POSIÇÃO COMUM (CE) Nº 1/95 adoptada pelo Conselho em 20 de Fevereiro de 1995 tendo em vista a adopção da Directiva 95/. . ./CE do Parlamento Europeu e do Conselho, de . . ., relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (95/C 93/01)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o seu artigo 100ºA,

Tendo em conta a proposta da Comissão (1),

Tendo em conta o parecer do Comité Económico e Social (2),

Deliberando nos termos do procedimento previsto no artigo 189ºB do Tratado (3),

Considerando que os objectivos da Comunidade, enunciados no Tratado, com a redacção que lhe foi dada pelo Tratado da União Europeia, consistem em estabelecer uma união cada vez mais estreita entre os povos europeus, em fomentar relações mais próximas entre os Estados que pertencem à Comunidade, em assegurar o progresso económico e social mediante acções comuns para eliminar as barreiras que dividem a Europa, em promover a melhoria constante das condições de vida dos seus povos, em preservar e consolidar a paz e a liberdade e em promover a democracia com base nos direitos fundamentais reconhecidos nas Constituições e leis dos Estados-membros, bem como na Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais;

Considerando que os sistemas de tratamento de dados estão ao serviço do homem; que devem respeitar as liberdades e os direitos fundamentais das pessoas singulares, independentemente da sua nacionalidade ou da sua residência, especialmente a vida privada, e contribuir para o progresso económico e social, o desenvolvimento do comércio e o bem-estar dos indivíduos;

Considerando que o estabelecimento e o funcionamento do mercado interno no qual, nos termos do artigo 7ºA do Tratado, é assegurada a livre circulação das mercadorias, das pessoas, dos serviços e dos capitais, exigem não só que os dados pessoais possam circular livremente de um Estado-membro para outro, mas, igualmente, que sejam protegidos os direitos fundamentais das pessoas;

Considerando que o recurso ao tratamento de dados pessoais nos diversos domínios das actividades económicas e sociais é cada vez mais frequente na Comunidade; que o progresso registado nas tecnologias da informação facilita consideravelmente o tratamento e a troca dos referidos dados;

Considerando que a integração económica e social resultante do estabelecimento e funcionamento do mercado interno nos termos do artigo 7ºA do Tratado irá necessariamente provocar um aumento sensível dos fluxos transfronteiras de dados pessoais entre todos os intervenientes, privados ou públicos, da vida económica e social dos Estados-membros; que o intercâmbio de dados pessoais entre empresas estabelecidas em diferentes Estados-membros tende a intensificar-se; que as administrações dos Estados-membros são chamadas, por força do direito comunitário, a colaborar e a trocar entre si dados pessoais a fim de poderem desempenhar as suas atribuições ou executar tarefas por conta de uma administração de outro Estado-membro, no âmbito do espaço sem fronteiras internas que o mercado interno constitui;

Considerando, além disso, que o reforço da cooperação científica e técnica, bem como a introdução coordenada de novas redes de telecomunicações na Comunidade exigem e facilitam a circulação transfronteiras de dados pessoais;

Considerando que as diferenças entre os Estados-membros quanto ao nível de protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, no domínio do tratamento de dados pessoais, podem impedir a transmissão desses dados do território de um Estado-membro para o de outro Estado-membro; que esta diferença pode, por conseguinte, constituir um obstáculo ao exercício de uma série de actividades económicas à escala comunitária, falsear a concorrência e entravar o exercício pelas administrações das funções que lhes incumbem nos termos do direito comunitário; que esta diferença de níveis de protecção resulta da disparidade das disposições legislativas, regulamentares e administrativas nacionais;

Considerando que, para eliminar os obstáculos à circulação de dados pessoais, o nível de protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento destes dados deve ser equivalente em todos os Estados-membros; que a realização deste objectivo, fundamental para o mercado interno, não pode ser assegurada unicamente pelos Estados-membros, tendo especialmente em conta a dimensão das divergências que se verificam actualmente a nível das legislações nacionais aplicáveis na matéria e a necessidade de coordenar as legislações dos Estados-membros para assegurar que a circulação transfronteiras de dados pessoais seja regulada de forma coerente e em conformidade com o objectivo do mercado interno nos termos do artigo 7ºA do Tratado; que é portanto necessária uma acção comunitária com vista à aproximação das legislações;

Considerando que, devido à protecção equivalente resultante da aproximação das legislações nacionais, os Estados-membros deixarão de poder levantar obstáculos à livre circulação entre si de dados pessoais por razões de protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada; que é deixada aos Estados-membros uma margem de manobra que, no contexto da aplicação da directiva, poderá ser utilizada pelos parceiros económicos e sociais; que os Estados-membros poderão, pois, especificar na sua legislação nacional as condições gerais de licitude do tratamento de dados; que, ao fazê-lo, os Estados-membros se esforçarão por melhorar a protecção actualmente assegurada na respectiva legislação nacional; que, nos limites dessa margem de manobra e em conformidade com o direito comunitário, poderão verificar-se disparidades na aplicação da directiva, o que poderá reflectir-se na circulação de dados quer no interior de um Estado-membro quer na Comunidade;

Considerando que o objectivo das legislações nacionais relativas ao tratamento de dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais, nomeadamente do direito à vida privada, reconhecido não só no artigo 8º da Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais como nos princípios gerais do direito comunitário; que, por este motivo, a aproximação das referidas legislações não deve fazer diminuir a protecção que asseguram, devendo, pelo contrário, ter por objectivo garantir um elevado nível de protecção na Comunidade;

Considerando que os princípios da protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, contidos na presente directiva, precisam e ampliam os princípios contidos na Convenção do Conselho da Europa, de 28 de Janeiro de 1981, relativa à protecção das pessoas no que diz respeito ao tratamento automatizado de dados pessoais;

Considerando que os princípios da protecção se devem aplicar a todo e qualquer tratamento de dados pessoais por qualquer pessoa cujas actividades sejam regidas pelo direito comunitário; que se deve excluir o tratamento de dados efectuado por uma pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas, por exemplo correspondência ou listas de endereços;

Considerando que as actividades referidas nos títulos V e VI do Tratado da União Europeia, relativas à segurança pública, à segurança do Estado ou às actividades do Estado no domínio penal não são abrangidas pelo âmbito de aplicação do direito comunitário, sem prejuízo das obrigações que incumbem aos Estados-membros nos termos do nº 2 do artigo 56º e dos artigos 57º e 100ºA do Tratado; que o tratamento de dados pessoais necessário à protecção do bem-estar económico do Estado não é abrangido pela presente directiva quando esse tratamento disser respeito a questões de segurança do Estado;

Considerando que, tendo em conta a importância do desenvolvimento que, no âmbito da sociedade de informação, sofrem actualmente as técnicas de captação, transmissão, manipulação, gravação, conservação ou comunicação de dados de som e de imagem relativos às pessoas singulares, há que aplicar a presente directiva ao tratamento desses dados;

Considerando que o tratamento desses dados só é abrangido pela presente directiva se for automatizado ou se os dados tratados estiverem contidos ou se destinarem a ficheiros estruturados segundo critérios específicos relativos às pessoas, a fim de permitir um acesso fácil aos dados pessoais em causa;

Considerando que o tratamento de dados de som e de imagem, tais como os de vigilância por vídeo, não é abrangido pelo âmbito de aplicação da presente directiva se for executado para fins de segurança pública, de defesa, de segurança do Estado ou no exercício de actividades do Estado relativas a domínios do direito penal ou no exercício de outras actividades não abrangidas pelo âmbito de aplicação do direito comunitário;

Considerando que, no que se refere ao tratamento de som e de imagem para fins jornalísticos ou de expressão literária ou artística, nomeadamente no domínio do audiovisual, os princípios da directiva se aplicam de modo restrito de acordo com as disposições referidas no artigo 9º;

Considerando que, a fim de evitar que uma pessoa seja privada da protecção a que tem direito por força da presente directiva, é necessário que qualquer tratamento de dados pessoais efectuado na Comunidade respeite a legislação de um dos Estados-membros; que, nesse sentido, é conveniente que o tratamento efectuado por uma pessoa que age sob a autoridade do responsável pelo tratamento estabelecido num Estado-membro seja regido pela legislação deste Estado-membro;

Considerando que o estabelecimento no território de um Estado-membro pressupõe o exercício efectivo e real de uma actividade mediante uma instalação estável, é que, para o efeito, que a forma jurídica de tal estabelecimento, quer se trate de uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante; que, quando no território de vários Estados-membros estiver estabelecido um único responsável pelo tratamento, em especial através de uma filial, deverá assegurar, nomeadamente para evitar que a legislação seja contornada, que cada um dos estabelecimentos cumpra as obrigações impostas pela legislação nacional aplicável às respectivas actividades;

Considerando que o facto de o tratamento ser da responsabilidade de uma pessoa estabelecida num país terceiro não deve constituir obstáculo à protecção das pessoas assegurada pela presente directiva; que, nesses casos, o tratamento deverá ser regido pela legislação do Estado-membro onde se encontram os meios utilizados para o tratamento de dados em causa e que deverão oferecer-se garantias de que os direitos e as obrigações estabelecidos na presente directiva serão efectivamente respeitados;

Considerando que a presente directiva não prejudica as regras de territorialidade aplicáveis em matéria de direito penal;

Considerando que os Estados-membros precisarão, na sua legislação ou nas regras de execução adoptadas nos termos da presente directiva, as condições gerais em que o tratamento é lícito; que, nomeadamente, o artigo 5º, conjugado com os artigos 7º e 8º, permite que os Estados-membros estabeleçam, independentemente das regras gerais, condições especiais para o tratamento de dados em sectores específicos e para as diferentes categorias de dados referidas no artigo 8º;

Considerando que os Estados-membros podem assegurar a concretização da protecção das pessoas tanto por uma lei geral relativa à protecção das pessoas contra o tratamento de dados pessoais, como por leis sectoriais, por exemplo as relativas aos institutos de estatística;

