PROTEÇÃO DOS DADOS PESSOAIS
A proteção dos dados pessoais e o respeito pela vida privada são direitosfundamentais importantes. O Parlamento Europeu sempre insistiu na necessidadede alcançar um equilíbrio entre a melhoria da segurança e a preservação dos direitoshumanos, incluindo a privacidade e proteção de dados. Em maio de 2018 entraramem vigor novas regras da UE em matéria de proteção de dados que reforçam osdireitos dos cidadãos e simplificam as regras para as empresas na era digital.
BASE JURÍDICA
Artigo 16.º do Tratado sobre o Funcionamento da União Europeia (TFUE).
Artigos 7.º e 8.º da Carta dos Direitos Fundamentais da União Europeia.
OBJETIVOS
A União deve garantir que o direito fundamental à proteção de dados, consagrado naCarta dos Direitos Fundamentais da União Europeia, é aplicado de forma coerente.É necessário reforçar a posição da UE em matéria de proteção dos dados pessoaisno contexto de todas as políticas da UE, incluindo nos domínios da aplicação da lei eda prevenção da criminalidade, bem como nas relações internacionais, especialmentenuma sociedade mundializada que se caracteriza por mudanças tecnológicas rápidas.
REALIZAÇÕES
A.Quadro institucional
1.O Tratado de Lisboa
Antes da entrada em vigor do Tratado de Lisboa, a legislação relativa à proteção dedados no espaço de liberdade, segurança e justiça (ELSJ) estava dividida entre oprimeiro pilar (proteção de dados para fins privados e comerciais, com a utilização dométodo comunitário) e o terceiro pilar (proteção de dados para o domínio da aplicaçãoda lei, ao nível intergovernamental). Consequentemente, o processo de decisão estevesujeito a normas diferentes. A estrutura em pilares desapareceu com o Tratado deLisboa, que fornece uma base mais sólida para o desenvolvimento de um sistema deproteção de dados mais eficaz e mais claro e simultaneamente prevê novos poderespara o Parlamento, que se tornou colegislador. O artigo 16.º do TFUE prevê que oParlamento e o Conselho estabelecem as normas relativas à proteção das pessoassingulares no que diz respeito ao tratamento de dados pessoais pelas instituições,
órgãos e agências da União, bem como pelos Estados-Membros no exercício deatividades relativas à aplicação do direito da União.
2.Orientações estratégicas no espaço de liberdade, segurança e justiça
Na sequência dos programas de Tampere (de outubro de 1999) e Haia (de novembrode 2004), o Conselho Europeu aprovou, em dezembro de 2009, o programa plurianualno ELSJ para o período 2010-2014 — conhecido por Programa de Estocolmo. Nassuas conclusões de junho de 2014, o Conselho Europeu definiu as orientaçõesestratégicas para o planeamento legislativo e operacional para os próximos anos noquadro do ELSJ, em conformidade com o artigo 68.º do TFUE. Um dos principais objetivos consiste em proteger melhor os dados pessoais na UE.
B.Principais instrumentos legislativos em matéria de proteção de dados
1.Carta dos Direitos Fundamentais da UE
Os artigos 7.º e 8.º da Carta dos Direitos Fundamentais da União Europeia reconhecemo respeito pela vida privada e a proteção dos dados pessoais como direitosfundamentais estreitamente relacionados, mas distintos.
2.Conselho da Europa
a.A Convenção 108 de 1981
A Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singularesno que diz respeito ao Tratamento Automatizado de Dados Pessoais, de 28 de janeirode 1981, foi o primeiro instrumento internacional juridicamente vinculativo adotado nodomínio da proteção de dados. Visa «garantir […] a todas as pessoas singulares […]o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seudireito à vida privada, face ao tratamento automatizado dos dados de caráter pessoal».O Protocolo que altera a Convenção visa alargar o seu âmbito de aplicação, aumentaro nível de proteção de dados e melhorar a sua eficácia.
b.Convenção Europeia dos Direitos do Homem (CEDH)
O artigo 8.º da Convenção para a Proteção dos Direitos do Homem e das LiberdadesFundamentais, de 4 de novembro de 1950, consagra o direito ao respeito pela vidaprivada e familiar, pela sua casa e pela sua correspondência.
