamento deve fornecer à pessoa em causa, desde o momento do registo dos dados ou, se estiver prevista a comunicação dos dados a terceiros, o mais tardar aquando da primeira comunicação desses dados, pelo menos, as seguintes informações, excepto se a referida pessoa já delas tiver conhecimento:

a) Identidade do responsável pelo tratamento;

b) Finalidades do tratamento;

c) Categorias de dados envolvidos;

d) Destinatários ou categorias de destinatários dos dados;

e) Existência de um direito de acesso aos dados que lhe digam respeito e do direito de os rectificar;

f) Outras informações complementares, como:

i) o fundamento jurídico do tratamento a que os dados se destinam;

ii) os prazos de conservação dos dados;

iii) o direito de recurso, a qualquer momento, à Autoridade Europeia para a protecção de dados,

iv) a origem dos dados, salvo quando o responsável pelo tratamento não possa comunicar esta informação por motivos de segredo profissional,

desde que, tendo em conta as circunstâncias específicas da recolha dos dados, essas informações complementares sejam necessárias para garantir à pessoa em causa o tratamento leal desses dados.

2. O n.o 1 não é aplicável quando, nomeadamente no caso do tratamento de dados para fins estatísticos ou de investigação histórica ou científica, a informação da pessoa em causa se tornar impossível ou implicar esforços desproporcionados ou quando a legislação comunitária previr expressamente o registo dos dados ou a sua comunicação. Nesse caso, a instituição ou o órgão comunitários deve estabelecer as garantias adequadas, depois de consultada a Autoridade Europeia para a protecção de dados.

SECÇÃO 5

DIREITOS DA PESSOA EM CAUSA

Artigo 13.o

Direito de acesso

A pessoa em causa tem o direito de, a qualquer momento, obter do responsável pelo tratamento, gratuitamente, no prazo de três meses a contar da data de recepção do pedido:

a) A confirmação do tratamento ou não dos dados que lhe digam respeito;

b) Informações pelo menos sobre os fins a que se destina esse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados;

c) A comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a sua origem;

d) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito.

Artigo 14.o

Rectificação

A pessoa em causa tem o direito de obter do responsável pelo tratamento a rectificação imediata de dados pessoais incompletos ou inexactos.

Artigo 15.o

Bloqueio

1. A pessoa em causa tem o direito de obter do responsável pelo tratamento o bloqueio dos dados, se:

a) A sua exactidão for contestada pela pessoa em causa, durante um prazo que permita ao responsável pelo tratamento verificar a exactidão dos dados, incluindo a sua exaustividade, ou

b) O responsável pelo tratamento já não precisar desses dados para o desempenho das suas funções, mas estes devam ser conservados para efeitos de prova; ou

c) O tratamento for ilícito e a pessoa em causa se opuser ao seu apagamento e solicitar, em contrapartida, o seu bloqueio.

2. Nos ficheiros automatizados, o bloqueio será, em princípio, assegurado por meios técnicos. O facto de os dados pessoais estarem bloqueados será indicado no sistema de forma a ser claro que esses dados não podem ser utilizados.

3. À excepção da sua conservação, os dados pessoais bloqueados em aplicação do presente artigo só podem ser objecto de tratamento para efeitos de prova, com o consentimento da pessoa em causa ou para protecção dos direitos de terceiros.

4. A pessoa em causa que tenha solicitado e obtido o bloqueio dos dados que lhe dizem respeito será informada pelo responsável pelo tratamento antes de os dados serem desbloqueados.

Artigo 16.o

Apagamento

A pessoa em causa tem o direito de obter do responsável pelo tratamento o apagamento dos dados se o seu tratamento for ilícito, em especial em caso de violação do disposto nas secções I, II e III do capítulo II.

Artigo 17.o

Comunicação a terceiros

A pessoa em causa tem o direito de obter do responsável pelo tratamento a notificação, de terceiros a quem os dados tenham sido transmitidos, de qualquer rectificação, apagamento ou bloqueio efectuados nos termos dos artigos 13.o a 16.o, excepto se tal for impossível ou implicar um esforço desproporcionado.

Artigo 18.o

Direito de oposição da pessoa em causa

A pessoa em causa tem o direito de:

a) Se opor em qualquer momento, por razões imperiosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, excepto nos casos referidos nas alíneas b), c) e d) do artigo 5.o Em caso de oposição justificada, o referido tratamento deixa de poder incidir sobre esses dados;

b) Ser informada antes de os dados pessoais serem comunicados pela primeira vez a terceiros ou antes de serem utilizados em seu nome para fins de “marketing” directo, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a essa comunicação ou utilização.

Artigo 19.o

Decisões individuais automatizadas

A pessoa em causa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade como, por exemplo, a sua capacidade profissional, a sua fiabilidade ou o seu comportamento, excepto se a decisão for expressamente autorizada por força da legislação nacional ou comunitária ou, se necessário, pela Autoridade Europeia para a protecção de dados. Em ambos os casos, devem ser tomadas medidas que garantam a defesa dos legítimos interesses da pessoa em causa, tais como medidas que lhe permitam expressar a sua opinião.

