Fichas temáticas sobre a União Europeia
Parlamento Europeu
Preencha este campo

Proteção dos dados pessoais

A proteção dos dados pessoais e o respeito pela vida privada são direitos fundamentais europeus. O Parlamento Europeu sempre insistiu na necessidade de alcançar um equilíbrio entre a melhoria da segurança e a preservação dos direitos humanos, incluindo a privacidade e a proteção de dados. Em maio de 2018, entraram em vigor novas regras da UE em matéria de proteção de dados que reforçam os direitos dos cidadãos e simplificam as regras para as empresas na era digital. De acordo com a investigação realizada para o Parlamento Europeu, a legislação da UE relacionada com a regulamentação dos fluxos de dados contribui anualmente com 51,6 mil milhões de euros para o PIB da União Europeia.

Base jurídica

Artigo 16.º do Tratado sobre o Funcionamento da União Europeia (TFUE);

Artigos 7.º e 8.º da Carta dos Direitos Fundamentais da União Europeia.

Objetivos

A União deve garantir que o direito fundamental à proteção de dados, consagrado na Carta dos Direitos Fundamentais da União Europeia, é aplicado de forma coerente. É necessário reforçar a posição da UE em matéria de proteção dos dados pessoais no contexto de todas as políticas da UE, inclusive nos domínios da aplicação da lei e da prevenção da criminalidade, bem como nas relações internacionais, especialmente numa sociedade mundializada que se caracteriza por mudanças tecnológicas rápidas.

Realizações

A. Quadro institucional

1. O Tratado de Lisboa

Antes da entrada em vigor do Tratado de Lisboa, a legislação relativa à proteção de dados no espaço de liberdade, segurança e justiça (ELSJ) estava dividida entre o primeiro pilar (proteção de dados para fins privados e comerciais, com a utilização do método comunitário) e o terceiro pilar (proteção de dados para efeitos de aplicação da lei, ao nível intergovernamental). Consequentemente, o processo de decisão esteve sujeito a normas diferentes. A estrutura em pilares desapareceu com o Tratado de Lisboa, que fornece uma base mais sólida para o desenvolvimento de um sistema de proteção de dados mais eficaz e mais claro e simultaneamente prevê novos poderes para o Parlamento, que se tornou colegislador. O artigo 16.º do TFUE prevê que o Parlamento e o Conselho estabelecem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e agências da União, bem como pelos Estados-Membros no exercício de atividades relativas à aplicação do direito da União.

2. Orientações estratégicas no espaço de liberdade, segurança e justiça

Na sequência dos programas de Tampere (outubro de 1999) e de Haia (novembro de 2004), o Conselho Europeu aprovou, em dezembro de 2009, o programa plurianual no ELSJ para o período 2010-2014 – conhecido por Programa de Estocolmo. Nas suas conclusões de junho de 2014, o Conselho Europeu definiu as orientações estratégicas para o planeamento legislativo e operacional para os próximos anos no quadro do ELSJ, em conformidade com o artigo 68.º do TFUE. Um dos principais objetivos consiste em proteger melhor os dados pessoais na UE.

B. Principais instrumentos legislativos em matéria de proteção de dados

1. Carta dos Direitos Fundamentais da UE

Os artigos 7.º e 8.º da Carta dos Direitos Fundamentais da União Europeia reconhecem o respeito pela vida privada e a proteção dos dados pessoais como direitos fundamentais estreitamente relacionados, mas distintos.

2. Conselho da Europa

a. A Convenção 108 de 1981

A Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais, de 28 de janeiro de 1981, foi o primeiro instrumento internacional juridicamente vinculativo adotado no domínio da proteção de dados. Visa «garantir [...] a todas as pessoas singulares [...] o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seu direito à vida privada, face ao tratamento automatizado dos dados de caráter pessoal». O Protocolo que altera a Convenção visa alargar o seu âmbito de aplicação, aumentar o nível de proteção de dados e melhorar a sua eficácia.

b. Convenção Europeia dos Direitos Humanos (CEDH)

O artigo 8.º da Convenção para a Proteção dos Direitos Humanos e das Liberdades Fundamentais, de 4 de novembro de 1950, consagra o direito ao respeito pela vida privada e familiar, pela sua casa e pela sua correspondência.

