Diretiva europeia

DIRECTIVA 95/46/CE DO PARLAMENTO EUROPEU E DO CONSELHO
de 24 de Outubro de 1995

Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de
dados pessoais e à livre circulação desses dados

O PARLAMENTO EUROPEU O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado que institui a Comunidade Europeia e,
nomeadamente, o seu artigo 100º- A
Tendo em conta a proposta da Comissão (),
Tendo em conta o parecer do Comité Económico e Social (),
Deliberando nos termos do procedimento previsto no artigo 189º B do Tratado
(),

1) Considerando que os objectivos da Comunidade, enunciados no Tratado, com a
redacção que lhe foi dada pelo Tratado da União Europeia, consistem em estabelecer
uma união cada vez mais estreita entre os povos europeus, em fomentar relações mais
próximas entre os Estados que pertencem à Comunidade, em assegurar o progresso
económico e social mediante acções comuns para eliminar as barreiras que dividem a
Europa, em promover a melhoria constante das condições de vida dos seus povos, em
preservar e consolidar a paz e liberdade e em promover a democracia com base nos
direitos fundamentais reconhecidos nas Constituições e leis dos Estados-membros,
bem como na Convenção europeia para a protecção dos direitos do Homem e das
liberdades fundamentais;
2) Considerando que os sistemas de tratamento de dados estão ao serviço do Homem;
que devem respeitar as liberdades e os direitos fundamentais das pessoas singulares
independentemente da sua nacionalidade ou da sua residência, especialmente a vida
privada, e contribuir para o progresso económico e social, o desenvolvimento do
comércio e o bem-estar dos indivíduos;
3) Considerando que o estabelecimento e o funcionamento do mercado interno no
qual, nos termos do artigo 7º A do Tratado, é assegurada a livre circulação das
mercadorias, das pessoas, dos serviços e dos capitais, exigem não só que os dados
pessoais possam circular livremente de um Estado-membro para outro, mas
igualmente, que sejam protegidos os direitos fundamentais das pessoas;
4) Considerando que o recurso ao tratamento de dados pessoais nos diversos domínios
das actividades económicas e sociais é cada vez mais frequente na Comunidade; que o
progresso registado nas tecnologias da informação facilita consideravelmente o
tratamento e a troca dos referidos dados;
5) Considerando que a integração económica e social resultante do estabelecimento e
funcionamento do mercado interno nos termos do artigo 7ºA do Tratado irá
necessariamente provocar um aumento sensível dos fluxos transfronteiras de dados
pessoais entre todos os intervenientes, privados ou públicos, na vida económica e
social dos Estados-membros; que o intercâmbio de dados pessoais entre empresas
estabelecidas em diferentes Estados-membros tende a intensificar-se; que as
administrações dos Estados-membros são chamadas, por força do direito comunitário,
a colaborar e a trocar entre si dados pessoais a fim de poderem desempenhar as suas
atribuições ou executar tarefas por conta de uma administração de outro Estadomembro, no âmbito do espaço sem fronteiras internas que o mercado interno
constitui;
6) Considerando, além disso, que o reforço da cooperação científica bem como a
introdução coordenada de novas redes de telecomunicações na Comunidade exigem e
facilitam a circulação transfronteiras de dados pessoais;
7) Considerando que as diferenças entre os Estados-membros quanto ao nível de
protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida
privada, no domínio do tratamento de dados pessoais, podem impedir a transmissão
desses dados do território de um Estado-membro para o de outro Estado-membro; que
estas diferenças podem, por conseguinte, constituir um obstáculo ao exercício de uma
série de actividades económicas à escala comunitária, falsear a concorrência e
entravar o exercício pelas administrações das funções que lhes incumbem nos termos
do direito comunitário; que esta diferença de níveis de protecção resulta da
disparidade de disposições legislativas, regulamentares e administrativas nacionais;
8) Considerando que, para eliminar os obstáculos à circulação de dados pessoais,
nível de protecção dos direitos e liberdades das pessoas no que diz respeito ao
tratamento destes dados deve ser equivalente em todos os Estados-membros; que a
realização deste objectivo, fundamental para o mercado interno, não pode ser
assegurada unicamente pelos Estados-membros ,tendo especialmente em conta a
dimensão das divergências que se verificam actualmente a nível das legislações
nacionais aplicáveis na matéria e a necessidade de coordenar as legislações dos
Estados-membros para assegurar que a circulação transfronteiras de dados pessoais
,seja regulada de forma coerente e em conformidade com o objectivo do mercado
interno nos termos do artigo 7°-A do Tratado; que é portanto necessária uma acção
comunitária com vista à aproximação das legislações;
9) Considerando que, devido à protecção equivalente resultante da aproximação das
legislações nacionais, os Estados-membros deixarão de poder levantar obstáculos à
livre circulação entre si de dados pessoais por razões de protecção dos direitos e
liberdades das pessoas, nomeadamente do direito a vida privada; que é deixada aos
Estados-membros uma margem de manobra que, no contexto da aplicação da
directiva, poderá ser utilizada pelos parceiros económicos e sociais; que os Estadosmembros poderão, pois, especificar na sua legislação nacional as condições gerais de
licitude do tratamento de dados; que, ao fazê-lo, os Estados-membros se esforçarão
por melhorar a protecção actualmente assegurada na respectiva legislação nacional;
que, nos limites dessa margem de manobra e em conformidade com o direito
comunitário, poderão verificar-se disparidades na aplicação da directiva, o que poderá
reflectir-se na circulação de dados quer no interior de um Estado-membro, quer na
Comunidade;
10) Considerando que o objectivo das legislações nacionais relativas ao tratamento de
dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais,
nomeadamente do direito à vida privada, reconhecido não só no artigo 8° da
Convenção europeia para a protecção dos direitos do Homem e das liberdades
fundamentais como nos princípios gerais do direito comunitário; que, por este motivo,
a aproximação das referidas legislações não deve fazer diminuir a protecção que
asseguram, devendo, pelo contrário, ter por objectivo garantir um elevado nível de
protecção na Comunidade;
11) Considerando que os princípios da protecção dos direitos e liberdades das
pessoas, nomeadamente do direito à vida privada, contidos na presente directiva,
precisam e ampliam os princípios contidos na Convenção do Conselho da Europa de
28 de Janeiro de 1981, relativa à protecção das pessoas no que diz respeito ao
tratamento automatizado de dados pessoais;
12) Considerando que os princípios da protecção devem aplicar-se a todo e qualquer
tratamento de dados pessoais sempre que as actividades do responsável pelo
tratamento sejam regidas pelo direito comunitário; que se deve excluir o tratamento de
dados efectuado por uma pessoa singular no exercício de actividades exclusivamente
pessoais ou domésticas, por exemplo correspondência ou listas de endereços;
13) Considerando que as actividades referidas nos Títulos V e VI do Tratado da União
Europeia, relativas à segurança pública, à defesa, à segurança do Estado ou às
actividades do Estado no domínio penal, não são abrangidas pelo âmbito de aplicação
do direito comunitário, sem prejuízo das obrigações que incumbem aos Estadosmembros nos termos do nº 2 do artigo 56° e dos artigos 57° e 100°-A do Tratado; que
o tratamento de dados pessoais necessário à protecção do bem-estar económico do
Estado não é abrangido pela presente directiva quando esse tratamento disser respeito
a questões de segurança do Estado;
14) Considerando que, tendo em conta a importância do desenvolvimento que, no
âmbito da sociedade de informação, sofrem actualmente as técnicas de captação,
transmissão, manipulação, gravação, conservação ou comunicação de dados de som e
de imagem relativos às pessoas singulares, há que aplicar a presente directiva ao
tratamento desses dados;
15) Considerando que o tratamento desses dados só é abrangido pela presente
directiva se for automatizado ou se os dados tratados estiverem contidos ou se
destinarem a ficheiros estruturados segundo critérios específicos relativos às pessoas,
a fim de permitir um acesso fácil dos dados pessoais em causa;
16) Considerando que o tratamento de dados de som e de imagem, tais como os de
vigilância por vídeo, não é abrangido pelo âmbito de aplicação à presente directiva se
for executado para fins de segurança pública, de defesa, de segurança do Estado ou no
exercício de actividades do Estado relativas a domínios de direito penal ou no
exercício de outras actividades não abrangidas pelo âmbito de aplicação do direito
comunitário;
17) Considerando que, no que se refere ao tratamento de som e de imagem para fins
jornalísticos ou de expressão literária ou artística, nomeadamente no domínio do
audiovisual, os princípios da directiva se aplicam de modo restrito de acordo com as
disposições referidas no artigo 9°;
18) Considerando que, a fim de evitar que uma pessoa seja privada da protecção a que
tem direito por força da presente directiva, é necessário que qualquer tratamento de
dados pessoais efectuado na Comunidade respeite a legislação de um dos Estadosmembros; que, nesse sentido, é conveniente que o tratamento efectuado por uma
pessoa que age sob a autoridade do responsável pelo tratamento estabelecido num
Estado-membro seja regido pela legislação deste Estado-membro;
19)Considerando que o estabelecimento no território de um Estado-membro
pressupõe o exercício efectivo e real de uma actividade mediante uma instalação
estável; que, para o efeito, a forma jurídica de tal estabelecimento, quer se trate de
uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante;
que, quando no território de vários Estados-membros estiver estabelecido um único
responsável pelo tratamento, em especial através de uma filial, deverá assegurar,
nomeadamente para evitar que a legislação seja contornada, que cada um dos
estabelecimentos cumpra as obrigações impostas pela legislação nacional aplicável às
respectivas actividades;
20) Considerando que o facto de o tratamento de dados ser da responsabilidade de
uma pessoa estabelecida num país terceiro não deve constituir obstáculo à protecção
das pessoas assegurada pela presente directiva; que, nesses casos, o tratamento deverá
ser regido pela legislação do Estado-membro onde se encontram os meios utilizados
para o tratamento de dados em causa e que deverão oferecer-se garantias de que os
direitos e as obrigações estabelecidos na presente directiva serão efectivamente
respeitados;
21) Considerando que a presente directiva não prejudica as regras de territorialidade
aplicáveis em matéria de direito penal;
22) Considerando que os Estados-membros precisarão, na sua legislação ou nas regras
de execução adoptadas nos termos da presente directiva, às condições gerais em que o
tratamento de dados é lícito; que, nomeadamente, o artigo 50º, conjugado com os
artigos 7° e 8°, permite que os Estados-membros estabeleçam, independentemente das
regras gerais, condições especiais para o tratamento de dados em sectores específicos
e para as diferentes categorias de dados referidas no artigo 8°;
23) Considerando que os Estados-membros podem assegurar a concretização da
protecção das pessoas tanto por uma lei geral relativa à protecção das pessoas no que
diz respeito ao tratamento de dados pessoais, como por leis sectoriais, por exemplo as
relativas aos institutos de estatística;
24) Considerando que a legislação para a protecção das pessoas colectivas
relativamente ao tratamento de dados que lhes dizem respeito não é afectada pela
presente directiva;
25) Considerando que os princípios de protecção devem encontrar expressão, por um
lado, nas obrigações que impendem sobre as pessoas, as autoridades públicas, as
