Parecer do Comité Económico e Social Europeu sobre o RGPD

May 24, 2021 | Legislação

2012/C 229/17 – Parecer do Comité Económico e Social Europeu sobre o RGPD

Parecer do Comité Económico e Social Europeu sobre a «Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados» (regulamento geral sobre a proteção de dados)

https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv%3AOJ.C_.2012.229.01.0090.01.POR&toc=OJ%3AC%3A2012%3A229%3ATOC

Parecer do Comité Económico e Social Europeu sobre a «Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados» (regulamento geral sobre a proteção de dados)

COM(2012) 11 final — 2012/011 (COD)

2012/C 229/17

Relator-geral: Jorge PEGADO LIZ

O Parlamento Europeu, em 16 de fevereiro de 2012, e o Conselho, em 1 de março de 2012, decidiram, nos termos do artigo 304.o do Tratado sobre o Funcionamento da União Europeia, consultar o Comité Económico e Social Europeu sobre a

Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados)

COM(2012) 11 final — 2012/011 (COD).

Em 21 de fevereiro de 2012, a Mesa do Comité decidiu incumbir da preparação dos correspondentes trabalhos a Secção Especializada de Emprego, Assuntos Sociais e Cidadania.

Dada a urgência dos trabalhos, o Comité Económico e Social Europeu, na 481.a reunião plenária de 23 e 24 de maio de 2012 (sessão de 23 de maio) designou relator-geral Jorge PEGADO LIZ e adotou, por 165 votos a favor, 34 votos contra e 12 abstenções, o seguinte parecer.

1. Conclusão e recomendações

1.1

O CESE saúda a orientação geral da Comissão, manifesta o seu acordo quanto à escolha da base de habilitação proposta, e aprova, em princípio, os objetivos da proposta, que seguem de perto um parecer do Comité. No atinente ao estatuto jurídico da proteção de dados, entende que o tratamento e transferência de dados no âmbito do mercado único devem ser limitados pelo direito à proteção de dados pessoais decorrente do artigo 8.o da Carta dos Direitos Fundamentais e do artigo 16.o, n.o 2, do TFUE.

1.2

O CESE está dividido quanto à escolha de um regulamento como o instrumento jurídico mais adequado face aos objetivos em vista e solicita à Comissão que demonstre melhor e justifique por que motivos este instrumento é preferível a uma diretiva, ou é indispensável.

1.3

O Comité lamenta as exceções e restrições, demasiado numerosas, que afetam os princípios afirmados do direito à proteção dos dados pessoais.

1.4

No novo contexto da economia digital, o Comité partilha a opinião da Comissão de que «as pessoas singulares têm o direito de exercer um controlo efetivo sobre os seus dados pessoais» e solicita que esse direito se alargue também às diversas utilizações para as quais são criados perfis individuais a partir dos dados recolhidos por uma vasta quantidade de meios (legais e, por vezes, ilegais), bem como ao tratamento dos dados obtidos.

1.5

No que toca aos direitos fundamentais, a harmonização, através de um regulamento, em domínios específicos deveria, no entanto, permitir que os Estados-Membros adotem, no seu direito nacional, disposições não incluídas no regulamento em análise, ou mais favoráveis do que as aí previstas.

1.6

Além disso, o Comité não pode aceitar as referências quase sistemáticas a atos delegados que não decorrem expressamente do artigo 290.o do TFUE.

1.7

O Comité saúda, todavia, a preocupação de criar um quadro institucional eficaz para garantir o funcionamento efetivo das disposições legais, tanto ao nível das empresas (delegados para a proteção de dados) como ao nível das administrações públicas dos Estados-Membros (autoridades de controlo independentes). Teria, no entanto, apreciado que a Comissão tivesse escolhido uma abordagem mais adaptada às necessidades e aspirações reais dos cidadãos, e mais sistematizada segundo a natureza de certos domínios da atividade económica e social.

1.8

O CESE entende que há várias melhorias e precisões a fazer ao texto proposto e dá exemplos concretos em relação a vários artigos, no sentido de promover uma melhor definição dos direitos, reforçar a proteção dos cidadãos em geral e dos trabalhadores em particular, esclarecer a natureza do consentimento, a licitude do tratamento e, em particular, as funções dos delegados de proteção dos dados e o tratamento dos dados em matéria de emprego.

