Pacote de Reforma Legislativa sobre a Proteção de Dados

May 24, 2021 | Legislação

2012/C 192/05 – Pacote de Reforma Legislativa sobre a Proteção de Dados

Resumo do Parecer da AEPD, de 7 de março de 2012, sobre o pacote de reforma legislativa sobre a proteção de dados

https://op.europa.eu/pt/publication-detail/-/publication/4364e179-c42e-11e1-b84a-01aa75ed71a1/language-pt

Resumo do Parecer da AEPD, de 7 de março de 2012, sobre o pacote de reforma legislativa sobre a proteção de dados

(O texto integral deste parecer encontra-se disponível em EN, FR & DE no sítio Internet da AEPD no endereço http://www.edps.europa.eu)

2012/C 192/05

Em 25 de janeiro de 2012, a Comissão adotou um pacote legislativo para a reforma das regras da UE em matéria de proteção de dados, nomeadamente uma proposta de Regulamento que contém as regras gerais em matéria de proteção de dados e uma proposta de Diretiva relativa à proteção de dados no domínio da aplicação da lei.

Em 7 de março de 2012, a Autoridade Europeia para a Proteção de Dados (AEPD) adotou um parecer com observações pormenorizadas sobre ambas as propostas legislativas. O texto integral do parecer está disponível no sítio web da AEPD em: http://www.edps.europa.eu

No parecer, a AEPD descreve de forma resumida o contexto das propostas e apresenta a sua avaliação geral.

A AEPD congratula-se com a proposta de Regulamento, uma vez que esta constitui um avanço significativo no domínio da proteção de dados na Europa. As regras propostas reforçarão os direitos das pessoas singulares e levarão a uma maior responsabilização dos responsáveis pelo tratamento de dados relativamente à forma como tratam os dados pessoais. Além disso, as funções e os poderes das autoridades nacionais de controlo (individualmente ou em conjunto) são efetivamente reforçados.

A AEPD congratula-se, em especial, com o facto de ter sido proposto um regulamento como instrumento para as regras gerais em matéria de proteção de dados. A proposta de Regulamento será diretamente aplicável nos Estados-Membros e eliminará muitas complexidades e inconsistências decorrentes das diferentes legislações nacionais atualmente em vigor.

A AEPD está, contudo, seriamente desapontada com a proposta de Diretiva relativa à proteção de dados no domínio da aplicação da lei. A AEPD lamenta que a Comissão tenha escolhido regulamentar esta questão através de um instrumento jurídico autónomo que não fornece um nível de proteção adequado e que é claramente inferior ao Regulamento proposto.

Um elemento positivo da proposta de Diretiva é o facto de abranger o tratamento de dados pessoais a nível nacional e ter assim um âmbito de aplicação mais abrangente do que a atual Decisão-Quadro. No entanto, esta melhoria apenas terá um valor acrescentado se a Diretiva aumentar substancialmente o nível de proteção dos dados neste domínio, o que não é o caso.

O principal ponto fraco do pacote legislativo no seu conjunto é o facto de não suprir a falta de uma abordagem abrangente das regras da UE em matéria de proteção de dados, deixando sem qualquer alteração muitos instrumentos da UE relativos à proteção de dados, tais como as regras em matéria de proteção de dados para as instituições e os órgãos da UE, assim como todos os instrumentos específicos adotados no domínio da cooperação policial e judiciária em matéria penal, como a Decisão Prüm e as regras sobre a Europol e a Eurojust. Além disso, os instrumentos propostos, considerados em conjunto, não resolvem situações factuais que se inserem em ambos os domínios políticos, tais como a utilização de dados dos registos de identificação dos passageiros (PNR) ou de telecomunicações para efeitos de aplicação da lei.

No que respeita à proposta de Regulamento, é suscitada uma questão horizontal que tem a ver com a relação entre o direito da UE e as legislações nacionais. A proposta de Regulamento contribui, em grande medida, para a criação de uma única lei aplicável à proteção de dados na UE, embora ainda exista uma margem maior do que se poderia supor numa primeira análise para a coexistência e a interação entre o direito da UE e as legislações nacionais. A AEPD considera que o legislador deve reconhecer melhor este facto.

