18.12.2012 |
PT |
Jornal Oficial da União Europeia |
C 391/127 |
Parecer do Comité das Regiões sobre o pacote «Proteção de Dados»
2012/C 391/13
O COMITÉ DAS REGIÕES
— |
saúda as propostas que visam uma reforma do quadro jurídico europeu para a proteção de dados, considerando-as um contributo da União Europeia para o debate global sobre uma proteção adequada da esfera privada num mundo digital; |
— |
considera fundamental clarificar os aspetos essenciais da proteção dos dados pessoais no quadro de um processo legislativo ordinário, o único capaz de garantir transparência e legitimidade democrática, na medida em que conta com a plena participação do Conselho da União Europeia e do Parlamento Europeu e também de representantes dos órgãos de poder local e regional; |
— |
faz notar que, independentemente de questões em aberto quanto à compatibilidade do conceito de base do regulamento com os princípios da subsidiariedade e da proporcionalidade, há igualmente disposições detalhadas que colocam outras restrições inadequadas à legislação dos Estados-Membros no domínio do tratamento de dados por entidades da administração pública nacional; |
— |
considera também oportuno que o projeto de regulamento outorgue maior margem de decisão aos Estados-Membros e, se for caso disso, às suas regiões, para regular, em conformidade com a legislação nacional, as condições gerais aplicáveis aos membros da autoridade de controlo, a fim de garantir a sua independência no exercício das suas funções. |
Relatora |
Ursula MÄNNLE (DE-PPE), deputada ao Parlamento do Estado da Baviera |
Textos de referência |
Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões – Proteção da privacidade num mundo interligado – Um quadro europeu de proteção de dados para o século XXI COM(2012) 9 final Proposta de diretiva do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados COM(2012) 10 final Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados) COM(2012) 11 final |
I. RECOMENDAÇÕES POLÍTICAS
Tendo em conta a omnipresença do tratamento de dados na sociedade de informação moderna, a regulamentação da proteção de dados é de importância fundamental para o desenvolvimento económico, o funcionamento e a eficácia da ação estatal e os direitos individuais de liberdade dos cidadãos da Europa. A adaptação da proteção de dados às novas exigências resultantes de um mundo digital interconectado através da Internet, e que abrange cada vez mais domínios da vida, tornou-se num dos principais projetos de reforma, não só para a União Europeia, mas também para outras organizações de Estados, como o Conselho da Europa, ou outros países, como os Estados Unidos da América. A proteção de dados pessoais levanta questões em todos os domínios políticos. Trata-se de uma matéria transversal aos domínios da segurança e da justiça, da economia, das comunicações, da educação, da saúde, da administração e da defesa do consumidor. O desenvolvimento da legislação nesta matéria reveste-se, pois, de importância capital também para as regiões e os municípios da Europa preservarem e desenvolverem a sua viabilidade futura numa época de profundas mutações tecnológicas e de concorrência globalizada.
