ARTIGO 29º - GRUPO DE TRABALHO SOBRE PROTECÇÃO DE
DADOS
5066/00/PT/final
WP 35
TERCEIRO RELATÓRIO ANUAL
DA SITUAÇÃO QUANTO À PROTECÇÃO DOS INDIVÍDUOS NO QUE
RESPEITA AO TRATAMENTO DE DADOS PESSOAIS E À PRIVACIDADE, NA
COMUNIDADE E EM PAÍSES TERCEIROS
RELATIVO AO ANO DE 1998
Adoptado em 22 de Dezembro de 1999
O Grupo de Trabalho foi criado pelo artigo 29º da Directiva 95/46/CE. É o órgão consultivo independente da UE em matéria de
protecção dos dados e da privacidade. As suas funções estão definidas no artigo 30º da Directiva 95/46/CE e no artigo 14º da
Directiva 97/66/CE. O secretariado é assegurado por:
Comissão Europeia, DG Mercado Interno, Unidade Livre Circulação da Informação e Protecção dos Dados
Rue de la Loi 200, B-1049 Bruxelles/Wetstraat 200, B-1049 Brussel - Bélgica - C100-2/133
Endereço Internet: www.europa.eu.int/comm/dg15/en/media/dataprot/index/htm
ÍNDICE
1.
INTRODUÇÃO ...........................................................................................................4
2.
EVOLUÇÃO NA UNIÃO EUROPEIA......................................................................6
2.1.
Directiva 95/46/CE............................................................................................6
2.1.1. Transposição para o direito nacional dos Estados-Membros................6
2.1.2. Protecção dos Dados nas Instituições Comunitárias...........................10
2.2.
Directiva 97/66/CE..........................................................................................11
2.3.
Códigos de Conduta Comunitários ..................................................................13
2.4.
Evolução no domínio da protecção dos dados. Actividades das
entidades responsáveis pela protecção dos dados............................................14
2.5.
Desenvolvimento da política da União Europeia no domínio da
protecção dos dados .........................................................................................59
2.5.1. A protecção dos dados e a sociedade da informação ..........................59
2.5.2. A protecção dos dados e os outros instrumentos comunitários...........62
2.5.3. A protecção dos dados no âmbito dos instrumentos
não-comunitários.................................................................................63
3.
CONSELHO DA EUROPA ......................................................................................65
4.
PRINCIPAIS DESENVOLVIMENTOS NOS PAÍSES TERCEIROS.....................65
5.
4.1.
Espaço Económico Europeu............................................................................66
4.2.
Países candidatos à adesão...............................................................................67
4.3.
Estados Unidos da América .............................................................................68
4.4.
Outros países terceiros .....................................................................................68
OUTROS DESENVOLVIMENTOS A NÍVEL INTERNACIONAL......................69
5.1.
Organização de Cooperação e de Desenvolvimento Económicos
(OCDE) ............................................................................................................69
6.
5.2.
Organização Mundial do Comércio (OMC)....................................................70
5.3.
Organização Mundial da Propriedade Intelectual (OMPI)..............................70
ANEXOS ...................................................................................................................71
O GRUPO DE TRABALHO SOBRE A PROTECÇÃO DAS PESSOAS SINGULARES
NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS
Instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de
Outubro de 1995 1 ;
Tendo em conta o artigo 29º e o n.º 6 do artigo 30º da referida directiva;
Tendo em conta o seu regulamento interno e, em particular, os artigos 12º, 13º e 15º,
Adoptou o presente terceiro relatório anual:
1.
INTRODUÇÃO
Este é o terceiro relatório anual do Grupo de protecção das pessoas no que diz
respeito ao tratamento de dados pessoais 2 , que cobre o ano de 1998. O relatório
destina-se à Comissão, ao Parlamento Europeu, ao Conselho e ao público em geral.
O Grupo de Trabalho é o órgão comunitário consultivo e independente sobre a
protecção dos dados e da privacidade 3 . O seu relatório pretende apresentar um
panorama da situação quanto à protecção das pessoas singulares no que diz respeito
ao tratamento de dados pessoais na Comunidade e nos países terceiros 4 .
O ano de 1998 é especialmente importante para a protecção dos dados, na União
Europeia, porque os prazos para a transposição das duas directivas sobre protecção
dos dados terminaram em 24 de Outubro de 1998.
A chamada directiva geral de protecção dos dados, ou seja, a Directiva 95/46/CE do
Parlamento Europeu e do Conselho relativa à protecção das pessoas singulares no
que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (a
seguir designada "a directiva") foi adoptada em 24 de Outubro de 1995 e estipulava
1 Jornal Oficial L 281 de 23.11.1995, p. 31, disponível em:
http://europa.eu.int/comm/dg15/en/media/dataprot/index.htm
2
Criado pelo artigo 29º da Directiva 95/46/CE. As suas funções são descritas no artigo 30º e no n.º 3 do
artigo 14º da Directiva 97/66/CE.
3
Ver o n.º 1 do artigo 29º, segunda frase, da Directiva 95/46/CE.
4
Ver o n.º 6 do artigo 30º da Directiva 95/46/CE.
um prazo de três anos para a sua aplicação 5 . A Directiva específica 97/66/CE relativa
ao tratamento de dados pessoais e à protecção da privacidade no sector das
telecomunicações, adoptada pelo Parlamento Europeu e pelo Conselho em 15 de
Dezembro de 1997, fez coincidir a data da sua transposição com a da directiva geral.
Infelizmente, apenas alguns Estados-Membros aplicaram as directivas a tempo (ver
ponto 2.1.1 a seguir).
O primeiro relatório explicou a composição e as tarefas do Grupo de Trabalho e
cobriu os principais acontecimentos observados em 1996, no domínio da protecção
dos dados 6 . O segundo relatório cobriu o ano de 1997, tendo seguido, na essência, a
estrutura do primeiro relatório, para facilitar a análise dos progressos ocorridos. O
presente terceiro relatório anual continua essa tradição: primeiro, apresenta um
panorama dos principais progressos na União Europeia, tanto nos Estados-Membros
como a nível comunitário, para, em seguida, abordar a actividade do Conselho da
Europa. Além disso, dá informações acerca dos principais desenvolvimentos nos
países terceiros e de outros progressos a nível internacional.
Os pareceres, recomendações e outras actividades do Grupo de Trabalho são
apresentados no contexto dos vários capítulos. Em 1998, o Grupo realizou as suas
funções com especial enfoque nos seguintes temas:
- transferência de dados pessoais para países terceiros 7
- códigos de conduta comunitários 8
- tecnologias que assegurem a privacidade 9 .
O Grupo de Trabalho é presidido, desde o início, por Peter J. HUSTINX, presidente
da autoridade para a protecção dos dados nos Países Baixos (Registratiekamer). P.
HUSTINX foi reeleito na 9ª reunião de 10 e 11 de Março de 1998. Na mesma
reunião, o Prof. Stefano RODOTÀ, presidente da autoridade para a protecção dos
dados em Itália (Garante per la protezione dei dati personali), foi eleito
vice-presidente do Grupo de Trabalho, na sequência da reforma de Louise CADOUX
(Commission Nationale de l’Informatique et des Libertés, CNIL).
5
Esta data é diferente da data de entrada em vigor: dado que a directiva não especifica a data da sua
entrada em vigor, entrou em vigor no vigésimo dia seguinte ao da publicação (ver n.º 1 do artigo 191º
do Tratado).
6
WP 3, adoptado em 25 de Junho de 1997, disponível em: ver nota 1.
7
Ver n.º 1, alínea b), do artigo 30º da Directiva 95/46/CE.
8
Ver n.º 3 do artigo 27º e n.º 1, alínea d), do artigo 30º da Directiva 95/46/CE.
9
Ver n.º 1, alínea a), e n.º 3 do artigo 30º da Directiva 95/46/CE.
O secretariado do Grupo de Trabalho é assegurado pela Comissão Europeia,
Direcção-Geral do Mercado Interno, Unidade Livre Circulação da Info rmação e
Protecção de Dados. Os documentos adoptados pelo Grupo estão disponíveis em
todas as línguas oficiais, na página desta unidade na Web, no site "Europa" da
Comissão Europeia:
http://www.europa.eu.int/comm/dg15/en/media/dataprot/index.htm
2.
EVOLUÇÃO NA UNIÃO EUROPEIA
2.1.
Directiva 95/46/CE
A directiva pretende eliminar os obstáculos à livre circulação de dados pessoais,
harmonizando, num nível superior, as regras nacionais de protecção dos indivíduos
no que respeita ao tratamento dos seus dados.
O processo de aplicação da directiva teve início em 1996, em todos os
Estados-Membros e a nível europeu, e prosseguiu em 1997 e 1998. A parte 2.1.1
descreve os procedimentos de transposição da directiva a nível nacional e a parte
2.1.2 destaca as medidas adoptadas pelas instituições europeias para cumprirem as
regras da directiva.
2.1.1.
Transposição para o direito nacional dos Estados-Membros 10
Esta parte resume os progressos realizados na transposição da directiva para o direito
nacional, em 1998.
Na Bélgica, o projecto de lei de transposição da directiva, revisto na sequência do
parecer do Conselho de Estado, foi apresentado ao Parlamento em Abril de 1998 e
veio a ser finalmente adoptado em 11 de Dezembro de 1998 11 . Todavia, a lei ainda
não entrou em vigor porque é necessário elaborar e fazer aplicar o direito derivado
para a sua aplicação.
Na Dinamarca, o ministério da Justiça apresentou, em 30 de Abril de 1998, o
projecto de lei N.º L 82 relativo ao tratamento dos dados pessoais. O objectivo deste
projecto de lei é a aplicação da Directiva 95/46/CE. Em 8 de Outubro de 1998, o
projecto foi novamente apresentado, com poucas alterações, como projecto de lei n.º
L 44, mas não foi adoptado até ao fim de 1998. Efectuou-se uma transposição parcial
através de uma lei que alterou a Lei do Registo Civil e que entrou em vigor em 1 de
Outubro de 1998. Por isso, a directiva ainda não foi aplicada na Dinamarca.
10
As leis nacionais de aplicação da Directiva 95/46/CE estão a ser analisadas pela Comissão Europeia, a
fim de averiguar a sua conformidade com a directiva.
11
Publicado no jornal oficial belga "Moniteur belge" de 3 de Fevereiro de 1999.
Em Espanha, o projecto de lei preliminar que altera a legislação actual sobre
protecção dos dados (lei orgânica 5/1992) foi apresentado ao Conselho de Estado
para emissão de um parecer, devendo ser debatido pelo parlamento durante o Verão
de 1998; todavia, a maior parte das disposições já foi transposta pela "Ley Organica"
5/1992 de 29 de Outubro de 1992 sobre o tratamento automático de dados pessoais.
Na Alemanha, o legislador federal é o órgão responsável, em primeiro lugar, pela
aplicação da directiva neste país. Por força das suas competências, ao abrigo do
artigo 74º da Constituição, esta responsabilidade ultrapassa o sector do governo
federal, abrangendo também o sector não-governamental, onde se espera que ocorra
a maior parte das mudanças. Contudo, as leis de protecção dos dados dos Länder em especial as relativas ao sector público - também devem ser adaptadas em
conformidade com a directiva. Até agora, foram alteradas as leis de protecção dos
dados de Brandeburgo e Hessen. Contudo, além das leis gerais de protecção dos
dados, é necessário verificar um grande número de disposições federais e estaduais
sobre aspectos específicos da protecção dos dados. O Comissário Federal para a
Protecção dos Dados, os comissários estaduais e as autoridades de controlo do sector
privado consideraram a futura alteração da legislação de protecção dos dados na
Alemanha, no contexto dos respectivos domínios de competência.
O ministério federal do Interior, que é responsável pelo processo legislativo,
apresentou um primeiro projecto de lei em 1 de Dezembro de 1997, relativamente ao
qual o Comissário Federal para a Protecção dos Dados adoptou uma posição em 30 de
Janeiro de 1998. Um novo projecto, datado de 8 de Abril de 1998, foi arquivado
devido às eleições de 27 de Setembro de 1998 para o Bundestag. A Constituição
estipula que os projectos não se mantêm válidos durante mais que uma legislatura; por
isso, é necessário apresentar ao parlamento uma nova proposta, na nova legislatura.
O novo governo federal adoptou um processo em duas fases, para a aplicação da
directiva de protecção dos dados. Na primeira fase, deverão ser feitas todas as
adaptações essenciais - se possível, até 2000. Nesse sentido, o novo projecto de lei
apresentado pelo ministério federal do Interior, em 6 de Julho de 1999, assenta,
basicamente, em ideias de 1997, mas também teve em conta aspectos da reforma,
como a anulação e a economia de dados (particularmente pela despersonalização ou
pelo recurso a pseudónimos), as regras de videovigilância, os cartões inteligentes e as
auditorias à protecção dos dados. Em 30 de Agosto de 1997, o Comissário Federal
adoptou uma posição sobre estas questões, sublinhando que a necessidade de reforma
ainda era maior e que, de acordo com as notas explicativas do decreto-lei,
considerava as revisões actuais como uma mera primeira fase de um exame mais
geral. Também saudou a intenção, descrita nas notas explicativas, de que a segunda
fase de reformas implicasse a actualização da lei, simplificando-a e tornando-a mais
compreensível, bem como considerando o uso a dar à liberdade permitida pela
directiva para fins de investigação. As notas explicativas também reflectiram o seu
ponto de vista, segundo o qual, durante a legislatura em curso, todo o corpo da
legislação de protecção de dados em sectores específicos deveria ser examinado, a
fim de determinar se seriam necessários outros ajustamentos por uma razão de
conformidade com a directiva, mesmo não existindo qualquer obrigação na lei
europeia, com base no facto de esta ser a única forma de garantir que, a longo prazo,
não haveria dois tipos de legislação neste domínio, prevendo diferentes níveis de
protecção.
A lei grega de protecção dos dados (lei 2472/97 sobre a protecção dos indivíduos no
que respeita ao tratamento de dados pessoais) foi ratificada pelo parlamento grego
em 26.3.1997 e publicada em 10.4.1997. Segundo as disposições desta lei, o
presidente da autoridade (que tem de ser um juiz do Supremo Tribunal) foi nomeado
pelo governo, tendo seis membros sido designados pelo parlamento. Estas
nomeações tiveram lugar em 1997, encontrando-se a autoridade já em exercício de
funções.
Em França, foi enviado ao primeiro-ministro, em Março de 1998, um relatório que
será seguido por um novo relatório sobre as redes telemáticas. Durante o ano de
1998, não foi apresentado qualquer projecto de lei. A Commission Nationale de
l'Informatique et des Libertés (CNIL), entidade francesa responsável pela protecção
dos dados, terá de ser consultada sobre um projecto de lei.
Na Irlanda, o ministro da Justiça é responsável pela legislação de protecção dos
dados. Ainda não foi adoptada a legislação necessária para aplicar a directiva. Estava
a ser redigido um projecto de lei para alterar a Lei de Protecção dos Dados, de 1988,
a fim de alargar o seu âmbito de aplicação (para além da aplicação apenas a dados
pessoais informatizados), mas esse projecto ainda não foi publicado nem debatido no
parlamento irlandês.
Em Itália, a lei de protecção dos dados pessoais foi adoptada em 31 de Dezembro de
199612 , tendo entrado em vigor em 8 de Maio de 1997 13 . O parlamento autorizou o
governo 14 a elaborar regulamentos para alterar e complementar a lei destinada à
transposição da directiva.
No Luxemburgo, a transposição da directiva para o direito nacional compete ao
ministério da Justiça. Em 1997, foi elaborado um projecto de lei que, contudo, viria a
ser retirado mais tarde.
Nos Países Baixos, o ministro da Justiça é responsável pela legislação de protecção
dos dados. Para aplicar a directiva, foi apresentada ao parlamento neerlandês, em 14
de Fevereiro, uma proposta de uma nova lei de protecção dos dados (Wet
bescherming persoonsgegevens). Esta lei destina-se a substituir a actual lei de
protecção dos dados, em vigor desde 1 de Julho de 1989 (Wet persoonsregistraties).
12
Legge 675/96, Gazzetta Ufficiale della Repubblica Italiana n° 5, suplemento 3, 8.1.1997.
13
Excepto no que diz respeito a certos aspectos relacionados com o acordo de Schengen que entrou em
vigor em 8 de Janeiro de 1997.
14
Legge 676/96, Gazzetta Ufficiale della Repubblica Italiana n° 5, suplemento 3, 8.1.1997.
Em 3 de Junho, as comissões parlamentares da Justiça e dos Assuntos Internos
apresentaram um relatório sobre a proposta. Em 2 de Dezembro, o ministro da
Justiça reagiu a esse relatório, propondo algumas alterações à proposta. Na sua
resposta, o ministro chamou a atenção para os contactos que teve com representantes
do comércio e da indústria e da defesa do consumidor. Previa-se que o debate em
sessão plenária do parlamento tivesse lugar na primeira metade de 1999.
A chancelaria federal austríaca (Österreichisches Bundeskanzleramt) elaborou uma
proposta de transposição da directiva para o direito nacional que foi examinada pela
Comissão de Protecção dos Dados. No Outono de 1998, foi apresentada ao
parlamento uma versão revista.
Em Portugal, a Constituição foi revista pela lei constitucional N.º 1/97 de 20 de
Setembro de 1997, com vista à transposição da directiva. Efectivamente, a
Constituição portuguesa contém disposições sobre protecção dos dados que, em
certos casos, são mais restritivas que as da directiva 15 . A autoridade portuguesa para
a protecção dos dados teve um papel importante no grupo de trabalho criado pelo
ministro da Justiça para redigir a proposta de lei preliminar de transposição da
directiva. Esta proposta preliminar foi distribuída para consulta e publicada no site
do ministério da Justiça na Internet. O projecto de lei foi apresentado ao parlamento
em 2 de Abril de 1998, tendo sido finalmente adoptado em 26 de Outubro de 1998.
Na Finlândia, o governo apresentou ao parlamento, em 24 de Julho de 1998, um
projecto de lei dos dados pessoais e um conjunto de leis associadas (projecto de lei
governamental 96/98). Além da directiva comunitária de protecção dos dados, o
projecto de lei baseou-se na revisão de 1995 da legislação sobre direitos
fundamentais (de acordo com a Secção 8 da Constituição, a protecção de dados
pessoais deve ser estipulada por lei), na experiência com a anterior Lei dos Ficheiros
de Dados Pessoais e nos progressos da tecnologia da informação. O parlamento
discutiu o projecto de lei no Outono de 1998, embora a sua adopção e subsequente
entrada em vigor tenham ficado adiadas para 1999 16 .
Na Suécia, o parlamento adoptou, em 16 de Abril de 1998, nova legislação sobre
protecção de dados, a qual substitui a anterior lei, que se mantém aplicável apenas
para as operações de tratamento ainda em curso em 24 de Outubro de 1998. Por
outro lado, foi emitida, em 3 de Setembro de 1998, a Portaria sobre Dados Pessoais 17
(1998:1191), que designa a Datainspektionen como autoridade de controlo na
acepção do artigo 28º da Directiva 95/46/CE. Além disso, a portaria delega a
competência de decisão de algumas isenções das disposições da Lei sobre Dados
Pessoais, como sejam as transferências de dados para países terceiros, a notificação e
15
Ver o primeiro relatório anual, página 7, nota 8.
16
A nova Lei dos Dados Pessoais (532/99) entrou em vigor em 1 de Junho de 1999.
17
Legislação sueca, SFS 1998:1191, Portaria sobre Dados Pessoais (1998:1191) emitida em 3 de
Setembro de 1998, publicada em 15 de Setembro de 1998.
a verificação prévia. Em 8 de Setembro, a Datainspektionen emitiu dois
regulamentos com base na portaria: um sobre isenções à proibição de pessoas que
não sejam entidades oficiais processarem dados pessoais sobre violação de leis,
etc. 18 ; e outro respeitante à notificação do tratamento de dados pessoais à autoridade
de controlo 19 .
No Reino Unido, o ministério do Interior (Home Office) é responsável pela
legislação de protecção dos dados. O governo britânico decidiu substituir a Lei de
Protecção dos Dados de 1984 por uma lei completamente nova. Em 14 de Janeiro de
1998, foi apresentado ao parlamento um projecto de lei nesse sentido (a autorização
real foi dada em 16 de Julho de 1998). O projecto de lei fixa os elementos essenciais
do novo regime britânico de protecção dos dados. O conteúdo da legislação derivada
necessária foi submetido a consulta, tendo os instrumentos necessários sido redigidos
e apresentados ao parlamento. Não se prevê que a lei entre em vigor antes do
segundo trimestre de 1999.
2.1.2.
Protecção dos Dados nas Instituições Comunitárias
No decurso das suas actividades, as instituições e os órgãos comunitários, em
particular a Comissão, processam frequentemente dados pessoais. É o caso do
tratamento dos dados pessoais dos funcionários. Outro exemplo é o tratamento dos
dados pessoais dos indivíduos que tenham apresentado uma queixa à Comissão. Ou
ainda o intercâmbio de dados pessoais entre a Comissão e os Estados-Membros, no
contexto da Política Agrícola Comum ou para a gestão de formalidades aduaneiras.
Para satisfazer a necessidade de regras que rejam o tratamento dos dados pessoais, a
Comissão e o Conselho comprometeram-se, numa declaração pública à data de
adopção da directiva, a cumprir os termos da directiva e apelaram às outras
instituições e aos demais órgãos comunitários para que fizessem o mesmo 20 .
Durante a conferência intergovernamental para a revisão dos tratados, o problema
das regras de protecção dos dados, aplicáveis às instituições e aos órgãos
comunitários, foi levantado pelos governos neerlandês e grego. No final da
conferência intergovernamental, decidiu-se incluir uma disposição específica no
18
Colectânea de Leis da Datainspektionen, Número 1998:3, Regulamentos da Comissão de Inspecção
dos Dados sobre as isenções à proibição de pessoas que não sejam entidades oficiais processarem
dados pessoais relativos a violação de leis, etc.; adoptados em 8 de Setembro de 1998.
19
Colectânea de Leis da Datainspektionen, Número 1998:2, Regulamentos da Comissão de Inspecção
dos Dados sobre a obrigação de notificar o tratamento à Datainspektionen.; adoptados em 8 de
Setembro de 1998.
20
Esta declaração foi publicada num comunicado de imprensa do Conselho em 24 de Julho de 1995
[9012/95 (Press 226)].
Tratado CE sobre a protecção dos dados pessoais processados pelas instituições e
pelos órgãos comunitários (artigo 213.º-B, 286.º, na numeração final):
"(1)
A partir de 1 de Janeiro de 1999, os actos comunitários relativos à protecção
das pessoas singulares em matéria de tratamento de dados de carácter
pessoal e de livre circulação desses dados serão aplicáveis às instituições e
órgãos instituídos pelo presente Tratado, ou com base nele.
(2)
Antes da data prevista no n.º 1, o Conselho, deliberando nos termos do artigo
189.º-B, criará um órgão independente de supervisão, incumbido de
fiscalizar a aplicação dos citados actos comunitários às Instituições e órgãos
da Comunidade e adoptará as demais disposições que se afigurem
adequadas."
Embora, por força do artigo 286.º, os actos comunitários sobre a protecção de dados
pessoais (como a Directiva 95/46/CE) também se apliquem às instituições e aos
órgãos comunitários, a partir de 1 de Janeiro de 1999, é óbvio que o Tratado de
Amsterdão não terá entrado em vigor nessa data.
A Comissão elaborou um primeiro projecto de proposta de regulamento, com base
no artigo 286.º do Tratado CE. Este projecto, por um lado, contém regras
substantivas sobre protecção de dados (extraídas das Directivas 95/46/CE e
97/66/CE) e, por outro lado, cria o órgão independente de supervisão a que se refere
o n.º 2 do artigo 286.º do Tratado CE. O primeiro projecto foi extensamente debatido
entre os serviços da Comissão, durante a segunda metade do ano, embora ainda não
tenha conduzido a uma proposta da Comissão.
O Grupo de Trabalho criou um subgrupo dedicado a esta questão. O subgrupo
examinou um dos projectos dos serviços da Comissão e apresentou um relatório ao
Grupo de Trabalho. O relatório foi adoptado na 12ª reunião do Grupo, em 3 de
Dezembro, e, em particular, mandatou o subgrupo para continuar a fiscalizar o
desenvolvimento do projecto de regulamento e apresentar novo relatório, na devida
altura.
2.2.
Directiva 97/66/CE
Esta directiva diz respeito ao tratamento de dados pessoais e à protecção da
privacidade no sector das telecomunicações 21 . Especifica e complementa os
princípios gerais, como a limitação do âmbito de aplicação da Directiva 95/46/CE ao
sector das telecomunicações. Em particular, introduz a obrigação de os
Estados-Membros assegurarem a confidencialidade das comunicações. A directiva
foi aplicada no direito nacional22 dos seguintes Estados-Membros:
21
Em relação ao Reino Unido, ver ponto 2.4 a seguir
22
As leis nacionais de aplicação da Directiva 97/66/CE estão a ser analisadas pela Comissão Europeia, a
fim de averiguar a sua conformidade com a directiva.