Uma segunda questão de importância geral decorre das várias disposições que conferem à Comissão o poder de adotar atos delegados ou atos de execução. A AEPD congratula-se com esta abordagem uma vez que contribui para a aplicação coerente do Regulamento, mas coloca reservas quanto à delegação de poderes no que respeita à apreciação de disposições jurídicas essenciais. Algumas dessas delegações de poderes devem ser reconsideradas.

Num nível mais pormenorizado, a AEPD destaca os principais elementos positivos da proposta de Regulamento, que consistem, nomeadamente:

na clarificação do âmbito de aplicação da proposta de Regulamento;

na melhoria dos requisitos de transparência relativamente aos titulares dos dados e ao reforço do direito de oposição;

na obrigação geral dos responsáveis pelo tratamento dos dados garantirem e serem capazes de demonstrar a conformidade com as disposições do Regulamento;

no reforço da posição e do papel das autoridades nacionais de controlo;

nas principais linhas do mecanismo de controlo da coerência.

Os principais elementos negativos da proposta de Regulamento são:

as novas justificações para exceções ao princípio de limitação das finalidades;

as possibilidades de restringir os direitos e os princípios básicos;

a obrigação de os responsáveis pelo tratamento conservarem a documentação de todas as operações de tratamento;

a transferência de dados para países terceiros por meio de derrogações;

o papel da Comissão no mecanismo de controlo da coerência;

o caráter obrigatório da imposição de sanções administrativas.

No que respeita à Diretiva, a AEPD considera que a proposta, em muitos aspetos, não cumpre o requisito de um nível elevado e coerente de proteção de dados. Deixa sem qualquer alteração todos os instrumentos existentes neste domínio e, em muitos casos, não existe qualquer tipo de justificação para as derrogações das disposições da proposta de Regulamento.

A AEPD sublinha que, embora o domínio da aplicação da lei exija algumas regras específicas, qualquer derrogação às regras gerais em matéria de proteção de dados deve ser devidamente justificada com base num equilíbrio adequado entre o interesse público na aplicação da lei e os direitos fundamentais dos cidadãos.

A AEPD preocupa-se especialmente com:

a falta de clareza na elaboração do princípio de limitação das finalidades;

a ausência de qualquer obrigação de as autoridades competentes serem capazes de comprovar a conformidade com a Diretiva;

as condições insuficientes das transferências para países terceiros;

os poderes excessivamente limitados das autoridades de controlo.

São feitas as seguintes recomendações.

Recomendação sobre todo o processo de reforma

Anunciar publicamente o calendário da segunda fase do processo de reforma logo que possível.

Incorporar as regras aplicáveis às instituições e órgãos da UE na proposta de Regulamento ou, pelo menos, ter regras harmonizadas em vigor quando o Regulamento proposto entrar em vigor.

Apresentar, logo que possível, uma proposta relativa a regras comuns para a política externa e de segurança comum, em conformidade com o artigo 39.o do TFUE.

Recomendações sobre a proposta de Regulamento

Questões horizontais

Aditar uma disposição que clarifique o âmbito de aplicação territorial da legislação nacional no âmbito do Regulamento.

Reconsiderar a delegação de poderes consagrada nos artigos 31.o, n.os 5 e 6, 32.o, n.os 5 e 6, 33.o, n.os 6 e 7, 34.o, n.o 2, alínea a), e 44.o, n.o 1, alínea d) e n.o 7.

Prever medidas específicas adequadas para as micro, pequenas e médias empresas apenas em atos de execução selecionados e não nos atos delegados dos artigos 8.o, n.o 3, 14.o, n.o 7, 22.o, n.o 4 e 33.o, n.o 6.

Precisar o conceito de «interesse público» em cada disposição em que a expressão é utilizada. Os interesses públicos específicos devem ser explicitamente identificados, no âmbito do tratamento previsto, em cada disposição relevante da proposta (ver nomeadamente o considerando 87 e os artigos 17.o, n.o 5, 44.o, n.o 1, alínea d), e 81.o, n.o 1, alíneas b) e c)). Poderia ainda ser estabelecido, entre outros requisitos, que a justificação apenas possa ser invocada em situações urgentes específicas ou por razões imperiosas previstas na lei.