O COMITÉ DAS REGIÕES
1. |
saúda as propostas que visam uma reforma do quadro jurídico europeu para a proteção de dados, considerando-as um contributo da União Europeia para o debate global sobre uma proteção adequada da esfera privada num mundo digital; |
2. |
recorda o papel determinante dos órgãos de poder local e regional na aplicação das recomendações da Agenda Digital para a Europa. Estes órgãos são o motor do crescimento económico a nível local e regional e produzem, utilizam e gerem muitos produtos e serviços informáticos que se apoiam em bases de dados com informações provenientes do setor público. Devem, portanto, ter uma influência ampla e eficaz na legislação que, na sua esfera de competências, diz respeito à proteção de dados. O regulamento implica uma nova carga administrativa e encargos financeiros adicionais para os municípios e as regiões que, segundo o Comité, não são de modo algum proporcionais às vantagens que delas advêm para os cidadãos; |
3. |
apoia os objetivos gerais do pacote de reformas de assegurar, em concordância com o artigo 8.o da Carta dos Direitos Fundamentais e com o artigo 16.o do Tratado sobre o Funcionamento da União Europeia, uma harmonização a nível europeu da proteção dos indivíduos quanto ao processamento dos dados pessoais; |
4. |
salienta que uma harmonização dos requisitos jurídicos de proteção de dados através de normas gerais vinculativas fará com que os processos de tratamento de dados das empresas, dos órgãos de administração e dos indivíduos fiquem sujeitos às mesmas obrigações, não obstante condições de risco e de funcionamento essencialmente diferentes. O Comité considera que o regulamento tem consequências negativas para as entidades públicas e é ambíguo em relação às suas competências e na esfera do direito laboral. Além disso, o regulamento impõe uma série de obrigações às entidades públicas ao nível local e regional (por Exemplo, mais documentos, obrigação de garantir a portabilidade dos dados, etc.), sem oferecer, em contrapartida, uma melhoria palpável dos direitos das pessoas em causa. O Comité observa que, devido ao seu grau de abstração, o ato legislativo proposto em forma de regulamento pode levar a uma má interpretação do artigo 290.o do TFUE, que dá à Comissão competência para emanar regras suplementares, mesmo em questões essenciais, e que, logo, é incompatível com os princípios da subsidiariedade e da proporcionalidade. Solicita, por conseguinte, que o tratamento de dados pessoais por entidades públicas e a esfera do direito do trabalho sejam excluídos do âmbito de aplicação do regulamento, de modo a continuarem a ser regulados por uma diretiva; |
5. |
sublinha a responsabilidade fundamental que incumbe às autoridades de controlo independentes na proteção de dados pessoais, mas considera que não basta reforçar a sua missão regulamentar para garantir um elevado nível de proteção de dados num mundo interligado em que os processos de tratamento de dados são quase omnipresentes. Serão também necessários incentivos para os responsáveis pelo tratamento de dados a fim de recompensar os seus esforços na proteção de dados, isto é, facilitar o ónus da prova aos responsáveis pelo tratamento de dados que se submetem a normas de autorregulação ou a códigos de conduta estritos ou elaboram voluntariamente avaliações de impacto nesta matéria; |
6. |
considera fundamental clarificar os aspetos essenciais da proteção dos dados pessoais no quadro de um processo legislativo ordinário, o único capaz de garantir transparência e legitimidade democrática, na medida em que conta com a plena participação do Conselho da União Europeia e do Parlamento Europeu e também de representantes dos órgãos de poder local e regional; |
7. |
reconhece a necessidade de estabelecer, no domínio da cooperação policial e judicial, normas obrigatórias de proteção dos dados pessoais para o intercâmbio transnacional de dados; |
8. |
alerta para o risco de os esforços envidados para reforçar a proteção dos dados pessoais restringirem demasiado o exercício pelos cidadãos do seu direito de dispor livremente da informação que lhes diz respeito, na medida em que, no âmbito de aplicação tanto do regulamento geral como da diretiva sobre a proteção de dados, lhes é negada a possibilidade de darem o seu consentimento, sobretudo perante as entidades públicas; |
9. |
considera essencial que, perante o exposto, o futuro processo legislativo tenha em consideração os seguintes aspetos: |
Subsidiariedade e proporcionalidade
10. |