A Alemanha transpôs a directiva adoptando as seguintes medidas nacionais:
- Telekommunikationsgesetz (TKG) de 25 de Julho de 1996, Bundesgesetzblatt I, S.
1120 (Lei das Telecomunicações) 23
- Telekommunikationsdiensteunternehmen-Datenschutzverordnung (TDSV) vom
12.8.1996, Bundesgesetzblatt I, S 982 (Portaria relativa à Protecção dos Dados pelos
Operadores de Telecomunicações) 24
- Telekommunikations-Kundenschutzverordnung (TKV) vom 11 Dezember 1997,
Bundesgesetzblatt I, S. 2910
- Bekanntmachung des Katalogs von Sicherheitsanforderungen gemäss § 87 des
TKG vom 5.9.1997 im Bundesanzeiger v. 7.11. 1997, Ausgabe Nr. 208a, Anlage 4
(Bekanntmachung)
A Áustria transpôs a directiva através da lei das telecomunicações, de 19 de Agosto
de 1997.
A Espanha adoptou legislação nesta matéria em 1998: a lei de 24 de Abril de 1998 e
o regulamento de 31 de Setembro de 1998 (Ley General de Telecomunicaciones de
24 de abril de 1998 e Real Decreto 1736/1998). Os textos podem ser consultados no
site do Secretariado-Geral das Comunicações espanhol: http://www.sgc.mfom.es.
Em Itália, a directiva foi substancialmente transposta pelo Decreto n.171
"Disposizioni in materia di tutela della vita privata nel settore delle
telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e
del Consiglio, ed in tema di attivita giornalistica" de 13 de Maio de 1998, publicado
na Gazzetta Ufficiale - Serie Generale - n.127 de 3 de Junho de 1998.
Portugal adoptou as medidas necessárias na forma da lei de 28 de Outubro de 1998
(Lei n.º 69/98, de 28 de Outubro que regula o tratamento dos dados pessoais e a
protecção da privacidade no sector das telecomunicações). O texto também pode ser
consultado no seguinte endereço: http://www.icp.pt (ver ainda ponto 2.4 a seguir).
Os Países Baixos aplicaram a directiva através da Lei das Telecomunicações e de
legislação derivada sobre números de identificação e centros de emergência, que
entrou em vigor em 15 de Dezembro de 1998 [Wet van 19 oktober 1998, houdende
regels inzake de telecommunicatie (Telecommunicatiewet), Staatsblad 610, 1998;
Regeling nummeridentificatie van 25 november 1998, Staatscourant 1998, nr. 230;
Besluit 112 alarmcentrales van 10 november 1998, Staatscourant, nr. 235].
A Bélgica transpôs parcialmente a directiva para o direito nacional. A legislação
aplicável é a seguinte:
23
Ver versão inglesa em http://www.datenschutz-berlin.de/gesetze/tkg/tkge.htm
24
http:/www.datenschutz-berlin.de/gesetze/medien/tdsve.htm
-
-
2.3.
Wet van 21 maart 1991 betreffende de hervorming van sommige economische
overheidsbedrijven / Loi du 21 mars 1991 portant réforme de certaines
entreprises publiques économiques (lei sobre a reforma de certas empresas
públicas)
Wetboek van strafrecht / Code pénal (código penal)
Koninklijk Besluit van 22 juni 1998 tot vaststelling van het bestek van
toepassing op de spraaktelefoniedienst en de procedure inzake de toekenning
van individuele vergunningen / Arrêté Royal du 22 juin 1998 fixant le cahier des
charges pour le service de téléphonie vocale et la procédure relative à
l'attribution des autorisations individuelles (decreto real que fixa as condições
dos serviços de telefonia vocal e o procedimento relativo à concessão de
autorizações individuais).
Códigos de Conduta Comunitários
A Directiva 95/46/CE convida os Estados-Membros e a Comissão a promoverem a
elaboração de códigos de conduta porque este podem contribuir para a boa execução
das disposições nacionais de protecção dos dados, tendo em conta as características
específicas dos vários sectores 25 .
No que diz respeito à promoção e elaboração de códigos de conduta a nível
comunitário, o Grupo de Trabalho tem a atribuição de dar parecer sobre esses
códigos 26 e determinará, em particular, a conformidade com as leis nacionais
adoptadas na sequência da directiva. O Grupo de Trabalho tentará obter a opinião
dos sujeitos dos dados ou dos seus representantes. Os códigos comunitários que
tiverem sido aprovados pelo Grupo de Trabalho poderão receber publicidade
adequada por parte da Comissão.
Tendo em vista a preparação do caminho para a aplicação prática destas
competências, o Grupo adoptou um documento de trabalho relativo ao trabalho
futuro sobre os códigos de conduta 27 . Este documento estabelece os aspectos
processuais, mas salienta, em particular, a necessidade de os códigos comunitários
apresentarem valor acrescentado para o sector específico. As disposições aplicáveis
mencionam que:
25
Ver o n.º 1 do artigo 27º da Directiva 95/46/CE.
26
Ver o n.º 1, alínea d), do artigo 30º da Directiva 95/46/CE.
27
WP 13 (5004/98): Trabalho futuro sobre os códigos de conduta: Documento de trabalho sobre o
procedimento a analisar pelo grupo de trabalho sobre os códigos de conduta comunitários. Adoptado
em 10 de Setembro de 1998 (em 11 línguas). Disponível no endereço já indicado em notas anteriores.
O grupo de trabalho determinará se um código de conduta apresentado:
•
•
está de acordo com as directivas de protecção de dados e, se for
pertinente, com as disposições nacionais adoptadas em conformidade
com estas directivas,
tem qualidade e coerência interna suficientes e fornece um valor
acrescentado suficiente às directivas e a outra legislação aplicável em
termos de protecção dos dados, em particular, se o projecto de código
foca suficientemente as questões e os problemas específicos relativos à
protecção de dados na organização ou sector a que se pretende
aplicá-lo, e se oferece soluções suficientemente claras para estas
questões e para estes problemas.
Duas organizações submeteram à aprovação do Grupo de Trabalho projectos de
códigos de conduta comunitários: a FEDMA, Federação das Associações Europeias
de Marketing Directo, e a IATA, Associação Internacional de Transportes Aéreos. O
Grupo de Trabalho criou um subgrupo para cada código. Os primeiros relatórios dos
subgrupos foram apresentados ao Grupo de Trabalho na sua 12ª reunião, em 3 de
Dezembro de 1998. O Grupo de Trabalho mandatou os subgrupos para continuarem
a análise dos códigos em conjunto com as respectivas organizações. Dado que,
dentro de cada organização, o processo de redacção ainda estava em curso, o Grupo
de Trabalho decidiu não publicar comentários intercalares e, em vez disso, enviá-los
às organizações para apreciação e posterior revisão dos projectos de código.
2.4.
Evolução no domínio da protecção dos dados. Actividades das entidades
responsáveis pela protecção dos dados
Esta parte destaca os principais desenvolvimentos no domínio da protecção dos
dados, debruçando-se, particularmente, sobre o trabalho das entidades nacionais
responsáveis pela fiscalização da aplicação das leis de protecção dos dados 28 .
Abrange os progressos regulamentares nesta área, a jurisprudência, as actividades
das entidades nacionais de fiscalização da protecção dos dados de interesse geral e as
transferências de dados pessoais para países terceiros de que essas entidades tiveram
que tratar. Podem obter-se mais informações junto dessas autoridades que publicam
relatórios anuais pormenorizados. O anexo I contém informações sobre contactos a
referências a sites da Web.
Áustria
Jurisprudência
O Supremo Tribunal austríaco considerou ilegal um cartão de cliente de uma grande
cadeia de supermercados, visto que a cláusula de autorização não estava bem
formulada (Decisão 7 Ob 170/98w)
28
Ver o artigo 28º da Directiva 95/46/CE.
Actividade da Datenschutzkommission
As seguintes decisões da Comissão Austríaca para a Protecção dos Dados poderão
ter interesse geral:
Num artigo de jornal, um cidadão acusou uma entidade pública de o ter enganado. O
funcionário responsável escreveu uma resposta que foi publicada no mesmo jornal. A
resposta continha informações que o cidadão considerou privadas, pelo que se
queixou à Comissão para a Protecção dos Dados. A Comissão indeferiu a queixa
porque os dados em questão já antes haviam sido legalmente publicados. A
Comissão afirmou, ainda, que alguém que se expõe publicamente através de uma
acusação num jornal tinha de esperar uma resposta no mesmo jornal, utilizando os
seus dados na medida do necessário (Decisão N.º 120.547/18-DSK/98).
Um hospital estatal transferiu dados pessoais para uma empresa de informática no
estrangeiro, para assistência técnica e limpeza (processamento de serviço) sem as
necessárias autorizações da Comissão para a Protecção dos Dados. A Comissão
recebeu uma queixa de um sujeito dos dados e considerou a transferência ilegal
devido à falta de uma licença para o efeito. Esta decisão é interessante porque ilustra
o modo como a prática comum - e, basicamente, legal - de utilizar peritos
estrangeiros em tratamento de dados para fazer a manutenção e a reparação de
software e hardware informático pode comprometer os interesses de protecção dos
dados (Decisão No. 120.536/26-DSK/98).
Dados confidenciais sobre medidas disciplinares contra um funcionário público
foram publicados num jornal, pouco depois de a decisão ter sido tomada. A
Comissão para a Protecção dos Dados não conseguiu identificar o responsável pela
indiscrição, mas conseguiu descobrir a entidade pública específica. A Lei de
Protecção dos Dados austríaca permite que uma decisão judicial seja adoptada
também contra um organismo, o que quer dizer que a Comissão pôde deferir a
queixa do funcionário público (Decisão N.º 120.552/36-DSK/99).
Transferências de dados pessoais para países terceiros
A Comissão para a Protecção dos Dados austríaca detectou um aumento na
transferência de dados para sedes de empresas no estrangeiro, especialmente nos
EUA. Aparentemente, várias empresas internacionais pretendem reunir grandes
quantidades de dados pessoais num único local. Do mesmo modo, aumentou o
número de casos em que os centros de atendimento telefónico foram instalados num
único local para toda a Europa.
Bélgica
Actividades da Commission de la protection de la vie privée
Em 1998, a pedido das entidades oficiais ou por sua própria iniciativa, a Comissão
belga emitiu 34 pareceres sobre questões relativas à aplicação dos princípios de base
de protecção da vida privada.
Emitiu ainda uma recomendação. As recomendações destinam-se aos controladores
de um tipo de dados específico ou a um controlador específico do sector público ou
do sector privado. Neste caso, em particular, a recomendação destinava-se aos
responsáveis pelos sistemas de reservas informatizadas.
A Comissão tem poderes para examinar queixas que lhe sejam apresentadas. Neste
contexto, desempenha um papel de mediador e incentiva as partes a chegarem a
acordo. Se tal não for possível, emite um parecer sobre a validade da queixa e,
nalguns casos, também dirige uma recomendação ao controlador dos dados.
Um tipo particular de queixa sobre o crédito ao consumo dizia respeito ao registo dos
maus pagadores junto do Banque Nationale de Belgique ou de instituições privadas.
Em 1998, foram apresentadas 397 queixas relativas ao crédito ao consumo. Este
valor é ligeiramente inferior ao de 1997.
A Comissão também é competente para dar informações ao público. Essas
informações prendem-se com o conteúdo dos direitos e obrigações, em resposta a um
grande número de cartas. Em 1998, respondeu a 515 pedidos de informação.
No mesmo ano, foram apresentadas à Comissão 2.034 inscrições para tratamento
automático. Tal como em anos anteriores, a maior parte desses casos dizia respeito
ao sector da saúde. Pormenorizadamente, a Comissão adoptou posições sobre uma
série de questões relacionadas com a protecção da vida privada em vários sectores.
Em particular, debruçou-se sobre questões de acesso ao registo nacional e ao uso do
número de identificação nacional.
No sector judicial e policial, a Comissão examinou o problema da instalação de
câmaras de vídeo, como medida de segurança nos jogos de futebol e emitiu pareceres
sobre a criação de um centro para crianças desaparecidas ou vítimas de exploração
sexual e sobre a análise do ADN em questões criminais e a identificação por análise
genética nas questões penais. Também tratou da questão da cooperação policial no
combate ao crime organizado e no contexto da Europol, da reorganização do serviço
policial, de medidas de tratamento dos criminosos de delitos sexuais e do tratamento
de dados relativos a jogos de azar e a estabelecimentos de jogos de azar (lavagem de
dinheiro, fraude fiscal, etc.).
No sector comercial, a Comissão belga adoptou uma recomendação sobre os
sistemas de reservas informatizadas. Também emitiu um parecer sobre a criação de
uma base conjunta de "maus pagadores" no sector das telecomunicações e sobre a
gestão de informações relativas a cotações de crédito.
Na área das telecomunicações, o lançamento de um serviço de identificação da
origem das chamadas levou a Comissão a reiterar um conjunto de princípios de
protecção (informação dos consumidores, opções gratuitas de desactivação da
afixação do número). Estudou ainda a questão do controlo da qualidade nos centros
de atendimento telefónico.
Transferência de dados pessoais para países terceiros
Em resposta a um pedido dirigido pelas autoridades norte-americanas ao Comité
criado pelo artigo 31º da Directiva 95/47/CE do Parlamento Europeu e do Conselho,
de 24 de Outubro de 1995, o ministro da Justiça solicitou à Comissão um parecer
sobre a adequação do nível de protecção concedido pelas leis dos Estados Unidos, de
acordo com os artigos 25º e 26º da Directiva 95/46/CE. A Comissão deu os seguintes
pareceres:
• Parecer n.º 32/98 sobre a avaliação da adequação do nível de protecção
concedido pela American Fair Credit Reporting Act, de acordo com o artigo 25º
da Directiva 95/46/CE; (resultado - conclusão: não adequado)
• Parecer n.º 33/98 sobre os fluxos de dados internacionais e o nível de protecção
concedido pelas leis dos Estados Unidos.
Perguntou-se à Comissão se um documento intitulado "Elements of effective
self-regulation for privacy protection"( 29 ), destinado a servir de orientação para a
elaboração de códigos de conduta no sector privado, poderia dar um nível de
protecção adequado, tendo em conta os requisitos da directiva quanto ao fluxo de
dados pessoais para países exteriores à União Europeia.
• Parecer n.º 34/98 sobre a avaliação da adequação do nível de protecção concedido
pela American Privacy Act de 1974, de acordo com o artigo 25º da Directiva
95/46/CE30 .
Dinamarca
Actividades da Registertilsynet
Em 1998, a Autoridade de Controlo da Protecção dos Dados consagrou grandes
esforços e bastante tempo à preparação para as tarefas que terá de realizar
relativamente à futura lei do tratamento de dados pessoais.
A base do trabalho realizado por esta entidade, em 1998, foram as duas leis sobre
registos - a lei sobre os registos das entidades estatais e a lei sobre os registos
privados.
29 Este documento foi substituído por uma nova proposta americana intitulada "Safe Harbor Principles"
que difere do documento anterior em certos pontos.
30 Os pareceres e o relatório de actividade da comissão belga podem ser consultados na Internet em
http://www.privacy.fgov.be/
Duas das principais decisões tomadas pela Autoridade para a Protecção de Dados,
em 1998, foram as seguintes:
• Divulgação na Internet de listas de endereços, pelas entidades estatais
Em 1998, uma entidade estatal solicitou à Autoridade de Controlo dos Dados que
avaliasse os seus planos de publicar as suas listas de endereços (listas com dados
sobre correio recebido pela entidade estatal) numa página de entrada da Internet.
Entre os dados que constavam dessas listas estariam informações sobre as partes
envolvidas e uma breve descrição do conteúdo da correspondência.
A Autoridade de Controlo dos Dados declarou que uma entidade pública poderia
publicar listas de endereços na Internet de acordo com a lei sobre os registos das
entidades públicas, dado que a lei dinamarquesa prevê o acesso do público à
informação, desde que a publicação não contenha dados abrangidos por um requisito
de confidencialidade.
• Acesso a dados médicos na Internet
Em 1998, a Autoridade para a Protecção dos Dados exprimiu uma certa
desconfiança, quanto à intenção de um hospital criar uma base de dados médica a
que os médicos de clínica geral poderiam aceder via Internet.
A Autoridade para a Protecção dos Dados considerou que o acesso ao dito registo
não deveria ser possível na Internet, na medida em que isso implicaria a introdução
de dados sensíveis e a concessão de acesso ao registo na Internet faria correr o risco
de a informação ser obtida pela pessoa errada.
A Autoridade para a Protecção dos Dados considerou que o acesso a registos deste
tipo deveria, pelo contrário, ser facultado em redes fechadas, por exemplo, utilizando
linhas dedicadas.
Subsequentemente, a Autoridade declarou, em 1999, que o acesso aos registos em
questão poderia, a seu ver, ser facultado via Internet, desde que fosse adoptada a
solução de Rede Privada Virtual. Este tipo de solução pode ser visto como
permitindo um elevado nível de segurança para garantir que os dados constantes dos
registos não são acedidos pela pessoa errada.
Finlândia
Evolução regulamentar
Além do trabalho relativo à Lei dos Dados Pessoais (ver ponto 2.1.1 atrás), foram
apresentados ao Parlamento, em 1998, vários outros projectos de lei importantes para
a protecção dos dados. O conjunto dos direitos de informação de base inclui o direito
de os cidadãos obterem informações e de estarem a par das acções das entidades
oficiais. Este direito está consagrado na Lei de Transparência das Actividades
Governamentais (621/99), que regulamentará a divulgação de dados pessoais de
ficheiros administrativos. A lei entrará em vigor em 1 de Dezembro de 1999.
Considerando a sua importância, o projecto de lei sobre a protecção da vida privada
nas telecomunicações e a segurança dos dados nas telecomunicações (projecto de lei
governamental 85/98), surpreendentemente, suscitou pouca atenção do público. O
objectivo desta lei é aumentar a confiança dos utilizadores nos serviços de
telecomunicações, melhorando a protecção da vida privada. A lei (565/99) entrou em
vigor em 1 de Julho de 1999.
Em 1998, na Finlândia, um projecto de lei sobre a protecção dos dados no trabalho
foi alvo de grande atenção por parte do público. Todavia, viria a ser retirado mais
tarde, em parte pela complexidade das questões relativas aos testes genéticos e ao
facto de conter outras informações que exigiam uma preparação mais criteriosa. O
trabalho de elaboração de legislação sobre a protecção dos dados no trabalho
continua, prevendo-se que o grupo de trabalho do ministério do Trabalho tenha
preparado um novo projecto de lei até 30 de Novembro de 1999.
Em 1998, a Comissão de Protecção dos Dados também emitiu pareceres sobre um
total de 53 propostas legislativas que, de algum modo, diziam respeito ao tratamento
e à protecção dos dados pessoais.
Jurisprudência
Em 3 de Julho de 1998, o Supremo Tribunal tomou uma decisão sobre um crime
respeitante a dados pessoais [ref.: KKO (Supremo Tribunal) 1998:85, Diaarinumero
(número de registo) R 96/129], na qual sustentou que a protecção da vida privada
inclui o direito de influenciar o uso de dados relativos à própria pessoa. De acordo
com o Supremo Tribunal, os termos da Secção 43 da Lei dos Ficheiros de Dados
Pessoais implicam que a violação da privacidade de um sujeito de dados constitui,
em si própria, um prejuízo ou dano na acepção da Lei (KKO 1998:85 Violação da
Lei dos Ficheiros de Dados Pessoais). A empresa X transferiu dados do registo de
assinantes de um jornal que lhe pertencia, mas cuja publicação tinha cessado, para as
empresas Y e Z, para fins de marketing directo. Pelos motivos indicados no seu
acórdão, o Supremo Tribunal considerou esta transferência uma violação da
privacidade dos dados pessoais e considerou os representantes da empresa X
culpados de violação da Lei dos Ficheiros de Dados Pessoais. Resta ainda saber se,
ao transmitir os dados para fins de marketing directo, os representantes das empresas
Y e Z também eram culpados de semelhante violação (decisão por maioria).
Actividade da Comissão de Protecção dos Dados
O Gabinete da Comissão de Protecção dos Dados tentou alargar o âmbito da sua
actividade. Clarificou a sua missão e elaborou disposições de planeamento interno.
Além disso, lançou um projecto administrativo interno destinado a aumentar a
velocidade e a eficiência dos seus serviços, melhorando a comunicação interna e
externa e ajudando a evitar violações da protecção dos dados. A formação interna
incidiu, principalmente, na melhoria do serviço e em disposições de cooperação,
assim como na legislação revista.
O Gabinete da Comissão de Protecção dos Dados recebeu, no total, 952 casos,
apresentados por escrito: 170 respeitantes aos cuidados de saúde, 63 ao trabalho, 45 à
actividade policial e 33 ao comércio. O Gabinete tratou ainda de 54 casos que
envolviam o direito de inspecção e 54 relativos à rectificação de erros. Ao abrigo da
Secção 47 da Lei dos Ficheiros de Dados Pessoais, a Comissão de Protecção dos
Dados enviou pareceres sobre 16 casos aos procuradores públicos e aos tribunais.
Os pareceres da Comissão diziam respeito, entre outras questões, a declarações sobre
a assistência à infância e ao direito de os serviços de segurança social pedirem
informações sobre contas bancárias para a concessão de complementos de
rendimento. Num parecer dirigido à Unidade Central da Polícia Judiciária, a
Comissão afirmou que um ficheiro de dados pessoais produzido para ser utilizado em
actividades ilegais era, ele próprio, ilegal. Em muitos casos, foi necessário chamar a
atenção dos detentores dos ficheiros para o uso de dados pessoais supérfluos em
envios postais.
O desenvolvimento da acção de inspecção foi uma das principais áreas de actividade
em 1998, tendo os domínios escolhidos para inspecção incluído a manutenção de
registos de pacientes no sector da saúde, a recolha de dados, agências imobiliárias e
agências de emprego.
O principal canal de comunicação foi o boletim informativo de protecção dos dados
Tietosuoja que é publicado quatro vezes por ano e cuja circulação se encontra
estabilizada. O site da Comissão na Web tem o endereço www.tietosuoja.fi; as
estatísticas mostram que foi visitado cerca de 80.000 vezes em 1998, com 3.000 a
13.000 visitas por mês. O número de visitantes está a aumentar.
Os representantes da Comissão de Protecção dos Dados agiram como formadores em
mais de uma centena de ocasiões, ao longo do ano. Realizou-se cooperação com
vários grupos de interesses no que respeita a questões como a definição das regras
práticas exigidas para os vários sectores ao abrigo da nova Lei dos Dados Pessoais
ou o desenvolvimento de quaisquer outras actividades conjuntas que possam ser
necessárias.
O serviço de informação telefónica continua a ser muito importante: o Gabinete
prestou aconselhamento e orientação por telefone em cerca de 7.500 ocasiões ao
longo do ano.
A cooperação com a União Europeia e com a polícia foi muito superior à do ano
anterior. No entanto, continuou a tradicional cooperação entre os países nórdicos,
tendo sido realizada uma reunião em 1998 em Mariehamn para debater questões
como o conceito de protecção da vida privada, a cooperação entre a Finlândia e os
seus vizinhos e a protecção dos dados nos territórios autónomos da Gronelândia, das
ilhas Faroé e Aland.
A Comissão de Protecção dos Dados tratou de vários registos de práticas desonestas
e de informações sobre clientes controladas por detentores de ficheiros e adoptou
uma posição, entre outras questões, sobre os registos de fraudes e declarações falsas
controlados por companhias de seguros, as listas negras mantidas por empresas de
aluguer de equipamentos de vídeo e de construção e as listas de clientes
problemáticos dos bancos.
As questões abordadas pela Comissão e que envolviam autorizações especiais eram
complexas e diziam respeito a aspectos como a colocação na Internet de dados de
registos paroquiais, o registo de clientes de casinos, os registos de proprietários de
florestas mantidos por empresas florestais e a divulgação de dados pessoais sobre
estudantes aos centros de emprego e desenvolvimento económico.
Transferência de dados para países terceiros
Em 1998, a Comissão de Protecção dos Dados recebeu, ao abrigo da anterior Lei dos
Ficheiros de Dados Pessoais (471/87), 37 notificações de transferência de dados
pessoais para outros países. O número de notificações manteve-se relativamente
constante ao longo do ano. A maior parte era respeitante à transferência de dados
pessoais para países terceiros, incluindo a Suécia, o Reino Unido, a França e a
Alemanha, para impressão de material a ser usado no marketing directo postal. A
maioria das notificações provinha do Centro de Registo da População. A Comissão
de Protecção dos Dados emitiu as directrizes necessárias, incluindo o requisito de
que os detentores de registos deveriam continuar a proteger os dados durante a sua
transferência e de que os destinatários também se deviam comprometer a facultar
essa protecção.
