- Export to PDF
- Get the short link of this page
- Share this page onTwitterFacebookLinkedin
Decisão do Provedor de Justiça Europeu de 9 de novembro de 2020 relativa às regras internas para a limitação de determinados direitos dos titulares dos dados no âmbito do tratamento dos dados pessoais
Document - Date Monday | 09 November 2020
O PROVEDOR DE JUSTIÇA EUROPEU,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (1), em particular o seu artigo 25.o,
Após consulta da Autoridade Europeia para a Proteção de Dados,
Considerando o seguinte:
|
(1) |
O Provedor de Justiça Europeu está habilitado a proceder a inquéritos administrativos, a processos pré-disciplinares, disciplinares e de suspensão, em conformidade com o Estatuto dos Funcionários da União Europeia e o Regime Aplicável aos Outros Agentes da União Europeia, estabelecidos no Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho (2) («Estatuto dos Funcionários») e com a Decisão do Provedor de Justiça Europeu, de 4 de novembro de 2004, que estabelece disposições de execução relativas à condução dos inquéritos administrativos e dos processos disciplinares. Se necessário, notifica igualmente os processos ao OLAF. |
|
(2) |
Os membros do pessoal do Provedor de Justiça Europeu têm a obrigação de comunicar atividades potencialmente ilegais, incluindo a fraude e a corrupção, que sejam lesivas dos interesses da União. Os membros do pessoal estão também obrigados a comunicar os atos relacionados com o exercício de atividades profissionais que sejam suscetíveis de constituir um incumprimento grave das obrigações dos funcionários da União. Esta obrigação é regulada pela Decisão do Provedor de Justiça Europeu, de 20 de fevereiro de 2015, sobre as regras internas em matéria de denúncia de irregularidades. |
|
(3) |
O Provedor de Justiça Europeu criou uma política para prevenir e tratar eficazmente casos reais ou potenciais de assédio sexual ou moral no local de trabalho, conforme previsto na sua Decisão de 18 de dezembro de 2017. A decisão estabelece um procedimento informal em que a alegada vítima do assédio pode contactar os «correspondentes em matéria de ética» do Provedor de Justiça Europeu e/ou o Comité de Conciliação. |
|
(4) |
O Provedor de Justiça Europeu pode igualmente realizar investigações sobre potenciais violações às regras de segurança em matéria de informações classificadas da UE («ICUE»). |
|
(5) |
O Provedor de Justiça Europeu é objeto de auditorias internas e externas relativas às suas atividades. |
|
(6) |
No âmbito de tais inquéritos administrativos, auditorias e investigações, o Provedor de Justiça Europeu coopera com outras instituições, órgãos, organismos e agências da União. |
|
(7) |
O Provedor de Justiça Europeu pode cooperar com as autoridades nacionais de países terceiros e organizações internacionais, quer a pedido destas, quer por iniciativa própria. |
|
(8) |
O Provedor de Justiça Europeu pode também cooperar com as autoridades públicas dos Estados-Membros da UE, quer a pedido destas, quer por iniciativa própria. |
|
(9) |
O Provedor de Justiça Europeu conduz inquéritos sobre alegados casos de má administração nas atividades das instituições, órgãos, organismos ou agências da União, com exceção do Tribunal de Justiça da União Europeia no exercício das respetivas funções jurisdicionais. Neste contexto, o Provedor de Justiça Europeu poderá ter de preservar a confidencialidade dos dados pessoais contidos em documentos obtidos das partes e durante os inquéritos. O Provedor de Justiça Europeu poderá também ter de proteger os direitos e liberdades dos autores das reclamações, bem como os de outras pessoas envolvidas. |
|
(10) |
Para cumprir as suas funções, o Provedor de Justiça Europeu recolhe e trata informações e diversas categorias de dados pessoais, incluindo os dados de identificação de pessoas singulares, os dados de contacto, as funções e tarefas profissionais, as informações sobre conduta e desempenho privados e profissionais e os dados financeiros. O Provedor de Justiça Europeu atua como responsável pelo tratamento dos dados. |
|
(11) |
Por conseguinte, nos termos do Regulamento (UE) 2018/1725 («o Regulamento»), o Provedor de Justiça Europeu é obrigado a prestar informações aos titulares dos dados sobre essas atividades de tratamento e a respeitar os seus direitos enquanto titulares de dados. |
|
(12) |
