Protecção dos dados pessoais

A Diretiva 95/46/CE constitui o texto de referência, a nível europeu, em matéria de proteção dos dados pessoais. Institui um quadro regulamentar a fim de estabelecer um equilíbrio entre um nível elevado de proteção da vida privada das pessoas e a livre circulação de dados pessoais no interior da União Europeia (UE). Para este efeito, fixa limites estritos à recolha e à utilização de dados pessoais e solicita a criação, em cada Estado-Membro, de um organismo nacional independente encarregado do controlo de todas as atividades relacionadas com o tratamento de dados pessoais.

ATO

Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados [Ver atos modificativos].

SÍNTESE

A presente diretiva aplica-se aos dados tratados por meios automatizados (base de dados informática de clientes, por exemplo), bem como aos dados contidos ou destinados a figurar num ficheiro não automatizado (ficheiros de papel tradicionais).

A diretiva não se aplica ao tratamento de dados:

• Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas.
• Efetuado no exercício de atividades não sujeitas à aplicação do direito comunitário, como a segurança pública, a defesa ou a segurança do Estado.

A diretiva destina-se a proteger os direitos e as liberdades das pessoas no que diz respeito ao tratamento de dados pessoais, através da adoção dos critérios essenciais que conferem licitude ao tratamento e dos princípios relativos à qualidade dos dados.

O tratamento de dados só poderá ser lícito se

• a pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou
• o tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte; ou
• o tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito; ou
• o tratamento for necessário para a proteção de interesses vitais da pessoa em causa; ou
• o tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro; ou
• o tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa.

Os princípios relativos à qualidade dos dados que devem ser aplicados em todas as atividades de tratamento lícito de dados são os seguintes:

• os dados pessoais devem ser objeto de um tratamento leal e lícito, e ser recolhidos para finalidades determinadas, explícitas e legítimas. Devem, além disso, ser adequados, pertinentes e não excessivos, exatos e, se necessário, atualizados. Não devem ser conservados por um período superior ao necessário e serão utilizados exclusivamente para as finalidades para que foram recolhidos;
• as categorias específicas de tratamentos: deve proibir-se o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual. Esta disposição comporta reservas relativas, por exemplo, a casos em que o tratamento seja necessário para proteger interesses vitais da pessoa em causa ou para efeitos de medicina preventiva e diagnósticos médicos.

A pessoa cujos dados são tratados, a pessoa em causa, pode beneficiar dos seguintes direitos:

• o direito de obterinformação : o responsável pelo tratamento deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito um certo número de informações (identidade do responsável pelo tratamento, finalidades do tratamento, destinatários dos dados, etc.).
• o direito de acesso destas pessoas aos dados: todas as pessoas em causa devem ter o direito de obter do responsável pelo tratamento;
• o direito de oposição aos tratamentos de dados: a pessoa em causa deve ter o direito de se opor, por motivos legítimos, a que os dados que lhe digam respeito sejam objeto de tratamento. Deve igualmente poder opor-se, a seu pedido e gratuitamente, ao tratamento de dados previsto para efeitos de prospeção. Deve ainda ser informada antes de os dados serem comunicados a terceiros para efeitos de prospeção e ter o direito de se opor a essa comunicação;

Outros aspetos relevantes em matéria de tratamento de dados:

• as derrogações e restrições relativas aos direitos da pessoa em causa: o alcance dos princípios relativos à qualidade dos dados, à informação da pessoa em causa, ao direito de acesso e à publicidade dos tratamentos pode ser restringido a fim de salvaguardar, por exemplo, a segurança do Estado, a defesa, a segurança pública, a repressão de infrações penais, um interesse económico ou financeiro importante de um Estado-Membro ou da UE, ou a proteção da pessoa em causa.
• a confidencialidade e segurança do tratamento: qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante (bem como o próprio subcontratante), tenha acesso a dados pessoais, não pode tratá-los sem instruções do responsável pelo tratamento. Por outro lado, o responsável pelo tratamento deve pôr em prática medidas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado.
• a notificação dos tratamentos a uma autoridade de controlo: o responsável pelo tratamento deve notificar a autoridade de controlo nacional antes da realização de qualquer tratamento. Após a receção da notificação, a autoridade de controlo procede a exames prévios sobre eventuais riscos relacionados com os direitos e liberdades das pessoas em causa. Deve assegurar-se a publicidade dos tratamentos e as autoridades de controlo deverão manter um registo dos tratamentos notificados.

Qualquer pessoa deve poder recorrer aos tribunais em caso de violação dos direitos garantidos pelas disposições nacionais aplicáveis ao tratamento em questão. Além disso, qualquer pessoa que tiver sofrido um prejuízo devido a um tratamento ilícito de dados pessoais que lhe digam respeito tem o direito de obter reparação pelo prejuízo sofrido.

