PU BLI C
CONSELHO DA
UNIÃO EUROPEIA Bruxe las , 18 de setembro de 2013 (OR . en)
Doss iê inter inst ituc iona l:
2012 /0011 (COD)
13643 /13
LIMITE
DATAPROTECT 127 JAI 781
MI 767 DRS 169 DAPIX 109 FREMP 126 COMIX 502 CODEC 2025 NOTA
de : Pres idênc ia para : COREPER
n . º doc . an t . : 12929 /13 DATAPROTECT 118 JAI 696 MI 697 DRS 150 DAPIX 104 FREMP 117 COMIX 475 CODEC 1880
7565 /13 DATAPROTECT 32 JAI 211 MI 211 DRS 52 DAPIX 54 FREMP 30 COMIX 175 CODEC 608
n . º prop . Com . : 5853 /12 DATAPROTECT 9 JAI 44 MI 58 DRS 9 DAPIX 12 FREMP 7 COMIX 61 CODEC 219
Assun to : Regu lamen to gera l sobre a pro teção de dados – Mecan ismo do ba lcão ún ico
1 . O pr inc íp io do ba lcão ún ico , ta l como es tabe lec ido na Secção II do Cap í tu lo VI , fo i deba t ido no Grupo do In tercâmb io de Informações e da Proteção de Dados (DAPIX) nas reun iões de 8- -9 de jane iro , 27 de março, 3 -4 de ju lho e 9-10 de se tembro de 2013 . Vár ias de legações
apresen taram documen tos sobre o assun to e um resumo das observações sobre os Cap í tu los
VI e VII cons ta do 7105 /4 /13 REV 4 DATAPROTECT 28 JAI 182 MI 170 DRS 42 DAPIX
49 FREMP 24 COMIX 141 CODEC 476 + ADD 1 .
Proposta da Comissão
2. O princípio do balcão único, juntamente com o mecanismo de controlo da coerência, é um dos elementos centrais da proposta da Comissão de Regulamento Geral sobre a Proteção de
Dados. Sempre que, na União, o tratamento de dados pessoais no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante ocorre em vários Estados-Membros, é conveniente que uma única autoridade de controlo tenha a competência para monitorizar as atividades do responsável pelo tratamento ou do
subcontratante em toda a União e adotar as decisões correspondentes, a fim de favorecer a aplicação coerente, assegurar a segurança jurídica e reduzir os encargos administrativos para esses responsáveis pelo tratamento e subcontratantes. A autoridade competente, que atua portanto na qualidade de balcão único, deve ser a autoridade de controlo do Estado-Membro no qual o responsável pelo tratamento ou o subcontratante tem o seu estabelecimento
principal (artigo 51.º, n.º 2, e considerandos 97 e 98).
3. O princípio do balcão único está relacionado com a cooperação obrigatória entre as autoridades de controlo, através do Comité Europeu para a Proteção de Dados, que visa assegurar a aplicação coerente do presente regulamento em toda a União (considerando 105).
O princípio de balcão único visa assim claramente ser uma vantagem para as empresas no mercado interno, que na economia digital internacional devem dispor da vantagem de ter que lidar com apenas uma autoridade de controlo em toda a União Europeia. No entanto, não afeta a competência da autoridade de controlo para a fiscalização das atividades de tratamento pelo responsável pelo tratamento ou do subcontratante que estejam limitados a um único Estado- -Membro.
4. O princípio estabelece o controlo das atividades de tratamento do responsável pelo tratamento
ou dos subcontratantes em todos os Estados-Membros, mas nos termos do artigo 73.º, n.º 1, os
titulares de dados teriam o direito de apresentar uma reclamação a uma autoridade de controlo
em qualquer Estado-Membro (por exemplo: onde ele ou ela tem a sua residência ou onde o
responsável pelo tratamento está estabelecido ou a outra autoridade de controlo). Tal deixaria,
como é atualmente o caso ao abrigo da Diretiva Proteção de Dados de 1995, às autoridades de
controlo a competência para receber reclamações dos titulares de dados e a estes últimos a
possibilidade de decidir onde querem ir. Ao mesmo tempo, somente a autoridade de controlo
do estabelecimento principal teria competência para tomar medidas destinadas a produzir
efeitos jurídicos no que respeita ao tratamento por esse responsável pelo tratamento.