3. Atuais instrumentos legislativos para proteção de dados na União Europeia

a. Regulamento Geral sobre a Proteção de Dados (RGPD)

O Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), entrou em vigor em maio de 2018. As regras destinam-se a proteger todos os cidadãos da UE contra violações da privacidade e dos dados num mundo cada vez mais baseado em dados, criando simultaneamente um quadro mais claro e mais coerente para as empresas. Os direitos de que beneficiam os cidadãos incluem: o consentimento claro e positivo do tratamento dos seus dados e o direito de receber informações claras e compreensíveis sobre o mesmo; o direito a ser esquecido – um cidadão pode solicitar que os seus dados sejam suprimidos; o direito a transferir os dados para outro prestador de serviços (por exemplo, a mudança de uma rede social para outra); e o direito de saber se os seus dados foram pirateados. As novas regras aplicam-se a todas as empresas que operam na UE, mesmo que tenham sede fora dela. Além disso, é possível impor medidas corretivas – tais como advertências e ordens – ou coimas às empresas que violem as regras. Em 24 de junho de 2020, a Comissão Europeia apresentou um relatório sobre a avaliação e revisão do regulamento[1].

b. Diretiva sobre a proteção de dados na aplicação da lei

A Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de crimes ou execução de sanções penais e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho, entrou em vigor em maio de 2018. A diretiva protege o direito fundamental dos cidadãos à proteção de dados quando os dados pessoais forem utilizados pelas autoridades responsáveis pela aplicação da lei. Ela garante que os dados pessoais de vítimas, testemunhas e suspeitos de crimes são devidamente protegidos e facilita a cooperação transfronteiriça na luta contra a criminalidade e o terrorismo. O relatório da Comissão Europeia ao Parlamento Europeu e ao Conselho sobre a avaliação e revisão desta diretiva é aguardado desde 6 de maio de 2022.

c. Diretiva relativa à privacidade e às comunicações eletrónicas

A Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (diretiva relativa à privacidade e às comunicações eletrónicas), foi alterada pela Diretiva 2009/136/CE de 25 de novembro de 2009. Levanta a delicada questão da conservação de dados, que foi repetidamente submetida ao TJUE e conduziu a uma série de acórdãos – o mais recente em 2020 – que determinaram que o direito da UE obsta à conservação geral e indiscriminada dos dados de tráfego e de localização.

A nova proposta de regulamento do Parlamento Europeu e do Conselho, relativo ao respeito pela vida privada e à proteção dos dados pessoais nas comunicações eletrónicas e que revoga a Diretiva 2002/58/CE (Regulamento relativo à privacidade e às comunicações eletrónicas), está atualmente em estudo.

d. Regulamento relativo ao tratamento de dados pessoais por organismos e órgãos da União

O Regulamento (UE) n.º 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE, entrou em vigor em 11 de dezembro de 2018.

e. Artigos sobre a proteção de dados em atos legislativos setoriais

Para além dos principais atos legislativos em matéria de proteção de dados acima referidos, as disposições específicas em matéria de proteção de dados também se encontram previstas em atos legislativos setoriais como:

  • O artigo 13.º (sobre a proteção dos dados pessoais) da Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave;
  • O capítulo VI (sobre salvaguardas em matéria de proteção de dados) do Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol);
  • O capítulo VIII (relativo à proteção de dados) do Regulamento (UE) 2017/1939 do Conselho, de 12 de outubro de 2017, que dá execução a uma cooperação reforçada para a instituição da Procuradoria Europeia.

4. Principais disposições internacionais da UE em matéria de transferência de dados

a. Transferências de dados comerciais: decisões de adequação

Nos termos do artigo 45.º do RGPD, a Comissão tem o poder de determinar se um país de fora da UE oferece um nível adequado de proteção de dados, seja com base na sua legislação interna ou nos compromissos internacionais que assumiu.