O Provedor de Justiça Europeu poderá ser obrigado a conciliar esses direitos com os objetivos dos inquéritos administrativos, auditorias, investigações e processos judiciais. Pode igualmente ser-lhe exigido que pondere os direitos de um titular dos dados em face dos direitos e liberdades fundamentais de outros titulares de dados. Para o efeito, o artigo 25.o do Regulamento atribui ao Provedor de Justiça Europeu, sob condições estritas, a possibilidade de limitar a aplicação dos artigos 14.o a 22.°, 35.° e 36.° do Regulamento, bem como do artigo 4.o, na medida em que as suas disposições correspondam aos direitos e às obrigações previstos nos artigos 14.o a 20.°. A menos que as limitações estejam previstas num ato jurídico adotado com base nos Tratados, é necessário adotar regras internas que atribuam ao Provedor de Justiça Europeu o direito de limitar esses direitos. |
|
(13) |
O Provedor de Justiça Europeu poderá, por exemplo, ter de limitar as informações que fornece a um titular de dados acerca do tratamento dos seus dados pessoais durante a fase de avaliação preliminar de um inquérito administrativo ou durante o próprio inquérito, antes de um eventual arquivamento do processo ou na fase pré-disciplinar. Em determinadas circunstâncias, a prestação dessas informações pode afetar seriamente a capacidade do Provedor de Justiça Europeu para conduzir o inquérito de forma eficaz, sempre que, por exemplo, exista o risco de o titular de dados destruir provas ou interferir com potenciais testemunhas antes de estas serem inquiridas. O Provedor de Justiça Europeu poderá também ter de proteger os direitos e liberdades das testemunhas, bem como os de outras pessoas envolvidas. |
|
(14) |
Poderá ser necessário proteger o anonimato de uma testemunha ou de um denunciante que tenha pedido para não ser identificado. Nesse caso, o Provedor de Justiça Europeu pode decidir limitar o acesso à identidade, às declarações e a outros dados pessoais dessas pessoas, a fim de proteger os seus direitos e liberdades. |
|
(15) |
Poderá ser necessário proteger as informações confidenciais de um membro do pessoal que tenha contactado os correspondentes em matéria de ética do Provedor de Justiça Europeu e/ou o Comité de Conciliação no contexto de um procedimento de assédio. Nesses casos, o Provedor de Justiça Europeu pode decidir limitar o acesso à identidade, às declarações e a outros dados pessoais da alegada vítima, do alegado autor do assédio e de outras pessoas envolvidas, a fim de proteger os direitos e liberdades de todas as partes em causa. |
|
(16) |
O Provedor de Justiça Europeu poderá, por exemplo, ter de limitar as informações que fornece a um titular de dados mencionado numa reclamação ou em documentos relativos ao inquérito acerca do tratamento dos seus dados pessoais durante a investigação sobre a alegada má administração numa instituição, órgão, organismo ou agência da UE. A prestação dessas informações pode afetar seriamente a capacidade do Provedor de Justiça Europeu para conduzir o inquérito de forma eficaz, sempre que, por exemplo, exista o risco de que o titular de dados possa comprometer o inquérito. O Provedor de Justiça Europeu poderá também ter de proteger os direitos e liberdades do autor da reclamação, bem como os de outras pessoas envolvidas. |
|
(17) |
O Provedor de Justiça Europeu só deve aplicar limitações quando estas respeitem a essência dos direitos e liberdades fundamentais, sejam estritamente necessárias e constituam uma medida proporcionada numa sociedade democrática. O Provedor de Justiça Europeu deve apresentar justificações que expliquem os motivos dessas limitações. |
|
(18) |
Em cumprimento do princípio da responsabilização, o Provedor de Justiça Europeu deve manter um registo da sua aplicação das limitações. |
|
(19) |
Ao proceder ao tratamento de dados pessoais trocados com outras organizações no âmbito das suas funções, o Provedor de Justiça Europeu e essas organizações deverão consultar-se mutuamente sobre os eventuais motivos para a imposição de limitações e sobre a necessidade e proporcionalidade dessas limitações, a menos que tal comprometa as atividades do Provedor de Justiça Europeu. |
|
(20) |
O artigo 25.o, n.o 6, do Regulamento obriga o responsável pelo tratamento a informar os titulares dos dados dos principais motivos de aplicação da limitação e do seu direito de apresentar uma reclamação à Autoridade Europeia de Proteção de Dados (AEPD). |
|
(21) |
Nos termos do artigo 25.o, n.o 8, do Regulamento, o Provedor de Justiça Europeu pode adiar, omitir ou recusar a comunicação de informações ao titular dos dados sobre os motivos para a aplicação de uma limitação caso se presuma que isso anule de algum modo o efeito da limitação. O Provedor de Justiça Europeu deve avaliar, caso a caso, se a comunicação da limitação anularia o seu efeito. |
|
(22) |
