Regulamento de Privacidade
DIRECTIVA 95/46/CE DO PARLAMENTO
EUROPEU E DO CONSELHO de 24
de Outubro de 1995 relativa à
protecção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre
circulação desses dados. O PARLAMENTO
EUROPEU O CONSELHO DA UNIÃO EUROPEIA, Tendo em conta o
Tratado que institui a Comunidade Europeia
e, nomeadamente, o seu artigo 100º A, Tendo em conta a
proposta da Comissão (1), Tendo em conta o
parecer do Comité Económico e Social (2), Deliberando nos
termos do procedimento previsto no artigo
189º B do Tratado (3), (1) Considerando
que os objectivos da Comunidade, enunciados
no Tratado, com a redacção que lhe foi dada pelo
Tratado da União Europeia,
consistem em estabelecer uma união cada vez mais estreita
entre os povos
europeus, em fomentar relações mais
próximas entre os Estados que pertencem à
Comunidade, em assegurar o progresso económico e social
mediante acções comuns
para eliminar as barreiras que dividem a Europa, em promover a melhoria
constante das condições de vida dos seus poovos,
em preservar e consolidar a
paz e a liberdade e em promover a democracia com base nos direitos
fundamentais
reconhecidos nas Constituições e leis dos
Estados-membros, bem como na
Convenção europeia para a
protecção dos direitos do Homem e das liberdades
fundamentais; (2) Considerando
que os sistemas de tratamento de dados estão
ao serviço do Homem; que devem respeitar as liberdades e os
direitos
fundamentais das pessoas singulares independentemente da sua
nacionalidade ou
da sua residência, especialmente a vida privada, e contribuir
para o progresso
económico e social, o desenvolvimente do comércio
e o bem-estar dos indivíduos; (3) Considerando
que o estabelecimento e o funcionamento do
mercado interno no qual, nos termos do artigo 7º A do Tratado,
é assegurada a
livre circulação das mercadorias, das pessoas,
dos serviços e dos capitais,
exigem não só que os dados pessoais possam
circular livremente de um
Estado-membro para outro, mas igualmente, que sejam protegidos os
direitos
fundamentais das pessoas; (4) Considerando
que o recurso ao tratamento de dados pesoais
nos diversos domínios das actividades económicas
e sociais é cada vez mais
frequente na Comunidade; que o prograsso registado nas tecnologias da
informação facilita consideravelmente o
tratamento e a troca dos referidos
dados; (5) Considerando
que a integração económica e social
resultante do estabelecimento e funcionamento do mercado interno nos
termos do
artigo 7º A do Tratado irá necessariamente provocar
um aumento sensível dos
fluxos transfronteiras de dados pessoais entre todos os intervenientes,
privados ou públicos, na vida económica e social
dos Estados-membros; que o
intercâmbio de dados pessoais entre empresas estabelecidas em
diferentes
Estados-membros tende a intensificar-se; que as
administrações dos
Estados-membros são chamadas, por força do
direito comunitário, a colaborar e a
trocar entre si dados pessoais a fim de poderem desempenhar as suas
atribuições
ou executar tarefas por conta de uma
administração de outro Estado-membro, no
âmbito do espaço sem fronteiras internas que o
mercado interno constitui; (6)
Considerando, além disso, que o reforço da
cooperação
científica bem como a introdução
coordenada de novas redes de telecomunicações
na Comunidade exigem e facilitam a circulação
transfronteiras de dados
pessoais; (7) Considerando
que as diferenças entre os Estados-membros
quanto ao nível de protecção dos
direitos e liberdades das pessoas,
nomeadamente do direito à vida privada, no
domónio do tratamento de dados
pessoais, podem impedir a transmissão desses dados do
território de um
Estado-membro para o de outro Estado-membro; que estas
diferenças podem, por
conseguinte, constituir um obstáculo ao exercício
de uma série de actividades
económicas à escala comunitária,
falsear a concorrência e entravar o exercício
pelas administrações das
funções que lhes incumbem nos termos do direito
comunitário; que esta diferença de
níveis de protecção resulta da
disparidade
das disposições legislativas, regulamentares e
administrativas nacionais; (8) Considerando
que, para eliminar os obstáculos à
circulação de dados pessoais, o nível
de protecção dos direitos e liberdades
das pessoas no que diz respeito ao tratamento destes dados deve ser
equivalente
em todos os Estados-membros; que a realização
deste objectivo, fundamental para
o mercado interno, não pode ser assegurada unicamente pelos
Estados-membros,
tendo especialmente em conta a dimensão das
divergências que se verificam
actualmente a nível das legislações
nacionais aplicáveis na matéria e a
necessidade do coordenar as legislações dos
Estados-membros para assegurar que
a circulação transfronteiras de dados pessoais
seja regulada de forma coerente
e em conformidade com o objectivo do mercado interno nos termos do
artigo 7º A
do Tratado; que é portanto necessária uma
acção comunitária com vista
à
aproximação das legislações; (9) Considerando
que, devido à protecção equivalente
resultante da aproximação das
legislações nacionais, os Estados-membros
deixarão de poder levantar obstáculos
à livre circulação entre si de dados
pessoais por razões de protecção dos
direitos e liberdades das pessoas,
nomeadamente do direito à vida privada; que é
deixada aos Estadas-membros uma
margem de manobra que, no contexto da aplicação
da directiva, poderá ser utilizada
pelos parceiros económicos e sociais; que os Estados-membros
poderão, pois,
especificar na sua legislação nacional as
condições gerais de licitude do
tratamento de dados; que, ao fazê-lo, os Estados-membros se
esforçarão por
melhorar a protecção actualmente assegurada na
respectiva legislação nacional;
que, nos limites dessa margem de manobra e em conformidade com o
direito
comunitário, poderão verficar-se disparidades na
aplicação da directiva, o que
poderá reflectir-se na circulação de
dados quer no interior de um
Estado-membro, quer na Comunidade; (10)
Considerando que o objectivo das legislações
nacionais
relativas ao tratamento de dados pessoais é assegurar o
respeito dos direitos e
liberdades fundamentais, nomeadamente do direito à vida
privada, reconhecido
não só no artigo 8º da
Convenção europeia para a
protecção dos direitos do
Homem e das liberdades fundamentais como nos princípios
gerais do direito
comunitário; que, por este motivo, a
aproximação das referidas
legislações não
deve fazer diminuir a protecção que asseguram,
devendo, pelo contrário, ter por
objectivo garantir um elevado nível de
protecção na Comunidade; (11)
Considerando que os princípios da
protecção dos direitos
e liberdades das pessoas, nomeadamente do direito à vida
privada, contidos na
presente directiva, precisam e ampliam os princípios
contidos na Convenção do
Conselho da Europa, de 28 de Janeiro de 1981, relativa à
protecção das pessoas
no que diz respeito ao tratamento automatizado de dados pessoais; (12)
Considerando que os princípios da
protecção devem
aplicar-se a todo e qualquer tratamento de dados pessoais sempre que as
actividades do responsável pelo tratamento sejam regidas
pelo direito
comunitário; que se deve excluir o tratamento de dados
efectuado por uma pessoa
singular no exercício de actividades exclusivamente pessoais
ou domésticas, por
exemplo correspondência ou listas de endereços; (13)
Considerando que as actividades referidas nos títulos V
e VI do Tratado da União Europeia, relativas à
segurança pública, à defesa,
à
segurança do Estado ou às actividades do Estado
no domínio penal, não são
abrangidas pelo âmbito de aplicação do
direito comunitário, sem prejuízo das
obrigações que incumbem aos Estados-membros nos
termos do nº 2 do artigo 56º e
dos artigos 57º e 100º A do Tratado; que o tratamento
de dados pessoais
necessário à protecção do
bem-estar económico do Estado não é
abrangido pela
presente directiva quando esse tratamento disser respeito a
questões de
segurança do Estado; (14)
Considerando que, tendo em conta a importância do
desenvolvimento que, no âmbito da sociedade de
informação, sofrem actualmente
as técnicas de captação,
transmissão,
manipulação, gravação,
conservação ou
comunicação de dados de som e de imagem relativos
às pessoas singulares, há que
aplicar a presente directiva ao tratamento desses dados; (15)
Considerando que o tratamento desses dados só é
abrangido pela presente directiva se for automatizado ou se os dados
tratados
estiverem contidos ou se destinarem a ficheiros estruturados segundo
critérios
específicos relativos às pessoas, a fim de
permitir um acesso fácil aos dados
pessoais em causa; (16)
Considerando que o tratamento de dados de som e de