Considerando que a legislação para a protecção das pessoas colectivas relativamente ao tratamento de dados que lhes dizem respeito não é afectada pela presente directiva;

Considerando que os princípios da protecção devem encontrar expressão, por um lado, nas obrigações que impendem sobre as pessoas, as autoridades públicas, as empresas, os serviços ou outros organismos responsáveis pelo tratamento de dados - em especial no que respeita à qualidade dos dados, à segurança técnica, à notificação à autoridade de controlo, às circunstâncias em que o tratamento pode ser efectuado - e, por outro, nos direitos das pessoas cujos dados são tratados serem informadas sobre esse tratamento, poderem ter acesso aos dados, poderem solicitar a sua rectificação e mesmo, em certas circunstâncias, poderem opor-se ao tratamento;

Considerando que os princípios da protecção se devem aplicar a qualquer informação relativa a uma pessoa identificada ou identificável; que, para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios susceptíveis de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por qualquer outra pessoa, para identificar a referida pessoa; que os princípios da protecção não se aplicam a dados tornados anónimos de modo tal que a pessoa já não possa ser identificável; que os códigos de conduta na acepção do artigo 27º podem ser um instrumento útil para fornecer indicações sobre os meios através dos quais os dados podem ser tornados anónimos e conservados sob uma forma que já não permita a identificação da pessoa em causa;

Considerando que a protecção das pessoas se deve aplicar tanto ao tratamento automatizado de dados como ao tratamento manual; que o âmbito desta protecção não deve, na prática, depender das técnicas utilizadas, sem que se corra o sério risco de a protecção poder ser contornada; que, em todo o caso, no que respeita ao tratamento manual, a presente directiva apenas abrange os ficheiros e não as pastas não estruturadas; que, em particular, o conteúdo de um ficheiro deve ser estruturado de acordo com critérios específicos relativos às pessoas que permitam um acesso fácil aos dados pessoais; que, em conformidade com a definição na alínea c) do artigo 2º, os diferentes critérios que permitem determinar os elementos de um conjunto estruturado de dados pessoais e os diferentes critérios que regem o acesso a esse conjunto de dados podem ser definidos por cada Estado-membro; que as pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, de modo algum se incluem no âmbito de aplicação da presente directiva;

Considerando que qualquer tratamento de dados pessoais deve ser efectuado de forma lícita e leal para com a pessoa em causa; que deve, em especial, incidir sobre dados adequados, pertinentes e não excessivos em relação às finalidades prosseguidas com o tratamento; que essas finalidades devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados; que as finalidades dos tratamentos posteriores à recolha não podem ser incompatíveis com as finalidades especificadas inicialmente;

Considerando que o tratamento posterior de dados pessoais para fins históricos, estatísticos ou científicos não é de modo geral considerado incompatível com as finalidades para as quais os dados foram previamente recolhidos, desde que os Estados-membros estabeleçam garantias adequadas; que tais garantias devem, em especial, impedir a utilização de dados em apoio de medidas ou de decisões tomadas em desfavor de uma pessoa;

Considerando que, para ser lícito, o tratamento de dados pessoais deve, além disso, ser efectuado com o consentimento da pessoa em causa ou ser necessário para a celebração ou execução de um contrato que vincule a pessoa em causa, ou para o cumprimento de uma obrigação legal, ou para a execução de uma missão de interesse público ou para o exercício da autoridade pública, ainda para a realização do interesse legítimo de uma pessoa, desde que os interesses ou os direitos e liberdades da pessoa em causa não prevaleçam; que, em especial, para assegurar o equilíbrio dos interesses em causa e garantir ao mesmo tempo uma concorrência real, os Estados-membros são livres de determinar as condições em que os dados pessoais podem ser utilizados e comunicados a terceiros no âmbito de actividades legítimas de gestão corrente das empresas e outros organismos; que, do mesmo modo, podem precisar as condições em que a comunicação a terceiros de dados pessoais pode ser efectuada para fins de mala directa ou de prospecção feita por uma instituição de solidariedade social ou outras associações ou fundações, por exemplo de carácter político, desde que respeitem as disposições que permitem à pessoa em causa opor-se, sem necessidade de fundamento ou de suportar quaisquer encargos, ao tratamento dos dados que lhe dizem respeito;

Considerando que, do mesmo modo, o tratamento de dados pessoais deve ser considerado lícito quando se destinar a proteger um interesse essencial à vida da pessoa em causa;

Considerando que cabe às legislações nacionais determinar se o responsável pelo tratamento que executa uma missão de interesse público ou exerce a autoridade pública deve ser uma administração pública ou outra pessoa sujeita ao direito público ou ao direito privado, por exemplo uma associação profissional;

Considerando que os dados susceptíveis, pela sua natureza, de pôr em causa as liberdades fundamentais ou o direito à vida privada só deverão ser tratados com o consentimento explícito da pessoa em causa; que, no entanto, devem ser expressamente previstas derrogações a esta proibição no que respeita a necessidades específicas, designadamente quando o tratamento desses dados for efectuado com certas finalidades ligadas à saúde por pessoas sujeitas por lei à obrigação de segredo profissional ou para as actividades legítimas de certas associações ou fundações que tenham por objectivo permitir o exercício das liberdades fundamentais;

Considerando que, sempre que um motivo de interesse público importante o justifique, os Estados-membros devem também ser autorizados a estabelecer derrogações à proibição de tratamento de categorias de dados sensíveis em domínios como a saúde pública e a segurança social - em especial para garantir a qualidade e a rentabilidade no que toca aos métodos utilizados para regularizar os pedidos de prestações e de serviços no regime de seguro de doença - e a investigação científica e as estatísticas públicas; que lhes incumbe, todavia, estabelecer garantias adequadas e específicas para a protecção dos direitos fundamentais e da vida privada das pessoas;

Considerando, além disso, que o tratamento de dados pessoais pelas autoridades públicas para a consecução de objectivos consagrados no direito constitucional ou no direito internacional público, em benefício de associações religiosas oficialmente reconhecidas, é efectuado por motivos de interesse público importante;

Considerando que, quando para o exercício de actividades do âmbito eleitoral, o funcionamento do sistema democrático exigir, em certos Estados-membros, que partidos políticos recolham dados sobre a opinião política das pessoas, o tratamento desses dados pode ser autorizado por motivos de grande interesse público, desde que sejam estabelecidas garantias adequadas;

Considerando que o tratamento de dados pessoais para fins jornalísticos ou de expressão artística ou literária, nomeadamente no domínio do audiovisual, deve beneficiar de derrogações ou de restrições a determinadas disposições da presente directiva, desde que tal seja necessário para conciliar os direitos fundamentais da pessoa com a liberdade de expressão, nomeadamente a liberdade de receber ou comunicar informações, tal como é garantida, nomeadamente pelo artigo 10º da Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais; que, por conseguinte, compete aos Estados-membros estabelecer, tendo em vista a ponderação dos direitos fundamentais, as derrogações e limitações necessárias que se prendam com as medidas gerais em matéria de legalidade do tratamento de dados, as medidas relativas à transferência de dados para países terceiros, bem como com as competências das autoridades de controlo; que tal facto não deverá, no entanto, levar os Estados-membros a prever derrogações às medidas destinadas a garantir a segurança do tratamento de dados; e que deverão igualmente ser atribuídas pelo menos à autoridade de controlo determinadas competências a posteriori, tais como a de publicar periodicamente um relatório ou de recorrer judicialmente;

Considerando que, para que o tratamento de dados seja leal, a pessoa em causa deve poder ter conhecimento da existência de tratamentos e obter, no momento em que os dados lhe são pedidos, uma informação rigorosa e completa das circunstâncias dessa recolha;

Considerando que por vezes se tratam dados que não foram recolhidos directamente pelo responsável junto da pessoa em causa; que, além disso, os dados podem ser legitimamente comunicados a um terceiro sem que essa comunicação estivesse prevista na altura da recolha dos dados junto da pessoa em causa; que, em todos estes casos, a pessoa em causa deve ser informada no momento do registo dos dados ou, o mais tardar, quando os dados são comunicados pela primeira vez a um terceiro;

Considerando que, no entanto, a imposição desta obrigação não é necessária caso a pessoa em causa esteja já informada; que, além disso, não existe essa obrigação caso o registo ou a comunicação dos dados estejam expressamente previstos na lei ou caso a informação da pessoa se revele impossível ou exija esforços desproporcionados, o que pode ser o caso do tratamento para fins históricos, estatísticos ou científicos; que, para este efeito, podem ser tomados em consideração o número de pessoas em causa, a antiguidade dos dados e as medidas compensatórias que podem ser tomadas;

Considerando que todas as pessoas devem poder beneficiar do direito de acesso aos dados que lhes dizem respeito e que estão em fase de tratamento, a fim de assegurar, nomeadamente, a sua exactidão e a licitude do tratamento; que, pelas mesmas razões, todas as pessoas devem além disso ter o direito de conhecer a lógica subjacente ao tratamento automatizado dos dados que lhe dizem respeito, pelo menos no caso das decisões automatizadas referidas no nº 1 do artigo 15º; que este último direito não deve prejudicar a propriedade intelectual, nomeadamente o direito de autor que protege o suporte lógico; que tal, todavia, não poderá traduzir-se na recusa de qualquer informação à pessoa em causa;

Considerando que, no interesse da pessoa em causa ou com o objectivo de proteger os direitos e liberdades de outrem, os Estados-membros podem limitar os direitos de acesso e de informação; que, por exemplo, podem precisar que o acesso aos dados médicos só poderá ser obtido por intermédio de um profissional da saúde;

Considerando que as restrições aos direitos de acesso e informação e a certas obrigações do responsável pelo tratamento devem igualmente ser previstas pelos Estados-membros na medida em que sejam estritamente necessárias para proteger, por exemplo, a segurança do Estado, a defesa, a segurança pública, os interesses económicos ou financeiros importantes de um Estado-membro ou da União Europeia, e à investigação e repressão de infracções penais ou de violações da deontologia das profissões regulamentadas; que há que enumerar, a título das excepções e restrições, as missões de controlo, de inspecção ou de regulamentação necessárias nos três últimos domínios citados referentes à segurança pública, ao interesse económico ou financeiro e à repressão penal; que esta enumeração de missões respeitante aos três domínios referidos não prejudica a legitimidade de excepções e de restrições por razões de segurança do Estado e de defesa;