empresas, os serviços ou outros organismos responsáveis pelo tratamento de dados,
em especial no que respeita à qualidade dos dados, à segurança técnica, à notificação
à autoridade de controlo, às circunstâncias em que o tratamento pode ser efectuado, e,
por outro, nos direitos das pessoas cujos dados são tratados serem informadas sobre
esse tratamento, poderem ter acesso aos dados, poderem solicitar a sua rectificação e
mesmo, em certas circunstâncias, poderem opor-se ao tratamento;
26) Considerando que os princípios da protecção devem aplicar-se a qualquer
informação relativa a uma pessoa identificada ou identificável; que, para determinar
se uma pessoa é identificável, importa considerar o conjunto dos meios susceptíveis
de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por
qualquer outra pessoa, para identificar a referida pessoa; que os princípios da
protecção não se aplicam a dados tornados anónimos de modo tal que a pessoa já não
possa ser identificável; que os códigos de conduta na acepção do artigo 27° podem ser
um instrumento útil para fornecer indicações sobre os meios através dos quais os
dados podem ser tornados anónimos e conservados sob uma forma que já não permita
a identificação da pessoa em causa;
27) Considerando que a protecção das pessoas se deve aplicar tanto ao tratamento
automatizado de dados como ao tratamento manual; que o âmbito desta protecção não
deve, na prática, depender das técnicas utilizadas, sob pena de se correr o sério risco
de a protecção poder ser contornada; que, em todo o caso, no que respeita ao
tratamento manual, a presente directiva apenas abrange os ficheiros e não as pastas
não estruturadas; que, em particular, o conteúdo de um ficheiro deve ser estruturado
de acordo com critérios específicos relativos às pessoas que permitam um acesso fácil
aos dados pessoais; que, em conformidade com a definição da alínea c) do artigo 2º,
os diferentes critérios que permitem determinar os elementos de um conjunto
estruturado de dados pessoais e os diferentes critérios que regem o acesso a esse
conjunto de dados podem ser definidos por cada Estado-membro; que as pastas ou
conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo
com critérios específicos, de modo algum se incluem no âmbito de aplicação da
presente directiva;
28) Considerando que qualquer tratamento de dados pessoais deve ser efectuado de
forma lícita e leal para com a pessoa em causa; que deve, em especial, incidir sobre
dados adequados, pertinentes e não excessivos em relação às finalidades prosseguidas
com o tratamento; que essas finalidades devem ser explícitas e legítimas e ser
determinadas aquando da recolha dos dados; que as finalidades dos tratamentos
posteriores à recolha não podem ser incompatíveis com as finalidades especificadas
inicialmente;
29) Considerando que o tratamento posterior de dados pessoais para fins históricos,
estatísticos ou científicos não é de modo geral considerado incompatível com as
finalidades para as quais os dados foram previamente recolhidos, desde que os
Estados-membros estabeleçam garantias adequadas; que tais garantias devem em
especial impedir a utilização de dados em apoio de medidas ou de decisões tomadas
em desfavor de uma pessoa;
30) Considerando que, para ser lícito, o tratamento de dados pessoais deve, além
disso, ser efectuado com o consentimento da pessoa em causa ou ser necessário para a
celebração ou execução de um contrato que vincule a pessoa em causa, ou para o
cumprimento de uma obrigação legal, ou para a execução de uma missão de interesse
público ou para o exercício da autoridade pública, ou ainda para a realização do
interesse legítimo de uma pessoa, desde que os interesses ou os direitos e liberdades
da pessoa em causa não prevaleçam; que, em especial, para assegurar o equilíbrio dos
interesses em causa e garantir ao mesmo tempo uma concorrência real, os Estadosmembros são livres de determinar as condições em que os dados pessoais podem ser
utilizados e comunicados a terceiros no âmbito de actividades legítimas de gestão
corrente das empresas e outros organismos; que, do mesmo modo, podem precisar as
condições em que a comunicação a terceiros de dados pessoais pode ser efectuada
para fins de mala directa ou de prospecção feita por uma instituição de solidariedade
social ou outras associações ou fundações, por exemplo de carácter político, desde
que respeitem as disposições que permitem à pessoa em causa opor-se, sem
necessidade de indicar o seu fundamento ou de suportar quaisquer encargos, ao
tratamento dos dados que lhe dizem respeito;
31) Considerando que, do mesmo modo, o tratamento de dados pessoais deve ser
considerado lícito quando se destinar a proteger um interesse essencial à vida da
pessoa em causa;
32) Considerando que cabe às legislações nacionais determinar se o responsável pelo
tratamento que executa uma missão de interesse público ou exerce a autoridade
pública deve ser uma administração pública ou outra pessoa sujeita ao direito público
ou ao direito privado, por exemplo uma associação profissional;
33) Considerando que os dados susceptíveis, pela sua natureza, de por em causa as
liberdades fundamentais ou o direito à vida privada só deverão ser tratados com o
consentimento explícito da pessoa em causa; que, no entanto, devem ser
expressamente previstas derrogações a esta proibição no que respeita a necessidades
específicas, designadamente quando o tratamento desses dados for efectuado com
certas finalidades ligadas à saúde por pessoas sujeitas por lei à obrigação de segredo
profissional ou para as actividades legítimas de certas associações ou fundações que
tenham por objectivo permitir o exercício das liberdades fundamentais;
34) Considerando que, sempre que um motivo de interesse público importante o
justifique, os Estados-membros devem também ser autorizados a estabelecer
derrogações à proibição de tratamento de categorias de dados sensíveis em domínios
como a saúde pública e a segurança social – em especial para garantir a qualidade e a
rentabilidade no que toca aos métodos utilizados para regularizar os pedidos de
prestações e de serviços no regime de seguro de doença – e como a investigação
científica e as estatísticas públicas; que lhes incumbe, todavia, estabelecer garantias
adequadas e específicas para a protecção dos direitos fundamentais e da vida privada
das pessoas;
35) Considerando, além disso, que o tratamento de dados pessoais pelas autoridades
públicas para a consecução de objectivos consagrados no direito constitucional ou no
direito internacional público, em benefício de associações religiosas oficialmente
reconhecidas, é efectuado por motivos de interesse público importante;
36) Considerando que quando, para o exercício de actividades do âmbito eleitoral, o
funcionamento do sistema democrático exigir, em certos Estados-membros, que
partidos políticos recolham dados sobre a opinião política das pessoas, o tratamento
desses dados pode ser autorizado por motivos de interesse público importante, desde
que sejam estabelecidas garantias adequadas;
37) Considerando que o tratamento de dados pessoais para fins jornalísticos ou de
expressão artística ou literária, nomeadamente no domínio do audiovisual, deve
beneficiar de derrogações ou de restrições a determinadas disposições da presente
directiva, desde que tal seja necessário para conciliar os direitos fundamentais da
pessoa com a liberdade de expressão, nomeadamente a liberdade de receber ou
comunicar informações, tal como é garantida, nomeadamente pelo artigo 10º da
Convenção europeia para a protecção dos direitos do Homem e das liberdades
fundamentais; que, por conseguinte, compete aos Estados-membros estabelecer, tendo
em vista a ponderação dos direitos fundamentais, as derrogações e limitações
necessárias que se prendam com as medidas gerais em matéria de legalidade do
tratamento de dados, as medidas relativas à transferência de dados para países
terceiros, bem como com as competências das autoridades de controlo; que tal facto
não deverá, no entanto, levar os Estados-membros a prever derrogações às medidas
destinadas a garantir a segurança do tratamento de dados; e que deverão igualmente
ser atribuídas pelo menos à autoridade de controlo determinadas competências a
posteriori, tais como a de publicar periodicamente um relatório ou de recorrer
judicialmente;
38) Considerando que, para que o tratamento de dados seja leal, a pessoa em causa
deve poder ter conhecimento da existência dos tratamentos e obter, no momento em
que os dados lhe são pedidos, uma informação rigorosa e completa das circunstâncias
dessa recolha;
39) Considerando que por vezes se tratam dados que não foram recolhidos
directamente pelo responsável junto da pessoa em causa; que, além disso, os dados
podem ser legitimamente comunicados a um terceiro sem que essa comunicação
estivesse prevista na altura da recolha dos dados junto da pessoa em causa; que, em
todos estes casos, a pessoa em causa deve ser informada no momento do registo dos
dados ou, o mais tardar, quando os dados são comunicados pela primeira vez a um
terceiro;
40) Considerando que, no entanto, a imposição desta obrigação não é necessária caso
a pessoa em causa esteja já informada; que, além disso, não existe essa obrigação caso
o registo ou a comunicação dos dados estejam expressamente previstos na lei ou caso
a informação da pessoa em causa se revele impossível ou exija esforços
desproporcionados, o que pode ser o caso do tratamento para fins históricos,
estatísticos ou científicos; que, para este efeito, podem ser tomados em consideração o
número de pessoas em causa, a antiguidade dos dados e as medidas compensatórias
que podem ser tomadas;
41) Considerando que todas as pessoas devem poder beneficiar do direito de acesso
aos dados que lhes dizem respeito e que estão em fase de tratamento, a fim de
assegurarem, nomeadamente, a sua exactidão e a licitude do tratamento; que, pelas
mesmas razões, todas as pessoas devem, além disso, ter o direito de conhecer a lógica
subjacente ao tratamento automatizado dos dados que lhe dizem respeito, pelo menos
no caso das decisões automatizadas referidas no nº 1 do artigo 15º; que este último
direito não deve prejudicar o segredo comercial nem a propriedade intelectual,
nomeadamente o direito de autor que protege o suporte lógico; que tal, todavia, não
poderá traduzir-se pela recusa de qualquer informação à pessoa em causa;
42) Considerando que, no interesse da pessoa em causa ou com o objectivo de
proteger os direitos e liberdades de outrem, os Estados-membros podem limitar os
direitos de acesso e de informação; que, por exemplo, podem precisar que o acesso
aos dados médicos só poderá ser obtido por intermédio de um profissional da saúde;
43) Considerando que restrições aos direitos de acesso e informação e a certas
obrigações do responsável pelo tratamento podem igualmente ser previstas pelos
Estados-membros na medida em que sejam necessárias para proteger, por exemplo, a
segurança do Estado, a defesa, a segurança pública, os interesses económicas ou
financeiros importantes de um Estado-membro ou da União, e para a investigação e a
repressão de infracções penais ou de violações da deontologia das profissões
regulamentadas; que há que enumerar, a título das excepções e restrições, as missões
de controlo, de inspecção ou de regulamentação necessárias nos três últimos domínios
citados referentes à segurança pública, ao interesse económico ou financeiro e à
repressão penal; que esta enumeração de missões respeitante aos três domínios
referidos não prejudica a legitimidade de excepções e de restrições por razões de
segurança do Estado e de defesa;
44) Considerando que os Estados-membros podem ser levados, por força das
disposições do direito comunitário, a prever derrogações às disposições da presente
directiva relativas ao direito de acesso, à informação das pessoas e à qualidade dos
dados para salvaguardarem algumas finalidades dentre as acima enunciadas;