O Provedor de Justiça Europeu deve levantar a limitação logo que as condições que a justificam deixem de ser aplicáveis, bem como deve avaliar essas condições regularmente. |
|
(23) |
A fim de garantir a máxima proteção dos direitos e liberdades dos titulares dos dados e em conformidade com o artigo 44.o, n.o 1, do Regulamento, o encarregado da proteção de dados deve ser consultado em tempo útil acerca de quaisquer limitações que possam ser aplicadas e deve verificar a sua conformidade com a presente decisão. |
|
(24) |
Os artigos 16.o, n.o 5, e 17.o, n.o 4, do Regulamento preveem exceções ao direito à informação e ao direito de acesso dos titulares de dados. Caso estas exceções sejam aplicáveis, não será necessário que o Provedor de Justiça Europeu aplique uma limitação nos termos da presente decisão, |
DECIDIU O SEGUINTE:
Artigo 1.o- Objeto e âmbito de aplicação
1. A presente decisão estabelece regras relativas às condições em que o Provedor de Justiça Europeu pode limitar a aplicação dos artigos 4.o, 14.o a 22.o, 35.o e 36.o, com base no artigo 25.o do Regulamento.
2. O gabinete do Provedor de Justiça Europeu, enquanto responsável pelo tratamento, é representado pela Provedora de Justiça Europeia.
Artigo 2.o- Limitações
1. O Provedor de Justiça Europeu pode limitar a aplicação dos artigos 14.o a 22.o, 35.o e 36.o do Regulamento, bem como do seu artigo 4.o, na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 20.o:
|
a) |
nos termos do artigo 25.o, n.o 1, alíneas b), c), f), g) e h), do Regulamento, na condução de inquéritos administrativos, de processos pré-disciplinares, disciplinares ou de suspensão ao abrigo do artigo 86.o e do anexo IX do Estatuto dos Funcionários, e da Decisão do Provedor de Justiça Europeu, de 4 de novembro de 2004, relativa à condução dos inquéritos administrativos e dos processos disciplinares, bem como aquando da notificação dos processos ao OLAF; |
|
b) |
nos termos do artigo 25.o, n.o 1, alínea h), do Regulamento, ao assegurar que os membros do pessoal do Provedor de Justiça Europeu possam comunicar factos confidencialmente sempre que considerem que existem irregularidades graves, tal como previsto na Decisão do Provedor de Justiça Europeu, de 20 de fevereiro de 2015, sobre as regras internas em matéria de denúncia de irregularidades; |
|
c) |
nos termos do artigo 25.o, n.o 1, alínea h), do Regulamento, ao assegurar que os membros do pessoal do Provedor de Justiça Europeu podem apresentar relatórios aos correspondentes em matéria de ética e/ou ao Comité de Conciliação no contexto de um procedimento de assédio, conforme definido na Decisão do Provedor de Justiça Europeu sobre uma política para a prevenção e proteção contra o assédio no gabinete do Provedor de Justiça Europeu; |
|
d) |
nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento, ao realizar auditorias internas relativamente a atividades ou departamentos do Provedor de Justiça Europeu; |
|
e) |
nos termos do artigo 25.o, n.o 1, alíneas c), d), g) e h), do Regulamento, ao prestar assistência a outras instituições, órgãos, organismos e agências da União, ao receber assistência destes ou ao cooperar com estes no contexto das atividades previstas nas alíneas a) a d) do presente número, e nos termos dos acordos de nível de serviço, memorandos de entendimento e acordos de cooperação pertinentes; |
|
f) |
nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento, ao prestar assistência às autoridades nacionais de países terceiros e organizações internacionais, ao receber assistência destas ou ao cooperar com tais autoridades e organizações, quer a seu pedido, quer por iniciativa própria; |
|
g) |
nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento, ao prestar assistência e cooperação às autoridades públicas dos Estados-Membros da UE ou ao receber assistência e cooperação destas, quer a seu pedido, quer por iniciativa própria; |
|
h) |
nos termos do artigo 25.o, n.o 1, alínea e), do Regulamento, no tratamento de dados pessoais em documentos obtidos pelas partes ou pelos intervenientes no âmbito de um processo no Tribunal de Justiça da União Europeia; |
|
i) |
nos termos do artigo 25.o, n.o 1, alínea h), do Regulamento, na condução de inquéritos sobre alegados casos de má administração nas atividades das instituições, órgãos, organismos ou agências da UE, em conformidade com o artigo 228.o do Tratado sobre o Funcionamento da União Europeia e com o Estatuto e as disposições de execução do Provedor de Justiça Europeu. |
2. Qualquer limitação deve respeitar a essência dos direitos e liberdades fundamentais e constituir uma medida necessária e proporcionada numa sociedade democrática.