Considerando que os Estados-membros podem ser levados, por força das disposições do direito comunitário, a prever derrogações às disposições da presente directiva relativas ao direito de acesso, à informação das pessoas e à qualidade dos dados para salvaguardarem algumas finalidades dentre as acima enunciadas;

Considerando que, nos casos de tratamento de dados lícito por razões de interesse público, de exercício da autoridade pública ou de interesse legítimo de uma pessoa, a pessoa em causa terá, ainda assim, o direito de, com base em razões preponderantes e legítimas relacionadas com a sua situação específica, se opor ao tratamento dos dados que lhe dizem respeito; que os Estados-membros têm, no entanto, a possibilidade de prever disposições nacionais em contrário;

Considerando que a protecção dos direitos e liberdades das pessoas em causa relativamente ao tratamento de dados pessoais exige que sejam tomadas medidas técnicas e organizacionais adequadas tanto aquando da concepção do sistema de tratamento como da realização do próprio tratamento, a fim de manter, em especial, a segurança e impedir assim qualquer tratamento não autorizado; que compete aos Estados-membros zelar por que os responsáveis pelo tratamento respeitem estas medidas; que estas medidas devem assegurar um nível de segurança adequado, tendo em conta os avanços da técnica e o custo da sua aplicação em função dos riscos que o tratamento implica e a natureza dos dados a proteger;

Considerando que, quando uma mensagem que contém dados pessoais é transmitida através de um serviço de telecomunicações ou de correio electrónico cujo único objectivo é a transmissão de mensagens deste tipo, será a pessoa de quem emana a mensagem, e não quem propõe o serviço de transmissão, que será em regra considerada responsável pelo tratamento dos dados pessoais contidos na mensagem; que, contudo, as pessoas que propõem esses serviços serão em regra consideradas responsáveis pelo tratamento dos dados pessoais suplementares necessários ao funcionamento do serviço;

Considerando que a notificação à autoridade de controlo tem por objectivo assegurar a publicidade das finalidades e principais características do tratamento, a fim de permitir verificar a sua conformidade com as disposições nacionais tomadas nos termos da presente directiva;

Considerando que, a fim de evitar formalidades administrativas desnecessárias, os Estados-membros podem estabelecer isenções da obrigação de notificação, ou simplificações à notificação requerida, nos casos em que o tratamento não seja susceptível de prejudicar os direitos e liberdades das pessoas em causa, desde que sejam conformes com um acto adoptado pelo Estados-membro que precise os seus limites; que podem igualmente ser estabelecidas isenções ou simplificações caso uma pessoa designada pelo responsável pelo tratamento se certifique de que o tratamento efectuado não é susceptível de prejudicar os direitos e liberdades das pessoas em causa; que esse encarregado, empregado ou não do responsável pelo tratamento, deve exercer as suas funções com total independência;

Considerando que poderá ser estabelecida a isenção ou a simplificação para tratamentos cuja única finalidade seja a manutenção de registos destinados, de acordo com o direito nacional, à informação do público e que possam ser consultados pelo público ou por qualquer pessoa que possa provar um interesse legítimo;

Considerando que, no entanto, a simplificação ou a isenção da obrigação de notificação não liberam o responsável pelo tratamento de nenhuma das outras obrigações decorrentes da presente directiva;

Considerando que, neste contexto, a verificação a posteriori pelas autoridades competentes deve, em geral, ser considerada uma medida suficiente;

Considerando que, no entanto, certos tratamentos podem ocasionar riscos particulares para os direitos e liberdades das pessoas em causa, em virtude da sua natureza, do seu âmbito ou da sua finalidade, como acontece, por exemplo, se esse tratamento tiver por objectivo privar as pessoas de um direito, de uma prestação ou de um contrato, ou em virtude da utilização de tecnologias novas; que compete aos Estados-membros, se assim o entenderem, precisar esses riscos na respectiva legislação;

Considerando que, de todos os tratamentos efectuados em sociedade, o número dos que apresentam tais riscos particulares deverá ser muito restrito; que os Estados-membros devem estabelecer um controlo prévio à realização desses tratamentos a efectuar pela autoridade de controlo ou pelo encarregado da protecção dos dados em cooperação com essa autoridade; que, na sequência desse controlo prévio, a autoridade de controlo pode, de acordo com o direito nacional, dar um parecer ou autorizar o tratamento dos dados; que esse controlo pode igualmente ser efectuado durante os trabalhos de preparação de uma medida legislativa do parlamento nacional ou com base nessa medida, a qual defina a natureza do tratamento e especifique as garantias adequadas;

Considerando que, se o responsável pelo tratamento não respeitar os direitos das pessoas em causa, as legislações nacionais devem prever a possibilidade de recurso judicial; que os danos de que podem ser vítimas as pessoas em virtude de um tratamento ilegal devem ser ressarcidos pelo responsável pelo tratamento, o qual só pode ser exonerado da sua responsabilidade se provar que o facto que causa o dano lhe não é imputável, nomeadamente quando provar existir responsabilidade da pessoa em causa ou um caso de força maior; que devem ser aplicadas sanções a todas as pessoas, de direito privado ou de direito público, que não respeitem as disposições nacionais tomadas nos termos da presente directiva;

Considerando que os fluxos transfronteiras de dados pessoais são necessários ao desenvolvimento do comércio internacional; que a protecção das pessoas garantida na Comunidade pela presente directiva não obsta às transferências de dados pessoais para países terceiros que assegurem um nível de protecção adequado; que o carácter adequado do nível de protecção oferecido por um país terceiro deve ser apreciado em função de todas as circunstâncias associadas à transferência ou a uma categoria de transferências;

Considerando, em contrapartida, que sempre que um país terceiro não ofereça um nível de protecção adequado, a transferência de dados pessoais para esse país deve ser proibida;

Considerando que devem poder ser previstas excepções a esta proibição em certas circunstâncias, quando a pessoa em causa tiver dado o seu consentimento, quando a transferência for necessária no âmbito de um contrato ou de um processo judicial, quando a protecção de um interesse público importante assim o exigir, por exemplo nos casos de transferências internacionais de dados entre as autoridades fiscais ou aduaneiras ou entre os serviços competentes em matéria de segurança social, ou quando a transferência for feita a partir de um registo instituído por lei e destinado a consulta pelo público ou por pessoas com um interesse legítimo; que nesse caso tal transferência não deve abranger a totalidade dos dados nem as categorias de dados contidos nesse registo; que, sempre que um registo se destine a ser consultado por pessoas com um interesse legítimo, a transferência apenas deverá poder ser efectuada a pedido dessas pessoas ou caso sejam elas os seus destinatários;

Considerando que podem ser tomadas medidas especiais para sanar a insuficiência de protecção num país terceiro, se o responsável pelo tratamento apresentar garantias adequadas; que, além disso, devem ser previstos processos de negociação entre a Comunidade e os países terceiros em causa;

Considerando que, em todo o caso, as transferências para países terceiros só podem ser efectuadas no pleno respeito das disposições adoptadas pelos Estados-membros nos termos da presente directiva, nomeadamente do seu artigo 8º;

Considerando que, no âmbito das respectivas competências, os Estados-membros e a Comissão devem incentivar as organizações sectoriais interessadas a elaborar códigos de conduta com vista a facilitar a aplicação da presente directiva, tendo em conta as características específicas do tratamento efectuado em certos sectores e respeitando as disposições nacionais tomadas para a sua execução;

Considerando que a criação nos Estados-membros de autoridades de controlo que exerçam as suas funções com total independência constitui um elemento essencial da protecção das pessoas no que respeita ao tratamento de dados pessoais;

Considerando que essas autoridades devem ser dotadas dos meios necessários para a realização das suas funções, incluindo poderes de inquérito ou de intervenção, especialmente em caso de reclamações, e poderes para intervir em processos judiciais; que essas autoridades devem ajudar a garantir a transparência do tratamento de dados efectuado no Estados-membro sob cuja jurisdição se encontram;

Considerando que as autoridades dos diferentes Estados-membros deverão prestar-se mutuamente assistência no desempenho das suas funções por forma a assegurar integralmente o respeito das regras de protecção em toda a União Europeia;

Considerando que deve ser criado, a nível comunitário, um grupo de trabalho sobre a protecção das pessoas no que diz respeito ao tratamento de dados pessoais, o qual deve gozar de total independência no exercício das suas funções; que, atendendo à sua natureza específica, esse grupo deve aconselhar a Comissão e contribuir nomeadamente para a aplicação uniforme das normas nacionais adoptadas nos termos da presente directiva;

Considerando que, no que se refere à transferência de dados para países terceiros, a aplicação da presente directiva requer a atribuição de competências de execução à Comissão e a criação de um procedimento de acordo com as normas estabelecidas na Decisão 87/373/CEE do Conselho (4);

Considerando que os princípios enunciados na presente directiva para a protecção dos direitos e liberdades das pessoas, nomeadamente do seu direito à vida privada, no que diz respeito ao tratamento de dados pessoais, poderão ser completados ou especificados, nomeadamente em relação a certos sectores, através de regras específicas baseadas nesses princípios;

Considerando que é conveniente conceder aos Estados-membros um prazo não superior a três anos a contar da data de entrada em vigor das medidas nacionais de transposição da presente directiva, durante o qual essas novas medidas serão aplicadas de forma progressiva a qualquer tratamento de dados já em curso; que, para facilitar uma aplicação rentável, será concedido aos Estados-membros um prazo suplementar que expirará doze anos a contar da data em que a presente directiva for adoptada, para assegurar a conformidade dos ficheiros manuais existentes com determinadas disposições da presente directiva; que os dados contidos nesses ficheiros que sejam objecto de um tratamento manual efectivo durante esse período de transição suplementar, deverão ser postos em conformidade com essas disposições aquando da realização desse tratamento;

Considerando que a pessoa em causa não é obrigada a dar novamente o seu consentimento para que o responsável continue a efectuar, após a entrada em vigor das disposições nacionais tomadas nos termos da presente directiva, um tratamento de dados sensíveis necessário à execução de um contrato celebrado com base num consentimento livre e informado antes da entrada em vigor das disposições acima referidas;

Considerando que a presente directiva não obsta a que um Estado-membro regulamente as actividades de mala directa junto dos consumidores residentes no seu território, desde que a referida regulamentação não diga respeito à protecção das pessoas no que se refere ao tratamento de dados pessoais;

Considerando que a presente directiva permite tomar em consideração o princípio do direito de acesso do público aos documentos oficiais aquando da implementação dos princípios nela estabelecidos,

ADOPTARAM A PRESENTE DIRECTIVA:

CAPÍTULO I DISPOSIÇÕES GERAIS

Artigo 1º

Objecto da directiva

1. Os Estados-membros assegurarão, em conformidade com a presente directiva, a protecção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

2. Os Estados-membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados-membros por razões relativas à protecção assegurada por força do nº 1.