45) Considerando que, nos casos de tratamento de dados lícito por razões de interesse
público, de exercício da autoridade pública ou de interesse legítimo de uma pessoa, a
pessoa em causa terá, ainda assim, o direito de, com base em razões preponderantes e
legítimas relacionadas com a sua situação específica, se opor ao tratamento dos dados
que lhe dizem respeito; que os Estados-membros, têm, no entanto, a possibilidade de
prever disposições nacionais em contrário;
46) Considerando que a protecção dos direitos e liberdades das pessoas em causa
relativamente ao tratamento de dados pessoais exige que sejam tomadas medidas
técnicas e organizacionais adequadas tanto aquando da concepção do sistema de
tratamento como da realização do próprio tratamento, a fim de manter em especial a
segurança e impedir assim qualquer tratamento não autorizado; que compete aos
Estados-membros zelar por que os responsáveis pelo tratamento respeitem estas
medidas; que estas medidas devem assegurar um nível de segurança adequado,
atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em
função dos riscos que o tratamento implica e a natureza dos dados a proteger;
47) Considerando que, quando uma mensagem que contém dados pessoais é
transmitida através de um serviço de telecomunicações ou de correio electrónico cujo
único objectivo é a transmissão de mensagens deste tipo, será a pessoa de quem
emana a mensagem, e não quem propõe o serviço de transmissão, que será em regra
considerada responsável pelo tratamento dos dados pessoais contidos na mensagem;
que, contudo, as pessoas que propõem esses serviços serão em regra consideradas
responsáveis pelo tratamento dos dados pessoais suplementares necessários ao
funcionamento do serviço;
48) Considerando que a notificação à autoridade de controlo tem por objectivo
assegurar a publicidade das finalidades e principais características do tratamento, a
fim de permitir verificar a sua conformidade com as disposições nacionais tomadas
nos termos da presente directiva;
49) Considerando que, a fim de evitar formalidades administrativas desnecessárias, os
Estados-membros podem estabelecer isenções da obrigação de notificação, ou
simplificações à notificação requerida, nos casos em que o tratamento não seja
susceptível de prejudicar os direitos e liberdades das pessoas em causa, desde que seja
conforme com um acto adoptado pelo Estado-membro que precise os seus limites; que
podem igualmente ser estabelecidas isenções ou simplificações caso uma pessoa
designada pelo responsável pelo tratamento se certifique de que o tratamento
efectuado não é susceptível de prejudicar os direitos e liberdades das pessoas em
causa; que essa pessoa encarregada da protecção de dados, empregada ou não do
responsável pelo tratamento, deve exercer as suas funções com total independência;
50) Considerando que poderá ser estabelecida a isenção ou a simplificação para
tratamentos cuja única finalidade seja a manutenção de registos destinados, de acordo
com o direito nacional, à informação do público e que possam ser consultados pelo
público ou por qualquer pessoa que possa provar um interesse legítimo;
51) Considerando que, no entanto, a simplificação ou a isenção da obrigação de
notificação não liberam o responsável pelo tratamento de nenhuma das outras
obrigações decorrentes da presente directiva;
52) Considerando que, neste contexto, a verificação a posteriori pelas autoridades
competentes deve ser, em geral, considerada uma medida suficiente;
53) Considerando que, no entanto, certos tratamentos podem ocasionar riscos
particulares para os direitos e liberdades das pessoas em causa, em virtude da sua
natureza, do seu âmbito ou da sua finalidade, como acontece, por exemplo, se esse
tratamento tiver por objectivo privar as pessoas de um direito, de uma prestação ou de
um contrato, ou em virtude da utilização de tecnologias novas; que compete aos
Estados-membros, se assim o entenderem, precisar esses riscos na respectiva
legislação;
54) Considerando que, de todos os tratamentos efectuados em sociedade, o número
dos que apresentem tais riscos particulares deverá ser muito restrito; que os Estadosmembros devem estabelecer um controlo prévio à realização desses tratamentos a
efectuar pela autoridade de controlo ou pelo encarregado da protecção dos dados em
cooperação com essa autoridade; que, na sequência desse controlo prévio, a
autoridade de controlo pode, de acordo com o direito nacional, dar um parecer ou
autorizar o tratamento dos dados; que esse controlo pode igualmente ser efectuado
durante os trabalhos de elaboração de uma medida legislativa do parlamento nacional
ou de uma medida baseada nesse medida legislativa, a qual defina a natureza do
tratamento e especifique as garantias adequadas;
55) Considerando que, se o responsável pelo tratamento não respeitar os direitos das
pessoas em causa, as legislações nacionais devem prever a possibilidade de recurso
judicial; que os danos de que podem ser vítimas as pessoas em virtude de um
tratamento ilegal devem ser ressarcidos pelo responsável pelo tratamento, o qual só
pode ser exonerado da sua responsabilidade se provar que o facto que causou o dano
lhe não é imputável, nomeadamente quando provar existir responsabilidade da pessoa
em causa ou um caso de força maior; que devem ser aplicadas sanções a todas as
pessoas, de direito privado ou de direito público, que não respeitem as disposições
nacionais tomadas nos termos da presente directiva;
56) Considerando que os fluxos transfronteiras de dados pessoais são necessários ao
desenvolvimento do comércio internacional; que a protecção das pessoas garantida na
Comunidade pela presente directiva não obsta às transferências de dados pessoais
para países terceiros que assegurem um nível de protecção adequado; que o carácter
adequado do nível de protecção oferecido por um país terceiro deve ser apreciado em
função de todas as circunstâncias associadas à transferência ou a uma categoria de
transferências;
57) Considerando em contrapartida que, sempre que um país terceiro não ofereça um
nível de protecção adequado, a transferência de dados pessoais para esse país deve ser
proibida;
58) Considerando que devem poder ser previstas excepções a esta proibição em certas
circunstâncias, quando a pessoa em causa tiver dado o seu consentimento, quando
transferência for necessária no âmbito de um contrato ou de um processo judicial,
quando a protecção de um interesse público importante assim o exigir, por exemplo
nos casos transferências internacionais de dados entre as autoridades fiscais ou
aduaneiras ou em os serviços competentes em matéria de segurança social, ou quando
a transferência feita a partir de um registo instituído por lei e destinado a consulta pelo
público ou por pessoas com um interesse legítimo; que nesse caso tal transferência
não deve abranger a totalidade dos dados nem as categorias de dados contidos nesse
registo; que, sempre que um registo se destine a ser consultado por pessoas com um
interesse legítimo, a transferência apenas deverá poder ser efectuada a pedido dessas
pessoas ou caso sejam elas os seus destinatários;
59) Considerando que podem ser tomadas medidas especiais para sanar a
insuficiência de protecção num país terceiro, se o responsável pelo tratamento
apresentar garantias adequadas; que, além disso, devem ser previstos processos de
negociação entre Comunidade e os países terceiros em causa;
60) Considerando que, em todo o caso, as transferências para países terceiros só
podem ser efectuadas no pleno respeito das disposições adoptadas pelos Estadosmembros nos termos de presente directiva, nomeadamente do seu artigo 8º;
61) Considerando que, no âmbito das respectivas competências, os Estados-membros
e a Comissão devem incentivar as organizações sectoriais interessadas a elaborar
códigos de conduta com vista a facilitar a aplicação da presente directiva, tendo em
conta as características específicas do tratamento efectuado em certos sectores e
respeitando as disposições nacionais tomadas para a sua execução;
62) Considerando que a criação nos Estados-membros de autoridades de controlo que
exerçam as suas funções com total independência constitui um elemento essencial da
protecção das pessoas no que respeita ao tratamento de dados pessoais;
63) Considerando que essas autoridades devem ser dotadas dos meios necessários
para a realização das suas funções, incluindo poderes de inquérito ou de intervenção,
especialmente em caso de reclamações, e poderes para intervir em processos judiciais;
que essas autoridades devem ajudar a garantir a transparência do tratamento de dados
efectuado no Estado-membro sob cuja jurisdição se encontram;
64) Considerando que as autoridades dos diferentes Estados-membros deverão
prestar-se mutuamente assistência no desempenho das suas funções por forma a
assegurar integralmente o respeito das regras de protecção em toda a União Europeia;
65) Considerando que deve ser criado, a nível comunitário, um grupo de trabalho
sobre a protecção das pessoas no que diz respeito ao tratamento de dados pessoais, o
qual deve gozar de total independência no exercício das suas funções; que, atendendo
à sua natureza específica, esse grupo deve aconselhar a Comissão e contribuir
nomeadamente para a aplicação uniforme das normas nacionais adoptadas nos termos
da presente directiva;
66) Considerando que, no que se refere à transferência de dados para países terceiros,
a aplicação da presente directiva requer a atribuição de competências de execução à
Comissão e a criação de um procedimento de acordo com as normas estabelecidos na
Decisão 87/373/CEE do Conselho ();
67) Considerando que, em 20 de Dezembro de 1994, se chegou a acordo sobre um
modus vivendi entre o Parlamento Europeu, o Conselho e a Comissão quanto às
medidas de execução de actos adoptados nos termos do procedimento previsto no
artigo 189º-B do Tratado;
68) Considerando que os princípios enunciados na presente directiva para a protecção
dos direitos e liberdades das pessoas, nomeadamente do seu direito à vida privada, no
que diz respeito ao tratamento de dados pessoais, poderão ser completados ou
especificados, nomeadamente em relação a certos sectores, através de regras
específicas baseadas nesses princípios;
69) Considerando que é conveniente conceder aos Estados-membros um prazo não
superior a três anos a contar de data de entrada em vigor das medidas nacionais de
transposição da presente directiva, durante o qual essas novas disposições nacionais
serão aplicadas de forma progressiva a qualquer tratamento de dados já em curso; que,
para facilitar uma aplicação rentável dessas disposições, os Estados-membros poderão
prever um prazo suplementar, que expirará doze anos a contar da data de adopção da
presente directiva, para assegurar a conformidade dos ficheiros manuais existentes
com determinadas disposições da directiva; que os dados contidos nesses ficheiros,
que sejam objecto de um tratamento manual efectivo durante esse período de
transição suplementar, deverão ser postos em conformidade com essas disposições
aquando da realização desse tratamento;
70) Considerando que a pessoa em causa não é obrigada a dar novamente o seu
consentimento para que o responsável continue a efectuar, após a entrada em vigor
das disposições nacionais tomadas nos termos da presente directiva, um tratamento de
dados sensíveis necessário à execução de um contrato celebrado com base num
consentimento livre e informado antes da entrada em vigor das disposições acima
referidas;
71) Considerando que a presente directiva não obste a que um Estado-membro
regulamente as actividades de mala directa junto dos consumidores residentes no seu
território, desde que a referida regulamentação não diga respeito à protecção das
pessoas no que se refere ao tratamento de dados pessoais;
72) Considerando que a presente directiva permite tomar em consideração o princípio
do direito de acesso do público aos documentos oficiais aquando da implementação
dos princípios nela estabelecidos,

