Posição do Supervisor Europeu da Protecção de Dados

O Supervisor Europeu da Protecção de Dados – Peter Hustinx apresentou as ideias

chave para esta reforma178179:

Segundo ele é necessária a revisão do quadro legal actual da protecção de dados na União Europeia para assegurar uma protecção efectiva em relação ao futuro desenvolvimento da sociedade de informação. Esta necessidade de alteração tem por base quatro principais forças motrizes:

1ª. Desenvolvimento tecnológico desde que a Directiva 95/46 foi adoptada: a nuvem informática, a publicidade comportamental, as redes sociais.

2ª. Globalização: a abolição de barreiras comerciais deu um incremento internacional à transferência de dados pessoais através das fronteiras, o desenvolvimento da internet e a nuvem informática permitiu o processamento de dados a uma escala internacional. O incremento do terrorismo e outras formas de crime internacional organizado, causou um incremento das actividades judiciais internacionais, baseado em trocas de informação com o objectivo de reforçar o poder da lei.

178 _{EDPS Opinion (2010) Promoting Trust in the Information Society by fostering Data Protection and Privacy in}

http://www.edp.europa.eu/EDPSWEB.

179

Sobre esta opinião pode ver-se Monique Altheim in EDiscoveryMap, « Opinion of the European Data Protection Supervisor on the Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions – “A comprehensive approach on personal data protection in the European Union” The European Data Protection Supervisor publishes his opinion on the EU personal data protection legal framework overhaul »January 18th, 2011.

116

3ª. O Tratado de Lisboa: a abolição das estruturas dos pilares obriga o Parlamento Europeu e o Conselho a proporcionar uma protecção dos dados pessoais em todas as áreas do Direito Europeu, tanto no sector público como no sector privado. O artigo 16º do TFEU contém um direito individual à protecção de dados pessoais.

4ª. O desenvolvimento paralelo nas organizações internacionais, a OCDE e a adopção de padrões internacionais.

Depois o Supervisor referiu a importância da protecção de dados: isto alimenta a confiança e deve sustentar outros interesses (públicos), como uma economia europeia forte, a segurança dos indivíduos, e a responsabilidade dos governos.

Entende que um instrumento legal abrangente para a protecção de dados incluindo a cooperação policial e judicial em matérias criminais seria a mais importante melhoria que o novo quadro legal poderia trazer.

Segundo o Supervisor um instrumento legal geral para a protecção de dados deve ser formulado numa fórmula tecnologicamente neutra. Isso implica que os direitos e os deveres dos vários actores devem ser formulados de forma geral e neutra para permanecer, em princípio, válida e executável independentemente da escolha tecnológica para o processamento de dados. O supervisor sugere a introdução de novos direitos no topo dos princípios existentes da protecção de dados que podem ter uma importância específica na rápida mudança do ambiente electrónico.

O Supervisor faz as seguintes recomendações para atingir os mencionados objectivos:

1º. Uma abordagem abrangente:

O supervisor sustenta uma abordagem abrangente na protecção de dados pessoais que é também o ponto de partida para a comunicação e necessariamente a extensão de regras gerais da protecção de dados na cooperação policial e judicial em matéria criminal. Mas contrariamente à sugestão da Comissão, o supervisor acredita que o processamento de dados pelas Instituições Europeias deve também ser incluído no quadro legal. Também lembra à Comissão para incluir a protecção de dados nas Relações Externas e na Segurança Policial, sectores onde há um regime específico de

117 protecção de dados para os organismos europeus como a Europol e a Eurojust e a Directiva 2002/58.

2º. Harmonização:

O Supervisor entende que a futura harmonização da implementação da Directiva pelos Estados Membros é um dos principais objectivos do processo de revisão. Especifica as seguintes áreas que precisam de maior harmonização: Definições, Legalidade do processamento, Campo para o processamento de dados, Direitos subjectivos aos dados, Transferência internacional (BCR), Autoridades Nacionais de Protecção de Dados.

O Supervisor também concorda com a Comissão que um sistema harmonizado de notificações reduziria custos administrativos para os controladores de dados e sugere uma forma de notificação estandardizada europeia.

Finalmente o Supervisor acredita que a revisão do processo é também uma oportunidade para reconsiderar o tipo de instrumento legal para a protecção de dados.

O Supervisor recomenda 1 REGULAMENTO e não 1 DIRECTIVA.

“O Regulamento é um instrumento que é directamente aplicável nos Estados- Membros, é um meio mais efectivo de protecção do direito fundamental à protecção de dados pessoais e para criar um real mercado interno onde os dados pessoais se possam mover livremente e onde o nível de protecção é igual independentemente do país ou do sector onde os dados são recolhidos e processados. A escolha por um Regulamento como um instrumento geral permite, quando necessário, tomar medidas directamente dirigidas aos Estados-Membros quando a flexibilidade é necessária. Isto também não influencia a competência dos Estados Membros para adoptar normas adicionais de protecção de dados, quando necessárias, em conformidade com o Direito Europeu.