3.Atuais instrumentos legislativos para proteção de dados na União Europeia
a.Regulamento Geral sobre a Proteção de Dados (RGPD)
O Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) entrou em vigorem maio de 2018. As regras destinam-se a proteger todos os cidadãos da UE contraviolações da privacidade e dos dados num mundo cada vez mais baseado em dados,criando simultaneamente um quadro mais claro e mais coerente para as empresas. Osdireitos de que beneficiam os cidadãos incluem: um consentimento claro e positivo do tratamento dos seus dados e o direito de receber informações claras e compreensíveis sobre o mesmo; o direito a ser esquecido — um cidadão pode solicitar que os seusdados sejam suprimidos; o direito a transferir os dados para outro prestador de serviços
Fichas técnicas sobre a União Europeia – 20213
www.europarl.europa.eu/factsheets/pt
(por exemplo, a mudança de uma rede social para outra); e o direito de saber seos seus dados foram pirateados. As novas regras aplicam-se a todas as empresas que operam na UE, mesmo que tenham sede fora dela. Além disso, é possível impor medidas corretivas — tais como advertências e ordens — ou coimas às empresas queviolem as regras.
b.Diretiva sobre a proteção de dados na aplicação da lei
A Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção,investigação, deteção ou repressão de crimes ou execução de sanções penais eà livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI doConselho, entrou em vigor em maio de 2018. A diretiva protege o direito fundamentaldos cidadãos à proteção de dados quando os dados pessoais forem utilizados pelasautoridades responsáveis pela aplicação da lei. Ela garante que os dados pessoais devítimas, testemunhas e suspeitos de crimes são devidamente protegidos e facilita acooperação transfronteiriça na luta contra a criminalidade e o terrorismo.
c.Diretiva relativa à privacidade e às comunicações eletrónicas
A Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (diretiva relativa à privacidade e às comunicaçõeseletrónicas) foi alterada pela Diretiva 2009/136/CE de 25 de novembro de 2009.Levanta a delicada questão da conservação de dados, que foi repetidamente submetida ao TJUE e conduziu a uma série de acórdãos — o mais recente em 2020— que determinaram que o direito da UE obsta à conservação geral e indiscriminadados dados de tráfego e de localização.
A nova proposta de regulamento do Parlamento Europeu e do Conselho relativoao respeito pela vida privada e à proteção dos dados pessoais nas comunicações eletrónicas e que revoga a Diretiva 2002/58/CE (Regulamento relativo à privacidade e às comunicações eletrónicas) está atualmente em estudo.
d.Regulamento relativo ao tratamento de dados pessoais por organismos e órgãos da União
O Regulamento (UE) n.º 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE, entrou em vigor em 11 de dezembro de 2018.
e. Artigos sobre proteção de dados em atos legislativos setoriais
Para além dos principais atos legislativos em matéria de proteção de dados acima referidos, as disposições específicas em matéria de proteção de dados também estão estabelecidas em atos legislativos setoriais como:
—
O artigo 13.º (sobre a proteção dos dados pessoais) da Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave;
—
O capítulo VI (sobre salvaguardas em matéria de proteção de dados) do Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial(Europol);
—
O capítulo VI (sobre proteção de dados) do Regulamento (UE) 2017/1939 do Conselho, de 12 de outubro de 2017, que dá execução a uma cooperação reforçada para a instituição da Procuradoria Europeia.
4.Principais disposições internacionais da UE em matéria de transferência dedados
a.Transferências de dados comerciais: decisões de adequação
Nos termos do artigo 45.º do RGPD, a Comissão tem o poder de determinar se um país de fora da UE oferece um nível adequado de proteção de dados, seja com base na sua legislação interna ou nos compromissos internacionais que assumiu.