França
O debate sobre a protecção dos dados, em França, incidira recentemente em duas
questões, uma relacionada com a interligação de ficheiros com base num
identificador comum e outra sobre um ficheiro policial. Além disso, mais importante
ainda, a crescente informatização de todos os domínios de actividade provocou um
aumento bastante significativo de actividades que preocupam a Commission
Nationale de l’informatique et des Libertés (Comissão Nacional da Informática e das
Liberdades Públicas, CNIL), especialmente no sector privado e no domínio das
novas tecnologias (Internet).
Queixas e pedidos de aconselhamento
As queixas e os pedidos de aconselhamento, em 1998, aumentaram 12,8%,
elevando-se a 5.022. Os pedidos de aconselhamento (aumento de 35%) diziam
respeito essencialmente aos domínios da saúde, do emprego, da fiscalidade e das
autarquias, ao passo que a maior parte das queixas (aumento de 14%) dizia respeito
aos domínios do marketing directo, da banca, do emprego e das telecomunicações.
Os conflitos em questão foram resolvidos com a mediação da autoridade de controlo.
Em vários casos, porém, a verificação no local resultou em avisos públicos às
empresas, em dois domínios principais - na banca, pelo registo de informações
subjectivas sobre clientes, e na saúde, pela recusa de acesso a dados controlados por
representantes farmacêuticos.
Na sequência de um aviso a uma grande empresa de marketing directo, que estava a
criar uma base de dados comportamental utilizando um questionário preenchido
voluntariamente pelos indivíduos em troca de brindes ou cupões, e após autorização
da posição da CNIL pelo Conselho de Estado, os profissionais elaboraram um código
de conduta. O código estipula que os indivíduos devem poder evitar que os seus
dados sejam divulgados, assinalando a sua intenção num quadrado que o
questionário deve apresentar para esse efeito.
No domínio da segurança pública, defesa e segurança nacional, os casos de
indivíduos que contactaram a CNIL para ter acesso a dados que lhes diziam respeito
resultaram em 535 investigações. Em 25% dos casos, o indivíduo não era sujeito de
um ficheiro e em 20% dos restantes casos, o processo foi remetido para as partes
interessadas, por sugestão da CNIL.
Verificações e recomendações de natureza geral
As verificações efectuadas no sector bancário, em particular, levaram a CNIL a
emitir nova recomendação de natureza geral quanto às técnicas de credit scoring.
Essas técnicas não devem ter qualquer relação com a nacionalidade dos clientes, na
medida em que isso constituiria uma forma de discriminação.
De igual modo, as verificações feitas no local, no sector social, levaram a CNIL a
solicitar uma revisão da concepção dos sistemas locais usados pelos serviços sociais
para fiscalizar as medidas sociais e a assistência, na tentativa de cortar despesas.
Estes sistemas cada vez mais populares estavam a ser usados para resolver problemas
de pessoas com dificuldades, particularmente no domínio da habitação e da
reabilitação. O objecto desta revisão, num domínio em que a informação é, muitas
vezes, particularmente sensível, consiste em garantir que a recolha de dados não seja
obrigatória e que os resultados não sejam subjectivos.
Declarações de tratamento
No total, foram declarados às entidades competentes, em 1998, 67.672 casos de
tratamento de dados pessoais, representando um aumento de 100% em cinco anos.
Após exame dessas declarações, a CNIL recusou o pedido de registo dos dados
processados por três associações pertencentes à Igreja da Cientologia e respeitantes a
ex-membros, a membros que tinham abandonado a Igreja e a membros que tinham
sido expulsos, dado que os antigos correspondentes ou compradores das suas
publicações não os tinham contactado durante três anos. As associações em questão
recorreram da decisão para o Conselho de Estado, alegando que a CNIL havia
excedido as suas competências, mas acabaram por desistir do recurso.
As questões em discussão
- Interligação de ficheiros
A adopção de uma alteração à Lei das Finanças de 1999, que autoriza as entidades
financeiras a recolherem, armazenarem e transmitirem números de entrada do registo
nacional de pessoas singulares (NIR) reacendeu o debate sobre a interligação de
ficheiros e o uso de um número específico e significativo para identificar indivíduos.
Embora as entidades fiscais tenham criado o seu próprio sistema de identificação dos
contribuintes, com base num identificador fiscal especial, as entidades financeiras
receberam, finalmente, autorização, ao abrigo da Lei das Finanças de 1999, para
utilizarem o NIR. Todavia, a lei não prevê um conjunto de salvaguardas, sendo a
mais importante que a CNIL possa obrigar as entidades a introduzir medidas de
segurança, as quais podem ir até à destruição de informação baseada no NIR, na
eventualidade de uma violação grave e imediata dos direitos e liberdades. Além
disso, foram introduzidas sanções mais severas para a violação do sigilo profissional.
No parecer que emitiu, o Conselho Constitucional aprovou este procedimento apenas
depois de verificar que o seu principal objectivo era "evitar erros de identificação e
verificar os endereços dos indivíduos".
- O ficheiro STIC
O ficheiro policial conhecido como "STIC" (sistema para o tratamento das violações
registas pelas autoridades) foi tema de um aceso debate, não tendo ainda surgido
regulamentação que lhe seja aplicável. O equilíbrio entre segurança e liberdade
levanta diversas questões - a autoridade sob a qual é colocado este ficheiro policial, o
tempo durante o qual a informação pode ser mantida (particularmente informação
sobre menores), o acesso ao ficheiro quando, em circunstâncias excepcionais, está
em jogo a segurança dos indivíduos, a actualização do ficheiro em caso de análise
das provas pelas autoridades judiciais e em caso de exoneração, indeferimento,
desistência, absolvição ou arquivamento. Por último, há a questão de os indivíduos
interessados poderem ter acesso aos seus dados directamente e não através da CNIL.
Internet
Por ocasião do 20º aniversário da lei do tratamento de dados e da liberdade, de 6 de
Janeiro de 1978, a CNIL lançou um site na Web que apresenta uma demonstração de
como é possível detectar os navegadores da Net (página em francês, inglês e
espanhol). O objectivo do site é difundir informações sobre os computadores e a
liberdade, junto dos numerosos novos operadores que trabalham com esta nova
tecnologia. A CNIL publicou um guia para os gestores de sites e fez da declaração de
segurança em linha dos dados processados para sites da Internet uma realidade. As
declarações fazem-se utilizando um formulário simples e instrutivo que dá exemplos
de como cumprir os requisitos acerca da informação dos indivíduos cujos dados
pessoais tenham sido recolhidos em linha. A CNIL participou activamente na festa
nacional da Internet realizada na Primavera, tendo também participado em diversas
conferências.
Publicações
Além da publicação de informações no seu site da Internet e do relatório anual, a
CNIL apresentou um conjunto de ensaios anotados, intitulado "Les libertés et
l'informatique. Vingt délibérations commentées" (publicado por La Documentation
française), para marcar o 20º aniversário da lei do tratamento de dados e da
liberdade.
Alemanha
Evolução legislativa
A Lei da Assinatura (Signaturgesetz) entrou em vigor em 1 de Agosto de 1997. Com
esta lei e com o Regulamento sobre a Assinatura (Signaturverordnung), que entrou
em vigor em 1 de Novembro de 1997, as entidades legislativas eliminaram o último
obstáculo, de forma que as actividades jurídicas podem, agora, ser efectiva e
seguramente transaccionadas em redes abertas como a Internet. Infelizmente, os
organismos de certificação necessários (Zertifizierungsstellen - "Trust Centres") não
conseguiram entrar em funcionamento antes do início de 1999, em parte porque o
"conjunto de medidas de segurança adequadas" exigido ao abrigo do Regulamento da
Assinatura só foi publicado em 30 de Outubro de 1998 e, por outro lado, porque o
denominado "Organismo de Certificação de Rotas" da Autoridade Regulamentadora
dos Correios e Telecomunicações só entrou em funcionamento em 23 de Setembro
de 1998.
A Constituição foi alterada de forma a permitir a vigilância acústica de áreas
residenciais no âmbito de processos penais. Anteriormente, isso só era permitido
para afastar um eventual perigo. Esta violação do direito básico à inviolabilidade do
espaço residencial, contudo, só é permissível quando relacionada com crimes muito
graves, só podendo ser considerada se não for possível conduzir a investigação de
outro modo. Todas as pessoas com o direito de se recusarem a apresentar provas são
protegidas por uma proibição de recolha de provas (Beweiserhebungsverbot). Tal
não se aplica, porém, se o próprio grupo for suspeito de actividade criminosa.
Felizmente, foram previstas amplas obrigações de comunicação, incluindo a
obrigação de o Governo Federal notificar o Parlamento, pelo que o uso e a eficácia
da vigilância acústica do espaço residencial podem, desse modo, ser criteriosamente
avaliados.
O papel da análise do genoma no processo penal está a aumentar constantemente. A
base jurídica para o uso de análises de ADN, ou "impressão digital genética", nos
processos-crime em curso já foi criada em 1997. Entretanto, o Código de Processo
Penal (Strafprozeßordnung) foi aumentado, com vista a permitir o uso de análises de
ADN, em certas circunstâncias, para fins de identificação.
O Serviço Federal de Investigação Penal (Bundeskriminalamt) criou um segundo
ficheiro de análises do ADN, que, na sequência de uma alteração à lei, passou a
poder conter os resultados das análises de ADN para fins de prevenção de crimes.
Continua a discutir-se se os dados das análises de ADN realizadas com a autorização
das pessoa em questão também podem ser incluídos neste ficheiro.
A Lei de Protecção de Testemunhas (Zeugenschutzgesetz) lançou uma base jurídica
para a realização de registos sonoros e visuais de interrogatórios conduzidos por um
agente da polícia, um delegado do Ministério Público ou um juiz, se a testemunha for
menor de dezasseis anos ou se houver motivo para pensar que não é possível
interrogar a testemunha durante o julgamento e que é necessário um registo deste
tipo para apurar a verdade. Nos casos em que as testemunhas estariam muito pouco
à-vontade se tivessem de comparecer em tribunal, o juiz presidente permanecerá no
tribunal e haverá uma ligação vídeo directa à testemunha, que permanecerá noutra
sala. Outra questão fulcral no futuro será a de saber em que medida a moderna
tecnologia de documentação pode ser usada para apurar a verdade e proteger as
testemunhas.
Pouco antes do final da 13ª legislatura do Bundestag, a Lei Federal de Defesa das
Fronteiras (Bundesgrenzschutzgesetz) também foi alterada para aumentar os poderes
da Guarda das Fronteiras Federais (Bundesgrenzschutz - BGS) no sentido de poder
realizar inspecções pessoais. Actualmente, a BGS pode inspeccionar qualquer pessoa
em comboios ou em estações de caminhos-de-ferro, mesmo na ausência de qualquer
suspeita ou mau comportamento, a fim de combater de forma mais eficaz o crime
internacional e, particularmente, a entrada não autorizada de estrangeiros.
Grécia
Durante este ano, a Autoridade para a Protecção dos Dados da Grécia quase concluiu
o seu processo de recrutamento, contratando pessoal para o seu Secretariado. Já
haviam sido nomeados oito auditores para o serviço de inspecção, embora a
nomeação de doze membros do serviço administrativo ainda dependa da aprovação
governamental. Além disso, foi construído um site na Web, no endereço
www.dpa.gr. Durante este período, a Autoridade tem a relatar como mais
importantes actividades as seguintes:
Regulamentação
1) O regulamento mais importante especifica o direito de se ser informado, que diz
respeito aos problemas surgidos nos casos em que o controlador dos dados tem de
informar simultaneamente muitos sujeitos desses mesmos dados, especialmente no
que se refere aos ficheiros de dados que tiverem estado operacionais antes da entrada
em vigor da lei de protecção dos dados. Alargando a cláusula de protecção dos
direitos adquiridos, a Autoridade permitiu que, se o controlador tiver mais de 1.000
sujeitos de dados para informar, o faça por meio de um anúncio público na imprensa
diária.
2) A Autoridade tem vindo a elaborar regulamentos de tratamento especial relativos
às categorias mais comuns de tratamento e arquivamento, como é o caso dos
ficheiros médicos ou jurídicos.
3) Também estão a ser elaborados regulamentos especiais de protecção dos dados no
marketing directo e sobre o tratamento de dados de referências bancárias. Para
elaborar esses regulamentos, os auditores realizaram diversas auditorias a agências
de marketing directo e de referências bancárias.
Duas decisões importantes
1) A primeira decisão dizia respeito ao tratamento de dados pessoais do sistema de
informação comum da banca, "Teiresias". Nesta decisão, a Autoridade especificou as
regras para os dados das referências bancárias processados pelo sistema de
informação da banca. Devido, em grande medida, ao aumento significativo de
queixas, a Autoridade restringiu apenas aos bancos e instituições de crédito os
destinatários dos dados de referências bancárias oriundas do sistema de informação
da banca, a fim de impedir uma grande utilização comercial dos dados das
referências bancárias para fins não controlados. Ademais, a Autoridade decretou
períodos de retenção para a manutenção de dados "negativos".
2) Considerando outra queixa individual, a Autoridade sentenciou a Organização de
Telecomunicações grega (OET) a substituir a taxa mensal aplicada aos clientes que
não desejassem que os seus dados pessoais figurassem nas listas telefónicas por um
montante global adequado. A OET recusou-se a cumprir esta sentença, tendo
recorrido da decisão; o caso ainda se encontra pendente no Conselho de Estado.
Outras actividades
1) De acordo com o artigo 9º da Lei de Protecção dos Dados grega, a Autoridade
emitiu a primeira autorização de uma transferência internacional de dados pessoais
para os Estados Unidos. Uma empresa de informática pediu para transmitir os dados
relativos aos empregados para a sua empresa-mãe nos Estados Unidos. Tendo em
conta que as negociações entre a União Europeia e os EUA acerca do nível de
protecção nos EUA ainda estão em curso, a Autoridade calculou que este nível não
pode considerar-se adequado. A autorização foi emitida com base na excepção do
artigo 9º, visto que os sujeitos dos dados deram a sua autorização por escrito à
transferência dos dados. Além disso, existia um acordo para a protecção dos dados
entre a empresa grega e a sua empresa-mãe nos EUA.
2) Durante este período, a Autoridade finalizou o formulário de notificação e
imprimiu instruções pormenorizadas acerca da organização e do apoio electrónico de
todo o sistema de notificação.
3) No contexto do desenvolvimento de uma campanha de sensibilização, a
Autoridade imprimiu brochuras sobre as suas actividades e concebeu um spot
publicitário televisivo para o mesmo efeito.
Irlanda
Evolução Regulamentar
A consulta pública de preparação para a transposição da Directiva 95/46/CE foi
concluída no início de 1998, tendo o ministério da Justiça prosseguido com a
actividade de elaboração de um projecto de lei para alterar a Lei de Protecção dos
Dados, de 1988. Apesar de todo o trabalho realizado, não foi possível publicar o
projecto de lei previsto antes do final de 1998. Decidiu-se que a Directiva 97/66/CE
seria transposta para a legislação nacional através de um instrumento legal e não por
meio de direito primário. Tal instrumento não havia sido apresentado ao parlamento
até ao final de 1998.
Jurisprudência
Em 1998, não houve julgamentos de casos relativos à protecção dos dados, mas deve
notar-se que, de acordo com o procedimento normal, apenas chegam aos tribunais os
recursos de decisões ou de outras notificações do Comissário para a Protecção dos
Dados. No final de 1998, ainda se encontrava pendente um recurso importante contra
uma injunção que exigia a um controlador de dados que não publicasse os nomes e
endereços de determinados consultores médicos constantes da lista de serviços de
uma empresa de seguros de doença. Existiam fortes indícios de que o controlador dos
dados desistiria do recurso e cumpriria a injunção, o que viria, efectivamente, a
acontecer em 1999.
Actividades do Comissário para a Protecção dos Dados
Pedidos de Informação e Queixas:
1998 foi um ano muito ocupado, com mais de 2.000 pessoas (controladores de dados
ou sujeitos de dados) a contactarem o serviço para solicitar informações, conselhos
ou a resolução de problemas respeitantes à protecção dos dados. Foram recebidos
mais de 600 pedidos de informação de controladores de dados, sendo o tipo mais
comum de novas perguntas respeitante à aplicação da Directiva 95/46/CE. Os
controladores de dados mostraram-se particularmente preocupados com as
consequências da directiva para (a) os fluxos internacionais de dados e (b) os
ficheiros não automatizados que não eram abrangidos pela legislação existente.
Também surgiram muitos pedidos de informação relativos à aplicação da lei de
protecção dos dados às transacções na Internet e às consequências para o comércio
electrónico e a administração pública electrónica. Os pedidos de informação
"tradicionais" mais importantes diziam respeito às referências bancárias e ao
marketing directo.
Setenta e oito sujeitos de dados queixaram-se formalmente de que os seus direitos
previstos na Lei de Protecção dos Dados haviam sido violados. Essas queixas
abrangiam questões tão diversas como:
- a utilização incorrecta de dados dos empregados
- a falta de rigor dos registos de crédito
- o correio não solicitado com origem fora da jurisdição, cuja investigação envolvia a
cooperação com outra autoridade para a protecção dos dados
- a apresentação incorrecta de dados sobre as crianças no site de uma escola na Web
- os estudos de mercado realizados por telefone
Tal como antes, a política do serviço continuou a ser a de tentar responder às queixas
de forma satisfatória para os sujeitos dos dados, informalmente e em primeira
instância. Os vários poderes instituídos previstos ao abrigo da lei, por exemplo de
informação e de injunção, só foram usados nos casos em que os litígios não podiam
ser resolvidos de qualquer outra forma.
Inscrição:
A legislação irlandesa dispõe de um sistema de inscrição selectiva, no qual os
principais controladores de dados, por exemplo, as agências estatais, as instituições
financeiras e todos os controladores de dados que disponham de dados pessoais
"sensíveis", se devem inscrever anualmente. No final de 1998, estavam inscritos
mais de 2.650 desses controladores de dados, o que representa um aumento de 3%
em relação a 1997. Foram encetados trabalhos preliminares de reavaliação do
sistema de inscrição, tendo em vista os requisitos prováveis da nova legislação
prevista. Uma grande falha no sistema então vigente era a falta de inscrição de
controladores de dados como os fornecedores de serviços na Internet. Essa questão
está a ser examinada.
Cooperação Internacional:
A importância dos contactos internacionais foi bastante notória em 1998. A Irlanda
organizou, pela primeira vez, em 1998, a Conferência da Primavera dos Comissários
Europeus para a Protecção dos Dados. As questões de protecção dos dados
respeitantes ao Terceiro Pilar, como a Europol, foram ocupando cada vez mais
tempo, para além do trabalho que estava em curso, ligado às directiva e às reuniões
regulares com as Autoridades para a Protecção dos Dados do Reino Unido e de
outros países.
Outros Aspectos
Em 1998, as pressões no sentido de uma maior partilha e equivalência dos dados
pessoais nos sectores público e privado continuaram a ser fortes. Muitas destas
pressões estavam ligadas ao objectivo duplo de melhoria do serviço aos clientes e de
prevenção e detecção de fraudes. Foi introduzida nova legislação que possibilitou um
uso muito alargado do número de identificação fiscal e da segurança social, em toda
a função pública. Esta solução foi vista como a chave para a introdução de serviços
públicos mais acessíveis, além de ser uma componente essencial no combate à fraude
nos serviços sociais. No sector privado, foram recebidas várias propostas para uma
maior partilha dos dados entre as instituições financeiras. Foi o caso de propostas
para a verificação "à cabeça" dos pedidos de facilidades de crédito e de produtos
como os telefones móveis.
Transferências de Dados para Outros Países
Não houve qualquer avaliação do nível de protecção em países terceiros. Como já se
indicou, foram recebidos muitos pedidos de informação acerca de transferências para
países terceiros. Não foi dado qualquer conselho definitivo, dado não haver ainda
legislação que transpusesse a directiva para o direito nacional.
Itália
Quadro legislativo
Os princípios estipulados na Lei n.º 675/1996 (que fez a transposição da
Directiva 95/46/CE) foram especificados e aplicados. Em particular, foram
adoptadas disposições específicas aplicáveis ao tratamento de dados
sensíveis pelos organismos públicos (decreto legislativo n.º 135 de 11.5.99);
foi igualmente estudada a elaboração de legislação específica relativa ao
tratamento de dados pessoais para fins históricos, estatísticos e de
investigação científica, bem como para assegurar a protecção dos dados
pessoais no sector dos cuidados de saúde e para determinar os níveis de
segurança mínimos no tratamento de dados pessoais. A Comissão para a
Protecção dos Dados italiana (Garante per la protezione dei dati personali)
participou em pleno nestas actividades e não deixou de contribuir para a
redacção e a definição dos princípios aplicáveis.
A Directiva 97/66/CE relativa ao tratamento de dados pessoais e à protecção
da privacidade no sector das telecomunicações foi transposta em Itália pelo
decreto legislativo n.º 171 de 13.5.98.
Em muitos casos, a Comissão italiana deu explicações sobre aspectos que se
prendiam com a correcta aplicação das medidas regulamentares; em
particular, foi emitido um parecer quanto ao período durante o qual os dados
sobre o trânsito poderiam ser mantidos e sobre o limite de tempo para a
aquisição de dados para fins judiciais.
A Comissão italiana também participou na elaboração de diplomas
legislativos destinados a harmonizar a actividade administrativa com os
avanços tecnológicos, especialmente no que diz respeito aos bilhetes de
identidade e a dispositivos específicos de medição de rendimentos para fins
fiscais e de cuidados médicos - sugerindo as alterações necessárias, para
reconciliar estas disposições regulamentares com os princípios fixados na lei
italiana e na Directiva 95/46/CE.
Actividade do Garante per la Protezione dei dati personali
O Código de conduta para o tratamento de dados pessoais no exercício da
actividade jornalística foi elaborado pelo Conselho Nacional da Associação
de Imprensa, em cooperação com a Comissão para a Protecção dos Dados
italiana. Este código foi publicado no Jornal Oficial em Agosto de 1998, no
intuito de tornar as obrigações em questão ainda mais restritivas e
vinculativas.
Este código permitia a fixação de disposições detalhadas no que respeita às
modalidades simplificadas - tal como no que se refere à informação dos
sujeitos dos dados, no momento da recolha dos mesmos - elaborados para o
tratamento de dados pessoais no exercício da actividade jornalística.
O cumprimento do requisito de informar os sujeitos dos dados foi
especialmente verificado pela Comissão, dado que também se relacionava
com o modo como a informação era fornecida, perante os numerosos
relatórios apresentados por cidadãos.
Esta actividade de supervisão abrangia principalmente o sector financeiro e
do crédito e foi executada através de um inquérito destinado a adquirir,
junto de todas as entidades mencionadas, cópias dos formulários utilizados
para o fornecimento da informação em causa. Por outro lado, foram criados
conselhos consultivos com as principais instituições bancárias, o que
possibilitou a elaboração de formulários simplificados para o cumprimento
do requisito de informação.
No que toca ao tratamento de dados sensíveis, a actividade da Comissão no
cumprimento da lei incidiu na concessão de autorizações gerais aplicáveis a
categorias de controladores de dados ou de operações de tratamento. Para
além das respeitantes às categorias que já tinham sido objecto de
autorizações anteriores, em 1997 - ou seja:
- tratamento de dados sensíveis respeitantes a relações laborais;
- tratamento de dados que divulguem aspectos de saúde ou da vida sexual;
- tratamento de dados sensíveis por associações e fundações;
- tratamento de dados sensíveis por profissionais liberais;
- tratamento de dados sensíveis por várias categorias de controladores de
dados (de sectores como a banca, os seguros, o turismo, os transportes, as
sondagens de opinião, o tratamento de dados, a selecção de pessoal, as
agências matrimoniais);
- tratamento de certos dados sensíveis por detectives privados,
em Maio de 1999, foi adoptada uma autorização especificamente aplicável
ao tratamento de dados judiciais por entidades privadas e organismos
públicos com fins lucrativos (ver anexo II do presente relatório),
a Comissão também começou a investigar a observância, pelos fornecedores
de serviços telefónicos, dos princípios estabelecidos no decreto que faz a
transposição da Directiva 97/66/CE quanto à sua conformidade com os
pedidos feitos por clientes que pretendem conhecer, em pormenor, todos os
dígitos dos números de telefone marcados. Efectivamente, a Comissão
italiana tratou da questão relativa à supressão dos três últimos dígitos dos
números marcados efectuada pelos fornecedores dos serviços telefónicos, na
sequência de um pedido de facturação detalhada: numa decisão de Outubro
de 1998, os fornecedores de serviços foram instados a modificar os
regulamentos em questão. Com esta decisão, a Comissão também apontou a
necessidade de disponibilizar e facilitar o uso de meios alternativos de
pagamento, mesmo anónimo, como cartões de débito ou cartões de
chamadas.
A Comissão estava a realizar actividades e campanhas de informação
destinadas aos cidadãos, com base em diferentes suportes e em
determinados meios de comunicação. A este respeito, deve mencionar-se a
publicação recentemente encetada de um boletim informativo semanal
enviado aos jornais e a outros meios de comunicação social. Este boletim
informativo fornecia informações actualizadas com frequência sobre as
principais questões abordadas pela Comissão e sobre quaisquer decisões que
tivessem sido tomadas; por isso, constituía mais uma ferramenta para avaliar
e considerar as questões de privacidade.