SECÇÃO 6

EXCEPÇÕES E RESTRIÇÕES

Artigo 20.o

Excepções e restrições

1. As instituições e os órgãos comunitários podem restringir a aplicação do n.o 1 do artigo 4.o, do artigo 11.o, do n.o 1 do artigo 12.o, dos artigos 13.o a 17.o e do n.o 1 do artigo 37.o, desde que essa restrição constitua uma medida necessária para:

a) Garantir a prevenção, investigação, detecção e repressão de infracções penais;

b) Salvaguardar um interesse económico ou financeiro importante de um Estado-Membro ou das Comunidades Europeias, incluindo nos domínios monetário, orçamental ou fiscal;

c) Garantir a protecção da pessoa em causa ou dos direitos e liberdades de outrem;

d) Assegurar a segurança nacional, a segurança pública e a defesa dos Estados-Membros;

e) Assegurar funções de controlo, de inspecção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) e b).

2. Os artigos 13.o a 16.o não são aplicáveis se os dados forem tratados exclusivamente para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário exclusivamente para fins de elaboração estatística, desde que não exista manifestamente qualquer perigo de violação do direito à vida privada da pessoa em causa e o responsável pelo tratamento dê as garantias legais necessárias, e, nomeadamente, a de que os dados não serão utilizados para tomar medidas ou decisões em relação a determinadas pessoas.

3. Se for imposta uma das restrições previstas no n.o 1, a pessoa em causa será informada, nos termos do direito comunitário, dos principais motivos da aplicação da restrição e do seu direito de recorrer à Autoridade Europeia para a protecção de dados.

4. Se for invocada uma das restrições previstas no n.o 1 para negar à pessoa em causa o acesso aos dados, a Autoridade Europeia para a protecção de dados, ao investigar a reclamação, só lhe comunicará se os dados tiverem sido tratados correctamente e, em caso negativo, se foram introduzidas todas as correcções necessárias.

5. A informação a que se referem os n.os 3 e 4 pode ser adiada enquanto impedir o efeito da limitação imposta com base no disposto no n.o 1.

SECÇÃO 7

CONFIDENCIALIDADE E SEGURANÇA DO TRATAMENTO

Artigo 21.o

Confidencialidade do tratamento

Qualquer pessoa empregada por uma instituição ou órgão comunitário, ou qualquer instituição ou órgão comunitário que actue como subcontratante, que tenha acesso a dados pessoais, não pode proceder ao seu tratamento sem instruções do responsável pelo tratamento, excepto se tal for exigido pela legislação nacional ou comunitária.

Artigo 22.o

Segurança do tratamento

1. Tendo em conta os conhecimentos técnicos disponíveis e os custos da sua aplicação, o responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas necessárias para garantir um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados pessoais a proteger.

Essas medidas devem ser tomadas em especial para evitar qualquer divulgação ou acesso não autorizados, destruição acidental ou ilícita, ou alterações ou perdas acidentais, bem como contra qualquer outra forma de tratamento ilícito.

2. Sempre que os dados pessoais forem tratados por meios automatizados, devem ser tomadas as medidas adequadas, em função dos riscos, tendo nomeadamente em vista:

a) Impedir o acesso de pessoas não autorizadas aos sistemas informáticos de tratamento de dados pessoais;

b) Impedir qualquer leitura, reprodução, alteração ou remoção não autorizada dos suportes de armazenamento;

c) Impedir qualquer introdução não autorizada de dados na memória, assim como qualquer divulgação, alteração ou apagamento não autorizado dos dados pessoais armazenados;

d) Impedir que pessoas não autorizadas utilizem sistemas de tratamento de dados através de equipamento de transmissão de dados;

e) Garantir que os utilizadores autorizados de um sistema de tratamento de dados não possam aceder a outros dados pessoais para os quais não possuem autorização;

f) Registar quais os dados pessoais comunicados, quando e a quem;

g) Garantir que posteriormente será possível controlar e verificar quando e por quem os dados pessoais foram tratados;

h) Garantir que o tratamento de dados pessoais por conta de terceiros só possa ser efectuado nos moldes prescritos pela instituição ou pelo órgão contratantes;

i) Garantir que durante a comunicação de dados pessoais e transporte de suportes de dados, os dados não possam ser lidos, copiados ou apagados sem autorização;

j) Conceber a estrutura organizativa de uma instituição ou de um órgão por forma a que os requisitos especiais da protecção de dados sejam cumpridos.

Artigo 23.o

Tratamento de dados pessoais por conta do responsável pelo tratamento

1. O responsável pelo tratamento deve, em caso de tratamento por sua conta, escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização previstas no artigo 22.o e assegurar o cumprimento dessas medidas.