imagem, tais como os de vigilância por vídeo,
não é abrangido pelo âmbito de
aplicação da presente directiva se for executado
para fins de segurança
pública, de defesa, de segurança do Estado ou no
exercício de actividades do
Estado relativas a domínios de direito penal ou no
exercício de outras
actividades não abrangidas pelo âmbito de
aplicação do direito comunitário; (17)
Considerando que, no que se refere ao tratamento de som
e de imagem para fins jornalísticos ou de
expressão literária ou artística,
nomeadamente no domínio do audiovisual, os
princípios da directiva se aplicam
de modo restrito de acordo com as disposições
referidas no artigo 9º; (18)
Considerando que, a fim de evitar que uma pessoa seja
privada da protecção a que tem direito por
força da presente directiva, é
necessário que qualquer tratamento de dados pesosais
efectuado na Comunidade
respeite a legislação de um dos Estados-membros;
que, nesse sentido, é
conveniente que o tratamento efectuado por uma pessoa que age sob a
autoridade
do responsável pelo tratamento estabelecido num
Estado-membro seja regido pela
legislação deste Estado-membro; (19)
Considerando que o estabelecimento no território de um
Estado-membro pressupõe o exercício efectivo e
real de uma actividade mediante
uma instalação estável; que, para o
efeito, a forma jurídica de tal
estabelecimento, quer se trate de uma simples sucursal ou de uma filial
com
personalidade jurídica, não é
determinante; que, quando no território de vários
Estados-membros estiver estabelecido um único
responsável pelo tratamento, em
especial através de uma filial, deverá assegurar,
nomeadamente para evitar que
a legislação seja contornada, que cada um dos
estabelecimentos cumpra as
obrigações impostas pela
legislação nacional aplicável
às respectivas
actividades; (20 Considerando
que o facto de o tratamento de dados ser da
responsabilidade de uma pessoa estabelecida num país
terceiro não deve
constituir obstáculo à
protecção das pessoas assegurada pela presente
directiva; que, nesses casos, o tratamento deverá ser regido
pela legislação do
Estado-membro onde se encontram os meios utilizados para o tratamento
de dados
em causa e que deverão oferecer-se garantias de que os
direitos e as obrigações
estabelecidos na presente directiva serão efectivamente
respeitados; (21)
Considerando que a presente directiva não prejudica as
regras de territorialidade aplicáveis em matéria
de direito penal; (22)
Considerando que os Estados-membros precisarão, na sua
legislação ou nas regras de
execução adoptadas nos termos das presente
directiva, as condições gerais em que o
tratamento de dados é lícito; que,
nomeadamente, o artigo 5º, conjugado com os artigos
7º e 8º, permite que os
Estados-membros estabeleçam, independentemente das regras
gerais, condições
especiais para o tratamento de dados em sectores específicos
e para as
diferentes categorias de dados referidas no artigo 8º; (23)
Considerando que os Estados-membros podem assegurar a
concretização da protecção
das pessoas tanto por uma lei geral relativa à
protecção das pessoas no que diz respeito ao
tratamento de dados pessoais, como
por leis sectoriais, por exemplo as relativas aos institutos de
estatística; (24)
Considerando que a legislação para a
protecção das
pessoas colectivas relativamente ao tratamento de dados que lhes dizem
respeito
não é afectada pela presente directiva; (25)
Considerando que os princípios de
protecção devem
encontrar expressão, por um lado, nas
obrigações
que impendem sobre as pessoas,
as autoridades públicas, as empresas, os serviços
ou
outros organismos
responsáveis pelo tratamento de dados, em especial no que
respeita à qualidade
dos dados, à segurança técnica,
à
notificação à autoridade de controlo,
às
circunstâncias em que o tratamento pode ser efectuado, e, por
outro, nos
direitos das pessoas cujos dados são tratados serem
informadas
sobre esse
tratamento, poderem ter acesso aos dados, poderem solicitar a sua
rectificação
e mesmo, em certas circunstâncias, poderem opor-se ao
tratamento; (26)
Considerando que os princípios da
protecção devem
aplicar-se a qualquer informação relativa a uma
pessoa identificada ou identificável;
que, para determinar se uma pessoa é
identificável, importa considerar o
conjunto dos meios susceptíveis de serem razoavelmente
utilizados, seja pelo
responsável pelo tratamento, seja por qualquer outra pessoa,
para identificar a
referida pessoa; que os princípios da
protecção não se aplicam a dados
tornados
anónimos de modo tal que a pessoa já
não possa ser identificável; que os
códigos de conduta na acepção do
artigo 27º podem ser um instrumento útil para
fornecer indicações sobre os meios
através dos quais os dados podem ser
tornados anónimos e conservados sob uma forma que
já não permita a
identificação da pessoa em causa; (27)
Considerando que a protecção das pessoas se deve
aplicar
tanto ao tratamento automatizado de dados como ao tratamento manual;
que o
âmbito desta protecção não
deve, na prática, depender das técnicas
utilizadas,
sob pena de se correr o sério risco de a
protecção poder ser contornada; que,
em todo o caso, no que respeita ao tratamento manual, a presente
directiva
apenas abrange os ficheiros e não as pastas não
estruturadas; que, em
particular, o conteúdo de um ficheiro deve ser estruturado
de acordo com
critéios específicos relativos às
pessoas que permitam um acesso fácil aos
dados pessoais; que, em conformidade com a
definição da alínea c) do artigo
2º,
os diferentes critérios que permitem determinar os elementos
de um conjunto
estruturado de dados pessoais e os diferentes critérios que
regem o acesso a
esse conjunto de dados podem ser definidos por cada Estado-membro; que
as
pastas ou conjuntos de pastas, bem como as suas capas, qu
não estejam
estruturadas de acordo com critérios específicos,
de modo algum se incluem no
âmbito de aplicação da presente
directiva; (28)
Considerando que qualquer tratamento de dados pessoais
deve ser efectuado de forma lícita e leal para com a pessoa
em causa; que deve,
em especial, incidir sobre dados adequados, pertinentes e
não excessivos em
relação às finalidades prosseguidas
com o tratamento; que essas finalidades
devem ser explícitas e legítimas e ser
determinadas aquando da recolha dos
dados; que as finalidades dos tratamentos posteriores à
recolha não podem ser
incompatíveis com as finalidades especificadas inicialmente; (29)
Considerando que o tratamento posterior de dados
pessoais para fins históricos, estatísticos ou
científicos não é de modo geral
considerado incompatível com as finalidades para as quais os
dados foram
previamente recolhidos, desde que os Estados-membros
estabeleçam garantias
adequadas; que tais garantias devem em especial impedir a
utilização de dados
em apoio de medidas ou de decisões tomadas em desfavor de
uma pessoa; (30)
Considerando que, para ser lícito, o tratamento de dados
pessoais deve, além disso, ser efectuado com o consentimento
da pessoa em causa
ou ser necessário para a celebração ou
execução de um contrato que vincule a
pessoa em causa, ou para o cumprimento de uma
obrigação legal, ou para a
execução de uma missão de interesse
público ou para o exercício da autoridade
pública, ou ainda para a realização do
interesse legítimo de uma pessoa, desde
que os interesses ou os direitos e liberdades da pessoa em causa
não
prevaleçam; que, em especial, para assegurar o
equilíbrio dos interesses em
causa e garantir ao mesmo tempo uma concorrência real, os
Estados-membros são
livres de determinar as condições em que os dados
pessoais podem ser utilizados
e comunicados a terceiros no âmbito de actividades
legítimas de gestão corrente
das empresas e outros organismos; que, do mesmo modo, podem precisar as
condições em que a
comunicação a terceiros de dados pessoais pode
ser efectuada
para fins de mala directa ou de prospecção feita
por uma instituição de
solidariedade social ou outras associações ou
fundações, por exemplo de
carácter político, desde que respeitem as
disposições que permitem à pessoa em
causa opor-se, sem necessidade de indicar o seu fundamento ou de
suportar
quaisquer encargos, ao tratamento dos dados que lhe dizem respeito; (31)
Considerando que, do mesmo modo, o tratamento de dados
pessoais deve ser considerado lícito quando se destinar a
proteger um interesse
essencial à vida da pessoa em causa; (32)
Considerando que cabe às legislações
nacionais
determinar se o responsável pelo tratamento que executa uma
missão de interesse
público ou exerce a autoridade pública deve ser
uma administração pública ou
outra pessoa sujeita ao direito público ou ao direito