entende que a tentativa de, no domínio do setor privado, harmonizar completamente partes da legislação europeia em matéria de proteção de dados transformando-as em regulamento deverá ser fundamentada com argumentos sólidos; |
11. |
assinala, todavia, que, no que toca aos domínios policial e judicial, o pacote global composto pelo regulamento geral e a diretiva sobre a proteção dos dados, ao manter numerosas regulamentações europeias e nacionais em matéria de proteção de dados precisamente na área das telecomunicações, é, no processo de consulta, constantemente alvo de objeções fundamentadas que dizem respeito à sua compatibilidade com os princípios da subsidiariedade e da proporcionalidade. Estas objeções incidem nos seguintes aspetos:
|
12. |
salienta que estas preocupações refletem as reservas de numerosos órgãos de poder local e regional europeus relativamente a propostas legislativas que, por exemplo, tornam impossível ter em conta especificidades nacionais em matéria de proteção dos dados no setor social ou sobrecarregam as administrações públicas com requisitos de proteção de dados, como o direito à portabilidade dos dados, que poderão ter apenas relevância nos processos de tratamento de dados económicos e que acarretam sanções administrativas pesadas relativamente aos recursos financeiros das autarquias locais; |
13. |
preconiza que se clarifique na proposta de regulamento relativo à proteção de dados que as restrições contempladas pelo artigo 83.o relativo ao tratamento de dados pessoais para fins de investigação histórica, estatística e científica não deverão limitar as possibilidades dos organismos públicos de conservar documentos com o apoio da legislação nacional de arquivos ou da legislação sobre o acesso a documentos da administração pública; |
14. |
considera, por conseguinte, necessário que, na próxima fase do processo legislativo, se volte a examinar com mais atenção a escolha da forma jurídica e as fronteiras entre os âmbitos de aplicação das propostas de regulamento e de diretiva, a fim de encontrar eventualmente uma alternativa mais conforme com os princípios da subsidiariedade e da proporcionalidade do que o pacote global em apreço. Uma alternativa seria continuar a regular por uma diretiva o tratamento de dados pessoais por órgãos públicos e o tratamento de dados pessoais dos trabalhadores no contexto laboral, excluindo do regulamento geral estes dois tipos de tratamento de dados; |
Coerência internacional em vez do princípio do mercado local
15. |
apoia o objetivo de impor também aos provedores mundiais de serviços de informação o cumprimento das normas europeias de proteção de dados; |
16. |
entende que a iniciativa proposta pelo governo dos Estados Unidos da América para a definição de um quadro jurídico de proteção da esfera privada na economia globalizada das tecnologias da informação permite reunir as várias tentativas de reforma visando a definição de normas de proteção comuns em domínios fundamentais da circulação internacional de dados, o que permitirá não só impor regras eficazes em matéria de proteção de dados, mas também evitar distorções na concorrência de uma forma mais eficiente do que recorrendo ao princípio do mercado local, cuja aplicação prática é limitada; |
Viabilidade futura da reforma
17. |
assinala que o projeto de regulamento geral sobre a proteção de dados se baseia, na sua essência, nos princípios da Diretiva relativa à Proteção de Dados (95/46/CE), aprofundados apenas em certos aspetos específicos, como no princípio da «proteção de dados desde a conceção» (privacy by design), mas que são certamente alterados. Ao contrário do que acontecia quando da elaboração da Diretiva relativa à Proteção de Dados, os riscos associados ao tratamento de dados pessoais na sociedade da informação, tanto por entidades privadas como públicas, já não são caracterizados por relações de utilização bipolares. A digitalização e a interligação em rede criam sistemas que envolvem várias entidades no tratamento de dados, por exemplo, no cotejo de dados ou no intercâmbio de informações entre autoridades; |
18. |
salienta que as consequentes questões suscitadas em relação à proteção dos dados pessoais com conceitos bipolares tradicionais, como o conceito do «responsável pelo tratamento», o «direito a ser esquecido» ou o princípio da proibição criado para a relação entre o Estado e os cidadãos (artigos 6.o e 9.o do projeto de regulamento), já são mais difíceis de esclarecer de forma adequada. Algumas alterações às disposições da diretiva, como por exemplo, a reformulação das definições de «dados pessoais» ou de «consentimento», contribuem mais para aumentar do que para esclarecer as incertezas jurídicas já existentes; |