ADOPTARAM A PRESENTE DIRECTIVA

CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1 º
Objecto de directiva

  1. Os Estados-Membros assegurarão, em conformidade com a presente directiva, a
    protecção das liberdades e dos direitos fundamentais das pessoas singulares,
    nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados
    pessoais.
  2. Os Estados-membros não podem restringir ou proibir a livre circulação de dados
    pessoais entre Estados-membros por razões relativas à protecção assegurada por força
    do nº 1.

Artigo 2º
Definições

Para efeitos de presente directivo, entende-se por:
a) «Dados pessoais», qualquer informação relativa a uma pessoa
singular identificado ou identificável («pessoa em causa»); é
considerado identificável todo aquele que possa ser identificado,
directa ou indirectamente, nomeadamente por referência a um número
de identificação ou a um ou mais elementos específicos da sua
identidade física, fisiológica, psíquica, económica, cultural ou social;
b) «Tratamento de dados pessoais» («tratamento»), qualquer operação
ou conjunto de operações efectuadas sobre dados pessoais, com ou sem
meios automatizados, tais como a recolha, registo, organização,
conservação, adaptação ou alteração, recuperação, consulta, utilização,
comunicação por transmissão, difusão ou qualquer outra forma de
colocação à disposição, com comparação ou interconexão, bem como o
bloqueio, apagamento ou destruição;
c) «Ficheiro de dados pessoais» («ficheiro»), qualquer conjunto
estruturado de dados pessoais, acessível segundo critérios
determinados, quer seja centralizado, descentralizado ou repartido de
modo funcional ou geográfico;
d) «Responsável pelo tratamento», a pessoa singular ou colectiva, a
autoridade pública, o serviço ou qualquer outro organismo que,
individualmente ou em conjunto com outrem, determine as finalidades
e os meios de tratamento dos dados pessoais; sempre que as finalidades
e os meios do tratamento sejam determinadas por disposições
legislativas ou regulamentares nacionais ou comunitárias, o
responsável pelo tratamento ou os critérios específicos para a sua
nomeação podem ser indicados pelo direito nacional ou comunitário;
c) «Subcontratante», a pessoa singular ou colectiva, a autoridade
pública, o serviço ou qualquer outro organismo que trata os dados
pessoais por conta do responsável pelo tratamento;
«Terceiro», a pessoa singular ou colectiva, a autoridade pública, o
serviço ou qualquer outro organismo que não a pessoa em causa, o
responsável pelo tratamento, o subcontratante e as pessoas que, sob a
autoridade directa do responsável pelo tratamento ou do
subcontratante, estão habilitadas a tratar dos dados;
«Destinatário», a pessoa singular ou colectiva, a autoridade pública, o
serviço ou qualquer outro organismo que receba comunicações de
dados independentemente de se tratar ou não de um terceiro; todavia,
as autoridades susceptíveis de receberem comunicações de dados no
âmbito duma missão de inquérito específica não são consideradas
destinatários;
«Consentimento da pessoa em causa», qualquer manifestação de
vontade, livre, específica e informada, pela qual a pessoa em causa
aceita que dados pessoais que lhe dizem respeito sejam objecto de
tratamento.