Artigo 2º

Definições

Para efeitos da presente directiva, entende-se por:

a) «Dados pessoais»: qualquer informação relativa a uma pessoa singular identificada ou identificável («pessoa em causa»); é considerada identificável toda aquela pessoa que possa ser identificada, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

c) «Ficheiro de dados pessoais» («ficheiro»): qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

d) «Responsável pelo tratamento»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que determina as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades do tratamento sejam determinadas por disposições legislativas ou regulamentares nacionais ou comunitárias, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser indicados pelo direito nacional ou comunitário;

e) «Subcontratante»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento;

f) «Terceiro»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que não a pessoa em causa, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade directa do responsável pelo tratamento ou do subcontratante, estão habilitadas a tratar dos dados;

g) «Destinatário»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que receba comunicações de dados, independentemente de se tratar ou não de um terceiro; todavia, as autoridades susceptíveis de receberem comunicações de dados no âmbito duma missão de inquérito específica não são consideradas destinatários;

h) «Consentimento da pessoa em causa»: qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objecto de tratamento.

Artigo 3º

Âmbito de aplicação

1. A presente directiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2. A presente directiva não se aplica ao tratamento de dados pessoais:

- efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado, incluindo o bem-estar económico do Estado, e as actividades do Estado no domínio do direito penal,

- efectuado por uma pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas.

Artigo 4º

Direito nacional aplicável

1. Cada Estado-membro aplicará as suas disposições nacionais adoptadas por força da presente directiva ao tratamento de dados pessoais quando:

a) O tratamento for efectuado no contexto das actividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado-membro; se o mesmo responsável pelo tratamento estiver estabelecido no território de vários Estados-membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpra as obrigações estabelecidas no direito nacional que lhe for aplicável;

b) O responsável pelo tratamento não estiver estabelecido no território do Estado-membro, mas num local onde a sua legislação nacional seja aplicável por força do direito internacional público;

c) O responsável pelo tratamento não estiver estabelecido no território da Comunidade e recorrer, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território desse Estado-membro, salvo se esses meios só forem utilizados para trânsito no território da Comunidade Europeia.

2. No caso referido na alínea c) do nº 1, o responsável pelo tratamento deve designar um representante estabelecido no território desse Estado-membro, sem prejuízo das acções que possam vir a ser intentadas contra o próprio responsável pelo tratamento.

CAPÍTULO II CONDIÇÕES GERAIS DE LICITUDE DO TRATAMENTO DE DADOS PESSOAIS

Artigo 5º

Os Estados-membros especificarão, dentro dos limites do disposto no presente capítulo, as condições em que é lícito o tratamento de dados pessoais.

Secção I Princípios relativos à qualidade dos dados

Artigo 6º

1. Os Estados-membros devem estabelecer que os dados pessoais serão:

a) Objecto de um tratamento leal e lícito;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequadas;

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;

d) Exactos e, se necessário, actualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou rectificados;

e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. Os Estados-membros estabelecerão garantias apropriadas para os dados pessoais conservados durante períodos mais longos do que o referido, para fins históricos, estatísticos ou científicos.

2. Incumbe ao responsável pelo tratamento assegurar a observância do disposto no nº 1.

Secção II Princípios relativos à legitimidade do tratamento de dados

Artigo 7º

Os Estados-membros estabelecerão que o tratamento de dados pessoais só poderá ser efectuado se:

a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento;

ou

b) O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa;

ou

c) O tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito;

ou

d) O tratamento for necessário para a protecção de interesses vitais da pessoa em causa;

ou

e) O tratamento for necessário para a execução de uma missão de interesse público ou no exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;

ou

f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do nº 1 do artigo 1º

Secção III Categorias específicas de tratamentos

Artigo 8º

Tratamento de certas categorias específicas de dados

1. Os Estados-membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual.

2. O nº 1 não se aplica quando:

a) A pessoa em causa tiver dado o seu consentimento explícito para esse tratamento, salvo se a legislação do Estado-membro estabelecer que a proibição referida no nº 1 não pode ser retirada pelo consentimento da pessoa em causa;

ou

b) O tratamento for necessário para o cumprimento das obrigações e dos direitos do responsável pelo tratamento no domínio da legislação do trabalho, desde que o mesmo seja autorizado por legislação nacional que estabeleça garantias adequadas;

ou

c) O tratamento for necessário para proteger interesses vitais da pessoa em causa ou de uma outra pessoa se a pessoa em causa estiver física ou legalmente incapaz de dar o seu consentimento;

ou

d) O tratamento for efectuado, no âmbito das suas actividades legítimas e com as garantias adequadas, por uma fundação, uma associação ou qualquer outro organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, na condição de o tratamento dizer unicamente respeito aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem o consentimento das pessoas em causa;

ou

e) O tratamento disser respeito a dados manifestamente tornados públicos pela pessoa em causa ou for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial.

3. O nº 1 não se aplica quando o tratamento dos dados for necessário para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos médicos ou gestão de serviços de saúde e quando o tratamento desses dados for efectuado por um profissional da saúde obrigado ao segredo profissional pelo direito nacional ou por regras estabelecidas pelos organismos nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de segredo equivalente.

4. Sob reserva de serem prestadas as garantias adequadas, os Estados-membros poderão estabelecer, por motivos de interesse público importante, outras derrogações para além das previstas no nº 2, quer através de disposições legislativas nacionais quer por decisão da autoridade de controlo referida no artigo 28º

5. O tratamento de dados relativos a infracções, condenações penais ou medidas de segurança só poderá ser efectuado sob o controlo das autoridades públicas ou se o direito nacional estabelecer garantias adequadas e específicas, sob reserva das derrogações que poderão ser concedidas pelo Estado-membro com base em disposições nacionais que prevejam garantias específicas e adequadas. Contudo, o registo completo das condenações penais só pode ser mantido sob o controlo das autoridades públicas.

Os Estados-membros podem estabelecer que o tratamento de dados relativos a sanções administrativas ou decisões cíveis fique igualmente sujeito ao controlo das autoridades públicas.

6. As derrogações ao nº 1 previstas nos nºs 4 e 5 serão notificadas à Comissão.

7. Cabe aos Estados-membros determinar as condições em que um número nacional de identificação ou qualquer outro elemento de identificação de aplicação geral poderá ser objecto de tratamento.

Artigo 9º

Tratamento de dados pessoais e liberdade de expressão

Os Estados-membros estabelecerão isenções ou derrogações ao disposto no presente capítulo e nos capítulos IV e VI para o tratamento de dados pessoais efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária, desde que sejam necessárias para conciliar o direito à vida privada com as normas que regem a liberdade de expressão.

Secção IV Informação da pessoa em causa

Artigo 10º

Informação em caso de recolha de dados junto da pessoa em causa

Os Estados-membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa, junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;

b) Finalidades do tratamento a que os dados se destinam;

c) Outras informações, tais como:

- os destinatários ou categorias de destinatários dos dados,

- o carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder,

- a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar,

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

Artigo 11º

Informação em caso de dados não recolhidos junto da pessoa em causa

1. Se os dados não tiverem sido recolhidos junto da pessoa em causa, os Estados-membros estabelecerão que o responsável pelo tratamento, ou o seu representante, deve fornecer à pessoa em causa, no momento em que os dados forem registados ou, se estiver prevista a comunicação de dados a terceiros, o mais tardar aquando da primeira comunicação desses dados, pelo menos as seguintes informações, salvo se a referida pessoa já delas tiver conhecimento:

a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;

b) Finalidades do tratamento;

c) Outras informações, tais como:

- as categorias de dados envolvidos,

- os destinatários ou categorias de destinatários dos dados,

- a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar,

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

2. O nº 1 não se aplica quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação da pessoa em causa se revelar impossível ou implicar esforços desproporcionados ou quando a lei dispuser expressamente o registo dos dados ou a sua divulgação. Nestes casos, os Estados-membros estabelecerão as garantias adequadas.

Secção V Direito de acesso da pessoa em causa aos dados

Artigo 12º

Direito de acesso

Os Estados-membros garantirão às pessoas em causa o direito de obterem do responsável pelo tratamento:

1. Livremente e sem restrições, com periodicidade razoável e sem demora ou custos excessivos:

- a confirmação de terem ou não sido tratados dados que lhes digam respeito, e informações pelo menos sobre os fins a que se destina esse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados,

- a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem dos dados,

- o conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito, pelo menos no que se refere às decisões automatizadas referidas no nº 1 do artigo 15º

2. Consoante o caso, a rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente directiva, nomeadamente devido ao carácter incompleto ou inexacto desses dados.

3. A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos do ponto 2, salvo se isso for comprovadamente impossível ou implicar um esforço desproporcionado.