Também era publicado um boletim com as decisões da Comissão, os
diplomas legislativos importantes, comunicados de imprensa e outros
documentos relativos à actividade da Comissão. Este boletim era enviado,
gratuitamente, a qualquer pessoa que o solicitasse e mostrou-se um
instrumento de trabalho útil tanto para os cidadãos como para os
funcionários do Estado, profissionais liberais e empresas. Trata-se de uma
publicação bimestral, com uma tiragem de cerca de 10.000 exemplares;
também foi criado um CD-ROM que continha o boletim, além de outro
material referente à privacidade.
Jurisprudência
Em virtude da Lei n.º 675/1996, os cidadãos podem fazer valer os seus
direitos estabelecidos na Lei, quer em tribunal, quer perante a Comissão
para a Protecção dos Dados (ver artigo 29º da Lei). As regras processuais
para a apresentação de uma queixa junto da Comissão e para o tratamento
da queixa foram fixadas em regulamentos ad hoc que foram adoptados em
Março de 1998 e entraram em vigor em Fevereiro de 1999.
Em 1998, foram apresentadas à Comissão cerca de 100 queixas.
Quanto à jurisprudência, um número considerável de decisões dizia respeito
à relação entre as disposições de protecção dos dados e a abertura da
actividade administrativa - especialmente no que diz respeito ao acesso a
documentos detidos por órgãos da administração pública.
Fluxos internacionais de dados
Várias questões foram apresentadas à Comissão pelos controladores de
dados que procuravam clarificar a aplicação das disposições respeitantes aos
fluxos internacionais de dados; essas questões incidiram, em particular,
sobre os requisitos de notificação, incluindo as excepções aplicáveis, e sobre
o âmbito do princípio da adequação.
Estatísticas
Em 1998, a Comissão recebeu cerca de 13.000 chamadas telefónicas, nas
quais os cidadãos pediam informações ou faziam perguntas; foram
recebidos mais de 7.000 pedidos por escrito - incluindo relatórios, queixas e
pedidos de informação. Foram apresentadas mais de 270.000 notificações e,
em mais de 15.000 casos, foi prestada assistência por telefone para o
preenchimento dos formulários em questão (em papel e/ou disquete).
Países Baixos
Evolução regulamentar
Em Fevereiro de 1998, foi apresentado ao parlamento um projecto de lei de
protecção dos dados para aplicar a Directiva 95/46/CE. O projecto de lei intitula-se
Wet bescherming persoonsgegevens (Lei para a protecção dos dados pessoais). A
Registratiekamer tinha prestado aconselhamento constante sobre o conteúdo deste
projecto de lei, em 1997.
Foi aprovada uma nova lei de telecomunicações, com a data de 19 de Outubro de
1998 (Jornal Oficial 1998, 610), que aplica, em grande medida, na lei neerlandesa, a
directiva de 1997 relativa à privacidade das telecomunicações.
Jurisprudência
Não há ocorrências a registar.
Actividade da Autoridade para a Protecção dos Dados neerlandesa
A nível nacional, houve três aspectos que tomaram grande atenção da
Registratiekamer:
- privacidade e prestação de serviços no sector financeiro: a ampliação, a
privatização e o aparecimento de novos serviços e suportes electrónicos ameaçam a
relação que os clientes possam ter com o seu banco. Cada vez mais frequentemente,
há troca de dados entre instituições e o uso de passes electrónicos exige segurança
máxima. Esta evolução coloca novas pressões sobre a integridade da prestação de
serviços financeiros;
- forças do mercado e segurança social: a pressão política sobre a infra-estrutura da
segurança social para ceder às forças do mercado notou-se pela primeira vez há
alguns anos. Em 1998, essa pressão tinha aumentado consideravelmente. Os
empregadores são cada vez mais responsáveis pelos empregados doentes. Os
organismos de implementação pública perderam a sua posição de monopólio. As
companhias de seguros privadas estão a envolver-se mais intensamente na segurança
social e os dados pessoais são, cada vez mais, vistos como "capital de negócio". A
questão está em saber como se pode moldar a protecção dos dados pessoais neste
novo contexto;
- comunicação confidencial: a liberalização do mercado das telecomunicações
parece ter entrado na velocidade máxima depois de um arranque hesitante. Contudo,
o enorme aumento dos meios de telecomunicações não está de acordo com as
possibilidades de comunicações confidenciais seguras com terceiros. São necessárias
soluções técnicas urgentes para proteger as comunicações.
Estas três problemáticas foram abordadas pormenorizadamente no relatório anual de
1998 da Registratiekamer.
A cooperação com outras entidades teve lugar sob várias formas. Além das
actividades comuns a nível da União Europeia e do Conselho da Europa, a
Registratiekamer recebeu diversas queixas de carácter internacional, originadas por
sujeitos de dados do Reino Unido e da Irlanda.
Em conjunto com colegas espanhóis da Agencia de Protección de Datos, foi
organizado em Madrid, em Novembro de 1998, um workshop sobre a estratégia de
auditoria. Em conclusão deste workshop decidiu-se continuar o trabalho em comum
com um relatório que deveria ser apresentado à Conferência da Primavera dos
Comissários, que teve lugar em Helsínquia, em Abril de 1999.
Foi elaborado, em cooperação com o Comissário dos Dados de Ontário, um relatório
sobre o tema dos agentes de software inteligente, publicado em 1999. O anterior
relatório comum das duas entidades, sobre as tecnologias que assegurem a
privacidade foi revisto e impresso novamente durante este ano.
Em 1998, a Registratiekamer elaborou relatórios para publicação sobre gestão de
cuidados, armazenamento de dados e prospecção de dados, dados pessoais no sector
fiscal e sistemas de vigilância pessoal.
Na 20ª Conferência Internacional sobre Protecção de Dados, realizada em Setembro
de 1998, em Santiago de Compostela, Espanha, foi apresentado um relatório sobre o
uso das novas tecnologias de controlo rodoviário, especialmente a tarifação
rodoviária.
A Registratiekamer também participou em várias conferências, seminários e
workshops sobre temas muito diversos e fez várias exposições para a promoção das
tecnologias que assegurem a privacidade (Privacy Enhancing Technologies - PET’s).
A Registratiekamer inaugurou um site na Web, em 1998: www.registratiekamer.nl
Neste site, encontra-se a maior parte dos pareceres desta entidade, bem como notícias
recentes, comunicados de imprensa, publicações, etc. Algumas secções contêm
informações em inglês.
Transferência de dados para países terceiros
Não se registaram acontecimentos importantes.
Portugal
Em Portugal, o ano de 1998, foi significativo quanto à produção legislativa em
matéria de protecção de dados. O parlamento, sob proposta do governo, aprovou, no
mês de Outubro, duas novas leis de protecção de dados que procederam à
transposição das Directivas 95/46/CE e 97/66/CE. Trata-se, respectivamente, da Lei
n.º 67/98, de 26 de Outubro, Lei de Protecção de Dados Pessoais e da Lei 69/98, de
28 de Outubro que regula o tratamento dos dados pessoais e a protecção da
privacidade no sector das telecomunicações. A Lei 67/98, de 26 de Outubro trouxe
inovações importantes, com a extensão do seu âmbito de aplicação à videovigilância,
atribuiu amplos poderes à Comissão Nacional de Protecção de Dados (CNPD), cuja
existência se encontra consagrada na Constituição da República e definiu os
tratamentos sujeitos a autorização prévia da autoridade de controlo. A CNPD
participou nos trabalhos de elaboração legislativa dos dois novos diplomas legais.
A CNPD realizou uma actividade marcante tendo emitido pareceres sobre legislação
do governo, em particular quanto ao número fiscal de contribuinte, identificação
civil, estatística, objectores de consciência, informação rodoviária e publicidade
domiciliária.
A duplicação do número de queixas apresentadas à Comissão que se centraram nas
áreas da actividade financeira e marketing e de informações e negócios e o crescente
número de queixas e pedidos de informação enviados por correio electrónico são a
prova de que os cidadãos recorreram de forma mais activa ao exercício dos seus
direitos através da CNPD. São de registar igualmente as deliberações e autorizações
emitidas na área da saúde, banca e riscos de crédito, bem como o número de
fiscalizações efectuadas, que quase triplicou. A CNPD desenvolveu ainda, após
entrada em vigor da nova Lei, uma campanha de divulgação e informação nos órgãos
de comunicação social, especialmente dirigida aos direitos dos cidadãos.
Quanto à auto-regulação, a CNPD pronunciou-se sobre o Código de Conduta da
Associação de Empresas de Informação e Negócios. A informação sobre a actividade
da Comissão está disponível em www.cnpd.pt.
Espanha
1.- Actividades da Agência de Protecção dos Dados espanhola, em 1998
1.1 Principais áreas de actividade
Em 1998, ocorreu uma mudança na chefia da Agência de Protecção dos Dados,
quando Juan Manuel Fernández López assumiu o cargo de director. No seu discurso
ao parlamento, em 27 de Maio de 1998, salientou as actividades fulcrais da Agência
para o futuro imediato, as quais se podem resumir do seguinte modo:
1.1.1 Desenvolvimentos pioneiros na legislação, sendo uma das grandes prioridades
da agência encorajar activamente a transposição da Directiva 95/46/CE;
1.1.2 Promoção do conhecimento da lei orgânica 5/1992, de 29 de Outubro, que
regulamenta o tratamento automatizado de dados pessoais (LORTAD), melhorando
os serviços ao público, realizando uma campanha publicitária e envolvendo-se
activamente na organização de seminários, conferências e pequenos cursos para o
sector público e privado;
1.1.3 Incentivar a adopção de códigos-tipo sectoriais para facilitar a conformidade
com a legislação de protecção dos dados;
1.1.4 Cooperação com outras instituições, como o Provedor, que também recebe
queixas de não cumprimento de outros direitos dos cidadãos, o Provedor das
Crianças de Madrid (Defensor del Menor de la Comunidad de Madrid), a Agência de
Protecção dos Dados de Madrid e a Federação Espanhola de Municípios (Federación
Española de Municipios, FEM).
1.1.5 Realização de planos de inspecção: em 1998, tiveram lugar a conclusão dos
planos de inspecção de Schengen, casinos, ficheiros de crédito e solvência e
companhias de seguros, o início da inspecção das telecomunicações e o início dos
preparativos para a inspecção de grandes ficheiros públicos;
1.1.6 Exercício do poder de aplicação de sanções, exigindo que a lei seja aplicada na
íntegra às violações;
1.1.7 Promoção da actividade do Comité Consultivo como órgão de apoio, para
ajudar o director a exercer as suas funções;
1.1.8 Participação em conferências internacionais e seminários, tendo como ponto
alto a organização da 20ª conferência internacional das autoridades para a protecção
dos dados, realizada em Santiago de Compostela de 16 a 18 de Setembro de 1998.
1.2 RESUMO DA ACTIVIDADE EM 1998
1.2.1 Registo Geral de Protecção dos Dados
Em 31 de Dezembro de 1998, o número de entradas no Registo Geral de Protecção
dos Dados era de 232.028 e, durante o ano de 1998, registou-se um total de 10.191
operações neste Registo.
Propriedade pública
Propriedade privada
TOTAL
1994
19.833
189.059
1995
4.773
7.911
1996
1.815
2.162
1997
1.522
1.725
1998
947
2.281
TOTAL
28.890
203.138
208.892
12.634
3.977
3.247
3.228
232.028
Ficheiros
2.638
ADMINISTRAÇÃO CENTRAL
Governo Nacional
Organismos dos Governos Autónomos
Entidades públicas e instituições de segurança social
ADMINISTRAÇÃO DAS COMUNIDADES AUTÓNOMAS
Governo das Comunidades Autónomas
Organismos públicos das Comunidades Autónomas
1.570
962
106
2.753
2.385
368
23.031
ADMINISTRAÇÃO LOCAL
Administração local
Órgãos públicos da administração local
22.243
788
468
OUTRAS PESSOAS COLECTIVAS-PÚBLICAS
TOTAL
28.890
Este quadro apresenta uma discriminação do número de ficheiros públicos.
Além disso, o Registo Geral de Protecção dos Dados processou, em 1998, os
seguintes ficheiros com códigos-tipo:
− Revisão do Código de Conduta para o ficheiro da taxa de acidentes dos condutores:
foi solicitado pela União Espanhola de Companhias de Seguros e de Resseguros
(Unión Española de Entidades Aseguradoras y Reaseguradoras, UNESPA), no
sentido de uma maior conformidade com a LORTAD, em especial no que diz
respeito à salvaguarda dos direitos das pessoas cujas informações constam do
arquivo da taxa de acidentes dos condutores, um ficheiro conjunto criado pelas
companhias de seguros para fins estatísticos e para ajudar a evitar a fraude na
selecção de riscos e na regularização dos sinistros. O código foi criado pela
Comissão Técnica de Segurança dos Veículos da UNESPA, proprietária deste
ficheiro, sendo aplicável a todas as seguradoras que se tornem assinantes do mesmo.
− Código de ética para a protecção dos dados pessoais na Internet, solicitado pela
Federação Espanhola do Comércio Electrónico e do Marketing Directo (Federación
Española de Comercio Electrónico y Marketing Directo, FECEMD), a qual
reconhece a necessidade de definir padrões para regulamentar o compromisso
voluntário das empresas presentes na Internet em protegerem a privacidade dos
indivíduos durante o tratamento automatizado de dados pessoais na Internet,
permitindo a todas as empresas que comercializem produtos ou serviços em linha e
que processem dados pessoais subscreverem este código. Um capítulo do código é
dedicado à definição de outros princípios aplicáveis às actividades em linha
especificamente destinadas a crianças, que poderão não estar tão aptas como os
adultos a entender a natureza da informação que é solicitada ou o uso que será dado a
essa mesma informação.
1.2.2 Inspecção dos Dados
Em 1998, a Agência tomou medidas em 493 casos, para determinar se tinha havido
uma falta de cumprimento das disposições da Lei Orgânica 5/1992 e para proteger os
cidadãos que sentissem ter sido impedidos de exercer os seus direitos de acesso,
correcção ou anulação concedidos pela lei. A maioria dos casos decorreu de queixas
individuais à Agência para a Protecção dos Dados. Os gráficos em anexo mostram a
repartição desses casos por sector.
Dos 312 processos de inquérito, 191 foram resolvidos em 1998, além de 171 abertos
em 1997 e que ainda estavam a ser processados em 1998, totalizando 362 casos
encerrados. Por outro lado, concluiu-se o tratamento dos 27 ficheiros respeitantes ao
pedido de informações prévias ao cidadão que apresentava a queixa e para o qual
acabou por não ser necessário abrir um processo de inquérito específico. Estes
valores mostram que praticamente dois terços dos casos iniciados em 1998 foram
encerrados no mesmo ano.
Em 1998, tiveram início 154 casos relativos à protecção dos direitos, tendo 117 deles
sido encerrados: a este número juntam-se os outros 37 casos semelhantes iniciados
em 1997.
Dos processos de sanção e processos da administração pública tratados, 147 e 6,
respectivamente, foram resolvidos. Ademais, foram elaboradas 292 resoluções
fundamentadas de arquivo dos casos.
[A ordem dos gráficos difere do original.
Ver chave dos gráficos, no final do texto]
PROCESSOS RESPEITANTES À PROTECÇÃO DOS DIREITOS
INICIADOS POR SECTOR
63
SECTOR
Solvencia Patrimonial y Crédito
43
Publicidad Directa
Entidades Financieras
18
12
Administraciones Públicas
18
Otros
0
10
20
30
40
50
60
70
PROCESSOS
Total: 154
CASOS INVESTIGADOS POR SECTOR
85
Solvencia Patrimonial y Crédito
57
Publicidad Directa
Entidades Financieras
40
Administraciones Públicas
39
15
Seguros Privados
11
SECTORES
Sanidad
9
Colegios Profesionales
8
Asociaciones y Clubes
5
Centrales Sindicales
5
Universidades
Investigación Privada
3
PartIdos Políticos
3
32
Otros
0
10
20
30
40
50
60
CASOS INVESTIGADOS
Total: 312
70
80
90
INFORMAÇÃO ANTERIOR POR SECTOR
17
SECTOR
Solvencia Patrimonial y
Crédito
5
Publicidad Directa
5
Otros
0
5
10
15
20
INFORMAÇÃO ANTERIOR
Total: 27
PROCESSOS POR INFRACÇÃO INICIADOS, POR SECTOR
46
Solvencia Patrimonial y Crédito
20
SECTOR
Publicidad Directa
10
Entidades Financieras
Colegios Profesionales
1
Sanidad
1
1
Seguros
15
Otros
0
5
10
15
20
25
30
PROCESSOS
Total: 94
35
40
45
50
1.2.3 Informação aos cidadãos
Em 1998, o Serviço de Informação aos Cidadãos (Área de Atención al Ciudadano)
recebeu 12.780 pedidos de informação por telefone (em comparação com os 10.000
de 1997), 1.500 pedidos de informação pessoais (1.300 em 1997) e 1.453 pedidos de
informação por escrito (1.009 em 1997). Estes números representam um aumento de
15,4% do número de pedidos de informação pessoais, de 30% por telefone e de 44%
nos pedidos de informação por escrito. O aumento do número de pedidos de
informação por escrito fica a dever-se, em parte, à existência de uma caixa postal
electrónica ao dispor do público na Internet. Os pedidos de informação enviados por
correio electrónico constituem mais de 25% de todos os pedidos de informação por
escrito que foram recebidos.
Os gráficos em seguida apresentados indicam o tipo de pedidos de informação e o
tipo de ficheiros em causa:
CONSULTA DE FICHEIROS ESPECÍFICOS EM 1998
Registos locais
1,88%
Segurança social
2,51%
Relativos a inquéritos ou
investigação
Schengen
0,84%
0,21%
Polícia
1,67%
Regulamentos de construção
1/96
0,63%
Internet
4,18%
Códigos-tipo
0,63%
Para fins publicitários
17,95%
Entidades fiscais
2,71%
Relativos a assinantes de
serviços de telecomunicações
9,60%
Estatísticas estatais
0,63%
Criados para a prestação de
serviços ao abrigo do art. 27º
3,13%
Relativos a falências, ao abrigo
do art. 28º
53,44%
Entrada do Registo
1,55%
Divulgação de
informação
8,22%
CONSULTA POR TEMA
Transferências
Pedidos de informação
internacionais
0,59%
0,07%
Outros
4,11%
Âmbito de aplicação
da lei
2,40%
Princípios Gerais
3,91%
Informações gerais
sobre a Agência
15,89%
Direitos
46,94%
Ficheiros específicos
15,69%
Violações e sanções
0,63%
1.2.4 Cooperação com outras autoridades e organismos internacionais
A Agência de Protecção dos Dados continuou a sua participação activa na Instância
Comum de Controlo criada ao abrigo do Acordo de Schengen: esteve presente em
sete reuniões realizadas por este organismo e em várias reuniões técnicas de
preparação para a inspecção de controlo da Unidade de Apoio Técnico Central,
sedeada em Estrasburgo, e para analisar um estudo preliminar que está em curso e
que define os requisitos do novo Sistema de Informação de Schengen (SIS II).
Foi concluída a inspecção do gabinete SIRENE espanhol, tal como também foi
concluída uma campanha publicitária sobre os direitos dos cidadãos no âmbito do
SIS: esta campanha implicou a produção e a distribuição de 400 cartazes e 50.000
folhetos, com a ajuda dos ministérios dos Negócios Estrangeiros e do Interior para a
distribuição deste material nos serviços consulares e nas fronteiras externas (aéreas,
marítimas ou terrestres), na área de Schengen.
Também em 1998, foi instituída a Instância Comum de Controlo (ICC-Europol),
criada pelo artigo 24º da Convenção Europol. Esta Instância é composta por dois
representantes, no máximo, de cada Autoridade para a Protecção dos Dados nacional.
O Conselho de Ministros assinou um acordo, em 25 de Setembro, no qual nomeia
representante de Espanha a Agência de Protecção dos Dados: este acordo também
determinava que o ministério dos Negócios Estrangeiros comunicaria esta nomeação
ao Secretário-Geral do Conselho da União Europeia, depositário da Convenção
Europol.
A propósito de outro tema, durante a 20ª Conferência Internacional de Autoridades
para a Protecção dos Dados (Conferencia Internacional de Autoridades de Control en
materia de protección de datos), realizada em Santiago de Compostela, verificou-se
que a Agência de Protecção dos Dados e a Registratiekamer (Autoridade para a
Protecção dos Dados dos Países Baixos) estavam interessadas em partilhar a sua
experiência de auditorias de privacidade, no intuito de trabalhar para métodos e
procedimentos de inspecção comuns. A crescente globalização do tratamento de
dados e a entrada em vigor da Directiva 95/46/CE significam que haverá uma maior
exigência de coordenação de actividades entre as inspecções das várias autoridades.
Uma vez estabelecidas estas questões, ambas as partes consideraram que uma
reunião entre representantes das duas inspecções seria o primeiro passo nesta
cooperação. Nesta reunião, realizada em Madrid durante dois dias, em Novembro de
1998, ambas as inspecções definiram os respectivos métodos de trabalho.
Foram decididas duas linhas de acção para continuar esta cooperação. A primeira foi
a apresentação, na Conferência da Primavera de Comissários para a Protecção dos
Dados, em Helsínquia, de um relatório sobre o resultado desta reunião e, sempre que
adequado, alargando a colaboração a todas as entidades que mostrassem interesse
nessa colaboração.
A segunda linha de acção seria o lançamento por ambas as entidades de um
exercício-piloto de inspecção coordenada, utilizando métodos semelhantes e
documentos previamente acordados, para se poderem analisar os resultados e
avançar na definição de normas comuns.
No que respeita a outra questão que, de resto, já foi mencionada, a Agência de
Protecção dos Dados organizou a 20ª Conferência Internacional de Autoridades para
a Protecção dos Dados, que se realizou em Santiago de Compostela, de 16 a 18 de
Setembro de 1998.
Além disso, o segundo Prémio de Protecção de Dados Pessoais foi atribuído ao livro
"A protecção dos dados pessoais no âmbito da investigação penal" apresentado por
José Francisco Etxeberría Guridi, Professor Associado de Direito Processual, na
Universidade do País Basco.
Em 1998, a Autoridade espanhola publicou, em CD-ROM, uma nova versão da lista
dos ficheiros inscritos no Registo Geral de Protecção dos Dados. Esta versão
actualizada melhorou as capacidades de acesso à informação.
De igual modo, o acesso à informação contida no Registo de Protecção dos Dados
através da Internet foi aumentado e melhorado, passando os dados do Registo a ser
constantemente actualizados. A destacar, durante este ano, é o acesso do grande
público ao site da Agência na Internet (www.ag-protecciondatos.es) que contém um
guia informativo, modelos para o exercício de direitos e recomendações aos
utilizadores da Internet, informações sobre a legislação, notificação da entrada de
ficheiros públicos e privados, bem como a lista actualizada dos ficheiros controlados
pela Agência. Durante o ano de 1998, registaram-se mais de 216.000 acessos.
2.- EVOLUÇÃO LEGISLATIVA NO DOMÍNIO DA PROTECÇÃO DOS
DADOS
2.1 Transposição da Directiva 95/46/CE
Em 31 de Agosto de 1998, foi publicado no Diário do Parlamento (Diario del Congreso
de los Diputados) um projecto de lei que alterava a Lei de Protecção dos Dados
existente (Lei Orgânica 5/1992). Anteriormente, a Agencia de Protección de Datos
tinha publicado dois relatórios acerca do projecto de lei, em 27 de Fevereiro e 31 de
Maio de 1998.
No entanto, deve dizer-se que a Lei de Protecção dos Dados existente integrava muitos
dos princípios da directiva europeia, visto que foi adoptada tendo em conta um projecto
preliminar da directiva.
2.2 Regulamentos de segurança
A aplicação da Lei Orgânica 5/1992, de 29 de Outubro, que regulamenta o tratamento
automatizado de dados de natureza pessoal, não tinha estipulado disposições para o
desenvolvimento das medidas de segurança definidas no seu artigo 9º. Por isso, foi
imperativa a aprovação de um regulamento que regesse essas medidas, estabelecendo
os diferentes níveis de segurança a aplicar aos ficheiros e as sanções aplicáveis em caso
de não cumprimento do regulamento.
Em 1998, foi elaborado, em colaboração com a Agência de Protecção dos Dados, um
projecto de regulamento sobre medidas de segurança que se espera venha a ser
adoptado em 1999. O projecto estabelece três níveis de segurança, com base na
natureza da informação que estiver a ser tratada, em conjunto com a maior ou menor
necessidade de garantir a sua confidencialidade e integridade. Ademais, as disposições
de transição determinam limites razoáveis de seis meses, um ano e dois anos para a
implementação das medidas exigidas, respectivamente, para os ficheiros de nível
básico, médio e elevado.