privado, por exemplo uma
associação profissional; (33)
Considerando que os dados susceptíveis, pela sua
natureza, de pôr em causa as liberdades fundamentais ou o
direito à vida
privada só deverão ser tratados com o
consentimento explítico da pessoa em
causa; que, no entanto, devem ser expressamente previstas
derrogações a esta
proibição no que respeita a necessidades
específicas, designadamente quando o tratamento
desses dados for efectuado com certas finalidades ligadas à
saúde por pessoas
sujeits por lei à obrigação de segredo
profissional ou para as actividades
legítimas de certas associações ou
fundações que tenham por objectivo permitir
o exercício das liberdades fundamentais; (34)
Considerando que, sempre que um motivo de interesse
público importante o justifique, os Estados-membros devem
também ser
autorizados a estabelecer derrogações
à proibição de tratamento de
categorias
de dados sensíveis em domínios como a
saúde pública e a segurança social -
em
especial para garantir a qualidade e a rentabilidade no que toca aos
métodos
utilizados para regularizar os pedidos de
prestações e de serviços no regime de
seguro de doença - e como a
investigação científica e as
estatísticas públicas;
que lhes incumbe, todavia, estabelecer garantias adequadas e
específicas para a
protecção dos direitos fundamentais e da vida
privada das pessoas; (35)
Considerando, além disso, que o tratamento de dados
pessoais pelas autoridades públicas para a
consecução de objectivos consagrados
no direito constitucional ou no direito internacioanl
público, em benefício de
associações religiosas oficialmente reconhecidas,
é efectuado por motivos de
interesse público importante; (36)
Considerando que quando, para o exercício de actividades
do âmbito eleitoral, o funcionamento do sistema
democrático exigir, em certos
Estados-membros, que partidos políticos recolham dados sobre
a opinião política
das pessoas, o tratamento desses dados pode ser autorizado por motivos
de
interesse público importante, desde que sejam es-tabelecidas
garantias
adequadas; (37)
Considerando que o tratamento de dados pessoais para
fins jornalísticos ou de expressão
artística ou literária, nomeadamente no
domínio do audiovisual, deve beneficiar de
derrogações ou de
restrições a
determinadas disposições da presente directiva,
desde que tal seja necessário
para conciliar os direitos fundamentais da pessoa com a liberdade de
expressão,
nomeadamente a liberdade de receber ou comunicar
informações, tal como é
garantida, nomeadamente pelo artigo 10º da
Convenção europeia para a
protecção
dos direitos do Homem e das liberdades fundamentais; que, por
conseguinte,
compete aos Estados-membros estabelecer, tendo em vista a
ponderação dos
direitos fundamentais, as derrogações e
limitações necessárias que se prendam
com as medidas gerais em matéria de legalidade do tratamento
de dados, as
medidas relativas à transferência de dados para
países terceiros, bem como com
as competências das autoridades de controlo; que tal facto
não deverá, no
entanto, levar os Estados-membros a prever
derrogações às medidas destinadas a
garantir a segurança do tratamento de dados; e que
deverão igualmente ser
atribuídas pelo menos à autoridade de controlo
determinadas competências a
posteriori, tais como a de publicar periodicamente um
relatório ou de recorrer
judicialmente; (38)
Considerando que, para que o tratamento de dados seja
leal , a pessoa em causa deve poder ter conhecimento da
existência dos tratamentos
e obter, no momento em que os dados lhe são pedidos, uma
informação rigorosa e
completa das circunstâncias dessa recolha; (39)
Considerando que por vezes se tratam dados que não foram
recolhidos directamente pelo responsável junto da pessoa em
causa; que, além
disso, os dados podem ser legitimamente comunicados a um terceiro sem
que essa
comunicação estivesse prevista na altura da
recolha dos dados junto da pessoa
em causa; que, em todos estes casos, a pessoa em causa deve ser
informada no
momento do registo dos dados ou, o mais tardar, quando os dados
são comunicados
pela primeira vez a um terceiro; (40)
Considerando que, no entanto, a imposição desta
obrigação não é
necessária caso a pessoa em causa esteja já
informada; que,
além disso, não existe essa
obrigação caso o registo ou a
comunicação dos dados
estejam expressamente previstos na lei ou caso a
informação da pessoa em causa
se revele impossível ou exija esforços
desproporcionados, o que pode ser o caso
do tratamento para fins históricos, estatísticos
ou científicos; que, para este
efeito, podem ser tomados em consideração o
número de pessoas em causa, a
antiguidade dos dados e as medidas compensatórias que podem
ser tomadas; (41)
Considerando que todas as pessoas devem poder beneficiar
do direito de acesso aos dados que lhes dizem repeito e que
estão em fase de
tratamento, a fim de assegurarem, nomeadamente, a sua
exactidão e a licitude do
tratamento; que, pelas mesmas razões, todas as pessoas
devem, além disso, ter o
direito de conhecer a lógica subjacente ao tratamento
automatizado dos dados
que lhe dizem respeito, pelo menos no caso das decisões
automatizadas referidas
no nº 1 do artigo 15º; que este último
direito não deve prejudicar o segredo
comercial nem a propriedade intelectual, nomeadamente o direito de
autor que
protege o suporte lógico; que tal, todavia, não
poderá traduzir-se pela recusa
de qualquer informação à pessoa em
causa; (42)
Considerando que, no interesse da pessoa em causa ou com
o objectivo de proteger os direitos e liberdades de outrem, os
Estados-membros
podem limitar os direitos de acesso e de
informação; que, por exemplo, podem
precisar que o acesso aos dados médicos só
poderá ser obtido por intermédio de
um profissional da saúde; (43)
Considerando que restrições aos direitos de
acesso e
informação e a certas
obrigações do
responsável pelo tratamento podem
igualmente ser previstas pelos Estados-membros na medida em que sejam
necessárias para proteger, por exemplo, a
segurança do
Estado, a defesa, a
segurança pública, os interesses
económicos ou
financeiros importantes de um
Estado-membro ou da União, e para a
investigação e
a repressão de infracções
penais ou de violações da deontologia das
profissões regulamentadas; que há que
enumerar, a título das excepções e
restrições, as missões de controlo, de
inspecção ou de
regulamentação
necessárias nos três últimos
domínios
citados
referentes à segurança pública, ao
interesse
económio ou financeiro e à
repressão penal; que esta enumeração
de
missões respeitante aos três domínios
referidos não prejudica a legitimidade de
excepções e de restrições
por razões
de segurança do Estado e de defesa; (44)
Considerando que os Estados-membros podem ser levados,
por força das disposições do direito
comunitário, a prever derrogações
às
disposições
da presente directiva relativas ao direito de acesso, à
informação das pessoas
e à qualidade dos dados para salvaguardarem algumas
finalidades
dentre as acima
enunciadas; (45)
Considerando que, nos casos de tratamento de dados
lícito por razões de interesse
público, de exercício da autoridade
pública ou
de interesse legítimo de uma pessoa, a pessoa em causa
terá, ainda assim, o
direito de, com base em razões preponderantes e
legítimas relacionadas com a
sua situação específica, se opor ao
tratamento dos dados que lhe dizem
respeito; que os Estados-membros, têm, no entanto, a
possibilidade de prever
disposições nacionais em contrário; (46)
Considerando que a protecção dos direitos e
liberdades
das pessoas em causa relativamente ao tratamento de dados pessoais
exige que
sejam tomadas medidas técnicas e organizacionais adequadas
tanto aquando da
concepção do sistema de tratamento como da
realização do próprio tratamento, a
fim de manter em especial a segurança e impedir assim
qualquer tratamento não autorizado;
que compete aos Estados-membros zelar por que os
responsáveis pelo tratamento
respeitem estas medidas; que estas medidas devem assegurar um
nível de
segurança adequado, atendendo aos conhecimentos
técnicos disponíveis e ao custo
da sua aplicação em função
dos riscos que o tratamento implica e a natureza dos
dados a proteger; (47)
Considerando que, quando uma mensagem que contém dados
pessoais é transmitida através de um
serviço de telecomunicações ou de
correio
electrónico cujo único objectivo é a
transmissão de mensagens deste tipo, será
a pessoa de quem emana a mensagem, e não quem
propõe o serviço de transmissão,
que será em regra considerada responsável pelo
tratamento dos dados pessoais
contidos na mensagem; que, contudo, as pessoas que propõesm
esses serviços