Capítulo I — Disposições gerais

Artigo 2.o, n.o 2, alínea d): inserir um critério para diferenciar atividades públicas e nacionais com base no número indeterminado de pessoas singulares que podem ter acesso à informação.

Artigo 2.o, n.o 2, alínea e): prever que a exceção se aplica a autoridades públicas competentes. O considerando 16 deve ser coerente com o artigo 2.o, n.o 2, alínea e).

Artigo 4.o, n.os 1 e 2: aditar uma explicação clara num considerando que insista no facto de que a existência de uma relação estreita entre um identificador e uma pessoa implica a aplicação dos princípios relativos à proteção de dados.

Artigo 4.o, n.o 13: precisar os critérios para identificar o estabelecimento principal do responsável pelo tratamento relevante, tendo em conta a «influência dominante» de um estabelecimento sobre outros em estreita relação com o poder de implementar regras relativas à proteção de dados pessoais ou regras relevantes para a proteção de dados. Em alternativa, a definição poderia centrar-se no estabelecimento principal do grupo no seu conjunto.

Aditar novas definições relativas a «transferência» e «limitação do tratamento».

Capítulo II — Princípios fundamentais

Artigo 6.o: aditar um considerando para explicar de forma mais pormenorizada quais os tratamentos de dados abrangidos pelo «exercício de funções de interesse público ou [pelo] exercício da autoridade pública» tal como previsto no artigo 6.o, n.o 1, alínea e).

Artigo 6.o, n.o 4: eliminar a disposição ou, pelo menos, restringi-la no que respeita ao tratamento ulterior de dados para fins não compatíveis com base nos motivos referidos no artigo 6.o, n.o 1, alíneas a) e d). Esta alteração exige também a alteração do considerando 40.

Aditar uma nova disposição sobre a representação de todas as pessoas singulares que não possuam capacidade (jurídica) suficiente ou que se encontrem impedidas de agir.

Artigo 9.o: incluir nas categorias especiais de dados pessoais infrações e matérias que não são objeto de condenações penais. Alargar o âmbito da obrigação de controlo por parte de uma autoridade oficial a todos os motivos referidos no artigo 9.o, n.o 2, alínea j).

Artigo 10.o: tornar mais explícito no considerando 45 que o responsável pelo tratamento dos dados não deve poder invocar uma eventual falta de informação para recusar um pedido de acesso se essa informação puder ser fornecida pelo titular dos dados.

Capítulo III — Direitos do titular dos dados

Artigo 14.o: incluir informação sobre a existência de determinadas operações de tratamento que tenham um impacto específico nas pessoas singulares, bem como as eventuais consequências desse tratamento nas pessoas singulares.

Artigo 17.o: elaborar uma nova disposição para assegurar a eficácia real do direito consagrado no artigo. Eliminar a alínea d) do artigo 17.o, n.o 3.

Artigo 18.o: clarificar que o exercício do direito de portabilidade dos dados está sujeito à obrigação de eliminação de dados constante do artigo 5.o, alínea e), quando estes já não forem necessários para a prossecução das finalidades para que são tratados. Assegurar que o disposto no artigo 18.o, n.o 2, não se limita apenas aos dados fornecidos pelo titular dos dados com base num consentimento ou contrato.

Artigo 19.o: clarificar quais as medidas a adotar pelo responsável pelo tratamento dos dados em caso de desacordo com o titular dos dados e harmonizar as disposições com o disposto no artigo 17.o, n.o 1, alínea c). Explicar num considerando quais os motivos que podem ser considerados como «razões imperiosas e legítimas».

Artigo 20.o: incluir no artigo 20.o, n.o 2, alínea a), o direito das pessoas singulares apresentarem o seu ponto de vista, tal como referido no artigo 15.o da Diretiva 95/46/CE.