2.3 Instruções do Director da Agencia de Protección de Datos
No início de 1998, e conforme previsto na alínea c) do artigo 36º da Lei Orgânica
5/1992, o director emitiu a Instrução 1/1998, de 19 de Janeiro, da Agência de
Protecção dos Dados, sobre o exercício dos direitos de acesso, correcção e anulação.
Esta instrução destinava-se a clarificar as disposições existentes quanto ao exercício
desses direitos, dado que a actuação da Agência tinha mostrado que estavam a surgir
problemas de interpretação e que era necessário um esclarecimento, no caso de
ficheiros específicos, como os que contivessem informações sobre solvência
patrimonial e crédito ou ficheiros para fins publicitários.
2.4 Transposição da Directiva 97/66/CE das Telecomunicações
A Lei Geral das Telecomunicações 11/1998, de 24 de Abril de 1998, e o Decreto
Real 1736/1998, de 31 de Julho, que aprova o regulamento de desenvolvimento do
Capítulo III da Lei Geral das Telecomunicações, incorporam na lei espanhola a
Directiva 97/66/CE do Parlamento Europeu e do Conselho, de 15 de Dezembro de
1997, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector
das telecomunicações.
No que diz respeito à legislação sobre a protecção dos dados neste domínio, faz-se
uma referência expressa à aplicação da Lei Orgânica 5/1992 que regulamenta o
tratamento automatizado de dados pessoais, com o efeito de a protecção dos dados
pessoais ligados a redes e serviços de telecomunicações vir a ser regido pelas
disposições deste diploma (de acordo com o artigo 50º da Lei Geral das
Telecomunicações).
Por outro lado, os artigos do Decreto Real 1736/1998 contêm disposições sobre listas
telefónicas, chamadas por telefone não solicitadas (cold calling) para fins de
marketing directo, informações pessoais sobre o uso e a facturação das redes,
facturação detalhada e apresentação e restrição da linha de chamada e a identificação
da linha ligada, nos termos previstos pela Directiva 97/66/CE.
2.5 Reforma dos Regulamentos Hipotecários
A reforma dos regulamentos hipotecários operada pelo Decreto Real 1867/1998, de 4
de Setembro, tendo em conta os relatórios da Agência de Protecção dos Dados, inclui
três disposições que regem o tratamento de dados: a) o artigo 332.2 que proíbe o
acesso directo, seja por que meio for, ao núcleo central da base de dados do Arquivo
do Conservador, que é responsável pela sua segurança, integridade e preservação,
assim como pela incorporação da base de dados para comercialização ou revenda; b)
o artigo 332.5 que determina que a nota simples informativa consiste apenas num
breve extracto do conteúdo das entradas, incluindo a identificação da propriedade, o
titular ou titulares dos direitos conferidos, a extensão, a natureza e os limites dos
direitos e, se necessário, proibições ou restrições que afectem os titulares dos direitos
inscritos; c) o artigo 332.6 que estipula que os conservadores não poderão responder
a pedidos de informação em massa ou indiscriminados.
2.6 Outros relatórios sobre projectos de disposições gerais
Além do que atrás se mencionou e de acordo com as disposições da alínea h) do
artigo 8º da Lei Orgânica 5/1992 que regulamenta o tratamento automatizado de
dados de carácter pessoal, a Agência de Protecção dos Dados apresentou um
relatório sobre as seguintes disposições legais com importância nesta matéria:
• Instrução do Instituto Nacional de Estatística sobre a cessão de dados pessoais
contidos em registos municipais;
• Plano para a criação de uma base de dados nacional de cadastro;
• Decreto Real que adopta o regulamento do seguro de responsabilidade civil
obrigatório dos veículos a motor;
• Decreto que regulamenta a criação e o funcionamento do Registo de Tumores da
Cantábria;
• Lei de medidas fiscais, administrativas e de ordem social do ministério da
Economia e Finanças, em especial no que diz respeito à regulamentação do
imposto de rendimentos;
• Decreto Real que adopta o regulamento de organização e supervisão dos seguros
privados;
• Decreto Real que adopta o regulamento do registo das organizações
não-governamentais ;
• Ordem que cria e regulamenta o Registo Nacional de Óbitos;
• Resolução do Departamento de Gestão Fiscal que adopta o modelo de
comunicação da situação pessoal e familiar das pessoas que recebem rendimentos
do trabalho ou de alterações à situação do contribuinte e que determina a forma
em que se deve efectuar essa comunicação.
3.- SENTENÇAS PROFERIDAS EM 1998
Conforme já se indicou no relatório do ano anterior, dado que a Agência de
Protecção dos Dados só encetou a sua actividade em 1994, até ao ano de 1998 não
existiam resoluções judiciais dos recursos interpostos contra as decisões da Agência.
Em 1998, foram proferidas 13 sentenças sobre este tipo de processos, respeitando 11
delas a processos por infracção e 2 a processos que envolviam a protecção dos
direitos.
Todas estas resoluções, com uma excepção, confirmaram o ponto de vista da
Agência, demonstrando que a sua actuação foi considerada conforme com a lei.
As sentenças proferidas e um exame apurado do objecto dos recursos interpostos
mostram a importância dos pontos de vista confirmados nesta matéria pela jurisdição
de recurso.
a) Informações obtidas a partir do recenseamento eleitoral: a posição da Agência
de que a informação do recenseamento eleitoral e dos registos municipais não seja
incorporada em fontes acessíveis ao público foi confirmada por três sentenças do
Tribunal Superior de Madrid (Tribunal Superior de Justicia de Madrid) em processos
relacionados com ficheiros pertencentes a empresas com actividades de marketing
directo.
b) As actividades da inspecção não fazem parte do procedimento legal: neste
caso, em que os arguidos recusaram aos inspectores da Agência livre acesso para
realizarem a sua actividade e, consequentemente, foram penalizados por obstrução à
inspecção, o Tribunal Superior de Madrid salientou que esta actividade não fazia
parte do procedimento legal e que, consequentemente, não pressupunha a existência
de um acordo prévio para ser realizada.
4.- TRANSFERÊNCIAS INTERNACIONAIS DE DADOS DE CARÁCTER
PESSOAL
No total, 983 dos ficheiros inscritos no Registo Geral de Protecção de Dados contêm
nas suas declarações transferências internacionais de dados: 50 correspondem a
inscrições públicas e 933 a privadas.
De acordo com as excepções permitidas pelo artigo 33º da LORTAD (lei que
regulamenta o tratamento automatizado de dados de carácter pessoal), há várias
categorias de transferências internacionais de dados:
BASES JURÍDICAS
Ao abrigo de um tratado ou acordo de que a Espanha seja
signatária
Para prestar assistência jurídica internacional a outro país
Para o intercâmbio de dados de carácter médico necessários ao
tratamento de um paciente ou para investigação epidemiológica
Relativas a transferências de dinheiro
Com destino a um país citado no regulamento como tendo um
nível de protecção equiparado
Transferência autorizada pelo Director da Agência
PÚBLICAS
39
PRIVADAS
4
9
6
0
6
15
46
50
841
0
145
TOTAL DE FICHEIROS INSCRITOS COM TRANSFERÊNCIAS
INTERNACIONAIS
50
933
4.1 Casos de autorização de transferências internacionais
Até Dezembro de 1998, foram resolvidos 101 casos de pedido de autorização de
transferência internacional, encontrando-se outros 13 encetados em 1998 em fase de
tramitação. A repartição de acordo com o ano do pedido é apresentada no quadro a
seguir:
SITUAÇÃO
Resolvido
Em tramitação
TOTAL
1995
15
0
1996
41
0
1997
25
1
1998
20
13
TOTAL
101
13
15
41
26
33
114
Em 1998, foram apresentados 32 pedidos de autorização, tendo 19 sido resolvidos
nesse mesmo ano. Além disso, foi resolvido um outro pedido apresentado em 1997.
Três pedidos foram arquivados e, num dos casos, o requerente desistiu do pedido. No
total, foram autorizados e inscritos no Registo Geral 20 pedidos de transferência
internacional, encontrando-se nove casos a aguardar os trâmites finais para a sua
resolução. Os Estados Unidos são o país que recebeu mais autorizações, dado o facto
de uma grande percentagem de multinacionais ter a sua empresa-mãe naquele país.
Vale a pena observar melhor as garantias exigidas pela Agência de Protecção dos
Dados, na elaboração de contratos. Estes devem incluir cláusulas relativas a:
a) Obrigação para quem realiza a transferência de garantir que são aplicados na íntegra
todos os princípios de protecção dos dados;
b) Definição clara da finalidade do tratamento;
c) Qualidade e proporcionalidade dos dados;
d) Definição do interesse legítimo do responsável pelo tratamento, garantindo que esse
interesse não prejudica os direitos do indivíduo em questão e que este não foi
informado da transferência internacional, pelo que não existe qualquer risco de
atentado à sua privacidade, e que seria necessário um esforço desproporcionado para
informar a pessoa em questão da transferência;
e) Segurança;
f) Identificação pormenorizada, se necessário, de ambas as partes contratantes, ou seja,
do detentor do ficheiro e do responsável pelo tratamento;
g) Direito de acesso, rectificação, anulação e oposição;
h) Mecanismos de reclamação adequados;
i) Restrições a transferências posteriores ou divulgação a pessoas alheias ao contrato;
j) Acordo entre o receptor e a Autoridade de Controlo espanhola.
Chave do gráfico pág. 3 do texto original (Informação anterior por sector)
Texto original
Tradução
Solvencia Patrimonial y Credito
Solvência patrimonial e crédito
Publicidad Directa
Marketing directo
Otros
Outros
Chave do gráfico pág. 4 do texto original
(Processos respeitantes à protecção dos direitos iniciados por sector)
e envolvendo-seal e crédito
Publicidad Directa
Marketing directo
Entidades Financieras
Instituições financeiras
Administraciones Publicas
Órgãos da administração pública
Otros
Outros
Chave do gráfico pág. 4 do texto original
(Casos investigados por sector)
Texto original
Tradução
Solvencia Patrimonial y Crédito
Solvência patrimonial e crédito
Publicidad Directa
Marketing directo
Entidades Financieras
Instituições financeiras
Administraciones Publicas
Órgãos da administração pública
Seguros Privados
Seguros Privados
Sanidad
Saúde
Colegios Profesionales
Associações profissionais
Centrales Sindicales
Centrais sindicais
Universidades
Universidades
Investigación Privada
Investigação privada
Partidos Políticos
Partidos Políticos
Otros
Outros
Chave do gráfico pág. 4 do texto original
(Processos por infracção iniciados por sector)
Texto original
Tradução
Solvencia Patrimonial y Credito
Solvência patrimonial e crédito
Publicidad Directa
Marketing directo
Entidades Financieras
Instituições financeiras
Colegios Profesionales
Associações profissionais
Sanidad
Saúde
Seguros
Seguros
Otros
Outros
Suécia
Evolução regulamentar
Em 16 de Abril de 1998, foi adoptada pelo parlamento sueco a lei de protecção dos
dados pessoais proposta que tinha por base a Directiva 95/46/CE. A Lei dos Dados
Pessoais (1998:289) e a Regulamentação dos Dados Pessoais (1998:1191) entraram
em vigor em 24 de Outubro de 1998. Na mesma altura, deixou de se aplicar a Lei dos
Dados, de 1973. Esta lei continuará, porém, a aplicar-se - até 1 de Outubro de 2001 ao tratamento de dados pessoais iniciado antes da entrada em vigor da nova lei.
A Lei dos Dados Pessoais aplica-se a todos os sectores da sociedade, tanto privados
como públicos. Contudo, há várias leis que regulamentaram separadamente o
tratamento de dados pessoais nos diferentes sectores e que contêm disposições
suplementares. Em 1998, o tratamento de dados na administração dos cuidados de
saúde foi regulamentado por duas leis. Além disso, o Registo da População e dos
Endereços sueco foi regulamentado por uma nova lei exclusiva, em 24 de Outubro de
1998. Estas leis correspondem às disposições da Directiva 95/46/CE.
Após a entrada em vigor da Lei dos Dados Pessoais, teve início na Suécia um aceso
debate relativo às possibilidades oferecidas pela nova lei de mencionar nomes e
dados de indivíduos em sites da Web, sem autorização para o fazer. O governo sueco
encarregou a Comissão de Inspecção dos Dados de investigar disposições
complementares da nova legislação. É provável que haja alterações à Lei dos Dados
Pessoais em 1999, no que se refere à transferência de dados pessoais para um país
terceiro.
Jurisprudência
Em 1998, a Associação Sueca de Marketing Directo (SWEDMA) e a Sociedade
Sueca para os Estudos de Opinião e de Mercado (SMIF) encetaram conversações
com a Comissão de Inspecção dos Dados quanto à publicação de códigos de conduta
nos respectivos sectores. Até Junho de 1999, a Comissão de Inspecção dos Dados
apenas tinha emitido um parecer sobre uma proposta de códigos de conduta que dizia
respeito à SWEDMA.
Uma empresa de telecomunicações solicitou uma autorização para publicar na
Internet a sua lista telefónica em papel, sem autorização dos assinantes. A Comissão
de Inspecção dos Dados consentiu que a empresa publicasse a lista telefónica na
Internet, mas contendo apenas as pessoas que tivessem concordado com a publicação
dos seus nomes, endereços e números de telefone na Internet. A decisão foi objecto
de recurso judicial. O tribunal alterou a decisão, tendo decidido que a empresa
poderia publicar a lista telefónica sem autorização dos assinantes. Estes deveriam,
porém, ser informados e ter a possibilidade de optar por não constar da lista. A
decisão teve por base a antiga Lei dos Dados.
Actividade das Autoridades de Controlo para a Protecção dos Dados
Em 1998, a Comissão de Inspecção dos Dados realizou 113 auditorias. Grande parte
dessas auditorias realizou-se de acordo com a antiga Lei dos Dados. Várias
auditorias concentraram-se em certos domínios públicos e comerciais, por exemplo,
nos dados pessoais processados por hospitais, bancos, empresas de telecomunicações
e nos sistemas de reservas das agências de viagens, bem como no uso comercial da
informação pessoal com origem em registos públicos. A Comissão de Inspecção dos
Dados comunicou os resultados destas auditorias ao governo.
Em Outubro de 1998, Anitha Bondestam terminou o seu mandato de Directora-Geral
da Comissão de Inspecção dos Dados, tendo Ulf Widebäck sido nomeado seu
sucessor.
Também em Outubro de 1998, a Comissão de Inspecção dos Dados celebrou o seu
25º aniversário com uma conferência internacional e um banquete. Estiveram
presentes delegados de várias Autoridades para a Protecção dos Dados da Europa.
Reino Unido
Evolução regulamentar
Directiva 95/46/CE relativa à Protecção dos Dados
O governo não aplicou a legislação nacional para a entrada em vigor das disposições
da directiva, até 24 de Outubro de 1998. A aplicação da Lei de Protecção dos Dados
de 1998 foi adiada para além do final desse ano, devendo-se este atraso,
principalmente, ao facto de a elaboração da legislação derivada respectiva ter
demorado mais tempo que o previsto 31 .
Directiva 97/66/CE relativa à Protecção dos Dados das Telecomunicações
Em 17 de Dezembro de 1998, o governo apresentou ao parlamento regulamentos de
aplicação das disposições desta directiva respeitantes ao marketing directo. Estes
regulamentos entraram em vigor em 1 de Maio de 1999 32 .
31 O governo anunciou recentemente que a Lei de Protecção dos Dados de 1998 entraria em vigor em 1 de
Março de 2000.
32 Os Regulamentos das Telecomunicações (Protecção dos Dados e Privacidade; Marketing Directo)
entraram, efectivamente, em vigor em 1 de Maio de 1999.
Desde a sua aplicação, passou a ser proibido efectuar uma chamada não solicitada de
marketing directo para um assinante individual que tenha registado uma objecção. O
organismo de regulação das telecomunicações, OFTEL, mantém um registo das
pessoas que apresentaram objecções e também dispõe de um registo dos assinantes
que tenham registado uma objecção ao envio não solicitado de faxes para fins de
publicidade. O envio deste tipo de faxes a assinantes individuais, sem autorização
prévia, e a empresas assinantes, que tenham registado uma objecção, está proibido.
Contudo, os regulamentos permitem que os assinantes individuais se inscrevam.
Embora esta disposição pareça algo estranha, ela pretende resolver a dificuldade
prática de quem realiza comércio empresa a empresa, decorrente do facto de não ser
fácil identificar as empresas que são empresários em nome individual.
Quando os regulamentos relativos ao marketing directo foram apresentados ao
Parlamento, no final de 1998, o governo afirmou a sua intenção de apresentar mais
legislação derivada em 1999, que deveria revogar e anular os regulamentos e daria
pleno efeito à directiva 33 .
Em 1998, o Reino Unido realizou intensa colaboração com o DTI e o OFTEL na
preparação para a aplicação da directiva das telecomunicações.
Directiva 97/7/CE relativa aos Contratos à Distância
Em Junho de 1998, o ministério do Comércio e Indústria (Department of Trade and
Industry -DTI) publicou um Documento para Consulta sobre a aplicação da directiva
relativa aos contratos à distância. Uma disposição da directiva diz respeito aos meios
das comunicações à distância. Apesar de ser semelhante às restrições da directiva das
telecomunicações quanto às chamadas e aos faxes não solicitados para marketing
directo, a directiva dos contratos à distância introduz restrições ao uso de qualquer
meio de comunicação à distância, embora limitado ao contexto das vendas à
distância. Assim, haveria restrições legais à publicidade endereçada não solicitada e
à televisão interactiva, tal como às chamadas telefónicas e ao envio de faxes. No que
diz respeito ao correio electrónico, exprimimos a posição, ao responder à consulta do
governo, de que a norma deveria ser a inclusão (opt-in). Por outras palavras, o uso de
correio electrónico não solicitado para fins de marketing deve exigir a autorização
prévia do consumidor. Esperamos participar na aplicação das disposições que vierem
a ser adoptadas para aplicar as disposições da directiva, no Reino Unido.
"Crime and Disorder Act", 1998
Esta legislação pretende reduzir a criminalidade e a desordem pública, assim como o
receio de crimes e desordem pública nas comunidades locais. O impulso da lei é que
as comunidades locais trabalhem em conjunto para resolver as dificuldades locais.
Nesse sentido, foram advogadas e são incentivadas parcerias entre os vários sectores
do domínio público, por exemplo, entre as forças policiais e os poderes públicos
33 Os Regulamentos das Telecomunicações (Protecção dos Dados e Privacidade) de 1999 foram
apresentados ao Parlamento em 26 de Julho de 1999. Entrarão em vigor, em grande medida, com a Lei
de Protecção dos Dados, de 1998, em 1 de Março de 2000.
locais. Contudo, embora preveja a partilha de informações entre organismos, a Lei
não afecta as disposições da Lei de Protecção dos Dados, pelo que o desafio consiste
em assegurar que os direitos dos indivíduos e as obrigações atribuídas aos
utilizadores dos dados são questões a resolver no âmbito de qualquer parceria que se
destine à partilha de dados pessoais.
Lei dos Direitos Humanos de 1998
A legislação impõe aos tribunais e aos órgãos públicos deveres específicos de
consideração e aplicação dos direitos estipulados na Convenção para a protecção dos
Direitos do Homem e das Liberdades Fundamentais. Estes direitos são referidos
como direitos da Convenção. Um deles é o direito de respeito pela vida privada e
familiar, fixado no artigo 8º. A Convenção exige aos Estados o respeito pela vida
privada e familiar dos seus cidadãos. O Estado só está autorizado a interferir nesses
direitos quando existir uma base jurídica para o fazer e quando tiver razões
específicas.
Como a protecção dos dados está relacionada com a privacidade dos indivíduos e
com os seus direitos de estarem livres de interferência informativa, esperamos que o
artigo 8º possa ter um impacto significativo na interpretação e na aplicação da nova
Lei de Protecção dos Dados. Quando a Lei dos Direitos Humanos entrar em vigor34 ,
ficará claro que qualquer órgão público deve interpretar e aplicar a legislação de
forma compatível com os direitos da Convenção. A Lei de Protecção dos Dados não
será a única lei a considerar neste contexto. Por exemplo, é-nos ocasionalmente
solicitado que confirmemos que determinada lei dá a um organismo governamental o
poder de realizar certa actividade respeitante a dados, como a correspondência de
dados. Nalguns casos, é evidente que, tecnicamente, a lei pode fazê-lo, mesmo que as
disposições sejam anteriores ao advento dos computadores e, claramente, nunca
tenham ido no sentido de permitir tais exercícios. Por uma questão de política,
deixámos clara a posição do Conservador, de que os ministros não devem procurar
basear-se nessas disposições, devendo, antes, recorrer à autoridade do parlamento,
embora não o possamos impor. Se essas disposições constituírem uma base
legislativa, não poderão ser contestadas. Todavia, quando a Lei dos Direitos
Humanos entrar em vigor, será possível contestar estas interpretações como
incompatíveis com o direito de respeito pela vida privada e familiar e exigir
justificação para essa interferência, nos termos do artigo 8º.
Enquanto organismo público, obrigado a agir de forma compatível com os direitos da
Convenção, pode ser afectada a abordagem à aplicação, mesmo relativamente a
empresas do sector privado. O Tribunal de Protecção dos Dados, ao tratar de
quaisquer casos que lhe sejam apresentados, poderá ter de decidir questões
relacionadas com o direito de respeito pela vida privada e familiar. Ao fazê-lo, terá
de ter em conta qualquer sentença ou decisão do Tribunal dos Direitos Humanos.
Para chegar à decisão que poderá acabar por ser apresentada ao Tribunal, deve seguir
34 A Lei dos Direitos Humanos, de 1998, entrará em vigor em 2 de Outubro de 2000.
as mesmas fases para garantir que são considerados todos os aspectos jurídicos
aplicáveis.
De todas estas maneiras, a Lei dos Direitos Humanos intersectará a forma como
trabalhamos e influenciá-la-á, pelo que é importante estarmos preparados para
enfrentar estas questões. Iniciámos uma acção de formação com a formação da nossa
equipa jurídica interna e, a partir daí, continuámos com a formação do restante
pessoal. Este processo será contínuo, à medida que nos prepararmos para a execução.
Jurisprudência
Durante os últimos anos, a Conservadora e o seu antecessor interessaram-se pelo uso
de bases de dados de fornecimentos pelas empresas de serviços públicos para fins
que não fossem de fornecimento, particularmente no que diz respeito à publicidade
endereçada de produtos e serviços de outras empresas. A sua preocupação centrou-se
na justeza e legitimidade do tratamento de dados pessoais que está envolvido nessas
actividades, de acordo com o primeiro e o segundo Princípios de Protecção dos
Dados da Lei de Protecção dos Dados de 1984.
Em Março de 1997, a British Gas Trading Limited (BGTL) distribuiu a todos os
clientes um folheto que tentava deduzir que os clientes davam o seu consentimento
para o uso e a divulgação dos seus dados, para fins não relacionados com a
distribuição de gás, a partir de uma falta de demonstração de vontade em contrário
por parte dos clientes. Em Julho de 1997, a Conservadora emitiu uma notificação de
execução contra a BGTL, que tentava restringir os usos que esta poderia fazer dos
dados pessoais derivados da relação de distribuição. A BGTL apresentou um recurso
e o Tribunal de Protecção dos Dados reuniu-se em Fevereiro de 1998, para
considerar o recurso, tendo, em 5 de Maio de 1998, concluído uma notificação que
substituía a anterior.
No que diz respeito à legitimidade, o Tribunal não sustentou a posição da
Conservadora de que os vários serviços públicos estão restringidos em virtude dos
mecanismos regulamentares que regem as suas actividades de distribuição nos usos e
na divulgação que podem fazer da informação pessoal controlada, para fins de
distribuição.
No que diz respeito à justeza, o Tribunal sustentou amplamente a posição de que, no
momento em que estabelecem uma relação com o utilizador dos dados, os indivíduos
devem ser informados de qualquer objectivo não óbvio para que os seus dados
possam ser usados ou divulgados. Além disso, o Tribunal defendeu que é injusto
fazer usos mais alargados, para além da comercialização de electricidade ou da
distribuição de produtos e serviços, sem o consentimento do cliente. Afirmou ainda
que é injusto deduzir que se obtém o consentimento para o uso ou a divulgação de
dados do cliente no marketing de produtos ou serviços que não tenham relação com a
energia, a partir de uma não resposta a um folheto que contém uma opção de
exclusão.
Actividade da autoridade de controlo da protecção dos dados
O quadro que a seguir se traça não tenciona apresentar uma cobertura abrangente do
trabalho do Gabinete do Conservador para a Protecção dos Dados em 1998, mas é
indicativo de algumas das principais áreas de actividade.