118

3º. Reforço dos direitos individuais:

Tendo em vista o aumento da invasão da privacidade individual por terceiras partes em linha com propósitos de anúncios (publicidade), escolha de público-alvo para publicidade, isto é através da exploração de dados pessoais, caminhando na internet, o Supervisor advoga o reforço das disposições existentes incluindo um princípio explicito de transparência. Por exemplo, uma disposição pode tornar ilegais políticas de privacidade que sejam opacas ou de difícil compreensão.

O Supervisor também apoia a obrigação de relatar as violações de segurança, sugerindo normas adicionais para clarificar o conceito de informado, de consentimento esclarecido, transferência de dados e o direito de ser esquecido. O direito de ser esquecido (retirado de uma base de dados) pode ser implementado anexando aos dados uma data de obrigação de expiração, um conceito que já é aplicado nos registos criminais.

O Supervisor sugere a adopção de previsões específicas pertencentes ao processamento de dados pessoais relativos a crianças, isto é previsões específicas protegendo as crianças contra a publicidade comportamental, bem como a introdução de mecanismos de reparação colectivos dos consumidores (as acções de classes).

4º. Reforço do papel das organizações de controlo:

O Supervisor é a favor da inserção de uma previsão geral para responsabilizar as organizações de controlo. Isto estimulará os controladores a pôr em prática medidas pró-activas, como por exemplo mecanismos de controlo interno, de modo a serem capazes de agir de acordo com todos os elementos da lei da protecção de dados. O Supervisor é de opinião que deve, em certos casos, também ser obrigatório demonstrar a conformidade da protecção de dados com o público em geral. Isto pode ser feito por exemplo, requerendo aos controladores incluir a protecção de dados nos Relatórios Públicos anuais.

O Supervisor sugere a codificação do princípio da Privacidade desde a Concepção (Privacy by design) e considera isso como um problema de responsabilidade. “ A concepção da Privacidade refere-se à integração da protecção de dados muito no início dos novos produtos, serviços e procedimentos que vinculam o processamento de

119 dados pessoais. Mais especificamente, a previsão deve explicitamente requerer que as autoridades controladoras dos dados implementem medidas técnicas e organizacionais, ambas no tempo da concepção do sistema de processamento e no tempo do próprio processamento, particularmente com vista a assegurar a protecção de dados pessoais e prevenir qualquer processamento de dados pessoais não autorizado”. O Supervisor considera, acima de tudo, criar uma obrigação dirigida aos criadores e produtores de novos produtos e serviços com igual impacto na privacidade e na protecção de dados.

O Supervisor apoia a ideia da Comissão do projecto de certificação europeia para a privacidade compatível com produtos e serviços.

5º. Globalização e lei aplicável:

Para encontrar uma solução para a questão difícil da lei aplicável, o supervisor é a favor do desenvolvimento de normas internacionais. Entretanto, até que estas normas sejam adoptadas, o Supervisor sugere a clarificação de critérios de determinação da lei aplicável. O Supervisor propõe que o Direito Europeu seja aplicável quando os dados pessoais forem processados fora das fronteiras da União Europeia, mas quando há uma justificada demanda fazendo apelo ao Direito Europeu. Por exemplo serviços não europeus da nuvem informática tendo como alvo os residentes na União Europeia é uma ilustração de como isto é uma necessidade.

Num ambiente em que os dados não são fisicamente armazenados e processados num local fixo, onde os fornecedores de serviços e os utilizadores estão localizados em diferentes países e estão interferindo nos dados pessoais, é muito difícil verificar quem é o responsável para reclamar.

Mas se o instrumento legal for um Regulamento, aplicável uniformemente por todos os Estados-Membros a necessidade de complicadas normas aplicáveis torna-se menos urgente. Esta é uma das razões pelas quais o Supervisor é fortemente a favor da adopção de um Regulamento.

120

O Supervisor também defende totalmente o objectivo da Comissão de tornar mais eficientes os procedimentos correntes para uma transferência internacional de dados criando especialmente Normas Obrigatórias das Pessoas Colectivas.

6º. A área da Polícia e da Justiça:

Como foi mencionado acima, o Supervisor acredita que a área da cooperação policial e judicial deve ser incluída num instrumento geral. Por exemplo, as Autoridades Centrais da Protecção de Dados Pessoais devem ter os mesmos poderes em relação às autoridades policiais e judiciais como têm em relação a outros controladores. Isto não deve excluir normas especiais, necessárias e proporcionais. Devem ser introduzidas especiais salvaguardas para a protecção individual, como as relacionadas com o processamento dos dados pessoais genéticos e biométricos no campo reforçado da lei.

7º. Autoridades Centrais de Protecção de Dados e cooperação entre estas Autoridades: O Supervisor defende a sugestão da Comissão de reforçar a independência, os recursos e os poderes das Autoridades Centrais de Protecção de Dados. Acrescentando, o Supervisor sugere a definição da independência na nova lei, bem como deve ser requerido que lhes sejam dados suficientes recursos humanos e financeiros de forma a tornar esta independência possível. O Supervisor encoraja mais cooperação entre as Autoridades Centrais no reforço de acções com a ajuda do Grupo do artigo 29º (Working Party).O Supervisor também aspira a mais independência e mais poderes de autoridade do Working Party.