Artigo 3º
Âmbito de aplicação

  1. A presente directiva aplica-se ao tratamento de dados pessoais por meios total ou
    parcialmente automatizados, bem como ao tratamento por meios não automatizados
    de dados pessoais contidos num ficheiro ou a ele destinados.
  2. A presente directiva não se aplica ao tratamento de dados pessoais:
  1. Cada Estado-membro aplicará as suas disposições nacionais adoptadas por força da
    presente directiva ao tratamento de dados pessoais quando:
    a) O tratamento for efectuado no contexto das
    actividades de um estabelecimento do responsável pelo
    tratamento situado no território desse Estado-membro;
    se o mesmo responsável pelo tratamento estiver
    estabelecido no território de vários Estados-membros,
    deverá tomar as medidas necessárias para garantir que
    cada um desses ,estabelecimentos cumpra as obrigações
    estabelecidas no direito nacional que lhe for aplicável;
    b) O responsável pelo tratamento não estiver
    estabelecido no território do Estado-membro, mas num
    local onde a sua legislação nacional seja aplicável por
    força do direito internacional público;
    c) O responsável pelo tratamento não estiver
    estabelecido no território da Comunidade e recorrer,
    para tratamento de dados pessoais, a meios,
    automatizados ou não, situados no território desse
    Estado-membro, salvo se esses meios só forem
    utilizados para trânsito no território da Comunidade.
    No caso referido na alínea c) do nº 1, o responsável pelo tratamento
    deve designar um representante estabelecido no território desse Estadomembro, sem prejuízo das acções que possam vir a ser intentadas
    contra o próprio responsável pelo tratamento.

CAPITULO II
CONDIÇOES GERAIS DE LICITUDE DO TRATAMENTO
DE DADOS PESSOAIS
Artigo 5º

Os Estados-membros especificarão, dentro dos limites do disposto no presente
capítulo, as condições em que é lícito o tratamento de dados pessoais.

SECÇÃO I
PRINCÍPlOS RELATIVOS À QUALIDADE DOS DADOS
Artigo 6º

  1. Os Estados-membros devem estabelecer que os dados pessoais serão:
    a) Objecto de um tratamento leal e lícito;
    b) Recolhidos para finalidades determinadas, explícitas e legítimas, e
    que não serão posteriormente tratados de forma incompatível com
    essas finalidades. O tratamento posterior para fins históricos,
    estatísticos ou científicos não é considerado incompatível desde que os
    Estados-membros estabeleçam garantias adequadas;
    c) Adequados, pertinentes e não excessivos relativamente às
    finalidades para que são recolhidos e para que são tratados
    posteriormente;
    d) Exactos e, se necessário , actualizados; devem ser tomadas todas as
    medidas razoáveis para assegurar que os dados inexactos ou
    incompletos, tendo em conta as finalidades para que foram recolhidos
    ou para que são tratados posteriormente, sejam apagados ou
    rectificados;
    e) Conservados de forma a permitir a identificação das pessoas em
    causa apenas durante o período necessário para a prossecução das
    finalidades para que foram recolhidos ou para que são tratados
    posteriormente. Os Estados-membros estabelecerão garantias
    apropriadas para os dados pessoais conservados durante períodos mais
    longos do que o referido, para fins históricos, estatísticos ou
    científicos.
  2. Incumbe ao responsável pelo tratamento assegurar a observância do disposto no nº
  3. SECÇÃO II
    PRINCÍPlOS RELATIVOS À LEGITIMIDADE DO TRATAMENTO DE
    DADOS
    Artigo 7º

Os Estados-membros estabelecerão que o tratamento de dados pessoais só poderá ser
efectuado se:
a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou
b) O tratamento for necessário para a execução de um contrato no qual
a pessoa em causa é parte ou de diligências prévias à formação do
contrato decididas a pedido da pessoa em causa; ou
O tratamento for necessário para cumprir uma obrigação legal à qual o
responsável pelo tratamento esteja sujeito; ou
O tratamento for necessário para a protecção de interesses vitais da
pessoa em causa; ou
O tratamento for necessário para a execução de uma missão de
interesse público ou o exercício da autoridade pública de que é
investido o responsável pelo tratamento ou um terceiro a quem os
dados sejam comunicados; ou
O tratamento for necessário para prosseguir interesses legítimos do
responsável pelo tratamento ou do terceiro ou terceiros a quem os
dados sejam comunicados, desde que não prevaleçam os interesses ou
os direitos e liberdades fundamentais da pessoa em causa, protegidos
ao abrigo do nº 1 do artigo 1º.

SECÇÃO III
CATEGORIAS ESPECÍFICAS DE TRATAMENTOS
Artigo 8º
Tratamento de certas categorias específicas de dados

  1. Os Estados-membros proibirão o tratamento de dados pessoais que revelem a
    origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a
    filiação sindical, bem como o tratamento de dados relativos à saúde ou à vida sexual.
  2. O nº 1 não se aplica quando:
    a) A pessoa em causa tiver dado o seu consentimento explícito para
    esse tratamento, salvo se a legislação do Estado-membro estabelecer
    que a proibição referida no nº1 não pode ser retirada pelo
    consentimento da pessoa em causa; ou
    b) O tratamento for necessário para o cumprimento das obrigações e
    dos direitos do responsável pelo tratamento no domínio da legislação
    do trabalho, desde que o mesmo seja autorizado por legislação
    nacional que estabeleça garantias adequadas; ou
    c) O tratamento for necessário para proteger interesses vitais de pessoa
    em causa ou de uma outra pessoa se a pessoa em causa estiver física ou
    legalmente incapaz de dar o seu consentimento; ou
    d) O tratamento for efectuado, no âmbito das suas actividades
    legítimas e com as garantias adequadas, por uma fundação, uma
    associação ou qualquer outro organismo sem fins lucrativos de carácter
    político, filosófico, religioso ou sindical, na condição de o tratamento
    dizer unicamente respeito aos membros desse organismo ou às pessoas
    que com ele mantenham contactos periódicos ligados às suas
    finalidades, e de os dados não serem comunicados a terceiros sem o
    consentimento das pessoas em causa; ou
    e) O tratamento disser respeito a dados manifestamente tornados
    públicos pela pessoa em causa ou for necessário à declaração, ao
    exercício ou à defesa de um direito num processo judicial.
  3. O nº 1 não se aplica quando o tratamento dos dados for necessário para efeitos de
    medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos
    médicos ou gestão de serviços da saúde e quando o tratamento desses dados for
    efectuado por um profissional de saúde obrigado ao segredo profissional pelo direito
    nacional ou por regras estabelecidas pelos organismos nacionais competentes, ou por
    outra pessoa igualmente sujeita a uma obrigação de segredo equivalente.
  4. Sob reserva de serem prestadas as garantias adequadas, os Estados-membros
    poderão estabelecer, por motivos de interesse público importante, outras derrogações
    para além das previstas no nº 2, quer através de disposições legislativas nacionais,
    quer por decisão da autoridade de controlo referida no artigo 28º.
  5. O tratamento de dados relativos a infracções, condenações penais ou medidas de
    segurança só poderá ser efectuado sob o controlo das autoridades públicas ou se o
    direito nacional estabelecer garantias adequadas e específicas, sob reserva das
    derrogações que poderão ser concedidas pelo Estado-membro com base em
    disposições nacionais que prevejam garantias específicas e adequadas. Contudo, o
    registo completo das condenações penais só pode ser mantido sob o controlo das
    autoridades públicas.

Os Estados-membros podem estabelecer que o tratamento de dados relativos a
sanções administrativas ou decisões cíveis fique igualmente sujeito ao controlo das
autoridades públicas.

  1. As derrogações ao nº1 previstas nos nº 4 e 5 serão notificadas à Comissão.
  2. Cabe aos Estados-membros determinar as condições em que um número nacional
    de identificação ou qualquer outro elemento de identificação de aplicação geral
    poderá ser objecto de tratamento.

Artigo 9º
Tratamento de dados pessoais e liberdade de expressão

Os Estados-membros estabelecerão isenções ou derrogações ao disposto no presente
Capítulo o nos Capítulos IV e VI para o tratamento de dados pessoais efectuado para
fins exclusivamente jornalísticos ou de expressão artística ou literária, apenas na
medida em que sejam necessárias para conciliar o direito à vida privada com as
normas que regem a liberdade de expressão.