1.9

O Comité considera também que devem ser incluídos certos elementos que a Comissão não ponderou, nomeadamente o alargamento do âmbito de aplicação, o tratamento de dados sensíveis ou as ações coletivas.

1.10

Assim, o CESE é de opinião de que os motores de pesquisa cujas receitas provêm, na sua maioria, de publicidade dirigida especificamente ao seu público graças à recolha de dados pessoais sobre os visitantes ou à definição de perfis devem ser abrangidos expressis verbis pelo regulamento. O mesmo deve ser válido para os sítios de servidores que oferecem espaço para armazenamento de dados, bem como para certos criadores de software (computação em nuvem, ou cloud computing), que recolhem dados sobre os seus utilizadores para fins comerciais.

1.11

As mesmas disposições devem valer ainda para as informações pessoais publicadas nas redes sociais, que deveriam permitir que, ao abrigo do direito a ser esquecido, a pessoa em causa modifique ou elimine as informações ou, a seu pedido, suprima a sua página pessoal e as ligações que remetam para outros sítios Web muito frequentados onde essas informações são reproduzidas e comentadas. O artigo 9.o deveria ser alterado nesse sentido.

1.12

Por fim, o CESE solicita à Comissão que reconsidere certos aspetos da proposta que, na sua opinião, são inaceitáveis para matérias sensíveis como a proteção das crianças, o direito de oposição, a definição de perfis, certos limites aos direitos, o limite de 250 trabalhadores para designar um delegado para a proteção de dados ou a forma como está regulamentado o «balcão único».

2. Introdução

2.1

O CESE foi agora consultado a respeito da «Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados) (1)».

2.2

Todavia, assinala que esta proposta faz parte de um «pacote» que inclui uma comunicação introdutória (2), um proposta de diretiva (3) e um «Relatório da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões com base no artigo 29.o, n.o 2, da Decisão-Quadro do Conselho, de 27 de novembro de 2008 (4)». O CESE não foi consultado sobre o conjunto das ações legislativas, mas apenas sobre o projeto de regulamento, embora devesse ter sido consultado também a respeito do projeto de diretiva.

2.3

A proposta sobre a qual o CESE foi consultado situa-se, segundo a Comissão, na intersecção de duas das mais importantes orientações jurídico-políticas e político-económicas da UE.

2.3.1

Por um lado, o artigo 8.o da Carta dos Direitos Fundamentais da União Europeia e o artigo 16.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) consagram a proteção dos dados como um direito fundamental que deve ser protegido como tal. As comunicações da Comissão Europeia sobre o programa de Estocolmo e o plano de ação para a sua aplicação baseiam-se neste princípio (5).

2.3.2

Por outro lado, a estratégia digital para a Europa e, de forma mais geral, a Estratégia Europa 2020, promovem a consolidação da dimensão «mercado único» da proteção dos dados, bem como a redução dos encargos administrativos que pesam sobre as empresas.

2.4

A intenção da Comissão é atualizar e modernizar os princípios inscritos na Diretiva 95/46/CE consolidada relativa à proteção dos dados, com vista a garantir, no futuro, os direitos das pessoas no que toca ao respeito da vida privada na sociedade digital e nas suas redes. O objetivo é reforçar os direitos dos cidadãos, consolidar o mercado interno da UE, assegurar um nível elevado de proteção de dados pessoais em todas as áreas (incluindo no âmbito da cooperação judiciária em matéria penal), garantir uma correta aplicação das regras definidas para esse efeito, facilitar o tratamento transfronteiriço de dados e estabelecer normas universais para a proteção de dados.

3. Observações na generalidade

3.1

No novo contexto da economia digital, o Comité partilha a opinião da Comissão de que «as pessoas singulares têm o direito de exercer um controlo efetivo sobre os seus dados pessoais» e preconiza que esse direito se alargue também às diversas utilizações para as quais são criados perfis individuais a partir dos dados recolhidos por uma vasta quantidade de meios (legais e, por vezes, ilegais), bem como ao tratamento dos dados obtidos. O CESE considera também que o tratamento e transferência de dados no âmbito do mercado único devem ser limitados pelo direito à proteção decorrente do artigo 8.o da Carta dos Direitos Fundamentais. Este é um direito fundamental inscrito no direito institucional da União e na maioria dos direitos nacionais dos Estados-Membros.