Queixas
O número de queixas por escrito recebido no ano que antecedeu 31 de Março de
1999 mostrou um decréscimo de 13% em relação a 1997-1998, com um total anual
de 3.653. Pela primeira vez, iniciámos a classificação das chamadas recebidas na
nossa linha de informação, para identificar as que têm por objecto uma queixa. Estas
chamadas totalizaram quase 5.000 no período em questão. Apesar de cerca de 40%
dessas pessoas receberem um formulário para apresentação de queixa, e de os
formulários devolvidos serem contados como queixas escritas, é evidente que a
maioria das queixas relativamente às quais não fazemos investigações são tratadas
por telefone. Esta atitude está em conformidade com a nossa política de incentivo e
assistência aos indivíduos para que estes se ajudem a si próprios.
A quebra do número de queixas por escrito é mais uma confirmação da sensibilidade
dos assuntos de que nos ocupamos à exposição aos meios de comunicação social.
Durante o ano, a publicidade que fomentámos foi muito limitada e não vimos um
grande número de queixas devidas a artigos de jornais ou a outros acontecimentos,
como já acontecera anteriormente. O nosso dever, de acordo com a Lei de 1998,
passará a consistir em avaliar a conformidade do tratamento de dados pessoais e não
em atender a queixas. Contudo, será interessante ver o impacto da publicidade que
tencionamos fazer quando a nova lei entrar em vigor sobre os assuntos de que nos
ocupamos.
Inscrição
Os doze meses que antecederam Abril de 1999 foram especialmente movimentados.
A introdução da Lei de 1984 deu aos utilizadores dos dados um período de 6 meses
para se inscreverem. O resultado foi um número record de pedidos de renovação que
são recebidos de 3 em 3 anos. Esse mesmo ano foi um ano de alta nas renovações e,
além dos 67.205 pedidos de renovação recebidos, foram recebidas mais de 23.000
novas candidaturas.
Preparação para a Nova Lei
A Lei de Protecção dos Dados de 1998 recebeu aprovação real (Royal Assent) em 16
de Julho de 1998. Nos meses que se seguiram à aprovação da lei, estivemos bastante
ocupados com os comentários à legislação derivada e com a preparação da aplicação
da lei, se bem que, inevitavelmente, a falta de uma data-limite para início nos tenha
causado algumas dificuldades.
A evolução mais extraordinária neste domínio foi a publicação pela nossa equipa
jurídica de uma introdução à Lei de Protecção dos Dados de 1998 (ver mais
informações a seguir), incluindo uma orientação detalhada para os controladores de
dados sobre a assistência de transição prestada no que toca ao tratamento já em
curso.
Começámos a trabalhar em estreita colaboração com representantes das várias
organizações, incluindo a CBI, e com juristas interessados em aconselhar os seus
clientes quanto as disposições relativas a transferências para fora do Espaço
Económico Europeu (EEE). Sempre que possível, ajudámos outros organismos que
estão a elaborar orientações úteis sobre a nova lei. Trabalhámos com o Instituto
Britânico de Normalização (British Standards Institute) no seu Projecto "Disc". O
objectivo deste projecto é dar orientação prática às empresas. Em conjunto com a
Harrison Smith Associates (HSA), o nosso pessoal apresentou uma série de
seminários com o objectivo de fazer uma introdução às disposições da nova lei.
Colaborámos com funcionários do ministério do Interior (Home Office), comentando
em pormenor os projectos de legislação derivada.
Continuámos a preparar-nos para assumir um conjunto de novas responsabilidades,
entre as quais se contam a responsabilidade pelo acesso a registos de referências
bancárias, pelos direitos de acesso existentes a certos registos da saúde, do ensino e
outros, bem como a aplicação das disposições que aplicam a directiva das
telecomunicações.
Registos públicos
A tecnologia implica que as informações pessoais constantes de registos públicos,
por exemplo do recenseamento eleitoral, possam, cada vez mais, ser utilizadas com
fins diferentes daqueles para os quais o registo foi inicialmente criado. É uma área
relativamente à qual o nosso conhecimento da prática actual está incompleto. Por
isso, encarregámos a Universidade de Loughborough de realizar um estudo sobre o
alcance e o uso que se faz das informações pessoais nos registos públicos. O estudo
está ainda em curso, mas sentimo-nos motivados pelo interesse que os investigadores
comunicam na sua actividade. Quando recebermos as conclusões, teremos de
considerar a possibilidade de recomendar alterações nas regras que se aplicam aos
registos particulares.
Uso de dados pessoais no emprego
O uso de dados pessoais no emprego é um tema que tem recebido pouca atenção, em
grande medida porque o número de queixas tem sido reduzido. Trata-se, claramente,
de uma área na qual os indivíduos são vulneráveis. As consequências da tomada de
decisões com base em informações incorrectas ou num uso injusto da informação são
óbvias. Há questões importantes quanto ao ponto de equilíbrio entre a "necessidade
de saber" dos empregados e potenciais empregados por parte dos empregadores e os
direitos daqueles à sua privacidade. O recurso crescente à tecnologia na tomada de
decisões e na supervisão, assim como o alargamento da nova lei aos registos manuais
estruturados e as suas disposições quanto à tomada de decisões automatizada
indicam que o uso dos dados pessoais nas relações empregador/empregado já
garantem maior consideração. Neste sentido, encomendámos um estudo cujo
objectivo era facultar-nos:
•
um panorama dos usos de dados pessoais na relação empregador/empregado,
particularmente no que respeita aos sistemas automatizados de selecção e avaliação e
à supervisão de empregados para nos ajudar na identificação das preocupações
relativas à protecção dos dados;
•
um projecto de Código de Prática destinado aos empregadores e relativo à
protecção dos dados e ao tratamento de dados dos empregados.
Neste momento, estamos a analisar o resultado do estudo. Embora ainda haja muito a
fazer, tencionamos desenvolver o código até a um ponto em que possamos consultar
representantes de empregadores e empregados acerca do seu conteúdo. O objectivo é
que o código tenha a forma de uma lista de pontos-chave a seguir pelos profissionais
desta área, de forma a garantir a conformidade com a protecção dos dados.
Sensibilização
Os projectos deste ano foram inevitavelmente impulsionados pela nossa expectativa
de entrada em vigor da nova lei. Trabalhámos num novo vídeo e num folheto de
apresentação, os quais estarão disponíveis, a pedido, quando a nova lei entrar em
vigor.
Outra publicação que foi elaborada em resultado da nova lei foi o documento de 46
páginas "The Data Protection Act - An Introduction" (já mencionado). Foram
impressos cinquenta mil exemplares e, à semelhança do que acontece com todas as
publicações recentes sobre protecção de dados, o documento foi colocado na nossa
página na Internet (http://www. dataprotection.gov.uk).
Continuamos a congratular-nos com a nossa atitude de abertura à comunicação
social. Sempre tivemos o maior prazer em falar com todos os jornalistas. Com a
aproximação da nova lei, tem havido um interesse constante na protecção dos dados.
Nos 12 meses anteriores a Junho de 1999, alguns funcionários participaram em cerca
de 300 entrevistas públicas a meios de comunicação social, com 10 aparições em
televisão e 31 em rádio.
Tal como já acontecera noutros anos, continuámos a estabelecer relações com
sujeitos de dados e utilizadores de dados. Utilizámos vários meios de comunicação
neste contexto, incluindo uma linha de informação dedicada, notas de orientação,
notas de aconselhamento, pacotes de formação, vídeos, seminários, exposições orais,
boletins informativos, Internet, publicidade, participação em exposições, colaboração
com os Citizen’s Advice Bureaux e outras agências e ainda publicidade endereçada.
A página do Conservador de Protecção dos Dados na Internet mostrou ser um meio
cada vez mais eficaz. Durante o ano de 1998, o site recebeu cerca de 10.000 visitas
por mês.
A contribuição para conferências e seminários organizados por outros organismos
tem sido sempre um factor importante de sensibilização e ocupa grande parte do
tempo do pessoal superior. Enviámos oradores a uma série de seminários que a HSA
organizou para nós, intitulados "The Data Protection Act 1998 - Stay within the
Law" e que se realizaram em 21 locais em todo o Reino Unido, em Agosto/Setembro
de 1998. Muitas destas conferências tiverem excesso de inscrições e, por isso, foram
apresentados outros seminários em Março de 1999, para satisfazer a procura. No
total, mais de 3.000 pessoas participaram nesta série de seminários.
Influência das Políticas Governamentais
A Conservadora testemunhou perante a Câmara dos Lordes, na Comissão e na
Subcomissão das Comunidades Europeias (Direito e Instituições), no Verão de 1998,
acerca do efeito da Regra 28 do projecto de regras de procedimento para a Instância
Comum de Controlo, estabelecida para administrar as questões de protecção dos
dados surgidas em relação à base de dados da EUROPOL, e que dizia respeito à
recepção, pela EUROPOL, de informações de países terceiros e organismos terceiros
onde essas informações eram obtidas em violação dos direitos humanos. A regra foi
posteriormente corrigida, para ter em conta as preocupações em matéria de direitos
humanos.
Grupo de Trabalho do Artigo 29º
Em 1998, continuámos o nosso contributo positivo para a actividade do Grupo de
Trabalho do Artigo 29º. As reuniões foram mais frequentes que em 1997, reflectindo
os problemas respeitantes às transferências de dados pessoais para fora do EEE.
Grupo de Trabalho de Berlim sobre Telecomunicações
Estivemos representados em reuniões do Grupo de Trabalho de Berlim sobre
Telecomunicações. Este grupo reúne-se duas vezes por ano para analisar questões
relativas às telecomunicações. Entre os participantes, contam-se pessoal das
autoridades europeias para a protecção dos dados e não só, bem como outros peritos
em protecção de dados.
Conselho da Europa
O Conselho da Europa foi responsável pela criação da Convenção de Protecção dos
Dados 35 original, na qual se baseava a Lei de protecção dos Dados de 1984, e
continua a fazer recomendações que procuram melhorar a protecção dos dados e os
direitos de privacidade dos indivíduos. Estamos envolvidos no acompanhamento
destas iniciativas, embora já não participemos nas reuniões do Grupo de Projecto,
como participámos até Novembro de 1996. Em 1998, comentámos o projecto de
recomendação do Comité de Ministros aos Estados-Membros para a Protecção da
35
Convenção do Conselho da Europa para a protecção das pessoas singulares no que respeita ao
tratamento informático de dados pessoais , Tratado Europeu, Série 108, Estrasburgo 1981
Privacidade na Internet, que dá orientações para a protecção dos indivíduos no que
diz respeito à recolha e tratamento de dados pessoais nas auto-estradas da
informação. A proposta foi bem recebida, dado haver uma necessidade evidente de
orientação nesta área, embora uma ligeira crítica da recomendação tenha sido a de
que ela era muito breve e presumia que os sujeitos dos dados já tinham um
conhecimento básico de alguns dos aspectos técnicos envolvidos no seguimento dos
seus movimentos e na recolha dos seus dados na Internet.
Reuniões de Comissários
Continuam a realizar-se duas vezes por ano conferências com os comissários que
representam Guernsey, Jersey, a Ilha de Man e a República da Irlanda. Estas
reuniões constituem principalmente um mecanismo para actualizar as áreas de
jurisdição mais pequenas em termos de protecção dos dados, especialmente as que se
encontram fora do EEE, acerca dos problemas actuais em termos de protecção dos
dados. Estas reuniões são hoje particularmente importantes, visto que muitas destas
jurisdições estão actualmente envolvidas na reelaboração da sua legislação de
protecção de dados, a fim de reflectir as disposições da directiva comunitária de
protecção dos dados. Realizaram-se reuniões em Dublin, na Primavera de 1998, e
em Wilmslow, no Outono.
Cooperação internacional no âmbito do terceiro pilar
O gabinete empenhou-se cada vez mais no trabalho de protecção dos dados do
terceiro pilar em 1998, por exemplo, na auditoria de protecção dos dados do sistema
da EUROPOL, a nível nacional. Este trabalho também está a decorrer a nível
europeu e fomos responsáveis pela elaboração das Regras de Procedimento da
Instância Comum de Controlo para a instituição do Sistema de Informação
Aduaneira ao abrigo da Convenção CIS, para além de termos participado em vários
grupos de discussão e grupos de trabalho descritos noutros pontos do presente
relatório.
Organização de Cooperação e de Desenvolvimento Económicos
A OCDE tenta obter activamente meios de protecção da privacidade nas redes
globais. Grande parte do seu trabalho destina-se a lançar pontes entre os países que
têm leis formais de protecção dos dados e aqueles que preferem assentar numa
combinação de outras leis e auto-regulação. Estivemos fortemente envolvidos neste
trabalho, fazendo parte do Grupo de Trabalho sobre Segurança da Informação e
Privacidade que seguiu as conclusões do Workshop de Fevereiro de 1998, no qual o
Conservador-Adjunto actuou como relator. Foi particularmente bem recebida a
declaração dos ministros na sua conferência de Outubro em Otava, que reafirmou a
importância das Orientações de Privacidade da OCDE, de 1980, para a protecção da
privacidade no comércio electrónico global. Os ministros afirmaram o seu
compromisso político para garantir a implementação desses princípios e analisar os
progressos ao fim de dois anos.
Transferência de dados para países terceiros
De acordo com as disposições da Directiva 95/46/CE e com o Princípio 8 da Lei de
Protecção dos Dados de 1998, que tratam das transferências de dados pessoais para
fora do EEE, mantivemos conversações com representantes da indústria acerca das
formas de assegurar a protecção dos dados pessoais que saem do EEE. A nosso ver,
as disposições contratuais terão um papel importante na garantia de protecção
adequada e temos apoiado activamente o trabalho da Câmara de Comércio
Internacional e da Confederação da Indústria Britânica na elaboração de
contratos-tipo que já foram submetidos à aprovação da Comissão Europeia. No
âmbito deste esforço de encontrar soluções contratuais e não-contratuais para o
problema da adequação, realizámos três workshops com a participação de juristas e
outros profissionais com actividades em contratos e códigos de prática, para garantir
uma protecção adequada.
O ministério do Comércio dos Estados Unidos (Department of Commerce) adoptou
uma abordagem diferente. Propôs um "Porto Seguro" para as empresas que se
comprometam a cumprir um conjunto de princípios de protecção dos dados. Esses
princípios devem a sua origem às Directrizes de 1980 da OCDE. Embora apoiemos a
proposta, deixamos claro que alguns princípios, particularmente os que tratam do
acesso dos sujeitos e da aplicação, necessitariam de ser reforçados e que seria difícil
aplicar o mecanismo a quaisquer outros dados que não sejam os de clientes. Os
debates prosseguem. Os progressos internos dos Estados Unidos, especialmente na
aplicação da privacidade do comércio electrónico pela Comissão Federal do
Comércio, dado que ocorrem em simultâneo, apresentam a perspectiva de aproximar
os dois lados do Atlântico na prática e, por isso, também de os colocar mais
próximos de uma solução aceitável.
2.5.
Desenvolvimento da política da União Europeia no domínio da protecção dos
dados
Embora a Directiva 95/46/CE constitua o elemento-chave da política europeia no que
respeita à protecção dos dados, ela foi complementada por várias outras iniciativas
destinadas a garantir ao cidadão um quadro de protecção coerente.
Esta parte apresentará a evolução da União Europeia no que toca a aspectos da esfera
de competências das Comunidades Europeias (subpartes 2.5.1 e 2.5.2) e aos que
implicam o Título VI do Tratado da União Europeia (subparte 2.5.3).
2.5.1.
A protecção dos dados e a sociedade da informação
O ano de 1998 foi marcado pelas medidas de continuação da Comunicação da
Comissão intitulada "Uma iniciativa europeia para o comércio electrónico", adoptada
em 16 de Abril de 1997, e da Comunicação intitulada "Garantir a segurança e a
confiança nas comunicações electrónicas - Contribuição para a definição de um
quadro europeu para as assinaturas digitais e a cifragem", adoptada pela Comissão
em Outubro de 1997 36 .
Em resposta a esta última comunicação, que identificou a falta de confiança e de
segurança nas redes electrónicas como sendo um dos maiores obstáculos ao rápido
desenvolvimento do comércio electrónico, a Comissão propôs, em 13 de Maio de
1998, uma directiva relativa a um quadro comum para as assinaturas electrónicas 37 .
A proposta de directiva estabelece os requisitos mínimos no que respeita à segurança
e fiabilidade e contém disposições específicas de protecção dos dados. Destina-se a
garantir que as assinaturas electrónicas são legalmente reconhecidas em toda a UE
com base nos princípios do mercado único de livre circulação de serviços e de
controlo no país de origem. As disposições específicas de protecção dos dados
limitam a recolha de dados pessoais ao que for necessário para a emissão e a
manutenção de um certificado, proibindo qualquer outro uso, a menos que a pessoa
em questão tenha dado a sua autorização. A directiva evita ainda que os
Estados-Membros proíbam certificados com pseudónimos (isto é, um certificado em
que se indica um pseudónimo, em vez do nome do utilizador). Os fornecedores de
serviços podem, assim, facultar esses certificados aos utilizadores (signatários) que
pretendam usar vários certificados para as diferentes situações (por vezes, a
identificação é pedida ou desejada, outras vezes, não).
Em 18 de Novembro de 1998, a Comissão apresentou um projecto de directiva
relativa a certos aspectos legais dos serviços da sociedade de informação, em
especial do comércio electrónico, no mercado interno38 . A posição adoptada foi a de
identificar os restantes obstáculos à prestação de serviços em linha no mercado
interno, sendo eles, principalmente: transparência, fiabilidade, marketing directo e
contrato. O projecto de directiva não determina regras de protecção dos dados,
porque as Directivas 95/46/CE e 97/66/CE já constituem um quadro jurídico
abrangente que se aplica ao tratamento de dados no comércio electrónico. De uma
maneira geral, a autonomia destes quadros jurídicos deve ser respeitada, pelo que a
directiva é mencionada no artigo 22º, relativo às isenções do âmbito de aplicação e
das derrogações do projecto de directiva.
Isto não quer dizer que a Directiva 95/46/CE não se aplique ao comércio electrónico,
pelo contrário. A aplicação da directiva do comércio electrónico terá de respeitar as
directivas de protecção dos dados. Nenhuma disposição da directiva do comércio
electrónico poderá ser interpretada de forma a prejudicar a plena aplicação das
directivas de protecção dos dados ao tratamento de dados pessoais no contexto do
36
Ambas as comunicações estão disponíveis em:
http://europa.eu.int/comm/dg15/en/media.index.htm
37
Proposta de directiva do Parlamento Europeu e do Conselho relativa a um quadro comum para as
assinaturas electrónicas [COM (1998) 297 final], disponível: ver nota 34.
38
Proposta de Directiva do Parlamento Europeu e do Conselho relativa a certos aspectos jurídicos do
comércio electrónico no mercado interno [COM(1998) 586 final]
comércio electrónico. Por exemplo: a obrigação específica de transparência para
comunicações comerciais não solicitadas por e-mail ("spam"), que faz parte da
proposta da Comissão, não pressupõe que as comunicações comerciais não
solicitadas por e-mail, em si, sejam permitidas. Esta questão é abordada pelas
directivas de protecção dos dados e pela directiva dos contratos à distância 39 .
A Comissão também apresentou uma proposta alterada de directiva relativa à
harmonização de certos aspectos do direito de autor e dos direitos conexos na
Sociedade da Informação40 . A proposta ajustaria e complementaria o quadro jurídico
existente, com especial destaque para os novos produtos e serviços que contenham
propriedade intelectual (tanto em linha como em suportes físicos, como CD,
CD-ROM e DVD), de forma a assegurar um mercado único do direito de autor e dos
direitos conexos, simultaneamente, protegendo e estimulando a criatividade e a
inovação na União Europeia. Dado que a informação sobre a gestão dos direitos
pode, dependendo da sua concepção, ao mesmo tempo processar dados pessoais
sobre os padrões de consumo de temas protegidos pelos indivíduos e permitir a
detecção de comportamentos em linha, a proposta da Comissão inclui, no
considerando 34, o requisito de que tais meios técnicos incorporem salvaguardas em
matéria de vida privada, em conformidade com o disposto na Directiva 95/46/CE.
Mediante proposta da Comissão, o Parlamento Europeu e o Conselho adoptaram o
Quinto Programa-Quadro Comunitário de investigação e desenvolvimento
tecnológico (IDT) (1998 – 2002), em Dezembro de 1998. O programa específico
"Sociedade da Informação Convivial (IST)" pretende materializar os benefícios da
sociedade da informação na Europa, acelerando o seu aparecimento e garantindo a
satisfação das necessidades dos indivíduos e das empresas. As acções-chave para a
protecção dos dados e a privacidade são: Sistemas e serviços para o cidadão, Novos
métodos de trabalho e comércio electrónico, Conteúdos e ferramentas multimédia,
Tecnologias e infra-estruturas essenciais, Tecnologias futuras e tecnologias
emergentes; estas acções integram aspectos relativos à privacidade e à protecção dos
dados. Um exemplo disso é a linha de acção II.4.2 respeitante às Transacções
financeiras electrónicas seguras: a actividade deverá cobrir a facturação, o
pagamento, a contabilidade e a manutenção de registos, bem como os pagamentos
anónimos, pequenos pagamentos e micro-pagamentos. Outro exemplo é a linha de
acção II.4.1, Identificação e autenticação: a actividade deverá possibilitar uma
identificação pessoal multifunções equitativa, com características de reforço da
privacidade adequadas sob controlo individual.
O Grupo de Trabalho contribuiu para o debate da protecção dos dados na Sociedade
da Informação com o Parecer 1/98 sobre a Plataforma de Preferências em Matéria
39
Directiva 97/7/CE do Parlamento Europeu e do Conselho, de 20 de Maio de 1997, relativa à protecção
dos consumidores em matéria de contratos à distância
40
Proposta alterada de directiva do Parlamento Europeu e do Conselho relativa à harmonização de certos
aspectos do direito de autor e dos direitos conexos na Sociedade da Informação [COM(1999) 250 final]
de Protecção da Vida Privada (P3P) e a Norma de Perfis Aberta (OPS), adoptado
em 16 de Junho de 1998. A Plataforma de Preferências em Matéria de Protecção da
Vida Privada (P3P) concebe a privacidade e a protecção dos dados como algo a
decidir entre o utilizador da Internet, cujos dados são reunidos, e o site da Web que
recolhe os dados. A filosofia baseia-se na ideia de que o utilizador autoriza a recolha
dos seus dados pessoais por um site (a Norma de Perfis Aberta pretende garantir uma
transmissão segura de um perfil-tipo de dados pessoais), desde que as práticas de
privacidade declaradas do site, como os fins a que se destina a recolha dos dados e se
os dados são utilizados para fins secundários ou transmitidos a terceiros, satisfaçam
os requisitos do utilizador. O Consórcio da World Wide Web (World Wide Web
Consortium - W3C) procurou elaborar um vocabulário único através do qual se
articulam as preferências dos utilizadores e as práticas do site. Dada a intenção de a
P3P ser aplicável em todo o mundo, o Grupo de Trabalho defendeu que o
vocabulário deva ser adaptado aos requisitos também da directiva comunitárias de
protecção dos dados, por exemplo, definindo como opção assumida, em certas
circunstâncias, a "autorização".
2.5.2.
A protecção dos dados e os outros instrumentos comunitários
Considerando os aspectos específicos das reservas em linha e as iniciativas recentes
da Comissão neste domínio 41 , o Grupo de Trabalho decidiu a criação de um
subgrupo sobre os sistemas informatizados de reserva (SIR). Este subgrupo reuniu-se
duas vezes e decidiu apresentar os resultados dos seus debates ao Grupo de Trabalho,
tendo em vista a adopção de uma recomendação. A recomendação foi adoptada pelo
Grupo de Trabalho, em 28 de Abril de 1998, e destina-se à Comissão Europeia, ao
Parlamento Europeu, ao Conselho da União Europeia e ao Comité Económico e
Social42 .
O sector dos transportes aéreos caracteriza-se pelo uso muito avançado de sistemas
de informação. Existem bases de dados com dados individuais em muitos contextos:
em particular nas empresas de transportes aéreos, nas agências de viagens e nos
sistemas informatizados de reserva. Muitas destas bases de dados (em particular, mas
não só, SIR) encontram-se fora da Comunidade. Considerando a natureza
internacional da aviação, as soluções gerais são, em princípio, a solução mais
adequada.
O Grupo de Trabalho identificou como prioridades a incluir no projecto de texto do
Conselho as questões relativas aos direitos dos passageiros à informação e ao acesso,
bem como à eliminação de dados em linha que não sejam necessários para a
prestação dos serviços.
41
Proposta de regulamento (CE) do Conselho que altera o Regulamento (CEE) n.º 2299/89 do Conselho
relativo a um código de conduta para os sistemas informatizados de reserva (SIR): COM (97) 246 final
de 9 de Julho de 1997.
42
WP 10 (5009/98): Recomendação 1/98 relativa aos sistemas informatizados de reserva nos transportes
aéreos (SIR), adoptada em 28.4.1998 (em 11 línguas), disponível no endereço indicado na nota 1.