3. Um teste da necessidade e da proporcionalidade deve ser efetuado caso a caso antes da aplicação das limitações. As limitações devem limitar-se ao estritamente necessário para alcançar os seus objetivos.
4. O Provedor de Justiça Europeu deve elaborar, para efeitos de responsabilização, um relatório que descreva os motivos das limitações aplicadas, que identifique os motivos enumerados no n.o 1 que são aplicáveis e que indique os resultados do teste da necessidade e da proporcionalidade. Esse documento deve ser incluído num registo, que será facultado à AEPD, a pedido desta. O Provedor de Justiça Europeu deve elaborar relatórios periódicos sobre a aplicação do artigo 25.o do Regulamento.
5. Ao proceder ao tratamento de dados pessoais recebidos de outras organizações no âmbito das suas funções, o Provedor de Justiça Europeu deve consultar essas organizações sobre os eventuais motivos para a imposição de limitações e sobre a necessidade e proporcionalidade das limitações em causa, a menos que tal comprometa as atividades do Provedor de Justiça Europeu.
Artigo 3.o- Riscos para os direitos e liberdades dos titulares de dados
1. As avaliações dos riscos para os direitos e liberdades dos titulares de dados decorrentes da imposição de limitações e os pormenores sobre o período de aplicação dessas limitações devem ser registados no registo das atividades de tratamento conservado pelo Provedor de Justiça Europeu nos termos do artigo 31.o do Regulamento. Devem igualmente ser registados em quaisquer avaliações de impacto sobre a proteção de dados relativas a essas limitações realizadas nos termos do artigo 39.o do Regulamento.
2. Sempre que o Provedor de Justiça Europeu avaliar a necessidade e a proporcionalidade de uma limitação, deve considerar os potenciais riscos para os direitos e liberdades do titular dos dados.
Artigo 4.o- Garantias e prazos de conservação
1. O Provedor de Justiça Europeu deve aplicar garantias destinadas a evitar abusos e o acesso ou transferência ilegais dos dados pessoais relativamente aos quais se aplicam ou podem ser aplicadas limitações. Estas garantias incluem medidas técnicas e organizativas e, se necessário, são descritas nas decisões, procedimentos e normas de execução internas do Provedor de Justiça Europeu. As garantias devem incluir:
|
a) |
uma definição adequada das funções, responsabilidades e etapas processuais; |
|
b) |
se for caso disso, um ambiente eletrónico seguro que impeça o acesso ou a transferência ilegais e acidentais de dados eletrónicos a pessoas não autorizadas; |
|
c) |
se for caso disso, a conservação segura e o tratamento de documentos em papel; |
|
d) |
a monitorização adequada das limitações e uma revisão periódica da sua aplicação. |
As revisões referidas na alínea d) devem ser realizadas, pelo menos, de seis em seis meses.
2. As limitações devem ser levantadas assim que cessarem as circunstâncias que as justificam.
3. Os dados pessoais devem ser conservados em conformidade com as regras de conservação aplicáveis do Provedor de Justiça Europeu, a ser definidas nos registos de proteção de dados conservados nos termos do artigo 31.o do Regulamento. No termo do período de conservação, os dados pessoais devem ser apagados, anonimizados ou transferidos para arquivos em conformidade com o artigo 13.o do Regulamento.
Artigo 5.o- Participação do encarregado da proteção de dados
1. O encarregado da proteção de dados do Provedor de Justiça Europeu deve ser informado sem demora injustificada sempre que os direitos dos titulares dos dados sejam objeto de limitações em conformidade com a presente decisão. Ser-lhe-á concedido acesso aos registos conexos e a quaisquer documentos relativos ao contexto factual ou jurídico.