serão em regra consideradas responsáveis pelo
tratamento dos dados pessoais
suplementares necessários ao funcionamento do
serviço; (48)
Considerando que a notificação à
autoridade de controlo
tem por objectivo assegurar a publicidade das finalidades e principais
características do tratamento, a fim de permitir verificar a
sua conformidade
com as disposições nacionais tomadas nos termos
da presente directiva; (49)
Considerando que, a fim de evitar formalidades
administrativas desnecessárias, os Estados-membros podem
estabelecer isenções
da obrigação de
notificação, ou
simplificações à
notificação
requerida, nos
casos em que o tratamento não seja susceptível de
prejudicar os direitos e
liberdades das pessoas em causa, desde que seja conforme com um acto
adoptado
pelo Estado-membro que precise os seus limites; que podem igualmente
ser
estabelecidas isenções ou
simplificações
caso uma pessoa designada pelo
responsável pelo tratamento se certifique de que o
tratamento
efectuado não é
susceptível de prejudicar os direitos e liberdades das
pessoas
em causa; que
essa pessoa encarregada da protecção de dados,
empregada
ou não do responsável
pelo tratamento, deve exercer as suas funções com
total
independência; (50)
Considerando que poderá ser estabelecida a
isenção ou a
simplificação para tratamentos cuja
única finalidade seja a manutenção de
registos destinados, de acordo com o direito nacional, à
informação do público
e que possam ser consultados pelo público ou por qualquer
pessoa que possa
provar um interesse legítimo; (51)
Considerando que, no entanto, a simplificação ou
a
isenção da obrigação de
notificação não liberam o
responsável pelo
tratamento
de nenhuma das outras obrigações decorrentes da
presente
directiva; (52)
Considerando que, neste contexto, a verificação a
posteriori pelas autoridades competentes deve ser, em geral,
considerada uma
medida suficiente; (53)
Considerando que, no entanto, certos tratamentos podem
ocasionar riscos particulares para os direitos e liberdades das pessoas
em
causa, em virtude da sua natureza, do seu âmbito ou da sua
finalidade, como
acontece, por exemplo, se esse tratamento tiver por objectivo privar as
pessoas
de um direito, de uma prestação ou de um
contrato, ou em virtude da utilização
de tecnologias novas; que compete aos Estados-membros, se assim o
entenderem,
precisar esses riscos na respectiva legislação; (54)
Considerando que, de todos os tratamentos efectuados em
sociedade, o número dos que apresentam tais riscos
particulares deverá ser
muito restrito; que os Estados-membros devem estabelecer um controlo
prévio à
realização desses tratamentos a efectuar pela
autoridade de controlo ou pelo
encarregado da protecção dos dados em
cooperação com essa autoridade; que, na
sequência desse controlo prévio, a autoridade de
controlo pode, de acordo com o
direito nacional, dar um parecer ou autorizar o tratamento dos dados;
que esse
controlo pode igualmente ser efectuado durante os trabalhos de
elaboração de
uma medida legislativa do parlamento nacional ou de uma medida baseada
nessa
medida legislativa, a qual defina a natureza do tratamento e
especifique as
garantias adequadas; (55)
Considerando que, se o responsável pelo tratamento
não
respeitar os direitos das pessoas em causa, as
legislações nacionais devem
prever a possibilidade de recurso judicial; que os danos de que podem
ser
vítimas as pessoas em virtude de um tratamento ilegal devem
ser ressarcidos
pelo rsponsável pelo tratamento, o qual só pode
ser exonerado da sua responsabilidade
se provar que o facto que causou o dano lhe não é
imputável, nomeadamente
quando provar existir responsabilidade da pessoa em causa ou um caso de
força
maior; que devem ser aplicadas sanções a todas as
pessoas, de direito privado
ou de direito público, que não respeitem as
disposições nacionais tomadas nos
termos da presente directiva; (56)
Considerando que os fluxos transfronteiras de dados
pessoais são necessários ao desenvolvimento do
comércio internacional; que a
protecção das pessoas garantida na Comunidade
pela presente directiva não obsta
às transferências de dados pessoais para
países terceiros que assegurem um
nível de protecção adequado; que o
carácter adequado do nível de
protecção
oferecido por um país terceiro deve ser apreciado em
função de todas as
circunstâncias associadas à
transferência ou a uma categoria de transferências; (57)
Considerando em contrapartida que, sempre que um país
terceiro não ofereça um nível de
protecção adequado, a transferência de
dados
pessoais para esse país deve ser proibida; (58)
Considerando que devem poder ser previstas
excepções a
esta proibição em certas
circunstâncias, quando a pessoa em causa tiver dado o
seu consentimento, quando a transferência for
necessária no âmbito de um
contrato ou de um processo judicial, quando a
protecção de um interesse público
importante assim o exigir, por exemplo nos casos de
transferências
internacionais de dados entre as autoridades fiscais ou aduaneiras ou
entre os
serviços competentes em matéria de
segurança social, ou quando a transferência
for feita a partir de um registo instituído por lei e
destinado a consulta pelo
público ou por pessoas com um interesse legítimo;
que nesse caso tal
transferência não deve abranger a totalidade dos
dados nem as categorias de
dados contidos nesse registo; que, sempre que um registo se destine a
ser
consultado por pessoas com um interesse legítimo, a
transferência apenas deverá
poder ser efectuada a pedido dessas pessoas ou caso sejam elas os seus
destinatários; (59)
Considerando que podem ser tomadas medidas especiais
para sanar a insuficiência de proteção
num país terceiro, se o responsável pelo
tratamento apresentar garantias adequadas; que, além disso,
devem ser previstos
processos de negociação entre a Comunidade e os
países terceiros em causa; (60)
Considerando que, em todo o caso, as transferências para
países terceiros só podem ser efectuadas no pleno
respeito das disposições
adoptadas pelos Estados-membros nos termos da presente directiva,
nomeadamente
do seu artigo 8º; (61)
Considerando que, no âmbito das respectivas
competências, os Estados-membros e a Comissão
devem incentivar as organizações
sectoriais interessadas a elaborar códigos de conduta com
vista a facilitar a
aplicação da presente directiva, tendo em conta
as características específicas
do tratamento efectuado em certos sectores e respeitando as
disposições
nacionais tomadas para a sua execução; (62)
Considerando que a criação nos Estados-membros de
autoridades de controlo que exerçam as suas
funções com total independência
constitui um elemento essencial da protecção das
pessoas no que respeita ao
tratamento de dados pessoais; (63)
Considerando que essas autoridades devem ser dotadas dos
meios necessários para a realização
das suas funções, incluindo poderes de
inquérito ou de intervenção,
especialmente em caso de reclamações, e poderes
para intervir em processos judiciais; que essas autoridades devem
ajudar a
garantir a transparência do tratamento de dados efectuado no
Estado-membro sob
cuja jurisdição se encontram; (64)
Considerando que as autoridades dos diferentes
Estados-membros deverão prestar-se mutuamente
assistência no desempenho das
suas funções por forma a assegurar integralmente
o respeito das regras de
protecção em toda a União Europeia; (65)
Considerando que deve ser criado, a nível
comunitário,
um grupo de trabalho sobre a protecção das
pessoas no que diz respeito ao
tratamento de dados pessoais, o qual deve gozar de total
independência no
exercício das suas funções; que,
atendendo à sua natureza específica, esse
grupo deve aconselhar a Comissão e contribuir nomeadamente
para a aplicação
uniforme das normas nacionais adoptadas nos termos da presente
directiva; (66)
Considerando que, no que se refere à transferência
de
dados para países terceiros, a
aplicação da
presente directiva requer a
atribuição de competências de
execução à Comissão e a
criação de um
procedimento de acordo com as normas estabelecidas na
Decisão
87/373/CEE do
Conselho (1); (67)
Considerando que, em 20 de Dezembro de 1994, se chegou a
acordo sobre um modus vivendi entre o Parlamento Europeu, o Conselho e
a
Comissão quanto às medidas de
execução de actos adoptados nos termos do
procedimento previsto no artigo 189º B do Tratado; (68)
Considerando que os princípios enunciados na presente
directiva para a protecção dos direitos e
liberdades das pessoas, nomeadamente
do seu direito à vida privada, no que diz respeito ao
tratamento de dados
pessoais, poderão ser completados ou especificados,
nomeadamente em relação a