2. A realização de operações de tratamento em subcontratação deve-se regular por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que preveja, designadamente, que:

a) O subcontratante actuará apenas mediante instruções do responsável pelo tratamento;

b) As obrigações previstas nos artigos 21.o e 22.o incumbem igualmente ao subcontratante, excepto se, por força do artigo 16.o ou do n.o 3, segundo travessão, do artigo 17.o da Directiva 95/46/CE, o subcontratante já estiver sujeito às obrigações de confidencialidade e segurança previstas na legislação nacional de um Estado-Membro.

3. Para efeitos de conservação de provas, os elementos do contrato ou do acto jurídico relativos à protecção de dados, bem como as exigências relativas às medidas referidas no artigo 22.o, devem ficar estipulados por escrito ou sob forma equivalente.

SECÇÃO 8

RESPONSÁVEL PELA PROTECÇÃO DE DADOS

Artigo 24.o

Nomeação e atribuições do responsável pela protecção de dados

1. Cada instituição e órgão comunitário designa, pelo menos, uma pessoa encarregada da protecção de dados. Esse encarregado deve:

a) Garantir que os responsáveis pelo tratamento e as pessoas em causa sejam informadas dos seus direitos e obrigações nos termos do presente regulamento;

b) Responder aos pedidos da Autoridade Europeia para a protecção de dados, e dentro do âmbito da sua competência, com ela cooperar a seu pedido ou por sua própria iniciativa;

c) Garantir, de forma independente, a aplicação interna, das disposições do presente regulamento;

d) Manter um registo dos tratamentos efectuados pelo responsável pelo tratamento, com os elementos de informação referidos no n.o 2 do artigo 25.o;

e) Notificar a Autoridade Europeia para a protecção de dados dos tratamentos susceptíveis de apresentarem riscos específicos nos termos do artigo 27.o

Esse encarregado deve assegurar, assim, que o tratamento de dados não seja susceptível de prejudicar os direitos e liberdades das pessoas em causa.

2. O encarregado da protecção de dados é escolhido em função das suas qualidades pessoais e profissionais e, em particular, dos seus conhecimentos em matéria de protecção de dados.

3. A escolha do encarregado da protecção de dados não deve poder originar um conflito de interesses entre as suas funções de encarregado e outras funções oficiais, em especial no âmbito da aplicação das disposições do presente regulamento.

4. O encarregado da protecção de dados será nomeado por um período de dois a cinco anos. O seu mandato pode ser renovado, não podendo, todavia, ter uma duração total superior a dez anos. O encarregado da protecção de dados só pode ser demitido das suas funções pela instituição ou órgão comunitário que o nomeou com o acordo da Autoridade Europeia para a protecção de dados, se deixar de preencher as condições exigidas para o desempenho das suas funções.

5. Após a nomeação do encarregado da protecção de dados, o seu nome é comunicado à Autoridade Europeia para a protecção de dados pela instituição ou órgão que o tenha nomeado.

6. São postos à disposição do encarregado da protecção de dados pela instituição ou órgão comunitário que o tenha nomeado o pessoal e os recursos necessários ao desempenho das suas funções.

7. O encarregado da protecção dos dados não pode receber instruções no desempenho das suas funções.

8. Serão adoptadas regras de execução complementares, pelas instituições ou órgãos comunitários, nos termos do anexo. Essas regras incidirão sobre as funções e as competências do encarregado da protecção de dados.

Artigo 25.o

Notificação do encarregado da protecção de dados

1. Antes de proceder a qualquer operação ou conjunto de operações de tratamento, com uma ou várias finalidades interligadas, o responsável pelo tratamento deve comunicar esse facto ao encarregado da protecção de dados.

2. As informações devem incluir:

a) O nome e endereço do responsável pelo tratamento e a indicação dos serviços de uma instituição ou um órgão encarregados do tratamento de dados pessoais para uma finalidade específica;

b) A ou as finalidades do tratamento;

c) Uma descrição da ou das categorias de pessoas em causa e dos dados ou categorias de dados que lhes digam respeito;

d) O fundamento jurídico do tratamento a que os dados se destinam;

e) A ou as categorias de destinatários a quem os dados poderão ser comunicados;

f) Uma indicação geral dos prazos em matéria de bloqueio e apagamento das diferentes categorias de dados;

g) As transferências de dados previstas para países terceiros ou organizações internacionais;

h) Uma descrição geral que permita efectuar uma avaliação prévia da adequação das medidas tomadas para garantir a segurança do tratamento nos termos do artigo 22.o

3. O encarregado da protecção de dados deve ser imediatamente informado de qualquer alteração que afecte as informações previstas no n.o 2.

Artigo 26.o

Registo

Cada encarregado da protecção de dados deve manter um registo das operações de tratamento notificadas nos termos do artigo 25.o

Os registos devem conter, pelo menos, as informações indicadas no n.o 2, alíneas a) a g), do artigo 25.o. Os registos podem ser consultados por qualquer pessoa, directa ou indirectamente ou por intermédio da Autoridade Europeia para a protecção de dados.