Situação atual
5. Segundo a Diretiva Proteção de Dados de 1995, o âmbito territorial de aplicação da diretiva é regido pelo artigo 4.º, n.º 1, segundo o qual um Estado-Membro, como regra, aplica as
disposições nacionais que tenha adotado nos termos da diretiva ao tratamento de dados pessoais sempre que exista um estabelecimento do responsável pelo tratamento no seu território, ou nos casos em que o responsável pelo tratamento não estiver estabelecido na União, caso este último utilize equipamentos situados no território do Estado-Membro para efeitos de tratamento de dados pessoais.
6. Tal implica que um Estado-Membro tem competência para controlar o tratamento de dados pessoais (e, se o tratamento for efetuado em violação do direito da UE, aplicar sanções ao responsável pelo tratamento ou ao subcontratante), apenas caso exista um estabelecimento no território desse Estado-Membro. O simples facto de uma ou várias pessoas (os titulares de dados) num Estado-Membro se queixarem de que foram vítimas de operações de tratamento de dados ilícitas efetuadas noutro Estado-Membro, não dá, na situação atual, competência ao Estado-Membro do queixoso caso não exista um estabelecimento do responsável pelo
tratamento/subcontratante nesse Estado-Membro. Além disso, a Diretiva 95/46/CE não prevê nenhum mecanismo de cooperação entre as autoridades de controlo dos Estados-Membros cujos residentes são alvo das atividades de tratamento.
Preocupações dos Estados-Membros
7. A proposta da Comissão do princípio do balcão único tem sido objeto de várias discussões no
Grupo do Intercâmbio de Informações e da Proteção de Dados (DAPIX). No decurso dessas
discussões, a grande maioria das delegações proferiu várias críticas detalhadas sobre este
princípio. As preocupações mais importantes podem ser agrupadas sob os seguintes títulos:
Exercício de direitos individuais
8. Provavelmente o ponto mais importante das preocupações com o princípio do balcão único é que, embora se destine a trazer vantagens para as empresas, correria o risco de ser prejudicial para a proteção dos direitos de proteção de dados das pessoas, porque terá como consequência que as funções de controlo ficarão concentradas nas mãos de uma autoridade de controlo, que será a única autoridade para decidir sobre (determinadas) medidas. Em certas situações, as medidas serão decididas pela autoridade de controlo do estabelecimento principal, e não pelas dos Estados-Membros em que o responsável pelo tratamento tem outros estabelecimentos
1.
9. Esta "falta de proximidade" da autoridade de controlo decisora já existe reconhecidamente no ordenamento jurídico atual, uma vez que a Diretiva Proteção de Dados de 1995 não dá competência ao Estado-Membro em que a pessoa apresenta uma reclamação em relação a uma suposta violação de dados, se não existir um estabelecimento ou equipamento nesse Estado-Membro.
Independentemente da opinião que se tiver sobre as possibilidades que existem atualmente para as autoridades de controlo reagirem a supostas violações de dados, vários Estados- -Membros manifestaram a opinião de que o princípio do balcão único irá reduzir os poderes das autoridades de controlo dos Estados-Membros aos quais as reclamações foram
apresentadas, se a fiscalização estiver concentrada nas mãos de uma única autoridade de controlo.