certos sectores, através de regras específicas
baseadas nesses princípios; (69)
Considerando que é conveniente conceder aos
Estados-membros um prazo não superior a três anos
a contar da data de entrada
em vigor das medidas nacionais de transposição da
presente directiva, durante o
qual essas novas disposições nacionais
serão aplicadas de forma progressiva a
qualquer tratamento de dados já em curso; que, para
facilitar uma aplicação
rentável dessas disposições, os
Estados-membros poderão prever um prazo
suplementar, que expirará doze anos a contar da data de
adopção da presente
directiva, para assegurar a conformidade dos ficheiros, manuais
existentes com
determinadas disposições da directiva; que os
dados contidos nesses ficheiros,
que sejam objecto de um tratamento manual efectivo durante esse
período de
transição suplementar, deverão ser
postos em conformidade com essas disposições
aquando da realização desse tratamento; (70)
Considerando que a pessoa em causa não é obrigada
a dar
novamente o seu consentimento para que o responsável
continue a efectuar, após
a entrada em vigor das disposições nacionais
tomadas nos termos da presente
directiva, um tratamento de dados sensíveis
necessário à execução de um
contrato celebrado com base num consentimento livre e informado antes
da
entrada em vigor das disposições acima referidas; (71)
Considerando que a presente directiva não obsta a que um
Estado-membro regulamente as actividades de mala directa junto dos
consumidores
residentes no seu território, desde que a referida
regulamentação não diga respeito
à protecção das pessoas no que se
refere ao tratamento de dados pessoais; (72)
Considerando que a presente directiva permite tomar em
consideração o princípio do direito de
acesso do público aos documentos
oficiais aquando da implementação dos
princípios nela estabelecidos, ADOPTARAM A
PRESENTE DIRECTIVA: CAPÍTULO
I DISPOSIÇÕES GERAIS Artigo
1º Objecto da
directiva 1. Os
Estados-membros assegurarão, em conformidade com a
presente directiva, a protecção das liberdades e
dos direitos fundamentais das
pessoas singulares, nomeadamente do direito à vida privada,
no que diz respeito
ao tratamento de dados pessoais. 2. Os
Estados-membros não podem restringir ou proibir a livre
circulação de dados pessoais entre
Estados-membros por razões relativas à
protecção assegurada por força do
nº 1. Artigo
2º Definições Para efeitos da
presente directiva, entende-se por: a)
«Dados pessoais», qualquer
informação relativa a uma
pessoa singular identificada ou identificável
(«pessoa em causa»); é
considerado identificável todo aquele que possa ser
identificado, directa ou
indirectamente, nomeadamente por referência a um
número de identificação ou a
um ou mais elementos específicos da sua identidade
física, fisiológica,
psíquica, económica, cultural ou social; b)
«Tratamento de dados pessoais»
(«tratamento»),
qualquer
operação ou conjunto de
operações
efectuadas sobre dados pessoais, com ou sem
meios automatizados, tais como a recolha, registo,
organização, conservação,
adaptação ou alteração,
recuperação, consulta,
utilização,
comunicação por
transmissão, difusão ou qualquer outra forma de
colocação à
disposição, com
comparação ou interconexão, bem como o
bloqueio,
apagamento ou destruição; c)
«Ficheiro de dados pessoais»
(«ficheiro»), qualquer
conjunto estruturado de dados pessoais, acessível segundo
critérios
determinados, que seja centralizado, descentralizado ou repartido de
modo
funcional ou geográfico; d)
«Responsável pelo tratamento», a pessoa
singular ou
colectiva, a autoridade pública, o serviço ou
qualquer outro organismo que,
individualmente ou em conjunto com outrem, determine as finalidades e
os meios
de tratamento dos dados pessoais; sempre que as finalidades e os meios
do
tratamento sejam determinadas por disposições
legislativas ou regulamentares
nacionais ou comunitárias, o responsável pelo
tratamento ou os critérios
específicos para a sua nomeação podem
ser indicados pelo direito nacional ou
comunitário; e)
«Subcontratante», a pessoa singular ou colectiva, a
autoridade pública, o serviço ou qualquer outro
organismo que trata os dados
pessoais por conta do responsável pelo tratamento; f)
«Terceiro», a pessoa singular ou colectiva, a
autoridade
pública, o serviço ou qualquer outro organismo
que não a pessoa em causa, o
responsável pelo tratamento, o subcontratante e as pessoas
que, sob a
autoridade directa do responsável pelo tratamento ou do
subcontratante, estão
habilitadas a tratar dos dados; g)
«Destinatário», a pessoa singular ou
colectiva, a
autoridade pública, o serviço ou qualquer outro
organismo que receba
comunicações de dados, independentemente de se
tratar ou não de um terceiro;
todavia, as autoridades susceptíveis de receberem
comunicações de dados no
âmbito duma missão de inquérito
específica não são consideradas
destinatários; h)
«Consentimento da pessoa em causa», qualquer
manifestação
de vontade, livre, específica e informada, pela qual a
pessoa em causa aceita
que dados pessoais que lhe dizem respeito sejam objecto de tratamento. Artigo
3º Âmbito
de aplicação 1. A presente
directiva aplica-se ao tratamento de dados
pessoais por meios total ou parcialmente automatizados, bem como ao
tratamento
por meios não automatizados de dados pessoais contidos num
ficheiro ou a ele
destinados. 2. A presente
directiva não se aplica ao tratamento de dados
pessoais: - efectuado no
exercício de actividades não sujeitas
à
aplicação do direito comunitário, tais
como as previstas nos títulos V e VI do
Tratado da União Europeia, e, em qualquer caso, ao
tratamento de dados que
tenha como objecto a segurança pública, a defesa,
a segurança do Estado
(incluindo o bem-estar económico do Estado quando esse
tratamento disser
respeito a questões de segurança do Estado), e as
actividades do Estado no
domínio do direito penal, - efectuado por
uma pessoa singular no exercício de actividades
exclusivamente pessoais ou domésticas. Artigo
4º Direito nacional
aplicável 1. Cada
Estado-membro aplicará as suas
disposições nacionais
adoptadas por força da presente directiva ao tratamento de
dados pessoais
quando: a) O tratamento
for efectuado no contexto das actividades de
um estabelecimento do responsável pelo tratamento situado no
território desse
Estado-membro; se o mesmo responsável pelo tratamento
estiver estabelecido no
território de vários Estados-membros,
deverá tomar as medidas necessárias para
garantir que cada um desses estabelecimentos cumpra as
obrigações estabelecidas
no direito nacional que lhe for aplicável; b) O
responsável pelo tratamento não estiver
estabelecido no
território do Estado-membro, mas num local onde a sua
legislação nacional seja
aplicável por força do direito internacional
público; c) O
responsável pelo tratamento não estiver
estabelecido no
território da Comunidade e recorrer, para tratamento de
dados pessoais, a
meios, automatizados ou não, situados no
território desse Estado-membro, salvo
se esses meios só forem utilizados para trânsito
no território da Comunidade. 2. No caso
referido na alínea c) do nº 1, o
responsável pelo
tratamento deve designar um representante estabelecido no
território desse
Estado-membro, sem prejuízo das acções
que possam vir a ser intentadas contra o
próprio responsável pelo tratamento. CAPÍTULO
II CONDIÇÕES GERAIS DE LICITUDE DO TRATAMENTO DE
DADOS PESSOAIS Artigo
5º Os
Estados-membros especificarão, dentro dos limites do
disposto no presente capítulo, as
condições em que é lícito o
tratamento de
dados pessoais. SECÇÃO
I PRINCÍPIOS
RELATIVOS À QUALIDADE DOS DADOS Artigo
6º 1. Os
Estados-membros devem estabelecer que os dados pessoais
serão: a) Objecto de um
tratamento leal e lícito; b) Recolhidos
para finalidades determinadas, explícitas e
legítimas, e que não serão
posteriormente tratados de forma incompatível com
essas finalidades. O tratamento posterior para fins
históricos, estatísticos ou
científicos não é considerado
incompatível desde que os Estados-membros
estabeleçam garantias adequadas; c) Adequados,
pertinentes e não excessivos relativamente às
finalidades para que são recolhidos e para que
são tratados posteriormente; d) Exactos e, se
necessário, actualizados; devem ser tomadas
todas as medidas razoáveis para assegurar que os dados
inexactos ou
incompletos, tendo em conta as finalidades para que foram recolhidos ou
para
que são tratados posteriormente, sejam apagados ou
rectificados; e) Conservados
de forma a permitir a identificação das
pessoas em causa apenas durante o período
necessário para a prossecução das
finalidades para que foram recolhidos ou para que são
tratados posteriormente.