3.2

Todos os cidadãos ou residentes da União dispõem, enquanto tal, de direitos fundamentais inscritos na Carta e nos tratados. Esses direitos são também reconhecidos no direito dos Estados-Membros, por vezes mesmo a nível constitucional. Outros direitos, como o direito à imagem ou o direito à proteção da vida privada, completam e reforçam o direito à proteção de dados. É importante que seja possível assegurar o respeito destes direitos solicitando a um sítio Web que modifique ou retire do servidor um perfil pessoal ou um ficheiro e, em caso de incumprimento, obter em tribunal uma injunção para tal.

3.3

A conservação de ficheiros que contêm dados individuais é indispensável à administração pública (6), à gestão dos recursos humanos nas empresas, aos serviços comerciais, às associações e sindicatos, aos partidos políticos ou aos sítios Web sociais ou motores de pesquisa da Internet. No entanto, para proteger a vida privada das pessoas legalmente inscritas nos ficheiros, convém que estes, que se destinam a diversos fins, contenham apenas os dados essenciais aos seus objetivos e que não estejam interligados, graças às TIC, sem que tal interligação seja necessária ou objeto de uma proteção legal. A existência de uma autoridade que tenha acesso ilimitado a todos os dados constituiria um risco para as liberdades cívicas e para a vida privada.

3.4

As pessoas afetadas devem ter direito a aceder, corrigir ou mesmo retirar os ficheiros detidos por pessoas de direito privado, quando se trata de ficheiros de prospeção comercial ou dos sítios Web sociais.

3.5

Quanto aos ficheiros detidos por entidades administrativas públicas ou privadas e que respondem a obrigações legais, as pessoas devem dispor do direito a aceder e a corrigir os dados em caso de erro, ou a retirá-los caso a inscrição da pessoa no ficheiro se tenha tornado inútil, por exemplo, em caso de uma amnistia num ficheiro judicial ou no caso de termo de um contrato de trabalho, expirado o prazo legal de conservação dos dados.

3.6

O CESE saúda a orientação geral adotada pela Comissão, reconhecendo que os objetivos da Diretiva 95/46/CE consolidada continuam a ser atuais, ainda que, após 17 anos e com todas as transformações tecnológicas e sociais que se verificaram no domínio do ambiente digital, se revele indispensável proceder a uma revisão profunda. Por exemplo, a Diretiva 95/46/CE não abrangia determinados aspetos das trocas transfronteiras de informações e de dados entre administrações encarregadas da repressão da delitos penais e da execução de sentenças no quadro da cooperação policial e judiciária. Esta questão é tratada no projeto de diretiva incluído no pacote «proteção de dados» a respeito do qual o Comité não foi consultado.

3.7

O CESE aprova, em princípio, os objetivos da proposta, que se inscrevem na proteção dos direitos fundamentais e seguem de perto um anterior parecer do comité (7), nomeadamente nos seguintes domínios:

criação de um único «corpus» de regras relativas à proteção dos dados, válidas em toda a União e que garantem o mais elevado nível de proteção possível;

reafirmação explícita da liberdade de circulação de dados pessoais na União Europeia;

supressão de diversas obrigações administrativas inúteis, o que, segundo a Comissão, representará uma poupança anual de cerca de 2 300 milhões de euros para as empresas;

obrigação de as empresas e organizações comunicarem à autoridade nacional de controlo as violações graves dos dados pessoais, com a maior brevidade (se possível, no espaço de 24 horas);

possibilidade de os cidadãos recorrerem à autoridade encarregada da proteção dos dados do seu país, mesmo que os seus dados sejam tratados por uma empresa sedeada fora do território da UE;

facilitação do acesso das pessoas aos seus dados, bem como da transferência de dados pessoais de um prestador de serviços a outro (direito à portabilidade dos dados);

«direito a ser esquecido», para garantir aos cidadãos a melhor gestão possível dos riscos associados à proteção dos dados em linha, com a possibilidade de cada pessoa solicitar a eliminação dos dados que lhe dizem respeito, caso a conservação desses dados não tenha justificação legítima;

reforço, relativamente à situação atual, do papel das autoridades nacionais independentes encarregadas da proteção dos dados, para que possam fazer cumprir e respeitar melhor as regras da UE no território do seu Estado-Membro, em particular mediante a concessão do direito de aplicar multas às empresas que violem as regras, multas essas que podem ascender a um milhão de euros ou a 2 % do volume de negócios anual da empresa;

neutralidade tecnológica e sua aplicação a todo o tratamento de dados, quer seja automatizado ou manual;

obrigação de proceder a avaliações de impacto sobre a proteção de dados.