O Parlamento aprovou várias resoluções que suscitam preocupações quanto aos fluxos de dados transatlânticos. Em especial, considerou que a Decisão relativa ao Escudo de Proteção da Privacidade UE-EUA não proporciona o nível adequado de proteção exigido pelo direito da UE, ao passo que o TJUE tem repetidamente invalidado as decisões de adequação da Comissão Europeia relativas aos EUA (ver o seu acórdão de 2015 sobre o sistema «porto seguro» no processo Schrems e o seu acórdão de 2020 sobre o Escudo de Proteção da Privacidade UE-EUA no processo Schrems II).

b. Acordo-quadro UE-EUA

Ao abrigo do processo de aprovação, o Parlamento participou na aprovação do acordo entre os EUA e a UE sobre a proteção de dados pessoais relacionados com a prevenção, investigação, deteção e repressão de infrações penais, também conhecido como «acordo global». O objetivo deste consiste em assegurar um elevado nível de proteção das informações pessoais transferidas no quadro da cooperação transatlântica no domínio da aplicação da lei, nomeadamente o combate ao terrorismo e à criminalidade organizada.

c. Acordos entre a UE e os EUA, a Austrália e o Canadá relativos aos registos de identificação dos passageiros (PNR)

A UE assinou acordos bilaterais sobre os registos de identificação dos passageiros (PNR) com os EUA, a Austrália e o Canadá. Os dados PNR incluem as informações fornecidas pelos passageiros no momento da reserva ou do controlo dos voos e os dados recolhidos pelas transportadoras aéreas para os seus próprios fins comerciais. Os dados PNR podem ser utilizados pelas autoridades responsáveis pela aplicação da lei para combater a criminalidade grave e o terrorismo.

d. Programa UE-EUA de Deteção do Financiamento do Terrorismo

A UE assinou um acordo bilateral com os EUA sobre o tratamento e a transferência de dados relativos a mensagens de pagamentos da UE para os EUA, para efeitos do Programa de Deteção do Financiamento do Terrorismo.

5. Abordar os aspetos da proteção de dados nas resoluções setoriais

Várias resoluções do Parlamento sobre diferentes domínios de intervenção abordam também a proteção de dados pessoais, a fim de assegurar a coerência com a legislação geral da UE em matéria de proteção de dados e a proteção da privacidade nesses setores específicos.

6. Autoridades de controlo da proteção de dados da UE

A Autoridade Europeia para a Proteção de Dados (AEPD) é uma entidade supervisora independente que assegura que as instituições e órgãos da União Europeia cumpram as suas obrigações no que respeita à proteção de dados. Os deveres principais da AEPD são a supervisão, a consulta e a cooperação.

O Comité Europeu para a Proteção de Dados (CEPD) – anteriormente designado Grupo de Trabalho do artigo 29.º – tem o estatuto de um organismo da UE dotado de personalidade jurídica e possui um secretariado independente. O CEPD reúne as autoridades de controlo nacionais da UE, a AEPD e a Comissão. O CEPD dispõe de vastos poderes para decidir os litígios entre as autoridades de controlo nacionais e prestar aconselhamento e orientação sobre os principais conceitos do RGPD e a Diretiva sobre a proteção de dados na aplicação da lei.

O papel do Parlamento Europeu

O Parlamento desempenhou um papel fundamental na elaboração da legislação da UE no domínio da proteção de dados pessoais, ao fazer da proteção da privacidade uma prioridade política. Além disso, ao abrigo do processo legislativo ordinário, tem vindo a trabalhar na reforma da proteção de dados em pé de igualdade com o Conselho. Em 2017, também concluiu os seus trabalhos sobre a última peça significativa do puzzle – o novo regulamento relativo à privacidade e às comunicações eletrónicas – e aguarda com expetativa que o Conselho conclua finalmente o seu trabalho para dar início às negociações interinstitucionais.

O Parlamento tem vindo a supervisionar de perto as disposições internacionais em matéria de transferência de dados. Quer através do processo de aprovação ou de relatórios de iniciativa, tomou medidas para fazer ouvir a sua voz. Além disso, antes da votação do Acordo UE-Canadá sobre os dados PNR, decidiu solicitar um parecer ao TJUE – nos termos do artigo 218.º, n.º 1, do TFUE – numa resolução de 25 de novembro de 2014. No referido parecer, emitido em 26 de julho de 2017, o Tribunal considerou que o acordo PNR não podia ser concluído na sua forma existente, uma vez que várias das suas disposições eram incompatíveis com o direito fundamental à proteção dos dados pessoais.