Artigo 21.o: introduzir garantias pormenorizadas de que a legislação nacional especificará os objetivos previstos pelo tratamento, as categorias dos dados pessoais a tratar, as finalidades específicas e os meios de tratamento, o responsável pelo tratamento, as categorias de pessoas autorizadas a tratar os dados, o procedimento a seguir para o tratamento e as garantias contra as interferências arbitrárias das autoridades públicas. Incluir, como garantia adicional, o direito dos titulares dos dados de serem informados sobre a existência de uma limitação e o seu direito de referirem a matéria à autoridade de controlo a fim de obterem acesso indireto. Aditar no artigo 21.o uma disposição que estipule que a possibilidade de aplicar limitações ao tratamento executado por responsáveis privados pelo tratamento para efeitos de aplicação da lei não os obrigará a conservar mais dados do que aqueles que são estritamente necessários para as finalidades inicialmente previstas nem a alterar a sua arquitetura de TI. Eliminar o motivo constante do artigo 21.o, n.o 1, alínea e).

Capítulo IV — Responsável pelo tratamento e subcontratante

Artigo 22.o: no considerando 60, referir explicitamente o princípio da responsabilidade em qualquer situação. Unir os números 1 e 3 do artigo 22.o num único número e mencionar explicitamente quais as medidas que devem ser adequadas e eficazes. Incluir uma disposição geral antes das obrigações específicas do artigo 22.o, n.o 2, que desenvolva o conceito de «gestão do controlo», nomeadamente a atribuição de responsabilidades, a formação de pessoal e as instruções adequadas, bem como a exigência de o responsável pelo tratamento manter, no mínimo, uma descrição e um inventário geral das operações de tratamento no âmbito da sua responsabilidade. Aditar um novo parágrafo que preveja que, caso o responsável pelo tratamento decida ou seja obrigado a publicar um relatório periódico sobre as suas atividades, esse relatório contenha também a descrição das políticas e das medidas referidas no artigo 22.o, n.o 1.

Artigo 23.o: referir no artigo 23.o, n.o 2, e no considerando 61 o facto de os titulares dos dados deverem, em princípio, poder optar por permitir a utilização dos seus dados pessoais de uma forma mais lata.

Artigo 25.o, n.o 2, alínea a): eliminar a exceção relativa a países terceiros que asseguram um nível de proteção adequado.

Artigo 26.o: aditar a obrigação de o subcontratante ter em consideração o princípio de proteção de dados desde a conceção na lista de especificações constantes do artigo 26.o, n.o 2.

Artigo 28.o: reconsiderar ou eliminar as isenções constantes do artigo 28.o, n.o 4.

Artigo 30.o: clarificar o artigo 30.o para assegurar a responsabilidade global do responsável pelo tratamento e aditar a obrigação de este adotar um sistema de gestão da segurança das informações no seio da organização, incluindo, se apropriado, a implementação de uma política de segurança das informações específica ao tratamento de dados executado. Incluir uma referência explícita à avaliação de impacto sobre a proteção de dados no artigo 30.o.

Artigos 31.o e 32.o: especificar os critérios e os requisitos para a definição de violação de dados pessoais e as circunstâncias em que essa violação deve ser notificada. Alterar o prazo limite de 24 horas fixado no artigo 31.o para um período máximo de 72 horas.

Artigo 33.o: a lista de operações de tratamento constante do artigo 33.o, n.o 2, alíneas b), c) e d) não deve ser limitada ao tratamento de dados em grande escala. Harmonizar a disposição do artigo 33.o, n.o 5, com o considerando 73. Limitar o disposto no artigo 33.o, n.o 6, a elementos não essenciais. Clarificar que a dimensão de uma empresa nunca deve suspender a obrigação de realizar uma avaliação de impacto sobre a proteção de dados no que respeita às operações de tratamento que apresentam riscos específicos.

Artigo 34.o: mover o n.o 1 do artigo 34.o para o Capítulo V da proposta de Regulamento.