10. Uma outra vertente desse argumento é que, independentemente de todas as disposições legais que o futuro Regulamento Proteção de Dados pode conter para concentrar a fiscalização nas mãos da autoridade de controlo do Estado-Membro do estabelecimento principal, os titulares de dados que aleguem ter sido vítimas de violações da proteção de dados podem recorrer para os tribunais de outros Estados-Membros. Vários percursos estão disponíveis para os titulares de dados: podem processar por danos civis ou, nos Estados-Membros onde as violações de proteção de dados tiverem sido criminalizadas, podem apresentar uma queixa-crime contra o suposto infrator. Esses recursos judiciais podem mesmo ser exercidos na pendência de uma decisão ao abrigo do mecanismo de controlo da coerência. As regras relativas à jurisdição dos tribunais para ouvir essas reclamações podem bem ser mais extensas do que as contidas no regulamento. Além disso, os titulares de dados podem pedir a um tribunal que anule uma decisão – ou mesmo a recusa em tomar uma decisão – de uma autoridade de controlo.
1
O artigo 74.º, n.º 4, da proposta da Comissão permitia à autoridade de controlo do Estado- -Membro de um queixoso recorrer de uma decisão da autoridade de controlo do
estabelecimento principal nesse Estado-Membro.
11. Há, portanto, o risco distinto de que qualquer tentativa, através do regulamento, para se
chegar a uma aplicação mais unificada das práticas de controlo da proteção de dados por parte das autoridades de proteção de dados seja desfeita por decisões judiciais. Na verdade, este pode muito bem ser o calcanhar de Aquiles de qualquer alternativa à proposta da Comissão do princípio do balcão único, já que, em qualquer cenário, é difícil ver como o regulamento poderia impedir um tribunal de tomar uma posição diferente da autoridade ou autoridades de controlo em causa.
Transferência de poderes soberanos
12. A proposta da Comissão relativa ao princípio do balcão único implica uma transferência de poderes. Se a autoridade de controlo do Estado-Membro em que o responsável pelo
tratamento tem o seu estabelecimento principal é a única responsável pela fiscalização desse responsável pelo tratamento, incluindo as operações de tratamento efetuadas pelo
estabelecimento desse responsável pelo tratamento noutros Estados-Membros, tal implica que as decisões apenas podem ser tomadas pela autoridade de controlo do estabelecimento
principal, e não mais pela autoridade de controlo do outro Estado-Membro. O facto de que cada Estado-Membro continuará a ser exclusivamente competente para o exercício de poderes no seu território (ver artigo 51.º, n.º 1, da proposta da Comissão), em nada invalida isto. O artigo 63.º da proposta da Comissão deixa claro que não existe a obrigação de executar as decisões da autoridade de controlo de um Estado-Membro em todos os outros Estados- -Membros.
13. À luz destas preocupações dos Estados-Membros, a última reformulação pela Presidência dos Capítulos VI e VII tinha identificado alguns poderes em relação aos quais a decisão pode ser tomada unicamente pela autoridade de controlo do estabelecimento principal. Muito embora a escolha de quais os poderes exatos a confiar à autoridade de controlo do estabelecimento principal deva ser objeto de novos debates a nível de peritos, o princípio do balcão único parece fazer com que tal seja inevitável. Não fazê-lo implica que todas as outras autoridades de controlo podem fiscalizar os estabelecimentos situados no seu território e que o princípio do balcão único fica esvaziado de qualquer caráter vinculativo. Tal como será discutido no ponto 19, a autoridade de controlo do estabelecimento principal pode ser transformada numa
"autoridade principal", que deverá assegurar a coordenação e a cooperação entre as
autoridades de controlo em causa, mas não tem poder para impor decisões vinculativas às
autoridades de controlo de outros Estados-Membros.
Insegurança jurídica e desfragmentação da fiscalização
14. Muitas delegações têm defendido que a aplicação do princípio do balcão único proposto pela Comissão conduziria à insegurança jurídica. Conferir um papel central à autoridade de controlo do Estado-Membro do estabelecimento principal e coordenar as posições de outras autoridades de controlo através do mecanismo de controlo da coerência exigirá
inevitavelmente tempo. Na pendência de tal coordenação, pode haver insegurança jurídica quanto a saber se a ação de fiscalização pode/deve ser tomada. Por vezes, pode ser incerto que o mecanismo de coordenação resulte num resultado coordenado. Já é reconhecido pelos Estados-Membros que tal mecanismo de coordenação vai precisar de alguns filtros, pelo que haverá inevitavelmente casos que serão sujeitos ao mecanismo de controlo da coerência, mas que no fim não darão origem a nenhuma decisão tomada através deste mecanismo.