19. |
é, por isso, de opinião que – caso a Comissão persista no seu propósito de optar por um regulamento – nele fique bem explícito que um empregador apenas poderá tratar dados dos trabalhadores com o seu consentimento. O mesmo se deve aplicar às entidades públicas, no âmbito de aplicação tanto do regulamento geral como da diretiva sobre a proteção de dados. Em conformidade com o regulamento, os Estados-Membros poderão regulamentar por lei o tratamento dos dados pessoais dos trabalhadores no contexto das relações laborais; |
20. |
considera, pois, necessário, caso o processo legislativo não permita uma evolução fundamental a nível dos conceitos de base, repensar os mecanismos de execução, que até ao momento têm sido demasiado orientados para instrumentos regulamentares, também eles bipolares, como imposições ou sanções. Precisamente na perspetiva dos órgãos de poder local e regional, que se encontram mais próximos das pessoas afetadas, certos elementos podem revelar-se particularmente importantes, nomeadamente:
|
21. |
realça, neste contexto, que a proposta de regulamento sobre a proteção de dados apenas confere a estas funções, que incumbem essencialmente às autoridades de controlo, uma importância secundária, por exemplo, no âmbito da obrigação geral de informação de acordo com o artigo 52.o, n.o 2 da proposta de regulamento ou com as disposições relativas aos códigos de conduta constantes do artigo 38.o do mesmo regulamento; |
Preservação da margem de manobra da legislação nacional
22. |
faz notar que, independentemente de questões em aberto quanto à compatibilidade do conceito de base do regulamento com os princípios da subsidiariedade e da proporcionalidade, há igualmente disposições detalhadas que colocam outras restrições inadequadas à legislação dos Estados-Membros no domínio do tratamento de dados por entidades da administração pública nacional; |
23. |
é, por isso, de opinião que o tratamento de dados pessoais pelos órgãos públicos e o tratamento de dados pessoais dos assalariados no contexto laboral devem continuar a ser regulados por uma diretiva; |
24. |
entende, por conseguinte, que caso a Comissão persista no seu propósito de optar por um regulamento este também deve ser válido para as entidades públicas e a esfera do direito laboral:
|
Reforço da responsabilidade democrática
25. |
manifesta-se muito preocupado com a possibilidade de, com a entrada em vigor do regulamento, a concretização e o desenvolvimento de imposições legislativas em matéria de proteção de dados virem a ser alvo de processos que, ao contrário da legislação dos Estados-Membros e da União Europeia ou da execução do direito nacional e europeu pelas administrações dos Estados-Membros, controladas pelos parlamentos, não oferecem qualquer garantia de transparência nem de suficiente legitimação democrática; |
26. |
fundamenta esta afirmação com o facto de o projeto de regulamento pretender criar, através de disposições muito abstratas, obrigações vinculativas e simultaneamente uniformes e sujeitas a sanções, num domínio essencial para a concretização de diversos aspetos dos direitos fundamentais, o qual se caracteriza já atualmente por uma variedade quase indecifrável de casos de aplicação tão variados, desde listas de endereços privadas, passando por registos públicos de habitantes, até às bases de dados das redes sociais ou dos provedores de motores de busca. Neste contexto, o défice quase inevitável em termos de normalização, certeza jurídica e exequibilidade deve ser compensado, por um lado, por uma multiplicidade de poderes para a adoção de atos delegados que dizem frequentemente respeito a elementos essenciais da proposta de regulamento, como demonstram, por exemplo, as competências atribuídas nos termos do artigo 6.o, n.o 5, do regulamento geral sobre a proteção de dados. Por outro lado, as autoridades de controlo independentes têm poderes que vão muito para além das funções de execução tradicionais e que lhes permite definir orientações gerais para a interpretação do regulamento sobre a proteção de dados, para adotar medidas que, no fim de contas, são igualmente gerais e abstratas. Assim, no âmbito do denominado mecanismo de coerência, essas autoridades ficam também sujeitas a direitos de intervenção inadequados por parte da Comissão, que comprometem a sua independência, garantida pelo artigo 16.o, n.o 2, segunda frase, do TFUE; |