Artigos 35.o a 37.o: reduzir o limite de 250 assalariados fixado no artigo 35.o, n.o 1, e clarificar o âmbito de aplicação do artigo 35.o, n.o 1, alínea c). Aditar garantias, em especial condições mais sólidas para a exoneração dos delegados para a proteção de dados, e assegurar no artigo 36.o, n.o 1, que é dado aos delegados o acesso a todas informações pertinentes e às instalações necessárias para o desempenho das suas funções. Incluir no artigo 37.o, n.o 1, alínea a), a tarefa de sensibilização nas atribuições do delegado para a proteção de dados.

Capítulo V — Transferência para países terceiros

Estabelecer no considerando 79 que a não aplicabilidade do Regulamento a acordos internacionais apenas diz respeito a acordos internacionais já existentes.

Inserir uma cláusula transitória que preveja a revisão desses acordos internacionais num determinado prazo a fim de harmonizar esses acordos com o Regulamento.

Artigo 41.o (e considerando 82): clarificar que, no caso de uma decisão de não adequação, as transferências devem ser autorizadas apenas mediante garantias adequadas ou se essa transferência for abrangida pelas derrogações estabelecidas no artigo 44.o.

Artigo 42.o: assegurar que a apresentação de garantias adequadas mediante a utilização de instrumentos não vinculativos do ponto de vista jurídico deve ser claramente justificada e limitada apenas aos casos em que tenha sido demonstrada a necessidade de recorrer a esses instrumentos.

Artigo 44.o (e considerando 87): acrescentar que a possibilidade de transferir dados deve respeitar apenas a transferências ocasionais e ser baseada numa avaliação cuidadosa e caso a caso de todas as circunstâncias que envolvam a transferência. Substituir ou clarificar a referência a «garantias adequadas» no artigo 44.o, n.o 1, alínea h), e no artigo 44.o, n.o 3.

Considerando 90: substituir o considerando por uma disposição substantiva. Prever garantias adequadas para estes casos, que envolvam garantias judiciais, bem como garantias em matéria de proteção de dados.

Capítulos VI e VII — Autoridades de controlo independentes, cooperação e coerência

Artigo 48.o: incluir os parlamentos nacionais no processo de nomeação dos membros das autoridades de controlo.

Artigo 53.o, n.o 1: incluir a obrigação de elaborar diretrizes sobre a utilização dos diferentes poderes de execução, se necessário coordenadas a nível da UE no Comité Europeu para a Proteção de Dados. Esta disposição poderia ainda ser eventualmente incluída no artigo 66.o.

Artigo 58.o: substituir a expressão «de imediato» no artigo 58.o, n.o 6, pela expressão «sem demora» e alargar o prazo de um mês fixado no artigo 58.o, n.o 7 para dois meses/oito semanas.

Dar maior relevância à regra da maioria simples, assegurando que um pedido de uma autoridade poderá ser submetido a votação no caso de a questão em causa não estar relacionada com uma das principais medidas referidas no artigo 58, n.o 2.

Artigos 59.o e 60.o: limitar o poder da Comissão através da eliminação da possibilidade de anular uma decisão de uma autoridade nacional de controlo numa matéria específica através de um ato de execução. Assegurar que a função da Comissão consiste, numa fase inicial, em suscitar a questão ao Comité Europeu para a Proteção de Dados, tal como previsto no artigo 58.o, n.o 4, e, numa fase posterior, no poder de adotar pareceres. Inserir uma referência a um procedimento adicional perante o Tribunal de Justiça, no âmbito de um processo de infração ou de um pedido para medidas provisórias, tais como uma decisão de suspensão.

Artigo 66.o: aditar uma disposição que estabeleça que o Comité deve ser consultado no contexto de avaliações de adequação.

Reconsiderar a atual avaliação de impacto do secretariado do Comité Europeu para a Proteção de Dados em relação aos recursos humanos e financeiros (ver o anexo ao presente parecer, disponível no sítio web da AEPD).

Capítulo VIII — Vias de recurso, responsabilidade e sanções

Artigos 73.o e 76.o: clarificar o mandato que a organização deve obter dos titulares dos dados e o grau de formalidade exigido. Introduzir uma disposição mais abrangente sobre ações coletivas.