15. Também pode haver casos em que várias autoridades de controlo tenham pontos de vista diferentes a respeito de onde o estabelecimento principal de uma empresa ou grupo de empresas está localizado. Na pendência da resolução destas questões, haverá também – até certo ponto – insegurança quanto à lei aplicável. Apesar de as regras fundamentais relativas à proteção de dados ficarem estabelecidas no regulamento, outras regras substantivas e
especialmente processuais serão regidas pela lei da autoridade de controlo que é responsável pela fiscalização do responsável pelo tratamento.
16. Outro argumento ligado à insegurança jurídica que pode surgir com a aplicação prática do
princípio do balcão único é que em vez de conduzir à concentração prevista para o controlo,
possa resultar na fragmentação do controlo. Tal pode acontecer devido ao facto de que, no que
respeita às atividades de tratamento efetuadas noutros Estados-Membros, a autoridade de
controlo do estabelecimento principal irá exercer alguns, mas não todos, os poderes que serão
confiados às autoridades de controlo no termos do regulamento. Pelo menos o exercício dos
poderes de investigação irá, dada a jurisdição executiva territorial, permanecer na autoridade
de controlo do Estado-Membro em que o tratamento ocorre.
Burocracia: implicações burocráticas e de custos
17. As delegações manifestaram as suas preocupações quanto às implicações burocráticas e aos custos do mecanismo de controlo da coerência que terá de ser seguido sempre que o
princípio do balcão único seja aplicado. As preocupações específicas sobre a necessidade de traduzir os documentos para cada caso que passe pelo mecanismo de controlo da coerência poderiam provavelmente ser resolvidas por acordos sobre uma linguagem comum pelo Comité Europeu para a Proteção de Dados e as autoridades de controlo envolvidas, como é o caso hoje nos termos da Diretiva 95/46/CE. O facto de todos os casos a submeter ao
mecanismo de controlo da coerência implicarem encargos administrativos e financeiros, mesmo que, no fim, não seja tomada nenhuma decisão, agrava estas preocupações.
Possíveis alternativas à proposta da Comissão
18. Durante as discussões as delegações lançaram ideias quanto a alternativas para melhorar ou alterar o princípio do balcão único proposto pela Comissão. A Presidência esforçou-se seguidamente por resumir sucintamente essas sugestões, estando plenamente consciente de que esses resumos podem não fazer justiça à maneira como algumas delegações
apresentaram e/ou estão a formular as suas ideias.
Restringir os poderes da autoridade de controlo do estabelecimento principal
19. Uma variação ao princípio do balcão único proposto pela Comissão é manter a jurisdição exclusiva da autoridade de controlo do estabelecimento principal, mas limitá-la ao exercício de certos poderes em relação aos responsáveis pelo tratamento (tais como os poderes de autorização e consulta, como por exemplo, responder a pedidos de consulta de instituições e órgãos dos Estados-Membros, elaborar e divulgar publicamente uma lista relativa ao
requisito de uma avaliação do impacto sobre a proteção de dados nos termos do artigo 33.º,
n.º 2-A; autorizar as cláusulas contratuais referidas no artigo 42.º, n.º 2, alínea d), e aprovar
as regras vinculativas para empresas nos termos do artigo 43.º). Outros poderes de controlo
relacionados com a monitorização do cumprimento e a investigação de possíveis violações
das regras de proteção de dados ficariam nas mãos da autoridade de controlo do Estado-
-Membro onde ocorre o tratamento. A principal vantagem desta opção é que não só mantém
a vantagem para as empresas de terem que tratar com uma única autoridade de controlo
como também permite às pessoas tratarem com a sua própria autoridade de controlo. A
desvantagem óbvia é a fragmentação dos poderes de controlo entre as diversas autoridades
de controlo, com o risco de decisões contraditórias por diferentes autoridades de controlo.