O Parlamento aprovou várias resoluções que suscitam preocupações quanto aos fluxos de dados transatlânticos. Em especial, considera que o Escudo de Proteçãod a Privacidade UE-EUA não proporciona o nível adequado de proteção exigido pelo direito da UE, ao passo que o TJUE tem repetidamente invalidado decisões de adequação relativas aos EUA (ver os seus acórdãos de 2015 sobre o sistema «porto seguro» em Schrems e de 2020 sobre o Escudo de Proteção da Privacidade UE-EUA no Schrems II).
b.Acordo-quadro UE-EUA
Ao abrigo do processo de aprovação, o Parlamento participou na aprovação do acordo entre os EUA e a UE sobre a proteção de dados pessoais relacionados com a prevenção, investigação, deteção e repressão de infrações penais, também conhecido como «acordo global». O objetivo deste consiste em assegurar um elevado nível de proteção das informações pessoais transferidas no quadro da cooperação transatlântica no domínio da aplicação da lei, nomeadamente o combate ao terrorismo e à criminalidade organizada.
c.Acordos entre a UE e os EUA, a Austrália e o Canadá sobre os registos de identificação dos passageiros (PNR)
A UE assinou acordos bilaterais sobre os registos de identificação dos passageiros(PNR) com os EUA, a Austrália e o Canadá. Os dados PNR incluem as informações fornecidas pelos passageiros no momento da reserva ou do controlo dos voos e os dados recolhidos pelas transportadoras aéreas para os seus próprios fins comerciais.Os dados PNR podem ser utilizados pelas autoridades responsáveis pela aplicação da lei para combater a criminalidade grave e o terrorismo.
d.Programa UE-EUA de Deteção do Financiamento do Terrorismo
A UE assinou um acordo bilateral com os EUA sobre o tratamento e transferência de dados relativos a mensagens de pagamentos da UE para os EUA para efeitos do Programa de Deteção do Financiamento do Terrorismo.
5.Abordar os aspetos da proteção de dados nas resoluções setoriais
Várias resoluções do Parlamento sobre diferentes domínios de intervenção abordam também a proteção de dados pessoais, a fim de assegurar a coerência com a legislação geral da UE em matéria de proteção de dados e a proteção da privacidade nesses setores específicos.
6.Autoridades de controlo da proteção de dados da UE
A Autoridade Europeia para a Proteção de Dados (AEPD) é uma entidade supervisora independente que assegura que as instituições e órgãos da União Europeia respeitam as suas obrigações no que respeita à proteção de dados. Os deveres principais da AEPD são a supervisão, a consulta e a cooperação.
O Comité Europeu para a Proteção de Dados (CEPD), anteriormente Grupo de Trabalho do artigo 29.º, tem o estatuto de um organismo da UE dotado de personalidade jurídica e possui um secretariado independente. O CEPD reúne as autoridades de controlo nacionais da UE, a AEPD e a Comissão. O CEPD dispõe de vastos poderes para decidir os litígios entre as autoridades de controlo nacionais e prestar aconselhamento e orientação sobre os principais conceitos do RGPD e a Diretiva sobre a proteção de dados na aplicação da lei.
O PAPEL DO PARLAMENTO EUROPEU
O Parlamento desempenhou um papel fundamental na elaboração da legislação da UEno domínio da proteção de dados pessoais, ao fazer da proteção da privacidade uma prioridade política. Além disso, ao abrigo do processo legislativo ordinário, tem vindoa trabalhar na reforma da proteção de dados em pé de igualdade com o Conselho. Em 2017, também concluiu os seus trabalhos sobre a última peça significativa do puzzle —o novo regulamento relativo à privacidade e às comunicações eletrónicas — e aguardacom expetativa que o Conselho conclua finalmente o seu trabalho para dar início às negociações interinstitucionais.
O Parlamento tem vindo a supervisionar de perto as disposições internacionais em matéria de transferência de dados. Quer através do processo de aprovação ou de relatórios de iniciativa, ele tomou medidas para fazer ouvir a sua voz. Além disso, antesda votação do Acordo UE-Canadá sobre os dados PNR, decidiu solicitar um parecer ao TJUE — nos termos do artigo 218.º, n.º 1, do TFUE — numa resolução de 25 de novembro de 2014. No referido parecer, emitido em 26 de julho de 2017, o Tribunal considerou que o acordo PNR não podia ser concluído na sua forma existente, uma vez que várias das suas disposições eram incompatíveis com o direito fundamental à proteção dos dados pessoais.
O Parlamento está agora a concentrar-se no acompanhamento da aplicação da legislação da UE em matéria de proteção de dados, nos aspetos de proteção de dados
da inteligência artificial e no ato legislativo sobre os serviços digitais, bem como noutras futuras propostas da Comissão que possam ter impacto na proteção de dados.