27. |
considera, portanto, conveniente alterar fundamentalmente os mecanismos de participação da Comissão no âmbito do mecanismo de coerência, a fim de garantir a independência das autoridades de controlo da proteção de dados, em especial no que toca às suas competências nos termos do artigo 60.o e do artigo 62.o, n.o 1, alínea a), do regulamento geral sobre a proteção de dados, bem como à definição das «sérias dúvidas» com base nas quais a Comissão pode intervir, segundo os mesmos artigos; |
28. |
considera também oportuno que o projeto de regulamento outorgue maior margem de decisão aos Estados-Membros e, se for caso disso, às suas regiões, para regular, em conformidade com a legislação nacional, as condições gerais aplicáveis aos membros da autoridade de controlo, a fim de garantir a sua independência no exercício das suas funções; |
29. |
é igualmente de opinião que os instrumentos de gestão das autoridades de controlo, também reconhecidos pelo Tribunal de Justiça Europeu, por exemplo, a elaboração de relatórios e outros procedimentos de consulta regulares com os órgãos legislativos, deveriam ser mais explorados, a fim de dar a conhecer regularmente ao Parlamento, ao Conselho da União Europeia e ao Comité das Regiões, no âmbito dos seus direitos de participação, um panorama sobre a execução da legislação europeia em matéria de proteção de dados e permitir-lhes a adoção de iniciativas para desenvolvê-la. Simultaneamente, em conformidade com o princípio do contraditório, as autoridades de controlo e o Comité Europeu para a Proteção de Dados devem ficar obrigados, por meio de regras processuais complementares, a chamarem a participar num processo transparente de concretização e desenvolvimento da legislação em matéria de proteção de dados, associações e representantes de interesses afetados por decisões de alcance fundamental, por exemplo nos termos do artigo 58.o, n.o 2, do regulamento geral sobre proteção de dados, nomeadamente através de um processo de audiência ou de consulta; |
Limites da harmonização da proteção de dados pelas autoridades policiais e judiciais
30. |
interroga-se se regulamentar igualmente o tratamento de dados exclusivamente nacional no âmbito da proposta de diretiva que se aplica às autoridades policiais e judiciais é compatível com as competências legislativas da União Europeia, e tem dúvidas quanto à sua compatibilidade com o princípio da subsidiariedade e com o princípio da proporcionalidade. Para além das suas atividades de combate ao terrorismo, ao crime organizado ou à cibercriminalidade, as autoridades policiais e judiciais continuam a dispor de volumosas bases de dados que são tratados exclusivamente a nível nacional e, por conseguinte, não carecem de legislação europeia em matéria de proteção de dados. Além disso, há que ter em conta que as disposições legislativas neste domínio têm um impacto direto no direito de processo penal e policial e obrigam indiretamente à harmonização dessa legislação mesmo não tendo a União Europeia competências suficientes para tal; |
31. |
manifesta surpresa pelo facto de as instituições e órgãos da UE, a começar pela Eurojust e a Europol, estarem excluídos do âmbito de aplicação da diretiva; |
32. |
não obstante estas reservas fundamentais, solicita que no seguimento do processo legislativo se verifique:
|
33. |
reserva-se o direito de apresentar outro parecer, contendo especialmente propostas de alteração concretas, assim que sejam conhecidas, no seguimento do processo legislativo, as posições do Conselho da União Europeia e do Parlamento Europeu relativamente às questões levantadas. |
II. RECOMENDAÇÕES DE ALTERAÇÃO
Alteração 1
Artigo 36.o
Texto da proposta da Comissão |
Alteração proposta pelo CR |
||||
Em derrogação aos artigos 34.o e 35.o, os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada: |
Em derrogação aos artigos 34.o e 35.o, os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada: |
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
Justificação
A expressão «se for necessária» é demasiado vaga e dá azo a uma utilização não restritiva das derrogações, o que contraria o espírito deste artigo.
Alteração 2
Artigo 86.o, n.o 6
Texto da proposta da Comissão |
Alteração proposta pelo CR |
|
Justificação
A inclusão da obrigatoriedade de a Comissão consultar o Comité Europeu para a Proteção de Dados relativamente a todos os atos delegados e de execução constitui uma salvaguarda fundamental.
Bruxelas, 10 de outubro de 2012
O Presidente do Comité das Regiões
Ramón Luis VALCÁRCEL SISO