SECÇÃO IV
INFORMAÇÃO DA PESSOA EM CAUSA
Artigo 10º
Informação em caso de recolha de dados junto
da pessoa em causa

Os Estados-membros estabelecerão que o responsável pelo tratamento ou o seu
representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe
digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver
conhecimento:
a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;
b) Finalidades do tratamento a que os dados se destinam;
c) Outras informações, tais como:

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha
dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

Artigo 11º
Informação em caso de dados não recolhidos
junto da pessoa em causa

1 . Se os dados não tiverem sido recolhidos junto da pessoa em causa, os Estadosmembros estabelecerão que o responsável pelo tratamento, ou o seu representante,
deve fornecer à pessoa em causa, no momento em que os dados forem registados ou,
se estiver prevista a comunicação de dados a terceiros, o mais tardar aquando da
primeira comunicação desses dados, pelo menos as seguintes informações, salvo se a
referida pessoa já delas tiver conhecimento:
a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;
b) Finalidades do tratamento;
c) Outras informações, tais como:

  1. O nº 1 não se aplica quando, nomeadamente no caso do tratamento de dados com
    finalidades estatísticas, históricas ou de investigação científica, a informação da
    pessoa em causa se revelar impossível ou implicar esforços desproporcionados ou
    quando a lei dispuser expressamente o registo dos dados ou a sua divulgação. Nestes
    casos, os Estados-membros estabelecerão as garantias adequadas.

SECÇÃO V
DIREITO DE ACESSO DA PESSOA EM CAUSA AOS DADOS
Artigo 12º
Direito de acesso
Os Estados-membros garantirão às pessoas em causa o direito de obterem do
responsável pelo tratamento:
a) Livremente e sem restrições, com periodicidade razoável e sem demora ou custos
excessivos:

SECÇÃO VI
DERROGAÇOES E RESTRIÇÕES
Artigo 13º
Derrogações e restrições

  1. Os Estados-membros podem tomar medidas legislativas destinadas a restringir o
    alcance das obrigações e direitos referidos no nº 1 do artigo 6º, no artigo 10º, no nº 1
    do artigo 11º e nos artigos 12º e 21º, sempre que tal restrição constitua uma medida
    necessária à protecção:
    a) Da segurança do Estado;
    b) Da defesa;
    c) Da segurança pública;
    d) Da prevenção, investigação, detecção e repressão de infracções penais e de
    violações da deontologia das profissões regulamentadas;
    De um interesse económico ou financeiro importante de um Estadomembro ou da União Europeia, incluindo nos domínios monetário,
    orçamental ou fiscal;
    De missões de controlo, de inspecção ou de regulamentação
    associadas, ainda que ocasionalmente, ao exercício de autoridade
    pública, nos casos referidos nas alíneas c), d) e e);
    De pessoa em causa ou dos direitos e liberdades de outrem.
  2. Sob reserva de garantias jurídicas adequadas, nomeadamente a de que os dados não
    serão utilizados para tomar medidas ou decisões em relação a pessoas determinadas,
    os Estados-membros poderão restringir através de uma medida legislativa os direitos
    referidos no artigo 12º nos casos em que manifestamente não exista qualquer perigo
    de violação do direito à vida privada da pessoa em causa e os dados forem
    exclusivamente utilizados para fins de investigação científica ou conservados sob
    forma de dados pessoais durante um período que não exceda o necessário à finalidade
    exclusiva de elaborar estatísticas.

SECÇÃO VII
DIREITO DE OPOSIÇÃO DA PESSOA EM CAUSA
Artigo 14º
Direito de oposição da pessoa em causa

Os Estados-membros reconhecerão à pessoa em causa o direito de:
a) Pelo menos nos casos referidos nas alíneas e) e f) do artigo 7º, se
opor em qualquer altura, por razões preponderantes e legítimas
relacionadas com a sua situação particular, a que os dados que lhe
digam respeito sejam objecto de tratamento, salvo disposição em
contrário do direito nacional. Em caso de oposição justificado, o
tratamento efectuado pelo responsável deixa de poder incidir sobre
esses dados;
b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados
pessoais que lhe digam respeito previsto pelo responsável pelo
tratamento para efeitos de mala directa; ou ser informada antes de os
dados pessoais serem comunicados pelo primeira vez a terceiros para
fins de mala directa ou utilizados por conta de terceiros, e de lhe ser
expressamente facultado o direito de se opor, sem despesas, a tais
comunicações ou utilizações.

Os Estados-membros tomarão as medidas necessárias para garantir que as pessoas em
causa tenham conhecimento do direito referido no primeiro parágrafo da alínea b).

Artigo 15º
Decisões individuais automatizadas

  1. Os Estados-membros reconhecerão a qualquer pessoa o direito de não ficar sujeita a
    uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo
    significativo, tomada exclusivamente com base num tratamento automatizado de
    dados destinado a avaliar determinados aspectos da sua personalidade, como por
    exemplo a sua capacidade profissional, o seu crédito, confiança de que é merecedora,
    comportamento.
  2. Os Estados-membros estabelecerão, sob reserva das restantes disposições da
    presente directiva, que uma pessoa pode ficar sujeita a urna decisão do tipo referido
    no nº 1 se a mesma:
    a) For tomada no âmbito da celebração ou da execução de um contrato,
    na condição de o pedido de celebração ou a execução do contrato
    apresentado pela pessoa em causa, ter sido satisfeito, ou de existirem
    medidas adequadas, tais como a possibilidade de apresentar o seu
    ponto de vista, que garantam a defesa dos seus interesses legítimos; ou
    b) For autorizada por uma lei que estabeleça medidas que garantam a
    defesa dos interesses legítimos da pessoa em causa.

SECÇÃO VIII
CONFIDENCIALIDADE E SEGURANÇA DO TRATAMENTO
Artigo 16º
Confidencialidade do tratamento

Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do
subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais,
não procederá no seu tratamento sem instruções do responsável pelo tratamento, salvo
por força de obrigações legais.

Artigo 17º
Segurança do tratamento

  1. Os Estados-membros estabelecerão que o responsável pelo tratamento deve pôr em
    prática medidas técnicas e organizativas adequadas para proteger os dados pessoais
    contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou
    acesso não autorizados, nomeadamente quando o tratamento implicar a sua
    transmissão por rede, e contra qualquer outra forma de tratamento ilícito.
    Estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e
    aos custos resultantes da sua aplicação, um nível de segurança adequado em relação
    aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
  2. Os Estados-membros estabelecerão que o responsável pelo tratamento, em caso de
    tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias
    suficientes em relação às medidas de segurança técnica e de organização do
    tratamento a efectuar e deverá zelar pelo cumprimento dessas medidas.
  3. A realização de operações de tratamento em subcontratação deve ser regida por um
    contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento
    e que estipule, designadamente, que:
  1. Para efeitos de conservação de provas, os elementos do contrato ou do acto jurídico
    relativos à protecção dos dados, bem como as exigências relativas às medidas
    referidas no nº 1, deverão ficar consignados por escrito ou sob forma equivalente.

SECÇÃO IX
NOTIFICAÇÃO
Artigo 18º
Obrigação de notificação à autoridade de controlo

  1. Os Estados-membros estabelecerão que o responsável pelo tratamento ou,
    eventualmente, o seu representante deve notificar a autoridade de controlo referida no
    artigo 28º antes da realização de um tratamento ou conjunto de tratamentos, total ou
    parcialmente automatizados, destinados à prossecução de uma ou mais finalidades
    interligadas.
  2. Os Estados-membros apenas poderão estabelecer a simplificação ou a isenção da
    notificação nos seguintes casos e condições:
  1. Os Estados-membros poderão estabelecer que o nº 1 não se aplica a tratamentos
    cuja única finalidade seja a manutenção de registos que, nos termos de disposições
    legislativas ou regulamentares, se destinem à informação do público e se encontrem
    abertos à consulta pelo público em geral ou por qualquer pessoa que possa provar um
    interesse legítimo.
  2. Os Estados-membros podem isentar da obrigação de notificação os tratamentos de
    dados referidos no nº 2, alínea d), do artigo 8º, ou prever uma simplificação dessa
    notificação.
  3. Os Estados-membros podem determinar que todos ou alguns dos tratamentos não
    automatizados de dados pessoais sejam notificados, eventualmente de forma
    simplificada.

Artigo 19º
Conteúdo da notificação

  1. Os Estados-membros especificarão as informações que devem constar da
    notificação. Essas informações devem incluir, pelo menos:
    a) O nome e endereço do responsável pelo tratamento e, eventualmente, do seu
    representante;
    b) A ou as finalidades do tratamento;
    c) Uma descrição da ou das categorias de pessoas em causa e dos dados ou categorias
    de dados que lhes respeitem;
    d) Os destinatários ou categorias de destinatários a quem os dados poderão ser
    comunicados;
    e) As transferências de dados previstas para países terceiros;
    f) Uma descrição geral que permita avaliar de forma preliminar a adequação das
    medidas tomadas para garantir a segurança do tratamento em aplicação do artigo 17º.
  2. Os Estados-membros especificarão os procedimentos de notificação à autoridade de
    controlo das alterações que afectem as informações referidas no nº 1.