Os Estados-membros estabelecerão garantias apropriadas para
os dados pessoais conservados
durante períodos mais longos do que o referido, para fins
históricos,
estatísticos ou científicos. 2. Incumbe ao
responsável pelo tratamento assegurar a
observância do disposto no nº 1. SECÇÃO
II PRINCÍPIOS
RELATIVOS À LEGITIMIDADE DO TRATAMENTO DE DADOS Artigo
7º Os
Estados-membros estabelecerão que o tratamento de dados
pessoais só poderá ser efectuado se: a) A pessoa em
causa tiver dado de forma inequívoca o seu
consentimento; ou b) O tratamento
for necessário para a execução de um
contrato
no qual a pessoa em causa é parte ou de
diligências prévias à
formação do
contrato decididas a pedido da pessoa em causa; ou c) O tratamento
for necessário para cumprir uma
obrigação
legal à qual o responsável pelo tratamento esteja
sujeito; ou d) O tratamento
for necessário para a protecção de
interesses
vitais da pessoa em causa; ou e) O tratamento
for necessário para a execução de uma
missão
de interesse público ou o exercício da autoridade
pública de que é investido o
responsável pelo tratamento ou um terceiro a quem os dados
sejam comunicados;
ou f) O tratamento
for necessário para prosseguir interesses
legítimos do responsável pelo tratamento ou do
terceiro ou terceiros a quem os
dados sejam comunicados, desde que não prevaleçam
os interesses ou os direitos
e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do
nº 1 do
artigo 1º SECÇÃO
III CATEGORIAS
ESPECÍFICAS DE TRATAMENTOS Artigo
8º Tratamento de
certas categorias específicas de dados 1. Os
Estados-membros proibirão o tratamento de dados
pessoais que revelem a origem racial ou étnica, as
opiniões políticas, as
convicções religiosas ou filosóficas,
a filiação sindical, bem como o
tratamento de dados relativos à saúde e
à vida sexual. 2. O nº
1 não se aplica quando: a) A pessoa em
causa tiver dado o seu consentimento explícito
para esse tratamento, salvo se a legislação do
Estado-membro estabelecer que a
proibição referida no nº 1
não pode ser retirada pelo consentimento da pessoa
em causa; ou b) O tratamento
for necessário para o cumprimento das
obrigações e dos direitos do
responsável pelo tratamento no domínio da
legislação do trabalho, desde que o mesmo seja
autorizado por legislação
nacional que estabeleça garantias adequadas; ou c) O tratamento
for necessário para proteger interesses
vitais da pessoa em causa ou de uma outra pessoa se a pessoa em causa
estiver
física ou legalmente incapaz de dar o seu consentimento; ou d) O tratamento
for efectuado, no âmbito das suas actividades
legítimas e com as garantias adequadas, por uma
fundação, uma associação ou
qualquer outro organismo sem fins lucrativos de carácter
político, filosófico,
religioso ou sindical, na condição de o
tratamento dizer unicamente respeito
aos membros desse organismo ou às pessoas que com ele
mantenham contactos
periódicos ligados às suas finalidades, e de os
dados não serem comunicados a
terceiros sem o consentimento das pessoas em causa; ou e) O tratamento
disser respeito a dados manifestamente
tornados públicos pela pessoa em causa ou for
necessário à declaração, ao
exercício ou à defesa de um direito num processo
judicial. 3. O nº
1 não se aplica quando o tratamento dos dados for
necessário para efeitos de medicina preventiva,
diagnóstico médico,
prestação
de cuidados ou tratamentos médicos ou gestão de
serviços da saúde e quando o
tratamento desses dados for efectuado por um profissional da
saúde obrigado ao
segredo profissional pelo direito nacional ou por regras estabelecidas
pelos
organismos nacionais competentes, ou por outra pessoa igualmente
sujeita a uma
obrigação de segredo equivalente. 4. Sob reserva
de serem prestadas as garantias adequadas, os
Estados-membros poderão estabelecer, por motivos de
interesse público
importante, outras derrogações para
além das previstas no nº 2, quer através
de
disposições legislativas nacionais, quer por
decisão da autoridade de controlo
referida no artigo 28º 5. O tratamento
de dados relativos a infracções,
condenações
penais ou medidas de segurança só
poderá ser efectuado sob o controlo das
autoridades públicas ou se o direito nacional estabelecer
garantias adequadas e
específicas, sob reserva das
derrogações que poderão ser concedidas
pelo
Estado-membro com base em disposições nacionais
que prevejam garantias
específicas e adequadas. Contudo, o registo completo das
condenações penais só
pode ser mantido sob o controlo das autoridades públicas. Os
Estados-membros podem estabelecer que o tratamento de
dados relativos a sanções administrativas ou
decisões cíveis fique igualmente
sujeito ao controlo das autoridades públicas. 6. As
derrogações ao nº 1 prevista nos
nºs 4 e 5 serão
notificadas à Comissão. 7. Cabe aos
Estados-membros determinar as condições em que um
número nacional de identificação ou
qualquer outro elemento de identificação de
aplicação geral poderá ser objecto de
tratamento. Artigo
9º Tratamento de
dados pessoais e liberdade de expressão Os
Estados-membros estabelecerão isenções
ou derrogações ao
disposto no presente capítulo e nos capítulos IV
e VI para o tratamento de
dados pessoais efectuado para fins exclusivamente
jornalísticos ou de expressão
artística ou literária, apenas na medida em que
sejam necessárias para
conciliar o direito à vida privada com as normas que regem a
liberdade de
expressão. SECÇÃO
IV INFORMAÇÃO
DA PESSOA EM CAUSA Artigo
10º Informação
em caso de recolha de dados junto da pessoa em
causa Os
Estados-membros estabelecerão que o responsável
pelo
tratamento ou o seu representante deve fornecer à pessoa em
causa junto da qual
recolha dados que lhe digam respeito, pelo menos as seguintes
informações,
salvo se a pessoa já delas tiver conhecimento: a) Identidade do
responsável pelo tratamento e,
eventualmente, do seu representante; b) Finalidades
do tratamento a que os dados se destinam; c) Outras
informações, tais como: - os
destinatários ou categorias de destinatários dos
dados, - o
carácter obrigatório ou facultativo da resposta,
bem como
as possíveis consequências se não
responder, - a
existência do direito de acesso aos dados que lhe digam
respeito e do direito de os rectificar, desde que sejam
necessárias, tendo em conta as circunstâncias
específicas da recolha dos dados, para garantir à
pessoa em causa um tratamento
leal dos mesmos. Artigo
11º Informação
em caso de dados não recolhidos junto da pessoa em
causa 1. Se os dados
não tiverem sido recolhidos junto da pessoa em
causa, os Estados-membros estabelecerão que o
responsável pelo tratamento, ou o
seu representante, deve fornecer à pessoa em causa, no
momento em que os dados
forem registados ou, se estiver prevista a
comunicação de dados a terceiros, o
mais tardar aquando da primeira comunicação
desses dados, pelo menos as
seguintes informações, salvo se a referida pessoa
já delas tiver conhecimento: a) Identidade do
responsável pelo tratamento e,
eventualmente, do seu representante; b) Finalidades
do tratamento; c) Outras
informações, tais como: - as categorias
de dados envolvidos, - os
destinatários ou categorias de destinatários dos
dados, - a
existência do direito de acesso aos dados que lhe digam
respeito e do direito de os rectificar, desde que sejam
necessárias, tendo em conta as circunstâncias
específicas da recolha dos dados, para garantir à
pessoa em causa um tratamento
leal dos mesmos. 2. O nº
1 não se aplica quando, nomeadamente no caso do
tratamento de dados com finalidades estatísticas,
históricas ou de investigação
científica, a informação da pessoa em
causa se revelar impossível ou implicar
esforços desproporcionados ou quando a lei dispuser
expressamente o registo dos
dados ou a sua divulgação. Nestes casos, os
Estados-membros estabelecerão as
garantias adequadas. SECÇÃO
V DIREITO DE
ACESSO DA PESSOA EM CAUSA AOS DADOS Artigo
12º Direito de acesso Os
Estados-membros garantirão às pessoas em causa o
direito
de obterem do responsável pelo tratamento: a) Livremente e
sem restrições, com periodicidade
razoável e
sem demora ou custos excessivos: - a
confirmação de terem ou não sido
tratados dados que lhes
digam respeito, e informações pelo menos sobre os
fins a que se destina esse
tratamento, as categorias de dados sobre que incide e os
destinatários ou
categorias de destinatários a quem são
comunicados os dados, - a
comunicação, sob forma inteligível,
dos dados sujeitos a
tratamento e de quaisquer informações
disponíveis sobre a origem dos dados, - o conhecimento
da lógica subjacente ao tratamento
automatizado dos dados que lhe digam respeito, pelo menos no que se
refere às
decisões automatizadas referidas no nº 1 do artigo
15º; b) Consoante o
caso, a rectificação, o apagamento ou o
bloqueio dos dados cujo tratamento não cumpra o disposto na
presente directiva,
nomeadamente devido ao carácter incompleto ou inexacto
desses dados; c) A
notificação aos terceiros a quem os dados tenham
sido comunicados
de qualquer rectificação, apagamento ou bloqueio
efectuado nos termos da alínea
b), salvo se isso for comprovadamente impossível ou implicar
um esforço
desproporcionado. SECÇÃO
VI DERROGAÇÕES
E RESTRIÇÕES Artigo
13º Derrogações
e restrições 1. Os
Estados-membros podem tomar medidas legislativas
destinadas a restringir o alcance das obrigações
e direitos referidos no nº 1