Artigo 74.o, n.o 4: limitar o tipo de «efeito» no titular de dados que possa motivar os procedimentos e restringi-lo a um risco de impacto mais preciso sobre os direitos do titular de dados.

Artigo 75.o, n.o 2: especificar que a derrogação não se aplica a uma autoridade pública de um país terceiro.

Artigo 76.o, n.os 3 e 4: inserir um procedimento de informação mais sistemático a nível dos tribunais.

Clarificar a interação com o Regulamento Bruxelas I.

Clarificar a compatibilidade da utilização de informações obtidas através de um responsável pelo tratamento (com base no artigo 53.o) com o direito geral de não se incriminar a si próprio.

Artigo 77.o: aditar uma disposição que estabeleça que o titular de dados tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido, independentemente do local e da forma como os danos foram provocados, e que a responsabilidade pela reparação dos prejuízos causados incumbe ao responsável pelo tratamento e ao subcontratante, depois de clarificada a repartição da responsabilidade entre os dois. Acrescentar que esta disposição deve ser igualmente aplicável à compensação por danos imateriais ou traumas.

Introduzir uma disposição que utilize o conceito de entidade económica única ou empresa única de forma a permitir que o grupo seja responsável pela violação cometida por uma filial.

Artigo 79.o: inserir uma margem de apreciação para as autoridades de controlo no que respeita às sanções administrativas. Aditar especificações que destaquem as circunstâncias em que as sanções administrativas serão impostas. Assegurar que o não cumprimento de uma decisão específica de uma autoridade de controlo implicará normalmente uma sanção administrativa com um montante mais elevado do que a aplicada a uma única violação da mesma disposição geral.

Capítulo IX — Situações específicas de tratamento de dados

Artigo 80.o: reformular o artigo 80.o e estipular que os Estados-Membros devem estabelecer isenções ou derrogações às disposições do Regulamento como indicado, desde que sejam necessárias para conciliar o direito à proteção de dados com as regras que regem a liberdade de expressão. Acrescentar, na disposição ou num considerando, que a conciliação dos dois direitos fundamentais não deve prejudicar a essência de ambos os direitos.

Aditar uma disposição substantiva sobre o acesso público aos documentos que estipule que os dados pessoais em documentos na posse de autoridades ou organismos públicos poderão ser divulgados se essa divulgação 1. estiver prevista no direito da UE ou na legislação nacional, 2. for necessária para a conciliação do direito à proteção dos dados com o direito de acesso público aos documentos oficiais e 3. constituir um equilíbrio justo entre os vários interesses envolvidos.

Substituir, nos artigos 81.o, 82.o, 83.o e 84.o, a expressão «nos limites do presente regulamento» pela expressão «sem prejuízo do presente regulamento».

Artigo 81.o: harmonizar as disposições do artigo 81.o, n.os 1 e 3, e do artigo 9.o, n.o 3, e clarificar o âmbito de aplicação e o objeto do artigo 81.o. Devem ser dadas orientações suplementares quanto à obrigação de consentimento, à determinação de responsabilidade e aos requisitos de segurança.

Artigo 83.o: incluir garantias adicionais se forem tratadas categorias especiais de dados. Tornar claro no artigo 83.o, n.o 1, que o ponto de partida para o tratamento de dados para fins de investigação deve ser que esses dados sejam tratados anonimamente. Clarificar o que significa a palavra «separados» e assegurar que os dados conservados separados protegem efetivamente os titulares de dados. Mencionar no artigo 83.o, n.o 1, alínea b), «os dados que permitem relacionar determinadas informações com o titular de dados» em vez de «os dados que permitem ligar informações a um titular de dados identificado ou identificável» Excluir a limitação dos direitos das pessoas singulares através de atos delegados.

Recomendações sobre a proposta de Diretiva

Questões horizontais

Artigo 59.o: os atos específicos adotados no domínio da cooperação policial e judiciária em matéria penal devem ser alterados o mais tardar até ao momento da entrada em vigor da Diretiva.

Aditar uma nova disposição que introduza um mecanismo de avaliação para avaliações baseadas em provas que permitam avaliar se as atividades de tratamento de dados de uma determinada escala constituem efetivamente uma medida necessária e proporcionada para fins de prevenção, investigação, deteção e repressão de infrações penais.