3.8

O CESE saúde a ênfase dada à proteção dos direitos fundamentais e manifesta o seu total acordo com a escolha da base jurídica proposta, utilizada pela primeira vez na legislação. Salienta igualmente a grande importância desta proposta para a realização do mercado único, bem como os seus efeitos positivos no âmbito da Estratégia Europa 2020. No que toca à escolha de um regulamento, uma parte dos membros do CESE, independentemente do grupo a que pertencem, está de acordo com a Comissão e entende que este é o instrumento jurídico mais adequado para garantir uma aplicação uniforme e um nível igual de proteção de dados em todos os Estados-Membros. Outra parte dos membros considera que uma diretiva seria o melhor instrumento para salvaguardar o princípio da subsidiariedade e para melhorar a proteção dos dados, especialmente nos Estados-Membros que já garantem um nível de proteção mais elevado do que o definido na proposta da Comissão. O CESE está ciente de que os Estados-Membros estão também divididos a este respeito. Assim, solicita que a Comissão fundamente melhor a sua proposta, clarificando a sua compatibilidade com o princípio da subsidiariedade e esclarecendo por que motivo a escolha de um regulamento é indispensável para alcançar os objetivos visados.

3.8.1

Uma vez que se trata de um regulamento aplicável imediatamente e na sua totalidade em todos os Estados-Membros, sem carecer de transposição, o CESE chama a atenção da Comissão para a necessidade de zelar pela coerência das traduções em todas as línguas – o que não acontece com a proposta.

3.9

O Comité entende, por um lado, que a proposta poderia ter ido mais longe na proteção de certos direitos, que são praticamente esvaziados do seu conteúdo pelas inúmeras exceções e restrições e, por outro lado, que a proposta deveria equilibrar melhor os direitos das várias partes. Assim, arrisca-se a existir um desequilíbrio entre os objetivos do direito fundamental à proteção dos dados e os objetivos do mercado único, em detrimento dos primeiros. O CESE partilha, essencialmente, a opinião da Autoridade Europeia para a Proteção de Dados (8).

3.10

O CESE gostaria que a Comissão tivesse adotado uma abordagem mais adaptada às necessidades e aspirações dos cidadãos e mais sistematizada de acordo com a natureza de certos domínios da atividade económica e social, como, por exemplo, o comércio em linha, o marketing direto, as relações laborais, os órgãos de poder público, a vigilância e a segurança, o ADN, etc., distinguindo o regime jurídico consoante estes aspetos muito diferentes do tratamento de dados.

3.11

No que diz respeito às diversas disposições incluídas na proposta (e que estão referidas no artigo 86.o), certos aspetos cruciais do instrumento jurídico e do funcionamento do sistema ficam dependentes de futuros atos delegados (26 delegações de poder por um período indeterminado). O CESE entende que estas delegações ultrapassam largamente os limites estabelecidos no artigo 290.o do Tratado e definidos na Comunicação da Comissão Europeia relativa à aplicação do artigo 290.o do Tratado sobre o Funcionamento da União Europeia (9), o que tem consequências para a segurança e certeza jurídicas do dispositivo. O CESE é de opinião que o legislador europeu poderia regular diretamente um número determinado de delegações de poder. Outras delegações poderiam competir às autoridades nacionais de supervisão ou às suas associações ao nível europeu (10). Isto reforçaria a aplicação do princípio da subsidiariedade e contribuiria para maior segurança e certeza jurídicas.

3.12

O CESE compreende que as razões que levaram a Comissão, nesta proposta, a debruçar-se exclusivamente sobre os direitos das pessoas singulares, dada a sua natureza jurídica específica, mas solicita que os dados relativos às pessoas coletivas, especialmente as dotadas de personalidade jurídica, sejam também objeto da atenção da Comissão.