Secção VI Derrogações e restrições

Artigo 13º

Derrogações e restrições

1. Os Estados-membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no nº 1 do artigo 6º, no artigo 10º, no nº 1 do artigo 11º e nos artigos 12º e 21º, sempre que tal restrição constitua uma medida necessária à protecção:

a) Da segurança do Estado;

b) Da defesa;

c) Da segurança pública;

d) Da prevenção, investigação, detecção e repressão de infracções penais e de violações da ética das profissões regulamentadas;

e) De um interesse económico ou financeiro importante de um Estado-membro ou da União Europeia, incluindo nos domínios monetário, orçamental ou fiscal;

f) De missões de controlo, de inspecção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d) e e);

g) Da protecção da pessoa em causa ou dos direitos e liberdades de outrem.

2. Sob reserva de garantias jurídicas adequadas, nomeadamente a de que os dados não serão utilizados para tomar medidas ou decisões em relação a pessoas determinadas, os Estados-membros poderão restringir através de uma medida legislativa os direitos referidos no artigo 12º nos casos em que manifestamente não exista qualquer perigo de violação do direito à vida privada do interessado e os dados forem exlusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.

Secção VII Direito de oposição da pessoa em causa

Artigo 14º

Direito de oposição da pessoa em causa

Os Estados-membros reconhecerão à pessoa em causa o direito de:

a) Pelo menos nos casos referidos nas alíneas e) e f) do artigo 7º, se opor em qualquer altura, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, salvo disposição em contrário do direito nacional. Em caso de oposição justificada, o tratamento efectuado pelo responsável deixa de poder incidir sobre esses dados;

b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de mala directa;

ou

ser informada antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de mala directa ou utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunicações ou utilizações.

Os Estados-membros tomarão as medidas necessárias para garantir que as pessoas em causa tenham conhecimento do direito referido no primeiro parágrafo da alínea b).

Artigo 15º

Decisões individuais automatizadas

1. Os Estados-membros reconhecerão a qualquer pessoa o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, como, por exemplo, a sua capacidade profissional, o seu crédito, confiança de que é merecedora e comportamento.

2. Os Estados-membros estabelecerão, sob reserva das restantes disposições da presente directiva, que uma pessoa pode ficar sujeita a uma decisão do tipo referido no nº 1 se a mesma:

a) For tomada no âmbito da celebração ou da execução de um contrato, na condição de o pedido da pessoa em causa ter sido satisfeito, ou de existirem medidas adequadas, tais como a possibilidade de apresentar o seu ponto de vista, que garantam a defesa dos seus interesses legítimos; ou

b) For autorizada por uma lei que estabeleça medidas que garantam a defesa dos interesses legítimos da pessoa em causa.

Secção VIII Confidencialidade e segurança do tratamento

Artigo 16º

Confidencialidade do tratamento

Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais, não procederá ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de obrigações legais.

Artigo 17º

Segurança do tratamento

1. Os Estados-membros estabelecerão que o responsável pelo tratamento deve pôr em prática medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.

Estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.

2. Os Estados-membros estabelecerão que o responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.

3. A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que:

- o subcontratante apenas actuará mediante instruções do responsável pelo tratamento,

- as obrigações referidas no nº 1, tal como definidas pela legislação do Estado-membro onde o subcontratante está estabelecido, incumbem igualmente a este último.

4. Para efeitos de conservação de provas, os elementos do contrato ou acto jurídico relativo à protecção dos dados, bem como as exigências relativas às medidas referidas no nº 1, deverão ficar consignados por escrito ou sob forma equivalente.

Secção IX Notificação

Artigo 18º

Obrigação de notificação à autoridade de controlo

1. Os Estados-membros estabelecerão que o responsável pelo tratamento ou, eventualmente, o seu representante deve notificar a autoridade de controlo referida no artigo 28º antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.

2. Os Estados-membros apenas poderão estabelecer a simplificação ou a isenção da notificação nos seguintes casos e condições:

- se, para as categorias de tratamentos que, atendendo aos dados a tratar, não são susceptíveis de prejudicar os direitos e liberdades das pessoas em causa, especificarem as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de pessoas em causa, os destinatários ou categorias de destinatários a quem serão comunicados os dados e o período de conservação dos dados, e/ou

- se o responsável pelo tratamento nomear, nos termos do direito nacional a que está sujeito, um encarregado da protecção dos dados pessoais, responsável nomeadamente por:

- garantir, de modo independente, a aplicação, a nível interno, das disposições nacionais tomadas nos termos da presente directiva,

- manter um registo dos tratamentos efectuados pelo responsável do tratamento, contendo as informações referidas no nº 2 do artigo 21º,

assegurando assim que os tratamentos não são susceptíveis de prejudicar os direitos e liberdades das pessoas em causa.

3. Os Estados-membros poderão estabelecer que o nº 1 não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo.

4. Os Estados-membros podem isentar da obrigação de notificação os tratamentos de dados referidos no nº 2, alínea d), do artigo 8º, ou prever uma simplificação dessa notificação.

5. Os Estados-membros podem determinar que todos ou alguns dos tratamentos não automatizados de dados pessoais sejam notificados, eventualmente de forma simplificada.

Artigo 19º

Conteúdo da notificação

1. Os Estados-membros especificarão as informações que devem constar da notificação. Essas informações devem incluir, pelo menos:

a) O nome e endereço do responsável pelo tratamento e, eventualmente, do seu representante;

b) A ou as finalidades do tratamento;

c) Uma descrição da ou das categorias de pessoas em causa e dos dados ou categorias de dados que lhes respeitem;

d) Os destinatários ou categorias de destinatários a quem os dados poderão ser comunicados;

e) As transferências de dados previstas para países terceiros;

f) Uma descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação do artigo 17º

2. Os Estados-membros especificarão os procedimentos de notificação à autoridade de controlo das alterações que afectem as informações referidas no nº 1.

Artigo 20º

Controlo prévio

1. Os Estados-membros especificarão os tratamentos que possam representar riscos específicos para os direitos e liberdades das pessoas em causa e zelarão por que sejam controlados antes da sua aplicação.

2. Esses controlos prévios serão efectuados pela autoridade de controlo referida no artigo 28º após recepção de uma notificação do responsável pelo tratamento ou pelo encarregado da protecção de dados, que em caso de dúvida deverá consultar a autoridade de controlo.

3. Os Estados-membros poderão igualmente efectuar estes controlos durante os trabalhos de preparação de uma medida do parlamento nacional ou com base nessa medida, a qual defina a natureza do tratamento e estabeleça garantias apropriadas.

Artigo 21º

Publicidade dos tratamentos

1. Os Estados-membros tomarão as medidas necessárias para assegurar a publicidade dos tratamentos.

2. Os Estados-membros estabelecerão que a autoridade de controlo referida no artigo 28º manterá um registo dos tratamentos notificados por força do artigo 18º

Esse registo deverá conter, pelo menos, as informações enumeradas no nº 1, alíneas a) a e), do artigo 19º

O registo poderá ser consultado por qualquer pessoa.

3. Os Estados-membros estabelecerão que, no que respeita aos tratamentos não sujeitos a notificação, o responsável pelo tratamento, ou outra entidade designada pelos Estados-membros, comunicará de forma adequada, a qualquer pessoa que o solicite, pelo menos as informações referidas no nº 1, alíneas a) a e), do artigo 19º

Os Estados-membros poderão estabelecer que a presente disposição não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo.

CAPÍTULO III RECURSOS JUDICIAIS, RESPONSABILIDADE E SANÇÕES

Artigo 22º

Recursos

Sem prejuízo de quaisquer garantias graciosas, nomeadamente por parte da autoridade de controlo referida no artigo 28º, previamente a um recurso contencioso, os Estados-membros estabelecerão que qualquer pessoa poderá recorrer judicialmente em caso de violação dos direitos garantidos pelas disposições nacionais aplicáveis ao tratamento em questão.

Artigo 23º

Responsabilidade

1. Os Estados-membros estabelecerão que qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto incompatível com as disposições nacionais de execução da presente directiva tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido.

2. O responsável pelo tratamento poderá ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.

Artigo 24º

Sanções

Os Estados-membros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente directiva e determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adoptadas nos termos da presente directiva.

CAPÍTULO IV TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS

Artigo 25º

Princípios

1. Os Estados-membros estabelecerão que a transferência para um país terceiro de dados pessoais objecto de tratamento, ou que se destinem a ser objecto de tratamento após a sua transferência, só pode realizar-se se, sob reserva da observância das disposições nacionais adoptadas nos termos das outras disposições da presente directiva, o país terceiro em questão assegurar um nível de protecção adequado.

2. A adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, serão tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país terceiro em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse país.

3. Os Estados-membros e a Comissão informar-se-ão mutuamente dos casos em que consideram que um país terceiro não assegura um nível de protecção adequado na acepção do nº 2.

4. Sempre que a Comissão verificar, nos termos do procedimento previsto no nº 2 do artigo 32º, que um país terceiro não assegura um nível de protecção adequado na acepção do nº 2, os Estados-membros tomarão as medidas necessárias para impedir qualquer transferência de dados de natureza idêntica para o país terceiro em causa.

5. Em momento oportuno, a Comissão encetará negociações com vista a obviar à situação resultante da constatação feita em aplicação do nº 4.

6. A Comissão pode constatar, nos termos do procedimento previsto no nº 2 do artigo 31º, que um país terceiro assegura um nível de protecção adequado na acepção do nº 2 do presente artigo em virtude da sua legislação interna ou dos seus compromissos internacionais, subscritos nomeadamente na sequência das negociações referidas no nº 5, com vista à protecção do direito à vida privada e das liberdades e direitos fundamentais das pessoas.

Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.