Aditar uma nova disposição para assegurar que a transferência de dados pessoais das autoridades de aplicação da lei para outros órgãos públicos ou entidades privadas apenas seja autorizada em condições estritas e específicas.

Aditar uma nova disposição relativa a garantias específicas relacionadas com o tratamento de dados pessoais de crianças.

Capítulos I e II — Disposições gerais e princípios

Artigo 3.o, n.o 4: fundamentar melhor, em conformidade com o artigo 17.o, n.o 5, da proposta de Regulamento.

Artigo 4.o, alínea b): incluir uma clarificação no considerando que estabeleça que o conceito de «utilização compatível» deve ser interpretado de forma restritiva.

Artigo 4.o, alínea f): harmonizar com a disposição do artigo 5,o, alínea f), da proposta de Regulamento e alterar os artigos 18.o e 23.o em conformidade.

Artigo 5.o: incluir as pessoas não suspeitas como uma categoria separada. Eliminar a expressão «na medida do possível» e especificar as consequências da categorização.

Artigo 6.o: eliminar a expressão «na medida do possível» nos números 1 e 2.

Artigo 7.o, alínea a): alterar para uma disposição autónoma que assegure, de uma forma geral, que todas as operações de tratamento de dados estão previstas na lei e que cumprem, assim, os requisitos da Carta dos Direitos Fundamentais da UE e da Convenção Europeia dos Direitos do Homem (CEDH).

Artigo 7.o, alíneas b) a d): substituir por uma disposição separada e adicional que enumere exaustivamente os motivos de interesse público para os quais a derrogação ao princípio de limitação das finalidades pode ser autorizada.

Aditar uma nova disposição sobre o tratamento de dados pessoais para fins históricos, estatísticos e científicos.

Aditar a obrigação de a autoridade competente criar mecanismos que assegurem a fixação de prazos para o apagamento de dados pessoais e para a revisão periódica da necessidade de conservação dos dados, incluindo períodos de conservação fixos para as diferentes categorias de dados pessoais, bem como verificações regulares da sua qualidade.

Artigo 8.o: incluir a redação exata do considerando 26 no artigo 8.o. Incluir o que se considera medidas adequadas de proteção além das que estão incluídas nas garantias regulares.

Capítulo III — Direitos do titular dos dados

Artigo 10.o: eliminar a referência a «todas as medidas razoáveis» no artigo 10.o, n.os 1 e 3. Incluir um prazo explícito no artigo 10.o, n.o 4, e estabelecer que a informação deve ser fornecida ao titular dos dados o mais tardar no prazo de um mês a contar da receção do pedido. Substituir a palavra «abusivo(s)» no artigo 10.o, n.o 5, pela expressão «manifestamente excessivo(s)» e fornecer diretrizes adicionais sobre este conceito num considerando.

Aditar uma nova disposição que exija que o responsável pelo tratamento comunique a cada destinatário a quem tenham sido transmitidos os dados qualquer retificação, apagamento ou alteração efetuados ou não em conformidade com os artigos 15,o ou 16.o, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado.

Artigos 11.o e 13.o: aditar uma frase nos artigos 11.o, n.o 4, e 13.o, n.o 1, que estabeleça que o responsável pelo tratamento deve ter a obrigação de avaliar, em cada caso específico e através de um exame individual e concreto, se as limitações parciais ou totais se aplicam a um dos motivos. Assegurar uma interpretação limitada do âmbito de aplicação dos artigos 11.o, n.o 5, e 13.o, n.o 2. Eliminar a expressão «ou a sua não prestação» no artigo 11.o, n.o 4, e a expressão «ou a não fornecer essas informações ou esse acesso» no considerando 33.

Artigos 15.o e 16.o: acrescentar os motivos e as condições para a limitação do direito de retificação e do direito de apagamento.

Artigo 16.o: utilizar a expressão «deve limitar o tratamento» em vez de «deve marcar» no artigo 16.o, n.o 3. Incluir no artigo 16.o a obrigação de o responsável pelos dados informar o titular dos dados antes de anular qualquer limitação relativa ao tratamento.