do artigo 6º, no artigo 10º, no nº 1 do
artigo 11º e nos artigos 12º e 21º,
sempre que tal restrição constitua uma medida
necessária à protecção: a) Da
segurança do Estado; b) Da defesa; c) Da
segurança pública; d) Da
prevenção, investigação,
detecção e repressão de
infracções penais e de
violações da deontologia das
profissões regulamentadas; e) De um
interesse económico ou financeiro importante de um
Estado-membro ou da União Europeia, incluindo nos
domínios monetário,
orçamental ou fiscal; f) De
missões de controlo, de inspecção ou
de regulamentação
associadas, ainda que ocasionalmente, ao exercício da
autoridade pública, nos
casos referidos nas alíneas c), d) e e); g) De pessoa em
causa ou dos direitos e liberdades de outrem. 2. Sob reserva
de garantias jurídicas adequadas, nomeadamente
a de que os dados não serão utilizados para tomar
medidas ou decisões em
relação a pessoas determinadas, os
Estados-membros poderão restringir através
de uma medida legislativa os direitos referidos no artigo 12º
nos casos em que
manifestamente não exista qualquer perigo de
violação do direito à vida privada
da pessoa em causa e os dados forem exclusivamente utilizados para fins
de
investigação científica ou conservados
sob forma de dados pessoais durante um
período que não exceda o necessário
à finalidade exclusiva de elaborar
estatísticas. SECÇÃO
VII DIREITO DE
OPOSIÇÃO DA PESSOA EM CAUSA Artigo
14º Direito de
oposição da pessoa em causa Os
Estados-membros reconhecerão à pessoa em causa o
direito
de: a) Pelo menos
nos casos referidos nas alíneas e) e f) do
artigo 7º, se opor em qualquer altura, por razões
preponderantes e legítimas
relacionadas com a sua situação particular, a que
os dados que lhe digam
respeito sejam objecto de tratamento, salvo
disposição em contrário do direito
nacional. Em caso de oposição justificada, o
tratamento efectuado pelo
responsável deixa de poder incidir sobre esses dados; b) Se opor, a
seu pedido e gratuitamente, ao tratamento dos
dados pessoais que lhe digam respeito previsto pelo
responsável pelo tratamento
para efeitos de mala directa; ou ser informada antes de os dados
pessoais serem
comunicados pela primeira vez a terceiros para fins de mala directa ou
utilizados por conta de terceiros, e de lhe ser expressamente facultado
o
direito de se opor, sem despesas, a tais
comunicações ou utilizações. Os
Estados-membros tomarão as medidas necessárias
para
garantir que as pessoas em causa tenham conhecimento do direito
referido no
primeiro parágrafo da alínea b). Artigo
15º Decisões
individuais automatizadas 1. Os
Estados-membros reconhecerão a qualquer pessoa o
direito de não ficar sujeita a uma decisão que
produza efeitos na sua esfera
jurídica ou que a afecte de modo significativo, tomada
exclusivamente com base
num tratamento automatizado de dados destinado a avaliar determinados
aspectos
da sua personalidade, como por exemplo a sua capacidade profissional, o
seu crédito,
confiança de que é merecedora, comportamento. 2. Os
Estados-membros estabelecerão, sob reserva das
restantes disposições da presente directiva, que
uma pessoa pode ficar sujeita
a uma decisão do tipo referido no nº 1 se a mesma: a) For tomada no
âmbito da celebração ou da
execução de um
contrato, na condição de o pedido de
celebração ou execução do
contrato
apresentado pela pessoa em causa ter sido satisfeito, ou de existirem
medidas
adequadas, tais como a possibilidade de apresentar o seu ponto de
vista, que
garantam a defesa dos seus interesses legítimos; ou b) For
autorizada por uma lei que estabeleça medidas que
garantam a defesa dos interesses legítimos da pessoa em
causa. SECÇÃO
VIII CONFIDENCIALIDADE
E SEGURANÇA DO TRATAMENTO Artigo
16º Confidencialidade
do tratamento Qualquer pessoa
que, agindo sob a autoridade do responsável
pelo tratamento ou do subcontratante, bem como o próprio
subcontratante, tenha
acesso a dados pessoais, não procederá ao seu
tratamento sem instruções do
responsável pelo tratamento, salvo por força de
obrigações legais. Artigo
17º Segurança
do tratamento 1. Os
Estados-membros estabelecerão que o responsável
pelo
tratamento deve pôr em prática medidas
técnicas e organizativas adequadas para
proteger os dados pessoais contra a destruição
acidental ou ilícita, a perda
acidental, a alteração, a difusão ou
acesso não autorizados, nomeadamente
quando o tratamento implicar a sua transmissão por rede, e
contra qualquer
outra forma de tratamento ilícito. Estas medidas
devem assegurar, atendendo aos conhecimentos
técnicos disponíveis e aos custos resultantes da
sua aplicação, um nível de
segurança adequado em relação aos
riscos que o tratamento apresenta e à
natureza dos dados a proteger. 2. Os
Estados-membros estabelecerão que o responsável
pelo
tratamento, em caso de tratamento por sua conta, deverá
escolher um
subcontratante que ofereça garantias suficientes em
relação às medidas de
segurança técnica e de
organização do tratamento a efectuar e
deverá zelar pelo
cumprimento dessas medidas. 3. A
realização de operações de
tratamento em subcontratação
deve ser regida por um contrato ou acto jurídico que vincule
o subcontratante
ao responsável pelo tratamento e que estipule,
designadamente, que: - o
subcontratante apenas actuará mediante
instruções do
responsável pelo tratamento, - as
obrigações referidas no nº 1, tal como
definidas pela
legislação do Estado-membro onde o subcontratante
está estabelecido, incumbem
igualmente a este último. 4. Para efeitos
de conservação de provas, os elementos do
contrato ou do acto jurídico relativos à
protecção dos dados, bem como as
exigências relativas às medidas referidas no
nº 1, deverão ficar consignados
por escrito ou sob forma equivalente. SECÇÃO
IX NOTIFICAÇÃO Artigo
18º Obrigação
de notificação à autoridade de controlo 1. Os
Estados-membros estabelecerão que o responsável
pelo
tratamento ou, eventualmente, o seu representante deve notificar a
autoridade
de controlo referida no artigo 28º antes da
realização de um tratamento ou
conjunto de tratamentos, total ou parcialmente automatizados,
destinados à
prossecução de uma ou mais finalidades
interligadas. 2.
Os Estados-membros apenas poderão estabelecer a
simplificação ou a isenção
da
notificação nos seguintes casos e
condições: - se, para as
categorias de tratamentos que, atendendo aos
dados a tratar, não são susceptíveis
de prejudicar os direitos e liberdades das
pessoas em causa, especificarem as finalidades do tratamento, os dados
ou
categorias de dados a tratar, a categoria ou categorias de pessoas em
causa, os
destinatários ou categorias de destinatários a
quem serão comunicados os dados
e o período de conservação dos dados;
e/ou - se o
responsável pelo tratamento nomear, nos termos do
direito nacional a que está sujeito, um encarregado da
protecção dos dados
pessoais, responsável nomeadamente por - garantir, de
modo independente, a aplicação, a
nível
interno, das disposições nacionais tomadas nos
termos da presente directiva, - manter um
registo dos tratamentos efectuados pelo
responsável do tratamento, contendo as
informações referidas no nº 2 do artigo
21º, assegurando
assim que os tratamentos não são
susceptíveis de
prejudicar os direitos e liberdades das pessoas em causa. 3. Os
Estados-membros poderão estabelecer que o nº 1
não se
aplica a tratamentos cuja única finalidade seja a
manutenção de registos que,
nos termos de disposições legislativas ou
regulamentares, se destinem à
informação do público e se encontrem
abertos à consulta pelo público em geral
ou por qualquer pessoa que possa provar um interesse
legítimo. 4. Os
Estados-membros podem isentar da obrigação de
notificação os tratamentos de dados referidos no
nº 2, alínea d), do artigo 8º,
ou prever uma simplificação dessa
notificação. 5. Os
Estados-membros podem determinar que todos ou alguns
dos tratamentos não automatizados de dados pessoais sejam
notificados,
eventualmente de forma simplificada. Artigo
19º Conteúdo
de notificação 1. Os
Estados-membros especificarão as
informações que devem
constar da notificação. Essas
informações devem incluir, pelo menos: a) O nome e o
endereço do responsável pelo tratamento e,
eventualmente, do seu representante; b) A ou as
finalidades do tratamento; c) Uma
descrição da ou das categorias de pessoas em
causa e
dos dados ou categorias de dados que lhes respeitem; d) Os
destinatários ou categorias de destinatários a
quem os
dados poderão ser comunicados; e) As
transferências de dados previstas para países
terceiros; f) Uma
descrição geral que permita avaliar de forma
preliminar a adequação das medidas tomadas para
garantir a segurança do
tratamento em aplicação do artigo 17º 2. Os
Estados-membros especificarão os procedimentos de
notificação à autoridade de controlo
das alterações que afectem as
informações
referidas no nº 1. Artigo
20º Controlo
prévio 1. Os
Estados-membros especificarão os tratamentos que possam
representar riscos específicos para os direitos e liberdades
das pessoas em
causa e zelarão por que sejam controlados antes da sua
aplicação. 2. Esse controlo
prévio será efectuado pela autoridade de
controlo referida no artigo 28º após
recepção de uma notificação
do responsável
pelo tratamento ou pelo encarregado da protecção
de dados que, em caso de
dúvida, deverá consultar a autoridade de controlo. 3. Os