4. Observações na especialidade

Aspetos positivos

4.1 A proposta está conforme com o objeto e os objetivos da Diretiva 95/46/CE, especialmente no que diz respeito a certas definições, a aspetos essenciais dos princípios relativos à qualidade dos dados e à legitimidade do seu tratamento, ao tratamento de dados relativos a certas categorias específicas e a certos direitos de informação e de acesso aos dados.

4.2 A proposta é até inovadora em aspetos fundamentais relativos a novas definições, a uma maior precisão das condições de consentimento, especialmente quando se trata de crianças, e à categorização de novos direitos, como o direito de retificar e eliminar dados, o direito a ser esquecido, o direito de oposição e a definição de perfis. A proposta estabelece ainda obrigações muito pormenorizadas para os responsáveis pelo tratamento de dados e os seus subcontratantes, para além de medidas relativas à segurança dos dados e ao quadro geral de sanções, que são, essencialmente, de natureza administrativa.

4.3 O Comité saúda também a preocupação da proposta de criar um quadro institucional eficaz para garantir o funcionamento efetivo das disposições jurídicas, tanto ao nível das empresas (delegados para a proteção de dados) como ao nível das entidades administrativas públicas dos Estados-Membros (autoridades de controlo independentes), para além do reforço da cooperação entre estas entidades, por um lado, e entre estas e a Comissão, por outro (criação do Comité Europeu para a Proteção de Dados). Assinala, no entanto, a necessidade de respeitar as competências dos delegados nacionais e, em certos casos, regionais para a proteção de dados existentes nos Estados Membros.

4.4 Por fim, considera positivo o incentivo à elaboração de códigos de conduta, bem como o papel da certificação e dos selos e marcas de proteção de dados.

Aspetos que podem ser melhorados

4.5 Artigo 3.o – Âmbito de aplicação territorial

4.5.1 As condições de aplicação previstas no n.o 2 são demasiado restritivas. Convém lembrar o caso das empresas farmacêuticas sedeadas fora da Europa que pretendem, para ensaios clínicos, aceder a dados clínicos de pessoas residentes na UE.

4.6 Artigo 4.o – Definições

4.6.1 A definição de «consentimento», que está, essencialmente, na base de todo o sistema de proteção de dados, deveria ser mais precisa nos elementos que a compõem e, sobretudo, na sua caracterização de «ato positivo inequívoco» (nomeadamente na versão francesa).

4.6.2 A noção de «transferência de dados», que não está definida em lado algum na proposta, deveria ser objeto de uma definição no artigo 4.o.

4.6.3 A noção de «lealdade», referida no artigo 5.o, alínea a), deveria ser objeto de definição.

4.6.4 A noção de dados «manifestamente tornados públicos» (artigo 9.o, n.o 2, alínea e), deveria também ser objeto de definição precisa.

4.6.5 A noção de «definição de perfis», utilizada ao longo de todo o documento, deve igualmente ser definida.

4.7 Artigo 6.o – Licitude do tratamento

4.7.1 Na alínea f), a noção de «interesses legítimos do responsável pelo tratamento» não abrangidos por todas as alíneas precedentes parece vaga e subjetiva e deveria ser definida de forma mais precisa no próprio texto, em vez de ser confiada a um ato delegado (n.o 5), especialmente porque o n.o 4 não refere a alínea f) (isto é importante, por exemplo, para os serviços postais e de marketing direto (11)).

4.8 Artigo 7o – Consentimento

Importa indicar, no n.o 3, que a retirada do consentimento impede qualquer tratamento posterior dos dados e que só compromete a licitude do tratamento efetuado a partir do momento em que o consentimento foi retirado.

4.9 Artigo 14.o – Informações

4.9.1 No n.o 4, alínea b), importa fixar um prazo máximo.

4.10 Artigo 31.o – Notificação da violação de dados pessoais à autoridade de controlo

4.10.1 A notificação de toda e qualquer violação arrisca-se a comprometer o funcionamento do sistema e, no fim de contas, a entravar a responsabilização efetiva dos culpados.