Capítulo IV — Responsável pelo tratamento e subcontratante

Artigo 18.o: estabelecer, também no artigo 4.o, alínea f), que o requisito de documentação decorre da obrigação geral de ser capaz de demonstrar a conformidade com a Diretiva. Incluir a obrigação de conservar a informação com base nos motivos jurídicos invocados para a transferência dos dados, com uma explicação substantiva especialmente se a transferência se basear nos artigos 35.o ou 36.o.

Artigo 19.o: fundamentar o conceito de proteção de dados «por defeito».

Artigo 23.o, n.o 2: harmonizar com o artigo 28.o, n.o 2, da proposta de Regulamento.

Artigo 24.o: incluir a identidade dos destinatários dos dados.

Inserir uma nova disposição que exija às autoridades competentes a realização de uma avaliação de impacto sobre a proteção de dados, a menos que já tenha sido realizada uma avaliação específica, equivalente à avaliação de impacto, durante o processo legislativo.

Artigo 26.o: harmonizar mais ainda com os procedimentos desenvolvidos no artigo 34.o, n.o 2, da proposta de Regulamento.

Artigo 30.o: abordar a questão do conflito de interesses e estabelecer um período mínimo de dois anos para o mandato.

Artigo 31.o: prever um vínculo administrativo adequado no que respeita à função independente do delegado para a proteção de dados com o objetivo de, nomeadamente, evitar eventuais relações desequilibradas com responsáveis pelo tratamento de primeiro plano ou eventuais influências destes.

Capítulo V — Transferência para países terceiros

Artigo 33.o: aditar a obrigação de que a transferência apenas possa ser efetuada se o responsável pelo tratamento no país terceiro ou na organização internacional for uma autoridade competente na aceção da proposta de Diretiva.

Artigo 35.o: eliminar a alínea b) do artigo 35.o, n.o 1, ou, pelo menos, incluir o requisito de autorização prévia da autoridade de controlo.

Artigo 36.o: clarificar num considerando que a derrogação utilizada para justificar a transferência deve ser interpretada de forma restritiva e não deve permitir transferências frequentes, massivas e estruturais de dados pessoais; mesmo em caso de processos individuais não devem ser permitidas transferências massivas de dados e estas devem ser limitadas aos dados estritamente necessários. Aditar garantias adicionais, tais como a obrigação de documentar especificamente as transferências.

Artigos 35.o e 36.o: aditar que, em caso de decisão negativa sobre a adequação, as transferências devem ser baseadas i) no artigo 35.o, n.o 1, alínea a) se existir um acordo internacional juridicamente vinculativo que permita a transferência em condições específicas que garantam um nível de proteção adequado, ou ii) nas derrogações do artigo 36.o, alínea a) ou c).

Capítulos VI e VII — Mecanismos de supervisão

Artigo 44.o: fornecer diretrizes adicionais num considerando sobre as operações de tratamento que devem ser abrangidas pela «função judicial».

Artigo 46.o: harmonizar os poderes das autoridades de controlo em relação às autoridades policiais nacionais com os poderes no âmbito da proposta de Regulamento. Harmonizar o artigo 46.o, alínea a), com o artigo 53.o da proposta de Regulamento e alterar a expressão «nomeadamente» no artigo 46.o, alíneas a) e b), para «incluindo».

Artigo 47.o: incluir uma disposição que estabeleça que o relatório anual de atividades das autoridades de controlo seja apresentado ao parlamento nacional e disponibilizado publicamente.

Artigo 48.o: incluir as disposições do artigo 55.o, n.os 2 a 7, da proposta de Regulamento no artigo 48.o.

Considerar a necessidade de instituir um mecanismo de cooperação reforçado também no âmbito de aplicação da proposta de Diretiva.

(Versão resumida. O texto integral do presente parecer está disponível em EN, FR & DE no sítio web da AEPD em http://www.edps.europa.eu)

Feito em Bruxelas, em 7 de março de 2012.

Peter HUSTINX

Supervisor Europeu para a Proteção de Dados