Estados-membros poderão igualmente efectuar este
controlo durante os trabalhos de preparação de
uma medida do parlamento
nacional ou de uma medida baseada nessa medida legislativa, a qual
defina a
natureza do tratamento e estabeleça as garantias adequadas. Artigo
21º Publicidade dos
tratamentos 1. Os
Estados-membros tomarão as medidas necessárias
para
assegurar a publicidade dos tratamentos. 2. Os
Estados-membros estabelecerão que a autoridade de
controlo referida no artigo 28º manterá um registo
dos tratamentos notificados
por força do artigo 18º Esse registo
deverá conter, pelo menos, as
informações
enumeradas no nº 1, alíneas a) a e), do artigo
19º O registo
poderá ser consultado por qualquer pessoa. 3. Os
Estado-membros estabelecerão que, no que respeita aos
tratamentos não sujeitos a
notificação, o responsável pelo
tratamento, ou outra
entidade designada pelos Estados-membros, comunicará de
forma adequada, a
qualquer pessoa que o solicite, pelo menos as
informações referidas no nº 1,
alíneas a) a e), do artigo 19º Os
Estados-membros poderão estabelecer que a presente
disposição não se aplica a tratamentos
cuja única finalidade seja a
manutenção
de registos que, nos termos de disposições
legislativas ou regulamentares, se
destinem à informação do
público e se encontrem abertos à consulta pelo
público
em geral ou por qualquer pessoa que possa provar um interesse
legítimo. CAPÍTULO
III RECURSOS JUDICIAIS, RESPONSABILIDADE E
SANÇÕES Artigo
22º Recursos Sem
prejuízo de quaisquer garantias graciosas, nomeadamente
por parte da autoridade de controlo referida no artigo 28º,
previamente a um
recurso contencioso, os Estados-membros estabelecerão que
qualquer pessoa
poderá recorrer judicialmente em caso de
violação dos direitos garantidos pelas
disposições nacionais aplicáveis ao
tratamento em questão. Artigo
23º Responsabilidade 1. Os
Estados-membros estabelecerão que qualquer pessoa que
tiver sofrido um prejuízo devido ao tratamento
ilícito de dados ou a qualquer
outro acto incompatível com as
disposições nacionais de
execução da presente
directiva tem o direito de obter do responsável pelo
tratamento a reparação
pelo prejuízo sofrido. 2. O
responsável pelo tratamento poderá ser parcial ou
totalmente exonerado desta responsabilidade se provar que o facto que
causou o
dano lhe não é imputável. Artigo
24º Sanções Os
Estados-membros tomarão as medidas adequadas para
assegurar a plena aplicação das
disposições da presente directiva a
determinarão, nomeadamente, as sanções
a aplicar em caso de violação das
disposições adoptadas nos termos da presente
directiva. CAPÍTULO
IV TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES
TERCEIROS Artigo
25º Princípios 1. Os
Esstados-membros estabelecerão que a transferência
para
um país terceiro de dados pessoais objecto de tratamento, ou
que se destinem a
ser objecto de tratamento após a sua
transferência, só pode realizar-se se, sob
reserva da observância das disposições
nacionais adoptadas nos termos das
outras disposições da presente directiva, o
país terceiro em questão assegurar
um nível de protecção adequado. 2. A
adequação do nível de
protecção oferecido por um país
terceiro será apreciada em função de
todas as circunstâncias que rodeiem a
transferência ou o conjunto de transferências de
dados; em especial, serão
tidas em consideração a natureza dos dados, a
finalidade e a duração do
tratamento ou tratamentos projectados, os países de origem e
de destino final,
as regras de direito, gerais ou sectoriais, em vigor no país
terceiro em causa,
bem como as regras profissionais e as medidas de segurança
que são respeitadas
nesse país. 3. Os
Estados-membros e a Comissão informar-se-ão
mutuamente
dos casos em que consideram que um país terceiro
não assegura um nível de
protecção adequado na
acepção do nº 2. 4. Sempre que a
Comissão verificar, nos termos do
procedimento previsto no nº 2 do artigo 31º, que um
país terceiro não assegura
um nível de protecção adequado na
acepção do nº 2 do presente artigo, os
Estados-membros tomarão as medidas necessárias
para impedir qualquer
transferência de dados de natureza idêntica para o
país terceiro em causa. 5.
Em momento oportuno, a Comissão encetará
negociações com
vista a obviar à situação resultante
da
constatação feita em
aplicação do nº 4. 6. A
Comissão pode constatar, nos termos do procedimento
previsto no nº 2 do artigo 31º, que um
país terceiro assegura um nível de
protecção adequado na
acepção do nº 2 do presente artigo em
virtude da sua
legislação interna ou dos seus compromissos
internacionais, subscritos
nomeadamente na sequência das
negociações referidas no nº 5, com vista
à
protecção do direito à vida privada e
das liberdades e direitos fundamentais
das pessoas. Os
Estados-membros tomarão as medidas necessárias
para dar
cumprimento à decisão da Comissão. Artigo
26º Derrogações 1.
Em derrogação ao disposto no artigo 25º
e sob
reserva de
disposições em contrário do seu
direito nacional
em casos específicos, os
Estados-membros estabelecerão que a transferência
de dados
pessoais para um
país terceiro que não assegure um
nível de
protecção adequado na
acepção do nº
2 do artigo 25º poderá ter lugar desde que: a) A pessoa em
causa tenha dado de forma inequívoca o seu
consentimento à transferência; ou b) A
transferência seja necessária para a
execução de um
contrato entre a pessoa em causa e o responsável pelo
tratamento ou de diligências
prévias à formação do
contrato decididas a pedido da pessoa em causa; ou c) A
transferência seja necessária à
execução ou celebração
de um contrato celebrado ou a celebrar, no interesse da pessoa em
causa, entre
o responsável pelo tratamento e um terceiro; ou d) A
transferência seja necessária ou legalmente
exigida para
a protecção de um interesse público
importante, ou para a declaração, o
exercício ou a defesa de um direito num processo judicial; ou e) A
transferência seja necessária para proteger os
interesses vitais da pessoa em causa; ou f) A
transferência seja realizada a partir de um registo
público que, nos termos de disposições
legislativas ou regulamentares, se
destine à informação do
público e se encontre aberto à consulta pelo
público em
geral ou por qualquer pessoa que possa provar um interesse
legítimo, desde que
as condições estabelecidas na lei para a consulta
sejam cumpridas no caso
concreto. 2. Sem
prejuízo do nº 1, um Estado-membro pode autorizar
uma
transferência ou um conjunto de transferências de
dados pessoais para um país
terceiro que não assegura um nível de
protecção adequado na
acepção do nº 2 do
artigo 25º, desde que o responsável pelo tratamento
apresente garantias
suficientes de protecção da vida privada e dos
direitos e liberdades
fundamentais das pessoas, assim como do exercício dos
respectivos direitos;
essas garantias podem, designadamente, resultar de cláusulas
contratuais
adequadas. 3. O
Estado-membro informará a Comissão e os restantes
Estados-membros das autorizações que conceder nos
termos do nº 2. Em caso de
oposição, por um Estado-membro ou pela
Comissão
devidamente justificada no que se refere à
protecção da privacidade e dos
direitos e liberdades fundamentais das pessoas, a Comissão
adoptará as medidas
adequadas, nos termos do procedimento previsto no nº 2 do
artigo 31º Os
Estados-membros tomarão as medidas necessárias
para dar
cumprimento à decisão da Comissão. 4. Sempre que a
Comissão decidir, nos termos do procedimento
previsto no nº 2 do artigo 31º, que certas
cláusulas contratuais-tipo oferecem
as garantias suficientes referidas no nº 2, os Estados-membros
tomarão as
medidas necessárias para dar cumprimento à
decisão da Comissão. CAPÍTULO
V CÓDIGOS DE CONDUTA Artigo
27º 1. Os
Estados-membros e a Comissão promoverão a
elaboração de
códigos de conduta destinados a contribuir, em
função das características dos
diferentes sectores, para a boa execução das
disposições nacionais tomadas
pelos Estados-membros nos termos da presente directiva. 2. Os
Estados-membros estabelecerão que as
associações
profissionais e as outras organizações
representativas de outras categorias de
responsáveis pelo tratamento que tenham elaborado projectos
de códigos
nacionais ou que tencionem alterar ou prorrogar códigos
nacionais existentes,
podem submetê-los à
apreciação das autoridades nacionais. Os
Estados-membros estabelecerão que essas autoridades se
certificarão, nomeadamente, da conformidade dos projectos
que lhe são
apresentados com as disposições nacionais tomadas
nos termos da presente
directiva. Se o considerarem oportuno, as autoridades
solicitarão a opinião das
pessoas em causa ou dos seus representantes. 3. Os projectos
de códigos comunitários, assim como as
alterações ou prorrogações
de códigos comunitários existentes,
poderão ser
submetidos ao grupo referido no artigo 29º O grupo
pronunicar-se-á,
nomeadamente, quanto à conformidade dos projectos submetidos
à sua apreciação
com as disposições nacionais adoptadas em
aplicação da presente directiva. Se o
considerar oportuno, solicitará a opinião das
pessoas em causa ou dos seus
representantes. A Comissão pode garantir uma publicidade
adequada dos códigos
aprovados pelo grupo. CAPÍTULO
VI AUTORIDADE DE CONTROLO E GRUPO DE PROTECÇÃO
DAS
PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS Artigo
28º |