Em numerosas resoluções, o Parlamento manifestou dúvidas quanto à adequação da proteção concedida aos cidadãos da UE ao abrigo do quadro de «Porto Seguro» UE-EUA e, subsequentemente, do «Escudo de Proteção da Privacidade» UE-EUA. Após o processo Schrems II ter conduzido à anulação da Decisão de Execução (UE) 2016/1250 da Comissão Europeia, relativa ao nível de proteção assegurado pelo Acordo UE-EUA sobre o Escudo de Proteção da Privacidade, com base na preocupação de que os poderes de vigilância do Governo dos EUA não fossem limitados, tal como exigido pelo direito da UE, e de os cidadãos da UE não disporem de vias de recurso eficazes, o Parlamento Europeu adotou uma resolução na qual lamentou o facto de a Comissão ter colocado as relações com os EUA à frente dos interesses dos cidadãos da UE e de a Comissão ter assim deixado a tarefa de defender o direito da UE aos cidadãos individuais. Ressaltou que qualquer futura decisão de adequação tomada pela Comissão não deve basear-se num sistema de autocertificação, como tinha sido o caso do sistema de «porto seguro» e do Escudo de Proteção da Privacidade; o Parlamento instou a Comissão a associar plenamente o CEPD à avaliação do cumprimento e da aplicação de qualquer nova decisão de adequação em relação aos EUA[2]. O Parlamento Europeu também encomendou estudos que apontam para o complexo panorama dos operadores que comercializam dados pessoais transferidos para os EUA[3] e para as reformas que devem ser levadas a cabo no sistema federal dos EUA a fim de restabelecer a confiança nas transferências transatlânticas de dados[4].

O Parlamento está agora a concentrar-se no acompanhamento da aplicação da legislação da UE em matéria de proteção de dados, nos aspetos relacionados com a proteção de dados das propostas da Comissão sobre o Regulamento Serviços Digitais, o Regulamento Inteligência Artificial e o Regulamento Governação de Dados, bem como noutras futuras propostas da Comissão que possam ter impacto na proteção de dados.

O Parlamento encomendou vários estudos de investigação a fim de dispor de uma base científica para as suas atividades legislativas, incluindo um estudo sobre o impacto dos algoritmos de filtragem ou moderação de conteúdos em linha – filtros de carregamento, um estudo sobre o impacto do Regulamento Geral sobre a Proteção de Dados (RGPD) na inteligência artificial e um estudo sobre biometria e deteção de comportamentos.

 

[1]Comunicação da Comissão, de 24 de junho de 2020, intitulada «A proteção de dados enquanto pilar da capacitação dos cidadãos e a abordagem da UE para a transição digital – dois anos de aplicação do Regulamento Geral sobre a Proteção de Dados» (SWD(2020)0115).
[2]Resolução do Parlamento Europeu, de 20 de maio de 2021, sobre o acórdão do TJUE de 16 de julho de 2020 – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems («Schrems II») – Processo C-311/18, n.º 28.
[3]Sartor, G., et al., Regulating targeted and behavioural advertising in digital services: how to ensure users’ informed consent (Regulamentar a publicidade direcionada e comportamental nos serviços digitais: como garantir o consentimento esclarecido dos utilizadores?), estudo encomendado pelo Departamento Temático dos Direitos dos Cidadãos e dos Assuntos Constitucionais do Parlamento Europeu, a pedido da Comissão dos Assuntos Jurídicos, 30 de agosto de 2021.
[4]Brown, I. et al., Exchanges of Personal Data After the Schrems II Judgment (Intercâmbio de dados pessoais após o acórdão no processo Schrems II), estudo encomendado pelo Departamento Temático dos Direitos dos Cidadãos e dos Assuntos Constitucionais do Parlamento Europeu, a pedido da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos, 8 de julho de 2021.

Udo Bux / Mariusz Maciejewski