2. O encarregado da proteção de dados do Provedor de Justiça Europeu pode solicitar o reexame da aplicação de uma limitação. O Provedor de Justiça Europeu deve informar por escrito o seu encarregado da proteção de dados acerca do resultado do reexame.
3. O Provedor de Justiça Europeu deve documentar a intervenção do encarregado da proteção de dados na aplicação das limitações, incluindo as informações que lhe são comunicadas.
Artigo 6.o- Informação aos titulares de dados sobre as limitações aos seus direitos
1. O Provedor de Justiça Europeu deve incluir nos avisos sobre a proteção de dados publicados no seu sítio Web uma secção que presta informações gerais aos titulares dos dados sobre a eventual limitação dos direitos dos titulares de dados nos termos do artigo 2.o, n.o 1. As informações devem abranger os direitos que podem ser limitados, os motivos que podem justificar a aplicação das limitações e a duração da eventual limitação.
2. O Provedor de Justiça Europeu deve informar individualmente os titulares dos dados, por escrito e sem demora injustificada, acerca das limitações atuais ou futuras aos seus direitos. O Provedor de Justiça Europeu deve informar o titular dos dados acerca dos principais motivos em que se baseia a aplicação da limitação, do seu direito de consultar o encarregado da proteção de dados com vista a contestar a limitação e do seu direito de apresentar uma reclamação à AEPD.
3. O Provedor de Justiça Europeu pode adiar, omitir ou recusar a comunicação de informações sobre os motivos de uma limitação e o direito de apresentar uma reclamação à AEPD enquanto se presuma que isso anule o efeito da limitação. A avaliação de tal justificação deve ser efetuada caso a caso. O Provedor de Justiça Europeu deve fornecer as informações ao titular dos dados assim que isso deixe de ser suscetível de anular o efeito da limitação.
Artigo 7.o- Comunicação de violações de dados pessoais ao titular dos dados
1. Sempre que esteja obrigado a comunicar uma violação de dados nos termos do artigo 35.o, n.o 1, do Regulamento, o Provedor de Justiça Europeu pode, em circunstâncias excecionais, limitar total ou parcialmente essa comunicação. Deve documentar em nota os motivos da limitação, o seu fundamento jurídico nos termos do artigo 2.o e uma avaliação da sua necessidade e proporcionalidade. A nota deve ser comunicada à AEPD no momento da notificação da violação de dados pessoais.
2. Se os motivos da limitação deixarem de se aplicar, o Provedor de Justiça Europeu deve comunicar a violação dos dados pessoais ao titular dos dados em causa e informá-lo dos principais motivos da limitação e do seu direito de apresentar uma reclamação à AEPD.
Artigo 8.o- Confidencialidade das comunicações eletrónicas
1. Em circunstâncias excecionais, o Provedor de Justiça Europeu pode limitar o direito à confidencialidade das comunicações eletrónicas estabelecido no artigo 36.o do Regulamento. Tais limitações devem cumprir o disposto na Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (3).
2. Quando o Provedor de Justiça Europeu limita o direito à confidencialidade das comunicações eletrónicas, deve informar o titular dos dados em causa, na sua resposta a qualquer pedido deste, acerca dos principais motivos em que se baseia a aplicação da limitação e do seu direito de apresentar uma reclamação à AEPD.
3. O Provedor de Justiça Europeu pode adiar, omitir ou recusar a comunicação de informações sobre os motivos da limitação e o direito de apresentar uma reclamação à AEPD, enquanto se presuma que isso anule o efeito da limitação. A avaliação de tal justificação deve ser efetuada caso a caso. O Provedor de Justiça Europeu deve fornecer as informações ao titular dos dados assim que isso deixe de ser suscetível de anular o efeito da limitação.
Artigo 9.o- Entrada em vigor
A presente decisão entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Feito em Estrasburgo, 9 de novembro de 2020.
Pela Provedora de Justiça Europeia
Emily O’REILLY
(1) JO L 295 de 21.11.2018, p. 39.
(2) Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, de 29 de fevereiro de 1968, que fixa o Estatuto dos Funcionários das Comunidades Europeias assim como o Regime Aplicável aos Outros Agentes destas Comunidades, e institui medidas especiais temporariamente aplicáveis aos funcionários da Comissão (JO L 56 de 4.3.1968, p. 1).
(3) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).
- Export to PDF
- Get the short link of this page
- Share this page onTwitterFacebookLinkedin