Codecisão pelas autoridades de controlo em causa
20. Em vez de se concentrar certos poderes de decisão nas mãos de uma única autoridade de controlo do Estado-Membro do estabelecimento principal, foi sugerido que as autoridades de controlo de todos os Estados-Membros em causa possam decidir sobre as medidas a tomar em relação a um responsável pelo tratamento que tem operações de tratamento nesses Estados-Membros. A principal vantagem deste modelo é que evita a necessidade de ter as decisões de uma autoridade de controlo de um Estado-Membro executadas noutro Estado- -Membro. A principal desvantagem é talvez a de que é difícil de ver como as autoridades de controlo poderiam, então, ser obrigadas a alcançar uma decisão comum. Caso o regulamento contivesse algumas regras sobre a votação por maioria entre as autoridades de controlo em causa, tal na realidade também permitiria que uma decisão fosse imposta às autoridades de controlo.
Submeter uma questão ao Comité Europeu para a Proteção de Dados
21. Duas outras alternativas consistem em conferir um certo protagonismo ao Comité Europeu para a Proteção de Dados (CEPD), permitindo submeter (projetos de) decisões de uma autoridade de controlo ao Comité. Segundo essas alternativas, todas as autoridades de controlo que tenham jurisdição no que diz respeito a certas atividades de tratamento, poderão exercer os seus poderes de controlo, mas em certas circunstâncias um caso poderá ser submetido ao Comité Europeu para a Proteção de Dados para resolução. Ficou
estabelecido que, do ponto de vista do direito da UE, o CEPD tal como proposto pela Comissão não pode ser investido do poder de tomar decisões juridicamente vinculativas.
Afigura-se que só seria possível ultrapassar esta dificuldade de uma forma limitada.
22. Uma primeira maneira é prever o poder da Comissão para adotar atos de execução em circunstâncias claramente definidas no regulamento depois de tomar na melhor conta
1o parecer do CEPD. Esses poderes teriam que ser muito mais restritivos do que os amplos poderes propostos nos artigos 60.º e 62.º, n.º 1, alínea a), da proposta da Comissão, o que equivaleria a um procedimento de infração simplificado sem respeitar as condições previstas no artigo 258.º do TFUE. Se, no entanto, forem conferidos à Comissão poderes de execução estritamente circunscritos, por exemplo nos casos em que existam pontos de vista
divergentes entre as autoridades de controlo sobre temas claramente definidos ou em que a autoridade de controlo competente não apresente um certo tipo de projeto de medida destinada a produzir efeitos jurídicos ao CEPD ou não cumpra com as obrigações de assistência mútua ou de operações conjuntas e o CEPD tenha emitido um parecer que a autoridade principal se recuse a seguir, a Comissão, depois de tomar na máxima
consideração o parecer do CEPD, poderia adotar uma decisão de execução que vincularia essa autoridade de controlo.
23. Outra forma de superar a falta de caráter vinculativo dos pareceres do CEPD é decidir atribuir personalidade jurídica ao CEPD, transformando-o assim, numa "agência". Só poderes executivos claramente definidos, que excluiriam poderes demasiado amplos e discricionários que envolvam escolhas políticas (a chamada jurisprudência "Meroni"
2) poderiam pois ser atribuídos a esta agência. Nesse caso, o CEPD não só disporia de poderes, mas também seria obrigado a adotar medidas em que seriam observados critérios claramente definidos estabelecidos no regulamento.
Além destes casos que poderiam ser decididos pelo CEPD com base em critérios claramente definidos, qualquer outro modelo só poderia encorajar as autoridades de controlo dos
Estados-Membros a tomar na melhor conta o parecer do CEPD, mas não seria capaz de os obrigar a fazê-lo.
1
Ver contributo do Serviço Jurídico do Conselho no doc. 16204/08.
2