SECÇÃO 9

CONTROLO PRÉVIO PELA AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS E OBRIGAÇÃO DE COOPERAÇÃO

Artigo 27.o

Controlo prévio

1. As operações de tratamento que possam apresentar riscos específicos para os direitos e liberdades das pessoas em causa, devido à sua natureza, âmbito ou finalidade, são sujeitas a controlo prévio pela Autoridade Europeia para a protecção de dados.

2. As operações de tratamento susceptíveis de apresentar esses riscos são as seguintes:

a) Tratamento de dados relativos à saúde e tratamento de dados relativos a suspeitas, infracções, condenações penais ou medidas de segurança;

b) Tratamento de dados destinado a apreciar a personalidade das pessoas em causa, nomeadamente a sua competência, eficácia ou comportamento;

c) Tratamento de dados que permitam interconexões, não previstas pela legislação nacional ou comunitária, entre os dados tratados para finalidades distintas;

d) Tratamento de dados destinado a excluir pessoas do benefício de um direito, de uma prestação ou de um contrato.

3. Os controlos prévios são realizados pela Autoridade Europeia para a protecção de dados após recepção da notificação do encarregado da protecção de dados que, em caso de dúvida quanto à necessidade de controlo prévio, deve consultar a Autoridade Europeia para a protecção de dados.

4. A Autoridade Europeia para a protecção de dados deve dar parecer no prazo de dois meses a contar da recepção da notificação. A contagem desse prazo pode ser suspensa, enquanto a Autoridade Europeia para a protecção de dados não tiver recebido as informações complementares pedidas. Quando a complexidade do processo o imponha, esse prazo pode ser igualmente prorrogado por mais dois meses por decisão da Autoridade Europeia para a protecção de dados. O responsável pelo tratamento será notificado dessa decisão antes do termo do prazo inicial de dois meses.

Se, no termo do prazo de dois meses, eventualmente prorrogado, não tiver sido dado parecer, forma-se um parecer favorável.

Se, na opinião da Autoridade Europeia para a protecção de dados, o tratamento objecto de comunicação puder implicar a violação de uma disposição do presente regulamento, aquela apresentará, eventualmente, propostas adequadas para evitar essa violação. Se o responsável pelo tratamento não o modificar nesse sentido, a Autoridade Europeia para a protecção de dados poderá usar dos poderes que lhe são conferidos pelo n.o 1 do artigo 47.o

5. A Autoridade Europeia para a protecção de dados deve manter um registo das operações de tratamento que lhe forem comunicadas nos termos do n.o 2. O registo deve conter as informações enumeradas no artigo 25.o e pode ser consultado por qualquer pessoa.

Artigo 28.o

Consulta

1. As instituições e os órgãos comunitários informam a Autoridade Europeia para a protecção de dados da elaboração de medidas administrativas relativas ao tratamento de dados pessoais que envolvam uma instituição ou órgão comunitário, individualmente ou em conjunto.

2. Quando aprovar uma proposta legislativa relativa à protecção dos direitos e liberdades das pessoas no que se refere ao tratamento de dados pessoais, a Comissão deve consultar a Autoridade Europeia para a protecção de dados.

Artigo 29.o

Obrigação de informação

As instituições e órgãos comunitários devem informar a Autoridade Europeia para a protecção de dados das medidas adoptadas na sequência das suas decisões ou autorizações referidas na alínea h) do artigo 46.o

Artigo 30.o

Obrigação de cooperar

A pedido da Autoridade Europeia para a protecção de dados, os responsáveis pelo tratamento de dados devem prestar-lhe assistência no desempenho das suas funções, em especial fornecendo as informações a que se refere o n.o 2, alínea a), do artigo 47.o e facultando-lhe o acesso previsto no n.o 2, alínea b), do artigo 47.o

Artigo 31.o

Dever de resposta a alegações

Em resposta ao exercício da competência da Autoridade Europeia para a protecção de dados, conferida nos termos do n.o 1, alínea b), do artigo 47.o, o responsável pelo tratamento em causa deve comunicar-lhe a sua opinião, num prazo razoável que aquela Autoridade estabelecer. Essa resposta inclui igualmente uma descrição das medidas eventualmente adoptadas na sequência das observações da Autoridade Europeia para a protecção de dados.

CAPÍTULO III

RECURSOS

Artigo 32.o

Recursos

1. O Tribunal de Justiça das Comunidades Europeias é competente para conhecer de todos os litígios relacionados com o disposto no presente regulamento, incluindo acções de indemnização.

2. Sem prejuízo de um recurso judicial, qualquer pessoa em causa pode apresentar reclamações à Autoridade Europeia para a protecção de dados, se considerar que os direitos que lhe são reconhecidos no artigo 286.o do Tratado foram violados na sequência do tratamento dos seus dados pessoais por uma instituição ou um órgão comunitário.

A falta de resposta da Autoridade Europeia para a protecção de dados num prazo de seis meses equivale a uma decisão de indeferimento da reclamação.