4.11 Artigo 35.o – Delegados para a proteção de dados

4.11.1 Importa esclarecer as condições relativas à função do delegado para a proteção de dados, nomeadamente a proteção contra despedimento, que deve estar claramente definida e alargar-se para além do período durante o qual a pessoa em causa assume esta função; as condições de base e os requisitos claros necessários ao exercício desta atividade; a exoneração do delegado para a proteção de dados de quaisquer responsabilidade caso assinale irregularidades ao empregador ou às autoridades nacionais de proteção de dados; o direito à participação direta de representantes do pessoal no processo de designação do delegado; e o direito destes representantes a serem periodicamente informados (12) sobre os problemas verificados e sua resolução. Convém também esclarecer a questão dos recursos afetados a esta função.

4.12 Artigo 39.o – Certificação

4.12.1 A certificação deve ser uma das tarefas da Comissão.

4.13 Artigos 82.o e 33.o – Tratamento de dados em matéria de emprego

4.13.1 Falta uma referência explícita, no artigo 82.o, à avaliação do desempenho (que também não é referida no artigo 20.o relativo à «definição de perfis»). Além disso, também não se esclarece se este poder dos Estados-Membros se aplica também à formulação das disposições relativas ao delegado para a proteção de dados. Também a proibição da «definição de perfis» em matéria de emprego deveria ser esclarecida no que diz respeito à avaliação de impacto sobre a proteção de dados (artigo 33.o).

4.14 Artigos 81.o, 82.o, 83.o e 84.o

4.14.1 Onde se afirma «Nos limites do presente regulamento» deveria afirmar-se «Nos termos do presente regulamento».

Aspetos que deveriam ser incluídos

4.15 Âmbito de aplicação

4.15.1 No que toca aos direitos fundamentais, a harmonização em domínios específicos deveria permitir que os Estados-Membros adotem, no seu direito nacional, disposições não incluídas no regulamento em análise, ou mais favoráveis do que as aí previstas, à semelhança do que se prevê para os domínios abrangidos pelos artigos 80.o a 85.o.

4.15.2 Os endereços IP individuais deveriam ser expressamente incluídos no corpo do regulamento, e não apenas nos considerandos, como um dos dados pessoais a proteger.

4.15.3 Os motores de pesquisa cujas receitas provêm, na sua maioria, da publicidade e que recolhem dados pessoais sobre os seus utilizadores e lhes dão uma utilização comercial devem ser incluídos no âmbito de aplicação do regulamento, em vez de figurarem apenas nos considerandos.

4.15.4 Importa especificar que as redes sociais se incluem no âmbito de aplicação, e não apenas nos casos em que praticam a definição de perfis para fins comerciais.

4.15.5 Certos métodos de controlo e de filtragem da Internet que pretendem combater a contrafação e têm como efeito a definição de perfis de certos utilizadores da rede, a elaboração de ficheiros a seu respeito e a vigilância de todos os seus movimentos, na ausência de uma autorização judicial específica, devem também ser abrangidos pelo âmbito de aplicação do regulamento.

4.15.6 Seria igualmente desejável que as instituições e órgãos da União fossem abrangidos pelas obrigações fixadas no regulamento.

4.16 Artigo 9.o – Categorias especiais de dados pessoais

4.16.1 A melhor forma de proceder seria definir regimes especiais em função das circunstâncias, das situações e da finalidade do tratamento dos dados. Importa aditar uma proibição da definição de perfis nestes domínios.

4.16.2 Convém também introduzir o princípio da não discriminação no tratamento dos dados sensíveis para fins estatísticos.

4.17 Deveria incluir-se possibilidades (não exploradas) nos seguintes domínios:

participação de representantes do pessoal a todos os níveis nacionais e europeus na elaboração de «regras vinculativas para empresas» que deveriam, a partir de agora, ser aceites como condição para a transferência internacional de dados (artigo 43.o);

informação e consulta do Conselho de Empresa Europeu por ocasião de transferências internacionais de dados dos trabalhadores, especialmente para países terceiros;

informação e participação dos parceiros sociais europeus e das ONG europeias de consumidores e de defesa dos direitos humanos na designação dos membros do Comité Europeu para a Proteção de Dados, que deverá substituir o «Grupo de Trabalho do artigo 29.o»;

informação e participação destes parceiros e ONG a nível nacional na designação dos membros das autoridades nacionais de proteção de dados, disposição essa que também não está prevista na proposta de regulamento.