O Grupo de Trabalho recomendou que a proposta de regulamento que altera o
Regulamento n.º 2299/89 do Conselho relativo a um código de conduta para os
sistemas informatizados de reserva seja completada por várias obrigações específicas
(como facultar informações ao consumidor sobre o tratamento de dados pessoais no
SIR) e por um requisito de que se proceda às mudanças adequadas, a fim de alargar
aos aspectos de protecção dos dados o âmbito da auditoria exigida no n.º 1 do artigo
21º.
Além disso, o Grupo de Trabalho recomendou que se considerem prioritários os
problemas específicos levantados pelas reservas em linha que não entrem no âmbito
do SIR (por exemplo, agências de viagens ou transportadoras aéreas que propõem a
venda directa de bilhetes na Internet) e que a apresentação de soluções adequadas
pela Comissão seja tratada como uma questão urgente.
2.5.3.
A protecção dos dados no âmbito dos instrumentos não-comunitários
O âmbito de aplicação da Directiva 95/46/CE está limitado ao tratamento de dados
pessoais que decorre durante as actividades que entram no âmbito de aplicação da
legislação comunitária. Por outras palavras, os Estados-Membros não são obrigados
a aplicar a directiva ao tratamento de dados pessoais que tenha lugar no decurso de
actividades que se enquadrem no âmbito dos Títulos V e VI do Tratado UE (segundo
e terceiro pilares).
A maioria dos instrumentos adoptados ou em processo de adopção com base no
terceiro pilar (cooperação nos domínios da justiça e dos assuntos internos) prevê o
tratamento de dados pessoais, incluindo o intercâmbio desses dados entre
Estados-Membros. As regras de protecção dos dados pessoais constantes desses
instrumentos variam consideravelmente e não assentam na protecção dos dados,
fixada pela directiva.
Tratado de Amsterdão
O Tratado de Amsterdão inseriu um novo Título IV no Tratado CE. Ao abrigo deste
novo título, a Comunidade Europeia trata de vistos, asilo, imigração e outras
políticas relativas à livre circulação de pessoas. Até agora, estas questões eram
tratadas no âmbito do terceiro pilar, mas, daqui em diante, passarão a fazer parte do
âmbito do primeiro pilar ("Amsterdização"). Consequentemente, estas áreas de
actividade entram no âmbito de aplicação da directiva que deverá ser considerada na
elaboração de novos instrumentos comunitários, ao abrigo do Título IV do Tratado
CE.
Abordagem horizontal da protecção dos dados no terceiro pilar
Em 6 de Maio de 1998, a Itália apresentou um documento (ao Coreper 43 e ao
Conselho Justiça e Assuntos Internos) no qual propõe um estudo das possibilidades
43
Coreper = Comité de Representantes Permanentes, que prepara o trabalho dos Conselhos de Ministros
de uma abordagem mais uniforme da protecção dos dados, nos instrumentos do
terceiro pilar. Na sua Conferência da Primavera, em 23 e 24 de Abril em Dublin, os
Comissários para a Protecção dos Dados da UE adoptaram uma resolução que acolhe
qualquer iniciativa que contribua para um elevado nível de harmonização neste
domínio. O Serviço Jurídico do Conselho elaborou um documento relativo à
protecção dos dados pessoais nos instrumentos do terceiro pilar. Decidiu-se que este
tema necessita de um exame mais detalhado a nível do grupo de trabalho do
Conselho (Grupo Horizontal "Informática").
Outros instrumentos
Este ano, foi estabelecida a Convenção relativa às decisões de inibição de conduzir
(JO C 216 de 10 de Julho de 1998), que não contém quaisquer disposições sobre a
protecção dos dados pessoais. O Eurodac e a Convenção de Assistência Jurídica
Mútua ainda estavam a ser negociados. Em ambos os projectos, estavam previstas
regras de protecção dos dados pessoais.
Schengen
A maioria dos Estados-Membros da UE aderiu ao acordo de Schengen que prevê a
cooperação entre a polícia e as autoridades aduaneiras, além da questão da
imigração, para compensar a eliminação dos controlos nas fronteiras internas. Um
aspecto essencial destas medidas é a implementação de um sistema comum de
informação, o Sistema de Informação Schengen (SIS). A este respeito, o acordo
também contém disposições de protecção dos dados e prevê, em particular, a criação
de uma instância comum de controlo constituída por representantes das entidades
nacionais de fiscalização dos países signatários do acordo de Schengen. Esta
instância de controlo publicou recentemente o seu segundo relatório que cobre o
período de Março de 1997 a Março de 1998.
O Tratado de Amsterdão e os textos que lhe estão anexos estipulam que o acervo de
Schengen será integrado no âmbito da União Europeia 44 . A Conferência
Intergovernamental solicitou ao Conselho que adoptasse todas as medidas
necessárias nesse sentido, na altura em que o tratado entrou em vigor, e que o
trabalho de preparação necessário fosse realizado no tempo adequado. Este pedido
aplicava-se também às disposições de protecção dos dados da Convenção de
Aplicação do Acordo de Schengen, de 14 de Junho de 1985. O grupo de trabalho
competente do Conselho da União Europeia debruçar-se-á sobre esta questão.
44
Cf. segundo parágrafo do n.º 1 do artigo 2º do protocolo anexo ao Tratado da União Europeia e ao
Tratado que institui a Comunidade Europeia e que integra o acervo de Schengen no âmbito da União
Europeia.
3.
CONSELHO DA EUROPA
O Conselho da Europa continuou a actividade que realiza regularmente sobre a
questão da protecção dos dados.
O Comité Consultivo da Convenção (T-PD) encetou um trabalho destinado a avaliar
a necessidade de revisão da Convenção perante os progressos dos últimos anos,
particularmente no domínio tecnológico, e preparou um Protocolo adicional à
Convenção 108, nesse sentido. Ademais, na sequência do pedido da Comunidade
Europeia de abertura de negociações, com vista a permitir a sua adesão à
Convenção 45 , o comité elaborou um projecto de Alteração à Convenção 108.
O grupo do projecto de protecção dos dados (CJ-PD) prosseguiu o seu trabalho no
projecto de recomendação relativa à protecção do tratamento de dados pessoais para
fins de seguros e começou a preparar directrizes de protecção dos dados, no que
respeita à recolha e ao tratamento de dados pessoais na Internet.
A Comunidade, representada pela Comissão, intervém no âmbito do CJ-PD e do
Comité Consultivo, quando as questões em debate entram nas competências externas
decorrentes das Directivas 95/46/CE e 97/66/CE. Foi o que se passou com os textos
atrás mencionados que estão a ser preparados. Esta cooperação com o Conselho da
Europa destina-se a garantir a total compatibilidade com as directivas comunitárias.
4.
PRINCIPAIS DESENVOLVIMENTOS NOS PAÍSES TERCEIROS
A directiva não só regulamenta o tratamento dos dados pessoais na UE, como
também apresenta disposições sobre a transferência de dados para países terceiros
(artigos 25º e 26º). O princípio de base é que os Estados-Membros só devem permitir
este tipo de transferência se os países em questão assegurarem um nível de protecção
apropriado. Poderá, obviamente, acontecer que não se possa assegurar um nível de
protecção adequado e, presumindo que não se aplique nenhuma das excepções
previstas, os Estados-Membros devem evitar essas transferências.
Este tipo de situação pode provocar grandes distúrbios na circulação de dados
pessoais em todo o mundo e, consequentemente, no comércio internacional. Embora
seja possível evitar transferências de dados pessoais por força do artigo XIV do
GATS (acordo geral sobre o comércio de serviços), seria preferível evitar o recurso a
esse tipo de actuação. Uma solução muito mais satisfatória seria que esses países
terceiros para os quais os dados são transferidos regularmente, instituíssem um nível
de protecção que se possa considerar adequado.
45
Decisão do Conselho da União Europeia, de Julho de 1997, que autoriza a Comissão a abrir
negociações para permitir a adesão da Comunidade Europeia à Convenção 108.
4.1.
Espaço Económico Europeu
NORUEGA
Evolução regulamentar
O parlamento norueguês não recebeu, conforme se esperava, uma proposta do
ministério da Justiça relativa a uma nova lei que aplique a Directiva comunitária
95/46/CE. (O Parlamento viria a receber esta proposta em Junho de 1999 e prevê-se
que vote o projecto de lei durante a sessão da Primavera de 2000. A data efectiva de
aplicação deverá ser 1 de Janeiro de 2001.)
A responsabilidade da Directiva 97/66/CE foi atribuída ao ministério dos Transportes
e Infra-Estruturas. Consequentemente, a Inspecção dos Dados que, em termos de
organização, depende do ministério da Justiça não será a autoridade de controlo nos
domínios regulamentados por esta directiva.
A Inspecção dos Dados tem trabalhado no Sistema de Informação de Schengen (SIS)
e na sua aplicação na Noruega. Em particular, a Inspecção tem estado envolvida na
proposta de uma nova lei que regulamentará o SIS, bem como na criação de um
grupo de trabalho norueguês.
Em 1998, o parlamento não adoptou quaisquer leis que tenham impacto directo na
protecção dos dados.
Actividade da Inspecção dos Dados, em 1998
A Inspecção recebeu 10.107 documentos relativos às várias áreas da sua
competência.
Uma das principais responsabilidades da Inspecção consiste na concessão de licenças
para o estabelecimento de novos registos electrónicos com informações pessoais. Em
1998, a Inspecção emitiu 1.923 novas licenças.
A Inspecção recusou 40 pedidos de licenças e recebeu 20 queixas referentes a
decisões que havia tomado.
Em 1998, a Inspecção efectuou 41 inspecções, inclusive a instituições estatais e
empresas privadas, em várias zonas da Noruega.
A Inspecção detectou um aumento do número de casos que envolvem o uso da
Internet/e-mail, o que lhe coloca alguns problemas, dado que a actual legislação não
está a par dos avanços tecnológicos. Alguns desses problemas são, contudo,
solucionados por outras disposições jurídicas, por exemplo, pela lei de difamação.
Para os casos em que a Internet é usada para distribuir ou divulgar informações
pessoais, a Inspecção elaborou uma política restrita que se traduz em solicitar o
consentimento esclarecido das pessoas registadas, antes de disponibilizar a
informação na Internet. Este tipo de distribuição ou divulgação tem sido
especialmente popular junto das empresas que pretendem apresentar os nomes e
currículos dos seus empregados, juntamente com as respectivas fotografias.
O uso de câmaras de vigilância atingiu um máximo em 1998, sendo o tipo de
utilização mais recente a sua colocação no interior dos táxis. É de notar também o
facto de a Polícia de Oslo pretender utilizar câmaras de vigilância nalgumas ruas e
zonas comerciais de Oslo.
Algumas decisões importantes de 1998
A Telenor, principal operador de telecomunicações da Noruega, pretendia distribuir
as páginas brancas da lista telefónica na Internet, sem que, para tal, tivesse a
autorização das pessoas registadas na lista. A Inspecção dos Dados recusou,
argumentando que a distribuição na Internet se deve basear no consentimento
esclarecido das pessoas registadas. A Telenor apresentou ao ministério da Justiça
uma queixa relativa a esta decisão. A conclusão do caso aguarda a decisão final do
ministério.
Os gabinetes de crédito da Noruega pretendiam registar informações sobre
propriedade de automóveis e sobre a existência de uma dívida ou hipoteca relativa a
um determinado automóvel. Os serviços de crédito pretendiam obter esta informação
através de uma ligação ao Registo Automóvel Nacional da Noruega. A Inspecção
dos Dados recusou a autorização para o fazer, argumentando que esse uso do registo
automóvel estaria em conflito com o objectivo inicial do registo, além de ser uma
ameaça à protecção da privacidade. O ministério da Justiça confirmou a decisão da
Inspecção.
A Inspecção dos Dados está a examinar a segurança das TI nos hospitais
noruegueses. O objectivo desta acção consiste em garantir a transição segura dos
dados médicos em redes abertas de TI, por exemplo, na Internet. Em 1998, a
Inspecção recusou a dois dos maiores hospitais da Noruega a concessão de acesso à
Internet através da principal rede informática dos hospitais. O ministério da Justiça
confirmou a decisão da Inspecção, embora num dos casos, o tenha feito apenas em
parte.
Cooperação com outras Autoridades de Controlo da Protecção dos Dados.
A Inspecção dos Dados está em comunicação permanente com as outras autoridades
escandinavas. As chefias das autoridades escandinavas reúnem-se informalmente
uma vez por ano para discutir as políticas de protecção dos dados pessoais. Do
mesmo modo, os administradores também têm a sua reunião anual.
A Inspecção participa como observadora no "Grupo de Trabalho do Artigo 29º".
É ainda membro do Grupo de Trabalho Internacional relativo à Protecção de Dados
nas Telecomunicações.
4.2.
Países candidatos à adesão
Para todos os países candidatos à adesão, a estratégia reforçada de pré-adesão
pretende permitir a integração do "acervo comunitário". Neste espírito, a tónica é
colocada nas estruturas administrativas necessárias, como sejam autoridades
independentes de controlo, para a implementação eficaz do "acervo comunitário".
Vários destes países já dispõem de legislação de protecção dos dados (Hungria,
Estónia, Lituânia e Eslovénia) e os outros estavam em vias de adoptar esse tipo de
legislação. A Polónia adoptou uma lei de protecção dos dados em 29 de Agosto de
1997, que entrou em vigor no início de 1998. Criou uma autoridade independente de
controlo, a Inspecção-Geral de Protecção dos Dados Pessoais. A República Eslovaca
adoptou a sua legislação em 3 de Fevereiro de 1998.
Noutros países candidatos à adesão, em particular na Bulgária, na Letónia, na
Roménia e na República Checa, estão a ser estudados projectos legislativos.
4.3.
Estados Unidos da América
A Comissão Federal do Comércio interessou-se crescentemente pelas questões da
privacidade, em 1997 e no princípio de 1998, particularmente no que diz respeito à
Internet e ao comércio electrónico. Em Julho de 1998, apelou à elaboração de
legislação para a protecção de dados relativos a crianças, recolhidos na Internet, e
uma recomendação respeitante à privacidade dos adultos, declarando que, se não se
melhorasse a auto-regulação até ao final do ano, seria necessário adoptar legislação
também nesta matéria.
Durante a primeira parte de 1998, a política da Casa Branca relativa à protecção dos
dados e à privacidade avançou mais. Em 31 de Julho, o vice-presidente Gore
anunciou uma série de medidas para a elaboração de uma Carta de Direitos
Electrónica, a qual incluía o apoio à regulamentação nos domínios dos dados
médicos e financeiros, roubo de identificação e privacidade das crianças, bem como
a auto-regulação da indústria, com mecanismos de adopção eficazes noutras áreas.
Com vista a criar um quadro previsível e manejável, que garanta normas de
protecção dos dados elevadas e, simultaneamente, a livre circulação de dados
pessoais entre os dois lados do Atlântico, encetou-se no início de 1998 um diálogo
informal sobre protecção dos dados entre os serviços da Comissão e o ministério do
Comércio dos Estados Unidos. Ao longo do ano, o diálogo intensificou-se:
realizaram-se várias reuniões de alto nível. O Grupo de Trabalho e o Comité criado
pelo artigo 31º da Directiva 95/46/CE foram regularmente informados dos
progressos alcançados. Em 4 de Novembro de 1998, o ministério do Comércio
norte-americano publicou um conjunto de princípios de privacidade concebidos para
proporcionar um "porto seguro" às empresas e organizações americanas que a eles
aderissem voluntariamente.
Em 19 de Novembro de 1998, o Comité do artigo 31º realizou um primeiro debate
sobre os princípios norte-americanos. O Comité viu estes princípios como uma
evolução positiva, mas considerou que seriam necessários esclarecimentos e
melhorias, para que se pudesse avaliar que os princípios ofereciam uma "protecção
adequada", de acordo com os requisitos da directiva. Os Estados-Membros
incentivaram a Comissão a prosseguir as suas conversações com o ministério do
Comércio. O diálogo também foi incentivado na Cimeira UE/EUA, de 18 de
Dezembro.
4.4.
Outros países terceiros
Canadá: O governo federal apresentou um projecto de lei sobre a protecção da
informação pessoal no sector privado. O projecto foi discutido pelo parlamento em
Dezembro de 1998, tendo a Comissão dos Serviços sido convidada a formular alguns
comentários informais. Uma avaliação preliminar indica que, se for aplicado, o
projecto de lei satisfará, provavelmente, todos os critérios essenciais de adequação,
com a eventual excepção do princípio de re-transferência.
Japão: Os contactos informais frutíferos com o ministério do Comércio Internacional
e da Indústria (MITI) continuaram em 1998. O MITI tinha publicado Directrizes de
Protecção dos Dados para os sectores que tutela. Cada sector é convidado a elaborar
as suas próprias directrizes com base neste modelo, devendo as empresas seguir esse
exemplo. A partir de 1 de Abril de 1998, foi introduzida uma marca de privacidade
para as empresas que implementassem as directrizes de protecção dos dados e foi
criada uma autoridade de controlo que pode investigar queixas. Em 17 de Abril, em
Tóquio, os representantes da Comissão debateram com o MITI e outros ministérios
questões relacionadas com a protecção dos dados. Esta missão permitiu explicar a
posição da Comunidade a uma vasta audiência. Os representantes japoneses
apresentaram as suas iniciativas em matéria de protecção dos dados nas suas áreas de
competência respectivas. Ainda está a estudar-se legislação para o sector dos
serviços financeiros e para os dados médicos.
Austrália: Em 1996, o governo estudou o seguimento a dar ao Livro Branco e, em
particular, a adequação do alargamento da legislação da privacidade ao sector
privado. A actual legislação apenas diz respeito ao sector público. Em Fevereiro de
1998, foi decidida a primeira parte de um mecanismo nacional de privacidade para a
Austrália, com a adopção de um conjunto de "Princípios Nacionais para o
Tratamento Justo das Informações Pessoais". A Comissão teve oportunidade de
apresentar comentários informais sobre os princípios ao Comissário australiano para
a Privacidade. O governo da Commonwealth estava a efectuar uma consulta a nível
nacional, com vista à introdução de uma norma nacional de privacidade, numa base
exclusivamente voluntária. Contudo, em paralelo, o Estado de Victoria apresentou,
na sessão do Parlamento da Primavera de 1998, legislação de privacidade
abrangendo os sectores público e privado. Esta legislação pretende ser legislação
"assumida" em termos de privacidade, abrangendo os sectores e as empresas que não
desenvolvam iniciativas de auto-regulação.
5.
O UTROS DESENVOLVIMENTOS A NÍVEL INTERNACIONAL
5.1.
Organização de Cooperação e de Desenvolvimento Económicos (OCDE)
Em Fevereiro de 1998, a OCDE organizou um workshop sobre a protecção da
privacidade numa sociedade global em rede. Participaram neste workshop
representantes dos Comissários para a Protecção dos Dados e a Comissão Europeia.
O objectivo era dar uma oportunidade à apresentação e ao debate das diferentes
atitudes perante a privacidade, entre o governo, a indústria e os representantes dos
consumidores. O presidente concluiu que as Directrizes de Privacidade da OCDE, de
1980, constituíam uma base sólida, inclusive para os fluxos de dados em redes
abertas, mas que algumas questões relativas à sua aplicação ao comércio electrónico
ainda necessitavam de esclarecimento. Nesta base, o Grupo de Peritos em Segurança
da Informação e Privacidade preparou um contributo para a Conferência Ministerial
da OCDE, em Otava.
Na Conferência Ministerial da OCDE: "Um mundo sem fronteiras: concretizar o
potencial do comércio electrónico mundial", realizada em Otava em Outubro de
1998, os ministros adoptaram uma declaração que reconfirmou a importância das
Directrizes de Privacidade da OCDE, de 1980. Os ministros declararam ainda que
tomariam todas as medidas necessárias para garantir que essas directrizes sejam
efectivamente implementadas em relação às redes globais (Declaração Ministerial da
OCDE sobre a Protecção da Privacidade nas Redes Globais, 1998).
Em 1998, a OCDE também encetou o trabalho de elaboração de Directrizes para a
Protecção dos Consumidores no Contexto do Comércio Electrónico. Estas directrizes
pretendem garantir que os consumidores não são menos protegidos nas compras em
linha do que o são ao fazerem compras numa loja local ou a partir de um catálogo.
Ao definir as características nucleares da protecção eficaz dos consumidores para as
transacções em linha empresa a consumidor, as directrizes destinam-se a eliminar
algumas das incertezas com que os consumidores e as empresas se deparam quando
realizam compras ou vendas em linha. No que diz respeito à privacidade, as
directrizes propõem que se recorra às Directrizes de Privacidade da OCDE, de 1980,
tendo em conta a Declaração Ministerial da OCDE sobre a Protecção da Privacidade
nas Redes Globais (1998).
5.2.
Organização Mundial do Comércio (OMC)
Na reunião ministerial de Maio de 1998, a UE apresentou uma proposta relativa ao
comércio electrónico. No que diz respeito à protecção dos dados, a proposta frisa que
a conformidade efectiva com um conjunto aceite de princípios, o apoio e, sempre que
necessário, a compensação de um indivíduo no exercício dos seus direitos,
continuam a ser questões-chave. Foi adoptado um programa de trabalho sobre
questões relacionadas com o comércio electrónico e a OMC deverá empenhar-se
num estudo global destes problemas. Os debates sobre esta matéria deverão ter lugar
em Março de 1999 e a Comissão elaborará um documento com uma posição oficial,
que será apresentado, no início de 1999, ao Comité do Comércio Externo, criado
pelo artigo 113º do Tratado.
5.3.
Organização Mundial da Propriedade Intelectual (OMPI)
A Organização Mundial da Propriedade Intelectual (OMPI) adoptou um processo
internacional para a elaboração de recomendações sobre certos aspectos da
propriedade intelectual associados aos nomes de domínios na Internet, incluindo a
resolução de litígios. As recomendações resultantes deste Processo dos Nomes de
Domínio da Internet serão colocadas à disposição da nova organização que for
formada para gerir os aspectos técnicos e práticos do sistema de nomes de domínio
da Internet e serão comunicadas aos Estados membros da OMPI.
Nesse sentido, a OMPI tinha lançado um Pedido de Comentários sobre Questões
Abordadas no Processo dos Nomes de Domínio da Internet da OMPI (WIPO
RFC-2), relativamente ao qual os serviços da Comissão apresentaram comentários.
No que respeita aos aspectos de protecção dos dados (como o tipo de dados que
devem tornar-se públicos e o tipo de investigação autorizada), Os comentários
salientaram a necessidade de uma atitude equilibrada entre os legítimos interesses
dos detentores de direitos de propriedade intelectual e o direito fundamental de
privacidade das pessoas envolvidas no Processo dos Nomes de Domínio da Internet.
6.
ANEXOS
ANEXO I: Lista dos membros do Grupo de Trabalho e contactos das
respectivas entidades responsáveis em matéria de protecção dos dados.