3. Cabe recurso para o Tribunal de Justiça das Comunidades Europeias das decisões da Autoridade Europeia para a protecção de dados.

4. Qualquer pessoa que tenha sofrido um dano por tratamento ilícito ou acção incompatível com o presente regulamento, tem o direito a reparação do dano causado nos termos do artigo 288.o do Tratado.

Artigo 33.o

Reclamações do pessoal das Comunidades

Qualquer pessoa empregada numa instituição ou órgão comunitário pode, sem passar pela via oficial, apresentar uma reclamação à Autoridade Europeia para a protecção de dados por alegada violação de disposições do presente regulamento aplicáveis ao tratamento de dados pessoais. Ninguém pode ser prejudicado por ter apresentado uma reclamação à Autoridade Europeia para a protecção de dados sobre uma alegada violação das disposições que regulam o tratamento de dados pessoais.

CAPÍTULO IV

PROTECÇÃO DE DADOS PESSOAIS E DA VIDA PRIVADA NO ÂMBITO DAS REDES INTERNAS DE TELECOMUNICAÇÕES

Artigo 34.o

Âmbito

Sem prejuízo das outras disposições do presente regulamento, o presente Capítulo é aplicável ao tratamento de dados pessoais relacionado com a utilização de redes ou equipamentos terminais de telecomunicações que operem sob o controlo de uma instituição ou órgão comunitário.

Para efeitos do presente capítulo, entende-se por “utilizador”, qualquer pessoa singular que utilize uma rede ou um equipamento terminal de telecomunicações que opere sob o controlo de uma instituição ou órgão comunitário.

Artigo 35.o

Segurança

1. As instituições e os órgãos comunitários tomam todas as medidas técnicas e organizativas adequadas para garantir a segurança da utilização das redes e equipamentos terminais de telecomunicações, se necessário conjuntamente com os prestadores de serviços públicos de telecomunicações ou os fornecedores de redes públicas. Essas medidas devem assegurar um nível de segurança adequado aos riscos existentes, tendo em conta as possibilidades técnicas mais recentes e os custos da execução dessas medidas.

2. Quando se verifique um risco particular que não permita garantir a segurança da rede e dos equipamentos terminais, a instituição ou o órgão comunitário em causa informa os utilizadores acerca desse risco e das medidas susceptíveis de o eliminar, bem como de meios de comunicação alternativos.

Artigo 36.o

Confidencialidade das comunicações

As instituições e os órgãos comunitários garantem a confidencialidade das comunicações efectuadas através de redes e equipamentos terminais de telecomunicações respeitando os princípios gerais do direito comunitário.

Artigo 37.o

Dados de tráfego e de facturação

1. Sem prejuízo do disposto nos n.os 2, 3 e 4, os dados de tráfego relativos aos utilizadores, tratados e conservados para estabelecer chamadas ou outros tipos de ligações nas redes de telecomunicações, devem ser apagados ou tornados anónimos após a conclusão da chamada ou ligação em causa.

2. Se necessário, os dados relativos ao tráfego indicados na lista acordada pela Autoridade Europeia para a protecção de dados podem ser objecto de tratamento, para efeitos de gestão do orçamento das telecomunicações e do tráfego, incluindo a verificação da utilização autorizada do sistema de telecomunicações. Esses dados devem ser apagados ou tornados anónimos logo que possível e o mais tardar seis meses após a sua recolha, excepto se a sua conservação posterior for necessária para a declaração, o exercício ou a defesa de um direito no âmbito de uma acção judicial pendente num tribunal.

3. O tratamento dos dados relativos ao tráfego e à facturação só pode ser realizado pelas pessoas responsáveis pela gestão da facturação, do tráfego ou do orçamento.

4. Os utilizadores de redes de telecomunicações têm o direito de receber facturas ou outros registos não detalhados das chamadas efectuadas.

Artigo 38.o

Listas de utilizadores

1. Os dados pessoais inseridos nas listas de utilizadores impressas ou electrónicas e o acesso a essas listas devem limitar-se ao estritamente necessário para os fins específicos das listas.

2. As instituições e órgãos comunitários tomam todas as medidas necessárias para impedir que os dados pessoais incluídos nestas listas, independentemente de estas serem ou não acessíveis ao público, sejam utilizados para fins de “marketing” directo.

Artigo 39.o

Apresentação e restrição da identificação da linha chamadora e da linha conectada

1. Quando seja oferecida a apresentação da identificação da linha chamadora, o utilizador chamador deve ter a possibilidade de, através de um meio simples e gratuito, eliminar a apresentação da identificação da linha chamadora.

2. Quando seja oferecida a apresentação da identificação da linha chamadora, o utilizador chamado deve ter a possibilidade de, através de um meio simples e gratuito, impedir a apresentação da identificação da linha chamadora das chamadas de entrada.