4.18 Artigos 74.o a 77.o – Ações coletivas em matéria de ficheiros ilegais e de indemnizações por perdas e danos

4.18.1 A maioria das violações dos direitos à proteção de dados tem um caráter coletivo. Quando tal acontece, não há apenas uma pessoa afetada por uma infração mas sim um grupo de pessoas, senão mesmo todas as pessoas inscritas no ficheiro. As vias tradicionais para ações judiciais individuais não são adequadas para reagir a este género de violação. O artigo 76.o autoriza qualquer organismo, organização ou associação encarregada da proteção dos direitos das pessoas afetadas a dar início, em nome de uma ou várias pessoas afetadas, aos procedimentos referidos nos artigos 74.o e 75.o. No entanto, tal não é o caso quando se trata de pedir uma indemnização ou reparação por danos sofridos, já que, nesse caso, o artigo 77.o só prevê essa possibilidade para pessoas individuais e não admite que se aplique um processo de representação coletiva ou de ação coletiva.

4.18.2 A este propósito, o CESE reafirma o que vem dizendo há anos em vários pareceres quanto à necessidade e à premência de a UE se dotar de um instrumento judicial harmonizado de ação coletiva a nível europeu, que é necessário em muitos domínios do direito da UE e que seria semelhante aos instrumentos já existentes em vários Estados-Membros.

Aspetos inaceitáveis

4.19 Artigo 8.o – Crianças

4.19.1 Visto que por criança se entende qualquer pessoa com menos de 18 anos (artigo 4.o, n.o 18), em conformidade com a convenção de Nova Iorque, não é aceitável que, no n.o 1 do artigo 8.o, se preveja a possibilidade de crianças de 13 anos darem o seu «consentimento» ao tratamento dos seus dados pessoais.

4.19.2 Apesar de o CESE compreender a necessidade de definir regras específicas para as PME, não é aceitável que a Comissão possa, através de um ato delegado, pura e simplesmente isentar as PME da obrigação de respeitar os direitos das crianças.

4.20 Artigo 9.o – Categorias especiais

4.20.1 Também não se justifica que, nos termos do artigo 9.o, n.o 2, alínea a), crianças possam dar o seu «consentimento» ao tratamento de dados que digam respeito à sua nacionalidade, opiniões políticas, religião, saúde, vida sexual ou condenações penais.

4.20.2 Os dados fornecidos voluntariamente pelas próprias pessoas, como por exemplo, no Facebook, não devem ser excluídos das regras de proteção, como se infere da alínea e) do n.o 2 do artigo 9.o. Estes dados devem, no mínimo, beneficiar do direito a ser esquecido.

4.21 Artigo 13.o – Direitos relativos aos destinatários

4.21.1 A exceção prevista no fim do artigo («salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado») não é aceitável nem justificável.

4.22 Artigo 14.o – Informações

4.22.1 A exceção, idêntica, prevista no n.o 5, alínea b) é igualmente inaceitável.

4.23 Artigo 19.o, n.o 1 – Direito de oposição

4.23.1 A formulação vaga utilizada para referir a exceção («razões imperiosas e legítimas») não é aceitável e torna o direito de oposição vazio de sentido.

4.24 Artigo 20.o – Definição de perfis

4.24.1 A proibição da definição de perfis não deveria cingir-se apenas ao tratamento «automatizado» de dados (13).

4.24.2 No n.o 2, alínea a), a expressão «se tiverem sido apresentadas medidas» deve ser substituída por «se tiverem sido aplicadas medidas».

4.25 Artigo 21.o – Limitações

4.25.1 A redação da alínea c) do n.o 1 é totalmente inaceitável por conter expressões vagas e indefinidas como «interesse económico e financeiro», «domínios monetário, orçamental ou fiscal» e até «estabilidade e integridade dos mercados», expressão que foi aditada à Diretiva 95/46.