Podem fazer-se ligações aos sites das entidades responsáveis em matéria de
protecção dos dados, a partir do site da DG Mercado Interno:
ÁUSTRIA
FrauWaltraut KOTSCHY
Representante
Frau Eva SOUHRADA-KIRCHMAYER
Bundeskanzleramt
Suplente
Österreichische Datenschutzkommission
Bundeskanzleramt
Ballhausplatz, 1
Österreichische Datenschutzkommission
A - 1014 WIEN
Ballhausplatz, 1
Tel 43/1/531.15.26.79
A - 1014 WIEN
Fax 43/1/531.15.26.90
Tel 43/1/531.15.25.44
Fax 43/1/531.15.26.90
BÉLGICA
Monsieur Paul THOMAS
Representante
Mme Marie-Hélène BOULANGER Suplente
Ministère de la Justice
Ministère de la Justice
Commission de la protection de la vie privée
Commission de la protection de la vie privée
Porte de Halle 5/8
Boulevard de Waterloo, 115
B – 1000 BRUXELLES
B - 1000 BRUXELLES
Tel 32/2/542.72.00
Tel 32/2/542.72.00
Fax32/2/542.72.12
Fax 32/2/542.72.12
DINAMARCA
Mr. Henrik WAABEN
Representante
Ms. Lena ANDERSEN
Suplente
Registertilsynet
Registertilsynet
Christians Brygge, 28 – 4
Christians Brygge, 28 – 4
DK - 1559 KOEBENHAVN V
DK – 1559 KOEBENHAVN V
Tel 45/33/14.38.44
Tel 45/33/14.38.44
Fax 45/33/13.38.43
Fax 45/33/13.38.43
FINLÂNDIA
Mr. Reijo AARNIO
Representante
Ms. Maija KLEEMOLA
Suplente
Ministry of Justice
Ministry of Justice
Office of the Data Protection Board
Office of the Data Protection Board
P.O. Box 315
FIN - 00181 HELSINKI
Tel 358/9/1825.1
Fax 358/9/1825.78.35
Monsieur Jacques FAUVET
Com. Nat. de l'Informat. et des Libertés
Rue Saint Guillaume, 21
F – 75340 PARIS CEDEX 7
Tel 33/1/53.73.22.22
Fax 33/1/53.73.22.00
P.O. Box 315
FIN – 00181 HELSINKI
Tel 358/0/1825.1
Fax 358/9/1825.78.35
FRANÇA
M. Marcel PINET
Com. Nat. de l'Informat. et des Libertés
Rue Saint Guillaume, 21
F - 75340 PARIS CEDEX 7
Tel 33/1/53.73.22.22
Fax 33/1/53.73.22.00
ALEMANHA
Dr. Joachim JACOB
Representante
Dr. Stefan WALZ
Suplente
Der Bundesbeauftragte für den Datenschutz
Landesbeauftragter für den Datenschutz –
Postfach 20 01 12
Bremen
D - 53131 BONN (Bad Godesberg)
Postfach 10 03 80
Tel 49/228/819.95.30
D – 27503 BREMERHAVEN
Fax 49/228/819.95.50
Tel 49/471/92.46.10
Fax 49/471/924.61.28
Frau Vera POHLER
Suplente
Innenministerium des Landes
Nordrhein-Westphalen
Haroldstr. 5
D-40190 Düsseldorf
Tel 49/211/871.22.51
Fax 49/211/871.23.40
GRÉCIA
Mr. Constantin DAFERMOS
Representante Prof. Nicos C. ALIVIZATOS Representante
Ministry of Justice
Hellenic Data Protection Authority
Athens
12, Valaoritou Street
EL-10671 Athens
Tel 30/1/36.13.117
Fax 30/1/36.29.047
IRLANDA
Mr. Fergus GLAVEY
Representante
Mr. Greg HEYLIN
Suplente
Data Protection Commissioner
Data Protection Commissioner
Irish Life Centre, Block 4
Irish Life Centre, Block 4
Talbot Street
Talbot Street
IRL - DUBLIN 1
IRL - DUBLIN 1
Tel 353/1/874.85.44
Tel 353/1/874.85.44
Fax 353/1/874.54.05
Fax 353/1/874.54.05
ITÁLIA
Prof. Stefano RODOTA
Representante Mr. Giovanni BUTTARELLI
Suplente
Garante per la protezione dei dati personali
Garante per la protezione dei dati personali
Largo del Teatro Valle, 6
Largo del Teatro Valle, 6
I – 00186 ROMA
Tel 39/06/681.861
Fax 39/06/681.86.69
I - 00186 ROMA
Tel 39/06/681.8637 direct
Fax 39/06/681.86.69
LUXEMBURGO
Monsieur René FABER
Representante
Commission à la Protection des Données
Nominatives
Ministère de la Justice
Boulevard Royal , 15
L – 2934 LUXEMBOURG
Tel 352/478.45.46
Fax 352/478.45.15
PAÍSES BAIXOS
Mr. Peter HUSTINX
Representante Mr. Ulco VAN DE POL
Registratiekamer
Registratiekamer
Prins Clauslaan 20
Juliana van Stolberglaan, 2
Postbus 93374
Postbus 93374
NL - 2509 AJ ‘s-GRAVENHAGE
NL - 2509 AJ ‘s-GRAVENHAGE
Tel 31/70/381.13.00
Tel 31/70/381.13.00
Fax 31/70/381.13.01
Fax 31/70/381.13.01
Ms. Diana ALONSO BLAS
Registratiekamer
Prins Clauslaan 20
P.O. Box 93374
NL-2509 AJ’s-GRAVENHAGE
Tel 31/70/381.13.12
Fax 31/70/381.13.01
Suplente
Suplente
PORTUGAL
Joaquim de SEABRA LOPES Representante
Nuno MORAIS SARMENTO
Suplente
Com. Nac. de Protecção de Dados Pessoais
Com. Nac. de Protecção de Dados Pessoais
Informat.
Informat.
Av. 5 de Outubro, 202
Rua de S. Bento, 148, 3
P – 1064 LISBOA
P - 1200 LISBOA
Tel 351/1/795.23.58
Tel 351/1/396.62.28
Fax 351/1/795.13.53
Fax 351/1/397.68.32
ESPANHA
Mr. Juan Manuel FERNÁNDEZ LÓPEZ
Mr. Agustin PUENTE ESCOBAR
Representante
Suplente
Agencia de Protección de Datos
Agencia de Protección de Datos
Paseo de la Castellana, N 41, 5a planta
Paseo de la Castellana, N 41, 5a planta
E – 28046 MADRID
E - 28046 MADRID
Tel 34/91/308.40.17
Tel 34/91/308.45.79
Fax 34/91/308.46.92
Fax 34/91/308.46.92
SUÉCIA
Mrs. Anitha BONDESTAM
Representante Mr. Ulf WIDEBÄCK
Suplente
Datainspektionen
Datainspektionen
Fleminggatan, 14
Fleminggatan, 14
9th Floor
9th Floor
Box 8114
Box 8114
S – 104 20 STOCKHOLM
S - 104 20 STOCKHOLM
Tel 46/8/657.61.00
Tel 46/8/657.61.00
Fax 46/8/652.86.52
Fax 46/8/652.86.52
Mr. Leif LINDGREN
Suplente
Datainspektionen
Box 8114
S-104 20 STOCKHOLM
Tel 46/8/657.61.00
Fax 46/8/650.86.13
REINO UNIDO
Mrs. Elizabeth FRANCE
Representante Mr. Francis ALDHOUSE
Suplente
The Office of the Data Protection Registrar
The Office of the Data Protection Registrar
Water Lane
Water Lane
Wycliffe House
Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF
UK - WILMSLOW - CHESHIRE SK9 5AF
Tel 44/1625/53.57.11
Tel 44/1625/53.57.11
Fax 44/1625/52.45.10
Fax 44/1625/52.45.10
ISLÂNDIA
Ms. Sigrún JÓHANNESDÓTTIR
Observador
Ministry of Justice
Data Protection Commission
Arnarhvoll
IS - 150 REYKJAVIK
Tel 354/560.90.10
Fax 354/552.73.40
NORUEGA
Mr. Georg APENES
Observador
Datatilsynet
The Data Inspectorate
P.B. 8177 Dep
N - 0034 OSLO
Tel 47/22/42.19.10
Fax 47/22/42.23.50
ANEXO II
GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Autorização de Tratamento de Dados Judiciais por Entidades
Privadas e Organismos Públicos com Fins Lucrativos
O GARANTE
Na presente data e com a participação do presidente, Prof. Stefano Rodotà, dos
membros Prof. Giuseppe Santaniello e Prof. Ugo De Siervo e ainda do
Secretário-Geral Giovanni Buttarelli;
Tendo em conta os registos oficiais;
Tendo em conta as considerações apresentadas pela Gabinete ao
Secretário-Geral de acordo com o artigo 7(2), alínea a), do Decreto Presidencial
n.º 501 de 31.3.98;
Com base no relatório apresentado pelo Prof. Giuseppe Santaniello;
Tendo em conta a Lei n.º 675 de 31.12.96, posteriormente alterada e
complementada, no que respeita à protecção dos indivíduos e de outros sujeitos
em matéria de tratamento de dados pessoais;
Tendo em conta, em particular, o artigo 24(1) da referida lei, que permite a
entidades públicas e privadas e organismos públicos com fins lucrativos
processarem dados pessoais que revelem as medidas judiciais mencionadas no
artigo 686(1), alíneas a) e d), (2) e (3) do Código de Processo Penal
"exclusivamente se for permitido por leis explícitas ou por uma disposição do
Garante na qual sejam especificados o interesse público substancial servido pelo
tratamento, as categorias de dados processados e as operações autorizadas";
Tendo em conta o artigo 41(5) da mesma lei, com a última redacção que lhe foi
dada pelo artigo 1(1) do decreto legislativo n.º 389 de 6.11.98, determinando que
os dados, de acordo com o referido artigo 24º, poderão ser processados até 8 de
Maio de 1999, mesmo na ausência da legislação aqui referida, após notificação
do Garante;
Tendo em conta as notificações entregues ao Garante em aplicação do referido
artigo 41(5);
Tendo em conta que várias operações de tratamento respeitantes aos dados
mencionados, executadas por entidades públicas, são regidas pelo decreto
legislativo que foi adoptado em 7 de Maio de 1999 pelo Conselho de Ministros,
de acordo com as Leis n.º 676 de 31.12.96 e n.º 344 de 6.10.98;
Verificando, por outro lado, a necessidade de impedir que várias entidades
privadas e organismos públicos com fins lucrativos abandonem certas operações
de tratamento de dados que são necessárias por motivos de grande interesse
público, devido à sua natureza e aos fins a que se destinam;
Considerando que o tratamento desses dados pode ser autorizado pelo Garante,
mesmo oficiosamente, tanto no que respeita aos controladores de dados como
publicando disposições gerais relativas às categorias de controladores de dados
ou de operações de tratamento [de acordo com o artigo 41(7) da Lei n.º
675/1996, com a redacção que lhe foi dada pelo artigo 4(1) do decreto
legislativo n.º 123 de 9.5.97);
Tendo em conta as autorizações gerais que o Garante já concedeu em relação ao
tratamento de dados sensíveis por entidades privadas, organismos públicos com
fins lucrativos e organismos de saúde pública (n.ºs 1, 2, 3, 4, 5 e 6 de 1997 e
1998);
Considerando que é adequado conceder uma autorização geral também em
relação aos dados judiciais atrás referidos, a fim de alcançar os objectivos de
simplificação dos requisitos fixados no cumprimento da Lei n.º 675/1996 que
harmoniza as medidas aplicáveis a um grande grupo de controladores de dados e
que melhora o desempenho funcional do Gabinete do Garante;
Considerando que existem salvaguardas específicas para os dados mencionados
e para outras categorias de dados judiciais, no n.º 5 do artigo 8º da Directiva
95/46/CE de 24.10.95, que permite o tratamento de dados relativos, de uma
forma mais vasta, a "infracções, condenações penais ou medidas de segurança"
só "sob o controlo das autoridades públicas ou se o direito nacional estabelecer
garantias adequadas e específicas, sob reserva das derrogações que poderão ser
concedidas pelo Estado-Membro com base em disposições nacionais que
prevejam garantias específicas e adequadas", na condição de "o registo
completo" das condenações penais ser mantido "sob o controlo das autoridades
públicas";
Considerando que, para a transposição na lei nacional da referida legislação
comunitária, é adequado que esta autorização geral não tenha disposições
excessivamente pormenorizadas, para que as actividades dos controladores dos
dados não sofram grandes alterações num curto espaço de tempo, mediante
determinadas salvaguardas para os sujeitos dos dados;
Considerando, em particular, que é necessário permitir a continuação das
actividades de documentação, análise e investigação no sector jurídico,
especialmente no que se refere à divulgação de dados relativos às decisões
judiciais, com base nas semelhanças entre as referidas actividades e as
actividades intelectuais mencionadas nos artigos 12º, 20º e 25º da Lei n.º
675/1996 e na futura adopção de disposições para o desenvolvimento da
tecnologia da informação no sector judicial, decorrente do artigo 1(1), alínea 1),
da Lei n.º 676/1996;
Considerando, porém, que é conveniente que esta autorização tenha em conta os
objectivos das operações de tratamento, as categorias dos sujeitos dos dados e os
destinatários dos dados a comunicar ou divulgar, assim como o período durante
o qual os dados são mantidos, desde que essas questões sejam reguladas de
acordo com a Lei n.º 675/1996, com vista à aplicação das disposições relativas à
isenção de notificação obrigatória e apresentação de notificação simplificada (de
acordo com o artigo 7 (5-quater);
Considerando que é necessário, mesmo na actual fase de transição, cumprir um
conjunto de princípios destinados a minimizar o risco de afectar ou colocar em
perigo direitos e liberdades fundamentais e a dignidade humana, em resultado do
tratamento, com especial destaque para a privacidade e a identidade pessoal;
Tendo em conta o artigo 35º da Lei n.º 675/1996, que prevê sanções penais em
caso de violação das disposições fixadas na presente autorização,
AUTORIZA
o tratamento de dados pessoais que revelem as medidas a que se refere o artigo
686(1), alíneas a) e d), (2) e (3) do Código de Processo Penal, pelas razões de
interesse público importantes a seguir especificadas, de acordo com o artigo 24º
da Lei n.º 675/1996 e com os seguintes requisitos:
Capítulo I
RELAÇÕES LABORAIS
1) Âmbito e finalidade do tratamento
A presente autorização será concedida, independentemente de ser solicitada, a
pessoas individuais, organismos, associações e organizações que:
a) sejam partes de uma relação laboral;
b) empreguem trabalhadores mesmo de acordo com disposições atípicas,
em tempo parcial ou temporariamente, em aplicação da Lei n.º 196 de 24.6.97
(relativa ao trabalho temporário);
c) atribuam uma missão profissional a conselheiros, profissionais
liberais, agentes, representantes e mandatários.
O tratamento deve ser absolutamente necessário para cumprir ou garantir o
cumprimento das obrigações específicas ou preencher deveres específicos
conforme estipulado por lei ou regulamento ou na legislação comunitária, com o
único objectivo de gerir as relações laborais - incluindo os trabalhadores por
conta própria ou não remunerados e o trabalho a título honorário.
A presente autorização é igualmente concedida às entidades com actividades de
resolução de litígios em aplicação da lei e que processem os dados mencionados,
na medida em que isso seja absolutamente necessário para as referidas
actividades.
2) Sujeitos de dados
O tratamento pode aplicar-se a dados relativos a sujeitos que estejam ou
pretendam vir a estar na situação de:
a) empregados, inclusive a tempo parcial ou na qualidade de estagiários
ou aprendizes, parceiros ou associados ou ainda detentores de bolsas de trabalho
ou partes de relações deste tipo;
b) gestores ou membros de órgãos executivos ou de controlo;
c) conselheiros e trabalhadores por conta própria, agentes, representantes
e mandatários.
Capítulo II
ASSOCIAÇÕES E FUNDAÇÕES
1) Âmbito e finalidade do tratamento
A presente autorização será concedida, independentemente de ser solicitada:
a) a associações, reconhecidas ou não, incluindo partidos e movimentos
políticos, associações e organizações sindicais, organizações de assistência ou
sociais de trabalhadores, fundações, comités e quaisquer outros organismos
públicos sem fins lucrativos, consórcios ou organizações, independentemente de
terem ou não personalidade jurídica, assim como a cooperativas sociais e
sociedades de assistência mútua referidas na Lei n.º 381 de 8.11.1991 e na Lei
n.º 3818 de 15.4.1886, respectivamente;
b) a organismos e associações, reconhecidos ou não, que tenham
responsabilidades de assistência, reabilitação, educação, formação profissional,
assistência social e cuidados de saúde, actividades de caridade e protecção de
direitos no que respeita às pessoas a que os dados se referem ou aos membros da
sua família e pessoas que com elas coabitem.
O tratamento deve ser absolutamente necessário para atingir objectivos
específicos e legítimos, conforme definido nos documentos constitutivos,
estatutos ou acordos colectivos.
2) Sujeitos dos dados
O tratamento pode abranger dados relativos a:
a) membros de uma associação, parceria, sociedade e qualquer pessoa
que solicite participar/aderir, se a utilização dos dados em questão for prevista
pelos documentos constitutivos ou pelos estatutos;
b) qualquer pessoa que beneficie das actividades e dos serviços prestados
pela associação, organismo ou organização, que seja assistida por ele ou que
utilize esses serviços e actividades.
Capítulo III
PROFISSÕES LIBERAIS
1) Âmbito e finalidade do tratamento
A presente autorização será concedida, independentemente de ter sido solicitada,
a:
a) profissionais liberais, associados ou não, que devam estar inscritos nas
listas respectivas para realizarem actividades profissionais, isoladamente ou em
conjunto, ou ainda em conformidade com as disposições de aplicação do artigo
24(2) da Lei n.º 266 de 7.8.97 relativa a actividades de assistência e consultoria;
b) qualquer pessoa que conste das listas especiais elaboradas em
aplicação, entre outras normas, do artigo 34º do decreto-lei real n.º 1578 de
27.11.33, conforme alterado e complementado - respeitante aos regulamentos da
profissão de advogado;
c) substitutos e pessoal que colabore com um profissional liberal em
aplicação do artigo 2232º do Código Civil, assim como estagiários que
trabalhem com um profissional liberal, sempre que sejam controladores de uma
operação de tratamento particular ou que ajam como controladores, em conjunto
com outros, do tratamento realizado pelo profissional liberal.
2) Sujeitos dos dados
O tratamento pode aplicar-se a dados relativos a clientes.
Os dados respeitantes a terceiros só podem ser processados se isso for
absolutamente necessário para a realização de actividades profissionais
específicas solicitadas por clientes para fins específicos e legítimos.
Capítulo IV
BANCA E COMPANHIAS DE SEGUROS E OUTROS TIPOS DE
TRATAMENTO
1) Âmbito e finalidade do tratamento
Esta autorização será concedida, independentemente de ser solicitada, a:
a) empresas autorizadas e/ou que pretendam ser autorizadas 46 a realizar
actividades bancárias, de crédito ou de seguros, mesmo em caso de liquidação de
património, para determinar: 1) as qualificações morais dos parceiros e
detentores de cargos executivos ou elegíveis, conforme estipulado pelas leis e
regulamentos aplicáveis; 2) as qualificações pessoais e os motivos de
desqualificação exclusivamente nos casos em que tal estiver previsto por lei, em
aplicação, em particular, do decreto-lei real n.º 1736 de 21.12.33 relativo aos
cheques bancários; 3) a existência de um perigo efectivo para o desempenho
correcto de actividades de seguros, no que respeita a infracções directamente
relacionadas com as mesmas actividades. Nestes casos, o controlador deve
fornecer ao Garante um relatório pormenorizado das disposições de tratamento,
no que diz respeito aos dados contidos num banco de dados específico, em
aplicação do artigo 1(2), alínea a), da Lei n.º 675/1996;
46
Estas palavras foram acrescentadas por uma disposição de 3.6.99, publicada no Jornal Oficial italiano
de 25.6.99.
b) controladores de dados, no que respeita ao tratamento de dados no
âmbito de uma actividade que consiste no pedido, recolha e entrega de
documentos relacionados com os serviços públicos competentes, na sequência
de um pedido efectuado pelos sujeitos dos dados;
c) empresas corretoras de obrigações, SICAV e empresas dos sector da
gestão da poupança, para determinarem as qualificações morais em aplicação
do decreto legislativo n.º 58 de 24.2.98 e do decreto ministerial n.º 468 de
11.11.98, assim como de outras leis e regulamentos que sejam aplicáveis 47 .
2) Outras operações de tratamento
A presente autorização será ainda concedida:
a) a qualquer pessoa, para a apresentação ou defesa de um direito legal,
mesmo em nome de um terceiro, desde que a reclamação desse direito tenha o
mesmo valor que a do sujeito dos dados e que os dados sejam alvo de tratamento
exclusivamente para as finalidades mencionadas e apenas durante o tempo
necessário;
b) a pessoas singulares e colectivas, instituições, organismos e
organizações que realizem actividades de investigação privada, com base numa
autorização concedida pelo prefetto (em aplicação do artigo 134º do decreto-real
n.º 773 de 18.6.31, posteriormente alterado e complementado). O tratamento
deve ser necessário: 1) para que a pessoa que executa uma investigação
específica possa apresentar ou defender um direito legal com o mesmo valor que
o do sujeito dos dados, um direito de personalidade ou ainda qualquer outro
direito fundamental e inviolável; 2) mediante mandato da defesa num processo
penal, para procurar e identificar provas para o arguido, que serão usadas
exclusivamente no exercício do direito de apresentar provas (de acordo com o
artigo 190º do Código de Processo Penal e o artigo 38º das respectivas
disposições de aplicação);
c) a qualquer pessoa, para cumprir as obrigações estipuladas nas leis que
se aplicam às comunicações e certificações anti-Mafia e à prevenção da
criminalidade de tipo mafioso e a outras actividades graves e socialmente
perigosas, também em aplicação da Lei n.º 55 de 19.3.90, posteriormente
alterada e complementada, e para fornecer os documentos exigidos por lei, com
vista à apresentação de uma proposta para obtenção de um contrato.
47
Este parágrafo foi acrescentado por uma disposição de 3.6.99, publicada no Jornal Oficial italiano de
25.6.99.
Capítulo V
DOCUMENTAÇÃO JURÍDICA
1) Âmbito e finalidade do tratamento
A presente autorização será concedida, tendo em vista o tratamento de dados,
incluindo a divulgação, para documentação, estudo e investigação no domínio
jurídico, especialmente no que se refere à recolha e divulgação de dados
respeitantes a decisões judiciais.
Capítulo VI
DISPOSIÇÕES APLICÁVEIS A TODAS AS OPERAÇÕES DE
TRATAMENTO
Na medida em que não exista qualquer referência nos capítulos anteriores, as
disposições seguintes também se aplicarão às operações de tratamento aí
mencionadas.
1) Tratamento de dados
O tratamento abrangerá exclusivamente os dados que forem necessários para o
objectivo autorizado, desde que esse objectivo não possa ser alcançado, caso a
caso, pelo tratamento de dados anónimos ou de dados pessoais de outra natureza.
2) Disposições aplicáveis ao tratamento
Os dados devem ser processados exclusivamente utilizando disposições lógicas
e organizativas estritamente relacionadas com as obrigações, tarefas ou
objectivos atrás mencionados.
Para além dos casos mencionados no ponto 2) do capítulo IV e no capítulo V, ou
se a informação não tiver sido obtida por uma fonte que esteja publicamente
disponível, os dados devem ser facultados aos sujeitos dos dados, em
conformidade com o artigo 689º do Código de Processo Penal, relativo aos
pedidos de certificados - sem prejuízo das disposições do artigo 688º do mesmo
código, respeitante às certidões emitidas pelo registo cadastral para a
administração pública e para os organismos responsáveis dos serviços públicos.
3) Manutenção dos dados
De acordo com a obrigação estipulada no artigo 9(1), subtítulo e), da Lei n.º
675/1996, os dados podem ser mantidos durante o tempo previsto pelas leis ou
regulamentos, não devendo, de qualquer modo, ultrapassar o tempo
absolutamente necessário para os fins pretendidos.
De acordo com o artigo 9(1), subtítulos c), d) e e) da Lei, as entidades
autorizadas devem verificar regularmente o rigor e a actualização dos dados,
bem como a sua aplicabilidade e plenitude e que não são excessivos, mas
necessários para os fins visados em cada caso. Para garantir que os dados são
aplicáveis e não excessivos relativamente aos fins em vista, as entidades
autorizadas devem considerar especificamente a relação entre os dados e cada
obrigação, tarefa e função. Os dados que se considerarem excessivos,
irrelevantes ou desnecessários, mesmo em resultado das verificações
mencionadas, só podem ser utilizados para a manutenção, conforme prescrita
por lei, do documento em que se encontram. Será necessário ter um cuidado
especial na verificação de que os dados relativos a pessoas que não estão
directamente envolvidas nas referidas obrigações, tarefas e funções são,
realmente, essenciais.
4) Comunicação e divulgação
Os dados poderão ser comunicados e, se tal estiver previsto na lei, divulgados a
organismos públicos e privados, desde que seja necessário para os objectivos
visados e de acordo com o sigilo profissional e com os requisitos aplicáveis,
conforme se mencionou atrás.
5) Pedidos de autorização
Dado que o tratamento faz parte do âmbito desta autorização, o controlador dos
dados em questão não terá de apresentar um pedido de autorização ao Garante desde que as operações de tratamento previstas estejam de acordo com a mesma
autorização.
Os pedidos de autorização que já tiverem sido recebidos e os que forem
recebidos na sequência da adopção da presente autorização serão considerados
deferidos nas condições aqui estabelecidas.
O Garante reserva-se o direito de adoptar outras disposições na medida do que
for necessário, relativamente a operações de tratamento que não sejam referidas
na presente autorização.
No que diz respeito às operações de tratamento aqui mencionadas, o Garante não
terá em consideração qualquer pedido de autorização para operações de
tratamento que não cumpram as disposições aplicáveis, a menos que esses
pedidos devam ser concedidos por circunstâncias especiais ou em situações
extraordinárias que não sejam mencionadas na presente autorização.
A presente autorização não prejudica as obrigações estipuladas em leis,
regulamentos ou legislação comunitária que prevejam limitações mais estritas ou
proibições aplicáveis ao tratamento de dados pessoais - em particular no que se
refere às disposições do artigo 8º da Lei n.º 300 de 20.5.70, a qual proíbe os
empregadores de averiguarem, mesmo através de terceiros, as preferências
políticas, religiosas ou sindicais dos (potenciais) empregados, bem como factos
irrelevantes para a avaliação das qualificações profissionais de um empregado.
6) Eficácia e disposições de transição
A presente autorização estará em vigor de 8 de Maio de 1999 a 30 de Setembro
de 1999.
Se o tratamento não estiver de acordo com as disposições aqui fixadas, em 8 de
Maio de 1999, o controlador dos dados em questão pode tomar as medidas
necessárias, até 30 de Junho de 1999.
A presente autorização será publicada no Jornal Oficial da República Italiana.
Feito em Roma, em 10 de Maio de 1999.
Feito em Bruxelas,
Pelo Grupo de Trabalho
O Presidente
P.J. HUSTINX