3. Quando seja oferecida a apresentação da identificação da linha chamadora, o utilizador chamado deve ter a possibilidade de, através de um meio simples e gratuito, eliminar a apresentação da identificação da linha conectada ao utilizador autor da chamada.

4. Se for oferecida a apresentação da identificação da linha chamadora ou da linha conectada, as instituições e os órgãos comunitários devem informar os utilizadores desse facto e das possibilidades previstas nos n.os 1, 2 e 3.

Artigo 40.o

Derrogações

As instituições e os órgãos comunitários garantem a transparência dos processos que regulam o modo como podem anular a eliminação da apresentação da identificação da linha chamadora:

a) Por um período de tempo limitado, a pedido de um utilizador que pretenda determinar a origem de chamadas mal-intencionadas ou incomodativas;

b) Numa base linha a linha, para as organizações que recebam chamadas de emergência, por forma a poderem responder a essas chamadas.

CAPÍTULO V

AUTORIDADE INDEPENDENTE DE CONTROLO: AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS

Artigo 41.o

Autoridade Europeia para a protecção de dados

1. É criada uma autoridade independente de controlo denominada Autoridade Europeia para a protecção de dados.

2. No que se refere ao tratamento de dados pessoais, a Autoridade Europeia para a protecção de dados é encarregada de assegurar que os direitos e liberdades fundamentais das pessoas singulares, especialmente o direito à vida privada, sejam respeitados pelas instituições e órgãos comunitários.

A Autoridade Europeia para a protecção de dados é encarregada do controlo e da execução das disposições do presente regulamento e de qualquer outro acto comunitário relativo à protecção dos direitos e liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais por uma instituição ou órgão comunitário, e por aconselhar as instituições e órgãos comunitários e as pessoas em causa sobre todas as questões relativas ao tratamento de dados pessoais. Para esses fins, deve desempenhar as funções previstas no artigo 46.o e exercer a competência que lhe é conferida no artigo 47.o

Artigo 42.o

Nomeação

1. O Parlamento Europeu e o Conselho nomeiam, de comum acordo e por um período de cinco anos, a Autoridade Europeia para a protecção de dados, com base numa lista estabelecida pela Comissão na sequência de um concurso público de candidaturas.

Segundo o mesmo procedimento e por igual período de tempo, será nomeada uma Autoridade-Adjunta que coadjuvará a Autoridade em todas as suas funções e a substituirá em caso de ausência ou impedimento.

2. A Autoridade Europeia para a protecção de dados é escolhida entre pessoas que ofereçam todas as garantias de independência e de reconhecida experiência e competência para o desempenho das funções de Autoridade Europeia para a protecção de dados decorrentes, nomeadamente, de pertencerem ou terem pertencido às autoridades de controlo referidas no artigo 28.o da Directiva 95/46/CE.

3. O mandato da Autoridade Europeia para a protecção de dados é renovável.

4. Além das renovações regulares e por morte, as funções da Autoridade Europeia para a protecção de dados cessam com a demissão ou a destituição nos termos do n.o 5.

5. A Autoridade Europeia para a protecção de dados pode ser declarada demissionária ou perder o seu direito a pensão ou a outros benefícios equivalentes, por decisão do Tribunal de Justiça, a pedido do Parlamento Europeu, do Conselho ou da Comissão, se deixar de preencher os requisitos necessários ao exercício das suas funções ou tiver cometido uma falta grave.

6. Nos casos de renovação regular e de demissão, a Autoridade Europeia para a protecção de dados permanece, todavia, em funções até se proceder à sua substituição.

7. Os artigos 12.o a 15.o e 18.o do Protocolo relativo aos Privilégios e Imunidades das Comunidades Europeias são igualmente aplicáveis à Autoridade Europeia para a protecção de dados.

8. Os n.os 2 a 7 são aplicáveis à Autoridade-Adjunta.

Artigo 43.o

Estatuto e condições gerais de exercício de funções da Autoridade Europeia para a protecção de dados, recursos humanos e financeiros

1. O Parlamento Europeu, o Conselho e a Comissão estabelecem de comum acordo o estatuto e as condições gerais de exercício das funções da Autoridade Europeia para a protecção de dados e, em especial, o seu vencimento, os seus subsídios e quaisquer benefícios equivalentes a remuneração.

2. A autoridade orçamental garante que a Autoridade Europeia para a protecção de dados disponha dos recursos humanos e financeiros necessários ao desempenho das suas funções.

3. O orçamento da Autoridade Europeia para a protecção de dados consta de uma rubrica específica da secção VIII do Orçamento Geral da União Europeia.

4. A Autoridade Europeia para a protecção de dados é assistida por um secretariado. Os funcionários e outros agentes do secretariado são nomeados pela Autoridade Europeia para a protecção de dados que é o seu superior hierárquico e de quem dependem exclusivamente. O seu número é designado anualmente no âmbito do exercício orçamental.

5. Os funcionários e outros agentes do secretariado da Autoridade Europeia para a protecção de dados estão sujeitos às regras e regulamentação aplicáveis aos funcionários e outros agentes das Comunidades Europeias.