As transferências de dados pessoais de um Estado-Membro para um país terceiro que assegure um nível de proteção adequado são autorizadas. Contudo, embora não possam ser efetuadas transferências que não disponham da garantia de um nível adequado de proteção, a presente diretiva prevê várias exceções a esta regra, nomeadamente quando a pessoa em causa dá o seu consentimento à transferência, no caso de celebração de um contrato, quando um interesse público assim o exigir, mas também sempre que tiverem sido autorizadas pelo Estado-Membro regras vinculativas das empresas ou cláusulas contratuais-tipo.

A diretiva visa promover a elaboração de códigos de conduta nacionais e comunitários destinados a contribuir para a boa execução das disposições nacionais e comunitárias.

Cada Estado-Membro estabelecerá que uma ou mais autoridades públicas independentes serão responsáveis pelo controlo, no seu território, da aplicação das disposições adotadas pelos Estados-Membros em execução da presente diretiva.

É criado um grupo de proteção dos dados pessoais, composto por representantes das autoridades de controlo nacionais, por representantes das autoridades de controlo das instituições e organismos comunitários e por um representante da Comissão.

ATOS RELACIONADOS

RELATÓRIO DE IMPLEMENTAÇÃO

Comunicação da Comissão, de 7 de março de 2007, ao Parlamento Europeu e ao Conselho intitulada: «Acompanhamento do programa de trabalho para uma melhor aplicação da Diretiva relativa à proteção de dados» [ COM(2007) 87 final - Não publicada no Jornal Oficial].

Esta comunicação analisou o trabalho realizado no quadro do programa de trabalho para uma melhor aplicação da diretiva relativa à proteção de dados incluído no Primeiro relatório sobre a implementação da Diretiva 95/46/CE. A Comissão sublinhou os progressos na aplicação e que todos os Estados-Membros transpuseram a diretiva.

Salientou que a diretiva não deve ser alterada e acrescenta que:

• continuará a trabalhar com os Estados-Membros e, se necessário, iniciará processos de infração;
• elaborará uma comunicação sobre a interpretação de certas disposições da diretiva;
• prosseguirá a aplicação do programa de trabalho;
• apresentará, no caso de uma evolução tecnológica importante num domínio específico, uma legislação sectorial a nível da EU;
• prosseguirá a sua cooperação com os parceiros externos, em especial os Estados Unidos.

Relatório da Comissão, de 15 de maio de 2003, intitulado: «Primeiro relatório sobre a implementação da diretiva relativa à proteção de dados (95/46/CE)» [ COM(2003) 265 final - Não publicado no Jornal Oficial].

O relatório apresentou, nomeadamente, os resultados das consultas levadas a cabo pela Comissão sobre a avaliação da Diretiva 95/46/CE junto de governos, instituições, associações de empresas e de consumidores e cidadãos. Esses resultados mostraram que poucos participantes advogaram uma revisão da diretiva. Além do mais, após a consulta dos Estados-Membros, a Comissão verificou que a maioria destes Estados, assim como as autoridades de controlo nacionais, não consideravam necessário alterar a diretiva neste momento.

Apesar das lacunas e dos atrasos observados, a diretiva cumpriu o seu objetivo principal de remover as barreiras à livre circulação de dados pessoais entre os Estados-Membros. A Comissão entendeu, aliás, que o objetivo de garantir um alto nível de proteção na Comunidade foi atingido, já que a diretiva estabeleceu alguns dos níveis mais elevados de proteção de dados a nível mundial.

No entanto, há outros objetivos da política do mercado interno que não são tão bem conseguidos. A legislação em matéria de proteção de dados apresenta ainda consideráveis divergências entre os Estados-Membros, que impedem as organizações multinacionais de definir políticas pan-europeias neste domínio. A Comissão anunciou, pois, que tomaria providências para remediar esta situação, evitando, na medida do possível, o recurso a uma ação formal.

No que se refere ao nível geral de respeito pela legislação sobre a proteção de dados na UE, há três dificuldades a destacar:

• os recursos atribuídos ao controlo da execução são insuficientes;
• o cumprimento das regras por parte dos responsáveis pelo tratamento dos dados é muito desigual;
• o nível de conhecimento dos seus direitos entre os titulares dos dados é aparentemente baixo, podendo estar na base do fenómeno anterior.

A fim de assegurar uma melhor aplicação da diretiva relativa à proteção de dados, a Comissão adotou um programa de trabalho que comporta uma série de ações a desenvolver entre a adoção do presente relatório e o final de 2004. Estas ações compreendem as seguintes iniciativas:

• Conversações com os Estados-Membros e as autoridades responsáveis pela proteção de dados sobre as alterações a introduzir nas respetivas legislações nacionais para as tornar inteiramente conformes com os requisitos da diretiva.
• Participação dos países candidatos nos esforços para se conseguir uma melhor e mais uniforme implementação da diretiva.
• Melhor notificação de todos os atos jurídicos de transposição da diretiva.
• Simplificação dos requisitos para as transferências internacionais de dados.
• Promoção de tecnologias que reforcem a proteção da privacidade.
• Promoção da autorregulação e dos códigos de conduta europeus.