Artigo 20º
Controlo prévio

  1. Os Estados-membros especificarão os tratamentos que possam representar riscos
    específicos para os direitos e liberdades das pessoas em causa e zelarão por que sejam
    controlados antes da sua aplicação.
  2. Esse controlo prévio será efectuado pelo autoridade de controlo referida no artigo
    28º após recepção de uma notificação do responsável pelo tratamento ou pelo
    encarregado da protecção de dados que, em caso de dúvida, deverá consultar a
    autoridade de controlo.
  3. Os Estados-membros poderão igualmente efectuar este controlo durante os
    trabalhos de preparação de uma medida do parlamento nacional ou de uma medida
    baseada nessa medida legislativa, a qual defina a natureza do tratamento e estabeleça
    as garantias adequadas.

Artigo 21º
Publicidade dos tratamentos

  1. Os Estados-membros tomarão as medidas necessárias para assegurar a publicidade
    dos tratamentos.
  2. Os Estados-membros estabelecerão que a autoridade de controlo referida no artigo
    28º manterá um registo dos tratamentos notificados por força do artigo 18º.
    Esse registo deverá conter, pelo menos, as informações enumeradas no nº 1, alíneas a)
    a e), do artigo 19º.
    O registo poderá ser consultado por qualquer pessoa.
  3. Os Estados-membros estabelecerão que, no que respeita aos tratamentos não
    sujeitos a notificação, o responsável pelo tratamento, ou outra entidade designada
    pelos Estados-membros, comunicará de forma adequada, a qualquer pessoa que o
    solicite, pelo menos as informações referidas no nº 1, alíneas a) a e), do artigo 19º.
    Os Estados-membros poderão estabelecer que a presente disposição não se aplica a
    tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de
    disposições legislativas ou regulamentares, se destinem à informação do público o se
    encontrem abertos à consulta pelo público em geral ou por qualquer pessoa que possa
    provar um interesse legítimo.

CAPITULO III
RECURSOS JUDICIAIS, RESPONSABILIDADE E SANÇÕES
Artigo 22º
Recursos

Sem prejuízo de quaisquer garantias graciosas, nomeadamente por parte da autoridade
de controlo referida no artigo 28º, previamente a um recurso contencioso, os Estadosmembros estabelecerão que qualquer pessoa poderá recorrer judicialmente em caso de
violação dos direitos garantidos pelas disposições nacionais aplicáveis no tratamento
em questão.

Artigo 23º
Responsabilidade

  1. Os Estados-membros estabelecerão que qualquer pessoa que tiver sofrido um
    prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto incompatível
    com as disposições nacionais de execução de presente directiva tem o direito de obter
    do responsável pelo tratamento a reparação pelo prejuízo sofrido.
  2. O responsável pelo tratamento poderá ser parcial ou totalmente exonerado desta
    responsabilidade se provar que o facto que causou o dano lhe não é imputável.

Artigo 24º
Sanções

Os Estados-membros tomarão as medidas adequadas para assegurar a plena aplicação
das disposições da presente directiva e determinarão, nomeadamente, as sanções a
aplicar em caso de violação das disposições adoptadas nos termos de presente
directiva.

CAPITULO IV
TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS
Artigo 25º
Princípios

  1. Os Estados-membros estabelecerão que a transferência para um país terceiro de
    dados pessoais objecto de tratamento, ou que se destinem a ser objecto de tratamento
    após a sua transferência, só pode realizar-se se, sob reserva da observância das
    disposições nacionais adoptadas nos termos das outras disposições da presente
    directiva, o país terceiro em questão assegurar um nível de protecção adequado.
  2. A adequação do nível de protecção oferecido por um país terceiro será apreciada
    em função de todas os circunstâncias que rodeiem a transferência ou o conjunto de
    transferências de dados; em especial, serão tidas em consideração a natureza dos
    dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de
    origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país
    terceiro em causa, bem como as regras profissionais e as medidas de segurança que
    são respeitadas nesse país.
  3. Os Estados-membros e a Comissão informar-se-ão mutuamente dos casos em que
    considerem que um país terceiro não assegura um nível de protecção adequado na
    acepção do nº 2.
  4. Sempre que a Comissão verificar, nos termos do procedimento previsto no nº 2 do
    artigo 31º, que um país terceiro não assegura um nível de protecção adequado na
    acepção do nº 2 do presente artigo, os Estados-membros tomarão as medidas
    necessárias para impedir qualquer transferência de dados de natureza idêntica para o
    país terceiro em causa.
  5. Em momento oportuno, a Comissão encetará negociações com vista a obviar à
    situação resultante da constatação feita em aplicação do nº 4.
  6. A Comissão pode constatar, nos termos do procedimento previsto no nº 2 do artigo
    31º, que um país terceiro assegura um nível de protecção adequado na acepção do nº 2
    do presente artigo em virtude da sua legislação interna ou dos seus compromissos
    internacionais, subscritos nomeadamente na sequência das negociações referidas no nº
    5, com vista à protecção do direito à vida privada e das liberdades e direitos
    fundamentais das pessoas.

Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão
da Comissão.

Artigo 26º
Derrogações

  1. Em derrogação ao disposto no artigo 25º e sob reserva de disposições em contrário
    do seu direito nacional em casos específicos, os Estados-membros estabelecerão que a
    transferência de dados pessoais para um país terceiro que não assegure um nível de
    protecção adequado na acepção do nº 2 do artigo 25º poderá ter lugar desde que:
    a) A pessoa em causa tenha dado de forma inequívoca o seu consentimento à
    transferência; ou
    b) A transferência seja necessária para a execução de um contrato entre a pessoa em
    causa e o responsável pelo tratamento ou de diligências prévias à formação do
    contrato decididas a pedido da pessoa em causa; ou
    c) A transferência seja necessária à execução ou celebração de um contrato celebrado
    ou a celebrar, no interesse da pessoa em cause, entre o responsável pelo tratamento e
    um terceiro; ou
    d) A transferência seja necessária ou legalmente exigida para a protecção de um
    interesse público importante, ou para a declaração, o exercício ou a defesa de um
    direito num processo judicial; ou
    e) A transferência seja necessária para proteger os interesses vitais da pessoa em
    causa; ou
    f) A transferência seja realizada a partir de um registo público que, nos termos de
    disposições legislativas ou regulamentares, se destine à informação do público e se
    encontre aberto à consulta pelo público em geral ou por qualquer pessoa que possa
    provar um interesse legítimo, desde que as condições estabelecidas na lei para a
    consulta sejam cumpridas no caso concreto.
  2. Sem prejuízo do nº 1, um Estado-membro pode autorizar uma transferência ou um
    conjunto de transferências de dados pessoais para um país terceiro que não assegura
    um nível de protecção adequado na acepção do nº 2 do artigo 25º, desde que o
    responsável pelo tratamento apresente garantias suficientes de protecção da vida
    privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício
    dos respectivos direitos; essas garantias podem, designadamente, resultar de cláusulas
    contratuais adequadas.
  3. O Estado-membro informará a Comissão e os restantes Estados-membros das
    autorizações que conceder nos termos do nº 2.
    Em caso de oposição, por um Estado-membro ou pela Comissão devidamente
    justificada no que se refere à protecção da privacidade e dos direitos e liberdades
    fundamentais das pessoas, a Comissão adoptará as medidas adequadas, nos termos do
    procedimento previsto no nº 2 do artigo 31º.
    Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão
    da Comissão.
  4. Sempre que a Comissão decidir, nos termos do procedimento previsto no nº 2 do
    artigo 31º, que certas cláusulas contratuais-tipo oferecem as garantias suficientes
    referidas no nº 2, os Estados-membros tomarão as medidas necessárias para dar
    cumprimento à decisão da Comissão.

CAPÍTULO V
CÓDIGOS DE CONDUTA
Artigo 27º

  1. Os Estados-membros e a Comissão promoverão a elaboração de códigos de
    conduta destinados a contribuir, em função das características dos diferentes sectores,
    para a boa execução das disposições nacionais tornadas pelos Estados-membros nos
    termos da presente directiva.
  2. Os Estados-membros estabelecerão que as associações profissionais e as outras
    organizações representativas de outras categorias de responsáveis pelo tratamento que
    tenham elaborado projectos de códigos nacionais ou que tencionem alterar ou
    prorrogar códigos nacionais existentes, podem submetê-los à apreciação das
    autoridades nacionais.
    Os Estados-membros estabelecerão que essas autoridades se certificarão,
    nomeadamente, de conformidade dos projectos que lhe são apresentados com as
    disposições nacionais tomadas nos termos de presente directiva. Se o considerarem
    oportuno, as autoridades solicitarão a opinião das pessoas em causa ou dos seus
    representantes.
  3. Os projectos de códigos comunitários, assim como as alterações ou prorrogações de
    códigos comunitários existentes, poderão ser submetidos ao grupo referido no artigo
    29º. O grupo pronunciar-se-á, nomeadamente, quanto à conformidade dos projectos
    submetidos à sua apreciação com as disposições nacionais adoptadas em aplicação da
    presente directiva. Se o considerar oportuno, solicitará a opinião das pessoas em causa
    ou dos seus representantes. A Comissão pode garantir uma publicidade adequada dos
    códigos aprovados pelo grupo.