6. No que diz respeito ao pessoal que lhe está adstrito, a Autoridade Europeia para a protecção de dados é equiparada às instituições nos termos do artigo 1.o do Estatuto dos Funcionários das Comunidades Europeias.

Artigo 44.o

Independência

1. A Autoridade Europeia para a protecção de dados é totalmente independente no desempenho das suas funções.

2. No exercício das suas funções, a Autoridade Europeia para a protecção de dados não solicita nem aceita instruções de outrem.

3. A Autoridade Europeia para a protecção de dados deve abster-se de qualquer acto incompatível com as suas funções e, durante o seu mandato, não pode desempenhar qualquer outra actividade profissional, remunerada ou não.

4. Cessadas as suas funções, a Autoridade Europeia para a protecção de dados deve agir com integridade e discrição relativamente à aceitação de determinadas funções e benefícios.

Artigo 45.o

Sigilo profissional

A Autoridade Europeia para a protecção de dados e o seu pessoal ficam, durante o respectivo mandato e após a cessação deste, sujeitos à obrigação de sigilo profissional quanto às informações confidenciais a que tenham tido acesso no desempenho das suas funções.

Artigo 46.o

Funções

A Autoridade Europeia para a protecção de dados deve:

a) Ouvir e investigar as reclamações e informar do resultado as pessoas em causa num prazo razoável;

b) Realizar inquéritos por sua iniciativa ou com base numa reclamação e informar do resultado as pessoas em causa num prazo razoável;

c) Controlar e garantir a aplicação do presente regulamento e de qualquer outro acto comunitário relativo à protecção de pessoas singulares no que se refere ao tratamento de dados pessoais por qualquer instituição ou órgão comunitário, com excepção do Tribunal de Justiça das Comunidades Europeias no exercício das suas funções judiciais;

d) Aconselhar, por sua própria iniciativa ou em resposta a uma consulta, todas as instituições e órgãos comunitários, sobre o conjunto das matérias relativas ao tratamento de dados pessoais, nomeadamente antes de estas instituições e órgãos elaborarem regras internas sobre a protecção dos direitos e liberdades fundamentais em relação ao tratamento de dados pessoais;

e) Acompanhar factos novos com interesse, na medida em que incidam na protecção de dados pessoais, nomeadamente, a evolução das tecnologias da informação e das comunicações;

f) i) Cooperar com as autoridades nacionais de controlo referidas no artigo 28.o da Directiva 95/46/CE dos países a que esta é aplicável, na medida do necessário ao cumprimento das suas obrigações respectivas, nomeadamente procedendo ao intercâmbio de todas as informações úteis, solicitando a essas autoridades ou órgãos que exerçam as suas competências ou respondendo a um pedido dessas autoridades ou órgãos;

ii) Cooperar igualmente com órgãos de controlo da protecção de dados por força do título VI do Tratado da União Europeia, nomeadamente para melhorar a coerência na aplicação das normas e processos cujo respeito devam assegurar;

g) Participar nas actividades do “grupo de protecção das pessoas no que diz respeito ao Tratamento de dados pessoais”, criado pelo artigo 29.o da Directiva 95/46/CE;

h) Determinar, fundamentar e publicar as excepções, garantias, autorizações e condições referidas nos n.os 2.b), 4, 5 e 6 do artigo 10.o, no n.o 2 do artigo 12.o, no artigo 19.o e no n.o 2 do artigo 37.o;

i) Manter um registo das operações de tratamento de dados que lhe sejam notificadas nos termos do n.o 2 do artigo 27.o e registadas nos termos do n.o 5 do mesmo artigo, e fornecer os meios de acesso aos registos mantidos pelos encarregados da protecção de dados nos termos do artigo 26.o;

j) Efectuar controlos prévios das operações de tratamento que lhe sejam notificadas;

k) Elaborar o seu regulamento interno.

Artigo 47.o

Competência

1. A Autoridade Europeia para a protecção de dados pode:

a) Aconselhar as pessoas em causa no exercício dos seus direitos;

b) Recorrer ao responsável pelo tratamento em caso de alegada violação das disposições que regulam o tratamento de dados pessoais, podendo, eventualmente, apresentar propostas para reparar essa violação e melhorar a protecção das pessoas em causa;

c) Ordenar que os pedidos de exercício de determinados direitos em relação aos dados sejam satisfeitos quando esses pedidos tenham sido indeferidos em violação dos artigos 13.o a 19.o;

d) Emitir advertências ou admoestações ao responsável pelo tratamento;

e) Ordenar a rectificação, o bloqueio, o apagamento ou a eliminação de todos os dados que tenham sido objecto de tratamento em violação das disposições que regulam o tratamento de dados pessoais e a notificação dessas medidas a terceiros a quem tenham sido divulgados esses dados;

f) Proibir temporária ou definitivamente um tratamento de dados;

g) Recorrer à instituição ou órgão comunitário em causa e, se necessário, ao Parlamento Europeu, ao Conselho e à Comissão;

h) Recorrer para o Tribunal de Justiça das Comunidades Europeias nas condições previstas no Tratado;

i) Intervir em processos judiciais no Tribunal de Justiça das Comunidades Europeias.