DIRETIVA RELATIVA À PRIVACIDADE E ÀS COMUNICAÇÕES ELETRÓNICAS

Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas (diretiva relativa à privacidade e às comunicações eletrónicas) (Jornal Oficial L 201 de 31 julho 2002).

Estadiretiva foi adotada em 2002, em simultâneo com umnovo dispositivo legislativo destinado a enquadrar o sector das comunicações eletrónicas, e contém disposições sobre um certo número de temas relativamente sensíveis, como a conservação dos dados de conexão pelos Estados-Membros para efeitos de vigilância +policial (retenção de dados), o envio de mensagens eletrónicas não solicitadas, a utilização de testemunhos de conexão («cookies») e a inclusão de dados pessoais nas listas públicas.

O Regulamento (UE) n.^o 611/2013 inclui regras aplicáveis à notificação, pelos operadores de serviços de comunicações eletrónicas publicamente disponíveis, da violação de dados pessoais no caso de perda, roubo, ou de outro incidente que tenha afetado a segurança dos dados pessoais dos seus clientes.

Quando ocorre a violação de dados pessoais e os dados pessoais tenham sido comprometidos, a Diretiva 2002/58/CE obriga os operadores a comunicar a violação à autoridade nacional competente em matéria de proteção de dados (APD) e, também, em certos casos, aos assinantes afetados e a outras pessoas em causa. O Regulamento (UE) 611/2013 introduz «medidas técnicas de execução» a fim de clarificar a forma como devem ser cumpridas estas obrigações.

Os operadores devem, nomeadamente:

• notificar a violação de dados pessoais à APD competente no prazo de 24 horas após a deteção dessa violação a fim de confiná-la ao máximo.
• ter em conta o tipo de dados comprometidos para determinar se os assinantes e as pessoas em causa devem ser notificados, nomeadamente quando se trata de informações financeiras, dados de correio eletrónico, dados de acesso à Internet, histórico da navegação na Internet, etc.;
• fornecer à APD e/ou aos assinantes ou pessoas em causa relevantes informações detalhadas sobre o incidente, o teor dos dados em questão e as medidas adotadas para reparar a situação.

CLÁUSULAS CONTRATUAIS-TIPO APLICÁVEIS À TRANSFERÊNCIA DE DADOS PARA PAÍSES TERCEIROS

Decisão 2004/915/CE da Comissão, de 27 de dezembro de 2004, que altera a Decisão 2001/497/CE no que se refere à introdução de um conjunto alternativo de cláusulas contratuais típicas aplicáveis à transferência de dados pessoais para países terceiros [Jornal Oficial L 385 de 29.12.2004].

A Comissão Europeia aprovou novas cláusulas contratuais que as empresas podem utilizar para assegurar garantias adequadas nas transferências de dados pessoais da UE para países terceiros. Estas novas cláusulas juntar-se-ão às que já existem no âmbito da decisão da Comissão de junho de 2001 (ver adiante).

Decisão 2001/497/CE da Comissão, de 15 de junho de 2001, relativa às cláusulas contratuais - tipo aplicáveis à transferência de dados pessoais para países terceiros, nos termos da Diretiva 95/46/CE [Jornal Oficial L 181 de 04.07.2001].

Esta decisão define as cláusulas contratuais - tipo aptas a assegurar um nível de proteção adequado dos dados pessoais transferidos da UE para países terceiros. Cria, para os Estados-Membros, a obrigação de reconhecer que as sociedades ou organismos que utilizem estas cláusulas-tipo em contratos relativos a transferências de dados pessoais para países terceiros asseguram um «nível de proteção adequado» dos dados.

Decisão 2010/87/UE da Comissão relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho [Jornal Oficial L 39 de 12.02.2010].

Decisões da Comissão que atestam um nível adequado de proteção dos dados pessoais a um certo número de países terceiros com base no n.^o 6 do artigo 25.^o: até ao momento, a Comissão reconheceu que Andorra, a Argentina, a Austrália, o Canadá (organizações comerciais), a Suíça, as Ilhas Faroé, Guernsey, Israel, a Ilha de Man, Jersey, a Nova Zelândia, o Uruguai e os princípios da privacidade em «porto seguro» do ministério do Comércio dos EUA asseguram um nível adequado de proteção.

PROTEÇÃO DE DADOS PELAS INSTITUIÇÕES E ÓRGÃOS COMUNITÁRIOS

Regulamento 45/2001/CE do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados [Jornal Oficial L 8 de 12.01.2001].

Este regulamento pretende assegurar a proteção dos dados pessoais no âmbito das instituições e dos órgãos da União Europeia. Prevê:

• disposições que garantem um nível de proteção elevado aos dados pessoais tratados pelas instituições e pelos órgãos comunitários.
• a criação de uma instância de fiscalização independente encarregada do controlo da aplicação dessas disposições.

última atualização 08.03.2014