Artigo 26º

Derrogações

1. Em derrogação ao disposto no artigo 25º e sob reserva de disposições em contrário do seu direito nacional em casos específicos, os Estados-membros estabelecerão que a transferência de dados pessoais para um país terceiro que não assegure um nível de protecção adequado na acepção do nº 2 do artigo 25º poderá ter lugar desde que:

1) A pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência; ou

2) A transferência seja necessária para a execução de um contrato entre a pessoa em causa e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou

3) A transferência seja necessária à execução ou celebração de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o responsável pelo tratamento e um terceiro; ou

4) A transferência seja necessária para a protecção de um interesse público importante, ou à declaração ao exercício ou à defesa de um direito num processo judicial; ou

5) A transferência seja necessária para proteger os interesses vitais da pessoa em causa; ou

6) A transferência seja realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destine à informação do público e se encontre aberto à consulta pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.

2. Sem prejuízo do nº 1, um Estado-membro pode autorizar uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro que não assegura um nível de protecção adequado na acepção do nº 2 do artigo 25º, desde que o responsável pelo tratamento apresente garantias suficientes de protecção e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respectivos direitos; essas garantias podem, designadamente, resultar de cláusulas contratuais adequadas.

3. O Estado-membro informará a Comissão e os restantes Estados-membros das autorizações que conceder nos termos do nº 2.

Em caso de oposição, por um Estado-membro ou pela Comissão devidamente justificada no que se refere à protecção da privacidade e dos direitos e liberdades fundamentais das pessoas, a Comissão adoptará as medidas adequadas, nos termos do procedimento previsto no nº 2 do artigo 31º

Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.

4. Sempre que a Comissão decidir, nos termos do procedimento previsto no nº 2 do artigo 31º, que certas cláusulas contratuais-tipo oferecem as garantias suficientes referidas no nº 2, os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.

CAPÍTULO V CÓDIGOS DE CONDUTA

Artigo 27º

1. Os Estados-membros e a Comissão promoverão a elaboração de códigos de conduta destinados a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições nacionais tomadas pelos Estados-membros nos termos da presente directiva.

2. Os Estados-membros estabelecerão que as associações profissionais e as outras organizações representativas de outras categorias de responsáveis pelo tratamento que tenham elaborado projectos de códigos nacionais ou que tencionem alterar ou prorrogar códigos nacionais existentes, podem submetê-los à apreciação das autoridades nacionais.

Os Estados-membros estabelecerão que essas autoridades se certificarão, nomeadamente, da conformidade dos projectos que lhes são apresentados com as disposições nacionais tomadas nos termos da presente directiva. Se o considerarem oportuno, as autoridades solicitarão a opinião das pessoas em causa ou dos seus representantes.

3. Os projectos de códigos comunitários, assim como as alterações ou prorrogações de códigos comunitários existentes, poderão ser submetidos ao grupo referido no artigo 29º O grupo pronunciar-se-á, nomeadamente, quanto à conformidade dos projectos submetidos à sua apreciação com as disposições nacionais adoptadas em aplicação da presente directiva. Se o considerar oportuno, solicitará a opinião das pessoas em causa ou dos seus representantes. A Comissão pode garantir uma publicidade adequada dos códigos aprovadas pelo grupo.

CAPÍTULO VI AUTORIDADE DE CONTROLO E GRUPO DE PROTECÇÃO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS

Artigo 28º

Autoridade de controlo

1. Cada Estado-membro estabelecerá que uma ou mais autoridades serão responsáveis pela fiscalização da aplicação no seu território das disposições adoptados pelos Estados-membros nos termos da presente directiva.

Essas autoridades exercerão com total independência as funções que lhes forem atribuídas.

2. Cada Estado-membro estabelecerá que as autoridades de controlo serão consultadas aquando da elaboração de medidas regulamentares ou administrativas relativas à protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais.

3. Cada autoridade de controlo disporá, nomeadamente:

- de poderes de inquérito, tais como o poder de aceder aos dados objecto de tratamento e de recolher todas as informações necessárias ao desempenho das suas funções de controlo,

- de poderes efectivos de intervenção, tais como, por exemplo, o de emitir pareceres previamente à execução do tratamento, em conformidade com o artigo 20º e o de garantir a publicação adequada desses pareceres; o de ordenar o bloqueio, o apagamento ou a destruição dos dados; o de proibir temporária ou definitivamente o tratamento; o de dirigir uma advertência ou uma censura ao responsável pelo tratamento ou o de remeter a questão para os parlamentos nacionais ou para outras instituições políticas,

- do poder de intervir em processos judiciais no caso de violação das disposições nacionais adoptadas nos termos da presente directiva ou de levar essas infracções ao conhecimento das autoridades judiciais.

As decisões da autoridade de controlo que lesem interesses são passíveis de recurso jurisdicional.

4. Qualquer pessoa ou associação que a represente pode apresentar à autoridade de controlo um pedido para protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais. A pessoa em causa será informada do seguimento dado ao seu pedido.

Em particular, qualquer pessoa pode apresentar à autoridade de controlo um pedido de verificação da licitude de qualquer tratamento de dados, sempre que sejam aplicáveis as disposições nacionais adoptadas por força do artigo 13º O requerente será pelo menos informado da realização da verificação.

5. Cada autoridade de controlo elaborará periodicamente um relatório sobre a sua actividade. O relatório será publicado.

6. Cada autoridade de controlo é competente, independentemente do direito nacional aplicável ao tratamento em causa, para o exercício no território do seu Estado-membro dos poderes que lhe foram atribuídos em conformidade com o nº 3. Cada autoridade de controlo pode ser solicitada a exercer os seus poderes por uma autoridade de outro Estado-membro.

As autoridades de controlo cooperarão entre si na medida do necessário ao desempenho das suas funções, em especial através do intercâmbio de quaisquer informações úteis.

7. Os Estados-membros determinarão que os membros e agentes das autoridades de controlo fiquem sujeitos, mesmo após a cessação das suas actividades, à obrigação de segredo profissional em relação às informações confidenciais a que tenham acesso.

Artigo 29

Grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais

1. É criado um grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais, a seguir designado «grupo».

O grupo tem carácter consultivo e é independente.

2. O grupo é composto por um representante da autoridade ou autoridades de controlo designadas por cada Estado-membro, por um representante da autoridade ou autoridades criadas para as instituições e organismos comunitários, bem como por um representante da Comissão.

Cada membro do grupo será designado pela instituição, autoridade ou autoridades que representa. Sempre que um Estado-membro tiver designado várias autoridades de controlo, estas nomearão um representante comum. O mesmo acontece em relação às autoridades criadas para as instituições e organismos comunitários.

3. O grupo tomará as suas decisões por maioria simples dos representantes das autoridades de controlo.

4. O grupo elegerá o seu presidente. O mandato do presidente tem uma duração de dois anos e é renovável.

5. O secretariado do grupo será assegurado pela Comissão.

6. O grupo elaborará o seu regulamento interno.

7. O grupo analisará as questões inscritas na ordem de trabalhos pelo seu presidente, quer por iniciativa deste, quer a pedido fundamentado de um representante das autoridades de controlo, quer ainda a pedido da Comissão.

Artigo 30º

1. O grupo tem por atribuições:

a) Analisar quaisquer questões relativas à aplicação das disposições nacionais tomadas nos termos da presente directiva, com vista a contribuir para a sua aplicação uniforme;

b) Dar parecer à Comissão sobre o nível de protecção na Comunidade e nos países terceiros;

c) Aconselhar a Comissão sobre quaisquer projectos de alteração da presente directiva ou sobre quaisquer projectos de medidas adicionais ou específicas a tomar para proteger os direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como sobre quaisquer outros projectos de medidas comunitárias com incidência sobre esses direitos e liberdades;

d) Dar parecer sobre os códigos de conduta elaborados a nível comunitário.

2. Se o grupo verificar que surgem divergências susceptíveis de prejudicar a equivalência da protecção das pessoas no que diz respeito ao tratamento de dados pessoais na Comunidade entre a legislação ou a prática dos Estados-membros, informará desse facto a Comissão.

3. O grupo pode, por sua própria iniciativa, formular recomendações sobre quaisquer questões relativas à protecção das pessoas no que diz respeito ao tratamento de dados pessoais na Comunidade.

4. Os pareceres e recomendações do grupo serão transmitidos à Comissão e ao comité referido no artigo 31º

5. A Comissão informará o grupo do seguimento que deu aos seus pareceres e recomendações. Para o efeito, elaborará um relatório que será igualmente enviado ao Parlamento Europeu e ao Conselho. O relatório será publicado.

6. O grupo elaborará um relatório anual sobre a situação da protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na Comunidade e nos países terceiros, que será comunicado à Comissão, ao Parlamento Europeu e ao Conselho. O relatório será publicado.

CAPÍTULO VII MEDIDAS DE EXECUÇÃO COMUNITÁRIAS

Artigo 31º

Comitologia

1. A Comissão será assistida por um comité composto por representantes dos Estados-membros e presidido pelo representante da Comissão.

2. O representante da Comissão submeterá à apreciação do comité um projecto das medidas a tomar. O comité emitirá o seu parecer sobre esse projecto num prazo que o presidente pode fixar em função da urgência da questão em causa.

O parecer será emitido por maioria, nos termos previstos no nº 2 do artigo 148º do Tratado. Nas votações no comité, os votos dos representantes dos Estados-membros estão sujeitos à ponderação definida no artigo atrás referido. O presidente não participa na votação.

A Comissão adoptará as medidas projectadas desde que sejam conformes com o parecer do comité.

Se as medidas projectadas não forem conformes com o parecer do comité, ou na ausência de parecer, a Comissão submeterá sem demora ao Conselho uma proposta relativa às medidas a tomar. O Conselho deliberará por maioria qualificada.

Se, no termo de um prazo de três meses a contar da data de apresentação da proposta ao Conselho, este último ainda não tiver deliberado, a Comissão adoptará as medidas propostas.

DISPOSIÇÕES FINAIS

Artigo 32º

1. Os Estados-membros porão em vigor as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente directiva o mais tardar três anos a contar da data de adopção da directiva.

Quando os Estados-membros adoptarem essas disposições, estas devem incluir uma referência à presente directiva ou ser acompanhadas dessa referência na publicação oficial. As modalidades dessa referência serão adoptadas pelos Estados-membros.