2. A Autoridade Europeia para a protecção de dados está habilitada a:

a) Obter, de qualquer responsável pelo tratamento de dados ou de uma instituição ou organismo comunitário, o acesso a todos os dados pessoais, bem como a todas as informações necessárias aos seus inquéritos;

b) Obter o acesso a todos os locais em que um responsável pelo tratamento de dados ou uma instituição ou organismo comunitário desenvolvam as suas actividades, quando exista um motivo razoável para presumir que nesses locais é exercida uma actividade prevista no presente regulamento.

Artigo 48.o

Relatório de actividades

1. A Autoridade Europeia para a protecção de dados apresenta ao Parlamento Europeu, ao Conselho e à Comissão um relatório anual de actividades, que mandará publicar em paralelo.

2. A Autoridade Europeia transmite o relatório de actividade aos restantes órgãos e instituições da União Europeia, que podem apresentar comentários para um eventual debate do relatório no Parlamento Europeu, nomeadamente no que se refere à descrição das medidas tomadas em resposta às observações da Autoridade Europeia para a protecção de dados feitas ao abrigo do artigo 31.o

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Artigo 49.o

Sanções

Qualquer incumprimento, intencional ou por negligência, das obrigações decorrentes do presente regulamento, por um funcionário ou outro agente das Comunidades Europeias, é passível de sanção disciplinar, nos termos do Estatuto dos Funcionários das Comunidades Europeias ou dos regimes aplicáveis aos outros agentes.

Artigo 50.o

Período transitório

As instituições e órgãos comunitários tomam as medidas necessárias para que as operações de tratamento iniciadas à data de entrada em vigor do presente regulamento, sejam tornadas compatíveis com ele no prazo de um ano a contar dessa data.

Artigo 51.o

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial das Comunidades Europeias.

O presente regulamento é obrigatório em todos os seus elementos e directamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 18 de Dezembro de 2000.

Pelo Parlamento Europeu

A presidente

N. Fontaine

Pelo Conselho

O Presidente

D. Voynet

(1) JO C 376 E de 28.12.1999, p. 24.

(2) JO C 51 de 23.2.2000, p. 48.

(3) Parecer do Parlamento Europeu de 14 de Novembro de 2000 e decisão do Conselho de 30 de Novembro de 2000.

(4) JO L 281 de 23.11.1995, p. 31.

(5) JO L 24 de 30.1.1998, p. 1.

(6) JO L 52 de 22.2.1997, p. 1.

(7) JO L 318 de 27.11.1998, p. 8.

(8) JO L 151 de 15.6.1990, p. 1. Regulamento com a redacção que lhe foi dada pelo Regulamento (CE) n.o 322/97 (JO L 52 de 22.2.1997, p. 1).

ANEXO

1. O encarregado da protecção de dados pode apresentar, à instituição ou ao órgão comunitário que o nomeou, recomendações destinadas a melhorar concretamente a protecção de dados, e a aconselhar aquelas entidades, bem como o responsável pelo tratamento em causa, sobre matérias relativas à aplicação das disposições referentes à protecção de dados. Além disso, por sua própria iniciativa ou a pedido da instituição ou do órgão comunitário que o nomeou, do responsável pelo tratamento, do Comité de Pessoal ou de qualquer pessoa, pode investigar questões e factos directamente relacionados com as suas funções e de que tenha tido conhecimento e apresentar relatório à pessoa que pediu a investigação e/ou ao responsável pelo tratamento.

2. O encarregado da protecção de dados pode ser consultado pela instituição ou pelo órgão comunitários que o nomeou, pelo responsável pelo tratamento em causa, pelo Comité do Pessoal ou por qualquer outra pessoa, sem necessidade de recorrer à via oficial, sobre qualquer questão relativa à interpretação ou aplicação do regulamento.

3. Ninguém pode ser prejudicado por ter levado ao conhecimento do encarregado da protecção de dados competente uma alegada violação das disposições do presente regulamento.

4. O responsável pelo tratamento em causa deve prestar assistência ao encarregado da protecção de dados no cumprimento da sua missão e fornecer-lhe as informações solicitadas. No desempenho das suas funções, o encarregado da protecção de dados tem acesso, a qualquer momento, aos dados sujeitos a tratamento e a todos os gabinetes, instalações de tratamento de dados e suportes informáticos.

5. Na medida do necessário, o encarregado da protecção de dados fica dispensado de outras actividades. O encarregado da protecção de dados e o pessoal que lhe está adstrito, a quem se aplica o disposto no artigo 287.o do Tratado, não podem divulgar informações ou documentos a que tenham acesso no desempenho das suas funções.