4.26 Artigos 25.o, 28.o e 35.o – Limite de 250 trabalhadores

4.26.1 O número limite de 250 trabalhadores, que determina a aplicabilidade de certas disposições de proteção, como por exemplo a nomeação de um delegado para a proteção de dados, levaria a que apenas pouco menos de 40 % dos trabalhadores beneficiassem dessa disposição. O mesmo limite aplicado à obrigação de documentação levaria a que a grande maioria dos trabalhadores não teria a possibilidade de vigiar a utilização dos seus dados pessoais, pelo que deixaria de haver qualquer controlo. O Comité sugere que se preveja a possibilidade de fixar um limiar mais baixo, por exemplo, o número de trabalhadores necessários, na maioria dos Estados-Membros, para criar uma representação dos interesses dos trabalhadores na empresa. Também se poderia adotar uma outra abordagem, baseada em critérios objetivos, que assentasse, por exemplo, no número de ficheiros sujeitos às regras de proteção de dados tratados durante um período de tempo a determinar, independentemente da dimensão da empresa ou do serviço em causa.

4.27 Artigo 51.o – Balcão único

4.27.1 Apesar de se conceber um balcão único para facilitar a vida das empresas e tornar mais eficazes os mecanismos de proteção de dados, este conceito é, todavia, suscetível de provocar uma considerável deterioração da proteção dos dados relativos aos cidadãos em geral, em particular os dados pessoais dos trabalhadores, uma vez que anula a obrigação atual de as transferências de dados pessoais serem objeto de um acordo de empresa e de serem aprovadas por uma comissão nacional para a proteção de dados (14).

4.27.2 Além disso, esse sistema parece contrário à preocupação de uma gestão de proximidade e arrisca-se a privar o cidadão da possibilidade de ver o seu pedido tratado pela autoridade de controlo que lhe é mais próxima e mais acessível.

4.27.3 Existem, portanto, motivos para defender que a autoridade do Estado-Membro de residência do queixoso continue a ser a entidade competente.

Bruxelas, 23 de maio de 2012

O Presidente do Comité Económico e Social Europeu

Staffan NILSSON

(1) COM(2012) 11 final.

(2) COM(2012) 9 final.

(3) COM(2012) 10 final.

(4) COM(2012) 12 final.

(5) Estes documentos insistem na necessidade de a União «[se] dotar de um regime completo de proteção dos dados pessoais que abranja o conjunto das competências da União» e «assegurar que o direito fundamental à proteção de dados é aplicado de forma sistemática», para que as pessoas singulares tenham o direito de exercer um controlo efetivo sobre os dados que lhe dizem respeito.

(6) Ver parecer do CESE sobre a «Reutilização de informações do setor público»JO C 191 de 29.6.2012, p. 129.

(7) Ver parecer do CESE, JO C 248 de 25.8.2011, p. 123.

(8) Parecer da Autoridade Europeia para a Proteção de Dados sobre o «Pacote para a proteção de dados», 7 de março de 2012.

(9) COM(2009) 673 final de 9.12.2009.

(10) Ver a objeção por não conformidade com o princípio da subsidiariedade formulada pelo Senado francês.

(11) Importa esclarecer melhor a questão da prospeção através de cartas endereçadas a pessoas específicas, uma vez que a aplicação do regulamento, na sua forma atual, levaria à interdição desta prática que, não obstante, constitui um método pouco intrusivo e bem direcionado de prospeção de novos clientes.

(12) Por exemplo, envio de um relatório periódico sobre as atividades do delegado para a proteção de dados aos representantes do pessoal ou aos representantes dos trabalhadores eleitos para o conselho de administração ou para o conselho de fiscalização nacional e/ou europeu, sempre que existam tais representantes.

(13) Ver recomendação CM/Rec(2010)13 do Comité de Ministros do Conselho da Europa, de 23 de novembro de 2010.

(14) Em particular, as autoridades administrativas independentes encarregadas de autorizar e controlar a criação de ficheiros de nome individual. Pelo contrário, as suas competências deveriam ser alargadas de forma a abrangerem a sociedade digital e as redes sociais, especialmente dado o valor das trocas comerciais de perfis individuais para fins de prospeção comercial.

ANEXO

ao Parecer do Comité Económico e Social Europeu

A seguinte proposta de alteração foi rejeitada em reunião plenária, tendo recolhido, contudo, pelo menos um quarto dos sufrágios expressos (artigo 54.o, n.o 3, do Regimento):

Suprimir os pontos 4.25 e 4.25.1

«

»
Votação:

A favor: 87

Contra: 89

Abstenções: 26