2. Os Estados-membros assegurarão que os tratamentos já em curso à data da entrada em vigor das disposições nacionais tomadas nos termos da presente directiva cumprirão essas disposições o mais tardar três anos a contar da referida data.

Em derrogação ao parágrafo anterior, os Estados-membros poderão estabelecer que o tratamento de dados já existente em ficheiros manuais à data de entrada em vigor das disposições nacionais tomadas nos termos da presente directiva cumprirá o disposto nos artigos 6º, 7º e 8º no prazo de doze anos a contar da data de adopção da presente directiva. Os Estados-membros possibilitarão, no entanto, à pessoa em causa obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.

3. Em derrogação ao nº 2, os Estados-membros poderão estabelecer que, sob reserva das garantias adequadas, os dados conservados unicamente com finalidades de investigação histórica não terão que cumprir os artigos 6º, 7º e 8º

4. Os Estados-membros comunicarão à Comissão o texto das disposições de direito interno que adoptem no domínio regido pela presente directiva.

Artigo 33º

A Comissão apresentará periodicamente ao Parlamento e ao Conselho, e pela primeira vez o mais tardar três anos após a data referida no nº 1 do artigo 32º, um relatório sobre a aplicação da presente directiva, eventualmente acompanhado de propostas de alteração adequadas. O relatório será publicado.

A Comissão analisará, nomeadamente, a aplicação da presente directiva ao tratamento de dados de som e de imagem relativos às pessoas singulares e apresentará as propostas adequadas que se revelem necessárias, tendo em conta o desenvolvimento das tecnologias da informação, e à luz da situação quanto aos trabalhos sobre a sociedade de informação.

Artigo 34º

Os Estados-membros são os destinatários da presente directiva.

Feito em . . .

Pelo Parlamento Europeu

O Presidente

Pelo Conselho

O Presidente

(1) JO nº C 277 de 5. 11. 1990, p. 3, e JO nº C 311 de 27. 11. 1992, p. 30.

(2) JO nº C 159 de 17. 6. 1991, p. 38.

(3) Parecer do Parlamento Europeu de . . . (ainda não publicado no Jornal Oficial), posição comum do Conselho de . . . (ainda não publicada no Jornal Oficial) e decisão do Parlamento Europeu de . . . (ainda não publicada no Jornal Oficial).

(4) JO nº L 197 de 18. 7. 1987, p. 33.

NOTA JUSTIFICATIVA DO CONSELHO

I. Introdução

Em 18 de Julho de 1990, a Comissão apresentou uma proposta de directiva relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, baseada nos artigos 100ºA e 113º do Tratado.

O Parlamento Europeu emitiu parecer, em primeira leitura, a 11 de Março de 1992, tendo sugerido numerosas alterações à proposta da Comissão.

O Comité Económico e Social emitiu parecer em 24 de Abril de 1991.

À luz destes pareceres, a Comissão apresentou uma proposta alterada de directiva em 15 de Outubro de 1992.

Em 20 de Fevereiro de 1995, o Conselho adoptou a sua posição comum, em conformidade com o nº 2 do artigo 189ºB do Tratado.

II. Objectivo

Esta proposta de directiva faz parte do quadro jurídico claro e estável indispensável para que o desenvolvimento da sociedade da informação decorra de forma aceitável para o cidadão europeu.

A proposta tem por objectivo específico assegurar a livre circulação de dados pessoais dentro da Comunidade e suprimir as distorções de concorrência e os riscos de deslocalização que daí possam resultar estabelecendo em todos os Estados-membros uma protecção equivalente, de elevado nível, das pessoas singulares no que diz respeito ao tratamento desses dados.

Esta protecção de elevado nível é assegurada, por um lado, pelas obrigações imputadas às pessoas, autoridades públicas, empresas ou organismos associativos sob cuja responsabilidade se procede ao tratamento de dados e, por outro lado, pelos direitos conferidos às pessoas singulares a quem os dados dizem respeito.

As obrigações dos responsáveis incidem especificamente sobre a qualidade dos dados, cuja utilização deve corresponder a uma finalidade determinada e legítima no tocante ao fundamento dos tratamentos, um dos quais poderá ser o consentimento das pessoas em causa, sobre a segurança técnica destinada a impedir o acesso não autorizado aos ficheiros e sobre a notificação do tratamento à autoridade nacional de controlo.

Os direitos conferidos às pessoas singulares traduzem-se no direito de serem informados, em diversas circunstâncias, sobre o tratamento efectuado a partir dos dados que lhes digam respeito, de poderem ter conhecimento desses dados, de pedirem a sua rectificação em caso de erro, e mesmo de se oporem ao tratamento dos dados.

III. Análise da posição comum

A. Observações gerais

A posição comum tem amplamente em conta as preocupações manifestadas pelo Parlamento Europeu aquando da primeira leitura.

A posição comum retoma nomeadamente uma importante modificação sugerida pelo Parlamento no que respeita ao abandono da distinção formal entre as regras aplicáveis ao sector público e as regras aplicáveis ao sector privado, o que conduziu a uma reestruturação completa do texto (alterações nºs 7 a 29, 39 a 41, 118 e 119).

A posição comum retoma igualmente a ideia do Parlamento de adoptar, para pôr em prática a protecção dos dados, um conceito amplo que abranja as diversas utilizações dos dados. Para este efeito, foi consignada a noção de «tratamento». A noção de «ficheiro» passou a ser utilizada apenas para os dados manuais. De facto, o Parlamento Europeu considerara esta noção ultrapassada e não pertinente no contexto do desenvolvimento da automatização e das telecomunicações.

Por outro lado, foram efectuadas numerosas modificações destinadas, quer a introduzir precisões ou simplificações redaccionais necessárias, quer a imprimir uma certa flexibilidade; estas alterações, embora garantindo um nível equivalente de protecção nos Estados-membros, não deverão resultar na diminuição do nível de protecção, pois permitem uma aplicação eficaz e não burocrática dos princípios gerais definidos em função da extrema variedade dos moldes específicos em que é efectuado o tratamento de dados pessoais.

A concluir, é necessário chamar a atenção para o facto de que o Conselho e a Comissão consideraram que o artigo 100ºA constitui uma base jurídica suficiente para a directiva, tendo por isso abandonado o artigo 113º, também proposto pela Comissão como fundamento jurídico na sua proposta alterada. De facto, o Conselho considerou que os artigos 25º e 26º da directiva, relativos à transferência de dados pessoais para países terceiros, não têm um objectivo de política comercial propriamente dito; entendem-se antes como simples corolário dos restantes artigos da directiva, dos quais são indissociáveis, na medida em que visam assegurar que o sistema seja, de certo modo, «estanque» e impedir todo e qualquer «laxismo» no tocante à transferência de dados para países terceiros.

B. Observações específicas

1. Alterações do Parlamento Europeu consignadas na posição comum

i) Definições (artigo 2º)

Na definição de «tratamento» (alterações nºs 10, 15, 16 e 34), foram incluídas a fase de recolha e as diversas formas de comunicação de dados.

Foram introduzidas especificações na definição de «dados pessoais» (alteração nº 12).

Foram introduzidas as definições de «terceiro» e de «subcontratante» (alterações nºs 18 e 134).

ii) Princípios relativos à qualidade dos dados (artigo 6º)

Foi introduzida a derrogação ao princípio da duração máxima de conservação de dados, que depende dos objectivos do tratamento, em benefício dos dados conservados para fins históricos, estatísticos ou científicos (alteração nº 60).

A finalidade da recolha de dados deve ser previamente conhecida (alteração nº 59).

iii) Categorias específicas de tratamento (artigo 8º)

O tratamento de dados pessoais efectuado por associações sem fins lucrativos de carácter político, filosófico, religioso ou sindical beneficia de uma derrogação específica no caso de se tratar de dados sensíveis sobre os respectivos membros, cujo tratamento deveria em princípio ser proibido (alteração nº 149).

O texto actual contempla o desejo do Parlamento Europeu de introduzir mais flexibilidade no tocante ao tratamtento de dados relativos a infracções, condenações penais, etc. (alteração nº 65).

Cabe aos Estados-membros determinar em que condições um número nacional ou qualquer outro sinal de identificação de alcance geral poderá ser objecto de tratamento (alteração nº 65).

iv) Direitos da pessoa em causa (artigos 10º, 11º, 12º, 14º, 15º e 22º)

Os direitos da pessoa em causa foram reforçados e definidos com mais precisão; em particular:

- o direito à informação foi alargado à origem dos dados e à lógica subjacente a determinados tratamentos automatizados (alterações nºs 46 e 48),

- o direito de acesso deve poder exercer-se sem quaisquer restrições por parte de terceiros (alteração nº 132),

- o direito de oposição pode ser exercido em qualquer momento e, nomeadamente, no que respeita ao tratamento para efeitos de prospecção (alterações nºs 30 e 145),

- as possibilidades de recurso a prever pelos Estados-membros foram alargadas a todos os direitos garantidos pela directiva; a este respeito, note-se que o considerando nº 55 contempla a exigência do Parlamento Europeu no sentido de as sanções serem também aplicadas aos responsáveis do sector público (alterações nºs 52 e 77).

v) Notificação do tratamento e controlo prévio pelas autoridades de controlo (artigos 18º, 19º e 20º)

O processo de notificação tornou-se mais selectivo, para diminuir a burocracia e aumentar a eficácia; são oferecidas aos Estados-membros possibilidades de derrogação à obrigação de notificação ou de simplificação da notificação, nomeadamente no caso de o tratamento não ser susceptível de prejudicar os direitos e liberdades das pessoas em causa ou de o tratamento ser efectuado por uma associação de carácter político, filosófico, religioso ou sindical (alteração nº 149). Estas isenções ou simplificações poderão, na prática, beneficiar toda uma série de tratamentos (nomeadamente os tratamentos visados pelo Parlamento Europeu na alteração nº 23).

Por outro lado, foi consignado o princípio da análise pela autoridade de controlo antes da realização dos tratamentos que impliquem riscos específicos para os direitos e liberdades das pessoas; os considerandos incluem, a título indicativo, exemplos destes tratamentos referidos pelo Parlamento Europeu (alterações nºs 40, 42, 118 e 119).

Esta metodologia deverá permitir aos Estados-membros adaptar os respectivos processos às especificidades nacionais inevitavelmente ligadas às múltiplas práticas e às diferenças existentes no desenvolvimento do tratamento de dados.

Foi consignada a consulta pelo público do registo dos tratamentos notificados mantido pela autoridade de controlo (alterações nºs 37 e 39).

vi) Códigos de conduta (artigo 27º)

É confirmado o incentivo à elaboração de códigos de conduta tanto a nível nacional como a nível europeu, com vista a uma aplicação dos princípios da directiva adaptada à especificidade dos sectores; além disso, as autoridades de controlo, ou grupo de protecção das pessoas mencionado no artigo 29º, bem como as pessoas em causa ou o respectivo representante, podem ser chamados a colaborar na elaboração destes códigos (alterações nºs 72 e 91).

vii) Autoridade de controlo (artigo 28º)

O Estado-membro deve prever uma ou várias autoridades de controlo - para ter em conta, nomeadamente, a estrutura federal de certos Estados-membros - incumbidas de supervisionar a execução das disposições adoptadas em aplicação da directiva (alteração nº 84). As competências da autoridade de controlo podem alargar-se ao poder de providenciar no sentido do bloqueamento, supressão ou proibição de tratamento dos dados (alteração nº 86). As autoridades de controlo devem publicar um relatório periódico (alteração nº 87).

viii) Grupo de protecção das pessoas (artigo 29º)

Foram consignadas as seguintes funções propostas pelo Parlamento Europeu:

- dar parecer sobre a execução das disposições nacionais adoptadas em aplicação da directiva,

- dar parecer sobre o nível de protecção na Comunidade e nos países terceiros, bem como sobre as necessárias medidas de salvaguarda dos direitos e liberdades das pessoas,

- possibilidade de emitir pareceres por sua própria iniciativa.

Por seu turno, a Comissão deverá redigir e publicar um relatório destinado a informar o grupo do seguimento que tiver dado aos seus pareceres, e enviá-lo igualmente ao Parlamento Europeu e ao Conselho (alterações nºs 90, 91 e 92).

ix) Disposições finais (artigo 33º)

O relatório a enviar periodicamente pela Comissão ao Conselho e ao Parlamento Europeu deverá ser publicado (alteração nº 95).

2. Outras alterações à proposta introduzidas na posição comum do Conselho

i) Definições (artigo 2º)

Foi introduzida uma definição de «destinatário», necessária para assegurar a transparência dos tratamentos em relação às pessoas em causa.

ii) Dados constantes de ficheiros manuais (artigos 2º e 33º)

Para facilitar a aplicação da directiva nos Estados-membros onde não são abrangidos até ao momento os dados manuais, foi previsto um período transitório de 12 anos para a aplicação de determinadas disposições da directiva.

iii) Direito nacional aplicável (artigo 4º)

O Conselho confirmou o critério de conexão - clássico no domínio do mercado interno - proposto pela Comissão: trata-se do critério do local de estabelecimento do responsável pelo tratamento. Por outro lado, o Conselho introduziu especificações úteis sobre o conceito de estabelecimento do responsável pelo tratamento (considerando nº 19) sobre as obrigações de segurança atribuídas ao subcontratante no artigo 17º, bem como, no artigo 28º, sobre as competências das autoridades de controlo no que respeita às operações de tratamento efectuadas no seu território.

iv) Tratamento de dados sensíveis (artigo 8º)

Para satisfazer necessidades justificadas, essencialmente no domínio médico e laboral, e sob reserva de garantias adequadas, foram aditadas excepções à proibição do tratamento de dados que revelem a origem racial ou étnica, as opiniões, ou de dados relativos à saúde e à vida sexual.

As derrogações que forem concedidas por motivos de interesse público importante, bem como as excepções às regras em matéria de tratamento de dados penais, deverão ser notificadas à Comissão.

v) Liberdade de expressão (artigo 9º)

O Conselho confirmou a abordagem da Comissão no sentido de incluir o tratamento para fins jornalísticos no âmbito da directiva. Para além deste tratamento, os tratamentos efectuados para fins de expressão artística ou literária deverão beneficiar de um regime especial justificado pela necessidade de conciliar, neste domínio, a liberdade de expressão e a protecção do direito à privacidade. Esse regime será posto em prática pelos Estados-membros.

vi) Tratamento para fins estatísticos, históricos ou científicos

Embora tenha mantido a natureza de directiva-quadro da presente directiva, o Conselho aditou à derrogação introduzida relativa a um prazo máximo de conservação dos dados para fins estatísticos, históricos ou científicos (nº 1, alínea e), do artigo 6º) algumas precisões úteis, nomeadamente no nº 1, alínea b), do artigo 6º relativo à compatibilidade dos tratamentos para essas finalidades com os dados recolhidos para outras finalidades, assim como no artigo 11º relativo à informação das pessoas. Foi alargado o âmbito da derrogação facultativa ao direito de acesso aos dados tratados para essas finalidades (nº 2 do artigo 13º).

vii) Transparência dos tratamentos (artigos 10º, 11º e 21º)

As obrigações relativas à informação das pessoas em causa sobre o tratamento dos dados que lhes dizem respeito foram tornadas mais flexíveis, para ter em conta a multiplicidade das circunstâncias em que podem ocorrer esses tratamentos (artigos 10º e 11º). Além disso, a obrigação para os Estados-membros de garantirem a qualquer pessoa o direito de ter conhecimento da existência de um tratamento, previsto no antigo artigo 10º da proposta alterada, foi retomada no artigo 21º sob a forma de obrigação de garantir a publicidade dos tratamentos.

viii) Derrogações e restrições (artigo 13º, antigo artigo 14º)

As derrogações ou restrições previstas nos artigos relativos às obrigações de informação e à transparência dos tratamentos (artigos 11º, 12º e 21º anteriores, ou seja os actuais 10º, 11º e 21º), que faziam referência ao artigo 14º, inicialmente reservado às derrogações ao direito de acesso, foram inseridas neste anterior artigo.

O âmbito das derrogações e restrições, em benefício dos interessados referidos neste artigo, foi alargado ao princípio da finalidade invocado no artigo 6º

Além disso, foi esclarecido que as derrogações e as restrições devem ser previstas numa medida legislativa.

A medida compensatória constituída pelo controlo pela autoridade de controlo, a pedido do interessado, em caso de limitação do direito de acesso, foi retomada no artigo 28º

ix) Segurança do tratamento (artigos 16º e 17º)

As disposições relativas à confidencialidade foram inscritas num artigo separado (artigo 16º); as relativas à segurança, que competem quer ao responsável pelo tratamento, quer ao seu subcontratante (artigo 17º), foram simplificadas do ponto de vista da redacção. Foi reintroduzida a tomada em consideração dos custos em relação às medidas a adoptar, tendo-se mantido o critério do risco para avaliar a adequação das medidas adoptadas.

x) Notificação e controlo prévio (artigos 18º, 19º e 20º)

No que se refere à notificação, para além da possibilidade de isenção para as categorias de tratamentos que não são susceptíveis de prejudicar os direitos e liberdades das pessoas em causa (proposta da Comissão), passaram a ser possíveis derrogações quando tiver sido nomeado um encarregado, responsável pelas tarefas descritas e que garanta que os tratamentos não são susceptíveis de prejudicar os direitos e liberdades das pessoas em causa.

No que se refere ao controlo prévio dos tratamentos que apresentam riscos específicos em relação aos direitos e liberdades das pessoas em causa, esse controlo pode ser efectuado quer pela autoridade de controlo (proposta da Comissão), quer pelo encarregado em cooperação com a autoridade de controlo. De acordo com a sua legislação nacional, as autoridades de controlo podem emitir um parecer ou dar uma autorização na sequência do controlo prévio.

Essas regras relativas à notificação e ao controlo constituem um compromisso na medida em que asseguram a equivalência entre dois tipos de processos que, tanto um como o outro, já deram provas nos Estados-membros.

xi) Países terceiros (artigos 25º e 26º)

O Conselho confirmou a abordagem geral proposta pela Comissão, ou seja o princípio da existência de um nível de protecção adequado nos países terceiros e a verificação pelos Estados-membros do respeito por esse princípio. São no entanto previstas disposições tendo em vista garantir a execução homogénea de um política comunitária nessa matéria. O Conselho apresentou esclarecimentos sobre os elementos a tomar em consideração para avaliação do nível de protecção, assim como sob as derrogações a prever.

xii) Autoridade de controlo (artigo 28º)

Foi prevista a consulta sistemática às autoridades de controlo aquando da elaboração de medidas regulamentares ou administrativas nacionais. O poder de intervenção dessas autoridades de controlo é descrito apenas de forma indicativa para deixar aos Estados-membros a flexibilidade necessária nesta matéria. Finalmente, foram apresentados esclarecimentos sobre a cooperação entre as autoridades de controlo em matéria de fluxos transfronteiriços.

xiii) Comitologia (artigo 31º)

No que se refere à transferência de dados para países terceiros que exigem a atribuição de competências de execução à Comissão, o Conselho adoptou o processo III variante a) previsto no artigo 2º da Decisão 87/373/CEE de 13 de Julho de 1987.

xiv) Disposições finais (artigos 32º e 33º)

Para além do estabelecimento das medidas transitórias acima referidas para a adequação dos ficheiros manuais às novas exigências, pareceu necessário aumentar para três anos, a contar da data da adopção da directiva, o prazo concedido para a sua transposição para as legislações nacionais.

Para ter em conta o desenvolvimento tecnológico, nomeadamente no âmbito da evolução da sociedade de informação, a Comissão analisará em particular no seu relatório periódico a aplicação da directiva aos tratamentos de dados de carácter pessoal sob a forma de sons e imagens.