CAPITULO VI
AUTORIDADE DE CONTROLO E GRUPO DE PROTECÇÃO DAS PESSOAS
NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS
Artigo 28º
Autoridade de controlo

  1. Cada Estado-membro estabelecerá que uma ou mais autoridades públicas serão
    responsáveis pela fiscalização da aplicação no seu território das disposições adoptadas
    pelos Estados-membros nos termos da presente directiva.
    Essas autoridades exercerão com total independência as funções que lhes forem
    atribuídas.
  2. Cada Estado-membro estabelecerá que as autoridades de controlo serão consultadas
    aquando da elaboração de medidas regulamentares ou administrativas relativas à
    protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento de
    dados pessoais.
  3. Cada autoridade de controlo disporá, nomeadamente:

As decisões de autoridade de controlo que lesem interesses são passíveis de recurso
jurisdicional.

  1. Qualquer pessoa ou associação que a represente pode apresentar à autoridade de
    controlo um pedido para protecção dos seus direitos e liberdades no que diz respeito
    ao tratamento de dados pessoais. A pessoa em causa será informada do seguimento
    dado ao seu pedido.
    Em particular, qualquer pessoa pode apresentar à autoridade de controlo um pedido de
    verificação da licitude de qualquer tratamento de dados, sempre que sejam aplicáveis
    as disposições nacionais adoptadas por força do artigo 13º. O requerente será pelo
    menos informado da realização da verificação.
  2. Cada autoridade de controlo elaborará periodicamente um relatório sobre a sua
    actividade. O relatório será publicado.
  3. Cada autoridade de controlo é competente, independentemente do direito nacional
    aplicável ao tratamento em causa, para o exercício no território do seu Estadomembro dos poderes que lhe foram atribuídos em conformidade com o nº3. Cada
    autoridade de controlo pode ser solicitada a exercer os seus poderes por uma
    autoridade de outro Estado-membro.
    As autoridades de controlo cooperarão entre si na medida do necessário ao
    desempenho das suas funções, em especial através do intercâmbio de quaisquer
    informações úteis.
  4. Os Estados-membros determinarão que os membros e agentes das autoridades de
    controlo fiquem sujeitos, mesmo após a cessação das suas actividades, à obrigação de
    segredo profissional em relação às informações confidenciais a que tenham acesso.

Artigo 29º
Grupo de protecção das pessoas no que diz respeito ao
tratamento de dados pessoais

  1. É criado um Grupo de protecção das pessoas no que diz respeito ao tratamento de
    dados pessoais, a seguir designado «grupo».
    O grupo tem carácter consultivo e é independente.
  2. O grupo é composto por um representante da autoridade ou autoridades de controlo
    designadas por cada Estado-membro, por um representante da autoridade ou
    autoridades criadas para as instituições e organismos comunitários, bem como por um
    representante da Comissão.
    Cada membro do grupo será designado pela instituição, autoridade ou autoridades que
    representa. Sempre que um Estado-membro tiver designado várias autoridades de
    controlo, estas nomearão um representante comum. O mesmo acontece em relação às
    autoridades criadas para as instituições e organismos comunitários.
  3. O grupo tomará as suas decisões por maioria simples dos representantes das
    autoridades de controlo.
  4. O grupo elegerá o seu presidente. O mandato do presidente tem uma duração de
    dois anos e é renovável.
  5. O secretariado do grupo será assegurado pela Comissão.
  6. O grupo elaborará o seu regulamento interno.
  7. O grupo analisará as questões inscritas na ordem de trabalhos pelo seu presidente,
    quer por iniciativa deste, quer a pedido de um representante das autoridades de
    controlo, quer ainda a pedido de Comissão.

Artigo 30º

  1. O grupo tem por atribuições:
    a) Analisar quaisquer questões relativas à aplicação das disposições nacionais
    tomadas nos termos da presente directiva, com vista a contribuir para a sua aplicação
    uniforme;
    b) Dar parecer à Comissão sobre o nível de protecção na Comunidade e nos países
    terceiros;
    c) Aconselhar a Comissão sobre quaisquer projectos de alteração da presente directiva
    ou sobre quaisquer projectos de medidas adicionais ou específicas a tomar para
    proteger os direitos e liberdades das pessoas singulares no que diz respeito ao
    tratamento de dados pessoais, bem como sobre quaisquer outros projectos de medidas
    comunitárias com incidência sobre esses direitos e liberdades;
    d) Dar parecer sobre os códigos de conduta elaborados a nível comunitário.
  2. Se o grupo verificar que surgem divergências susceptíveis de prejudicar a
    equivalência da protecção das pessoas no que diz respeito ao tratamento de dados
    pessoais na Comunidade entre a legislação ou a prática dos Estados-membros,
    informará desse facto a Comissão.
  3. O grupo pode, por sua própria iniciativa, formular recomendações sobre quaisquer
    questões relativas à protecção das pessoas no que diz respeito ao tratamento de dados
    pessoais na Comunidade.
  4. Os pareceres o recomendações do grupo serão transmitidos à Comissão e ao comité
    referido no artigo 31º.
  5. A Comissão informará o grupo do seguimento que deu aos seus pareceres e
    recomendações. Para o efeito, elaborará um relatório que será igualmente enviado ao
    Parlamento Europeu e ao Conselho. O relatório será publicado.
  6. O grupo elaborará um relatório anual sobre a situação da protecção das pessoas
    singulares no que diz respeito ao tratamento de dados pessoais na Comunidade e nos
    países terceiros, que será comunicado à Comissão, ao Parlamento Europeu e ao
    Conselho. O relatório será publicado.

CAPÍTULO VII
MEDIDAS DE EXECUÇÃO COMUNITÁRIAS
Artigo 31º
Comitologia

  1. A Comissão será assistida por um comité composto por representantes dos Estadosmembros e presidido pelo representante da Comissão.
  2. O representante da Comissão submeterá à apreciação do comité um projecto das
    medidas a tomar. O comité emitirá o seu parecer sobre esse projecto num prazo que o
    presidente pode fixar em função da urgência da questão em causa.
    O parecer será emitido por maioria, nos termos previstos no nº 2 do artigo 148º do
    Tratado. Nas votações no comité, os votos dos representantes dos Estados-membros
    estão sujeitos à ponderação definida no artigo atrás referido. O presidente não
    participa na votação.

A Comissão adoptará medidas que são imediatamente aplicáveis. Todavia, se não
forem conformes com o parecer emitido pelo comité, essas medidas serão
imediatamente comunicados pela Comissão ao Conselho. Nesse caso:

DISPOSIÇÕES FINAIS
Artigo 32º

  1. Os Estados-Membros porão em vigor as disposições legislativas, regulamentares e
    administrativos necessárias para dar cumprimento à presente directiva o mais tardar
    três anos a contar de data da sua adopção.
    Quando os Estados-membros adoptarem essas disposições, estas devem incluir uma
    referência à presente directiva ou ser acompanhadas dessa referência na publicação
    oficial. As modalidades dessa referência serão adoptadas pelos Estados-membros.
  2. Os Estados-membros assegurarão que os tratamentos já em curso à data da entrada
    em vigor das disposições nacionais tomadas nos termos da presente directiva
    cumprirão essas disposições o mais tardar três anos a contar de referida data.
    Em derrogação ao parágrafo anterior, os Estados-membros poderão estabelecer que o
    tratamento de dados já existente em ficheiros manuais à data de entrada em vigor das
    disposições nacionais tomadas nos termos de presente directiva cumprirá o disposto
    nos artigos 6º, 7º e 8º no prazo de doze anos a contar da data de adopção da presente
    directiva. Os Estados-membros possibilitarão, no entanto, à pessoa em causa obter, a
    seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a
    rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou
    conservados de modo incompatível com os fins legítimos prosseguidos pelo
    responsável pelo tratamento.
  3. Em derrogação ao nº 2, os Estados-membros poderão estabelecer que, sob reserva
    das garantias adequadas, os dados conservados unicamente com finalidades de
    investigação histórica não terão que cumprir os artigos 6º, 7º e 8º da presente
    directiva.
  4. Os Estados-membros comunicarão à Comissão o texto das disposições de direito
    interno que adoptem no domínio regido pela presente directiva.

Artigo 33º

A Comissão apresentará periodicamente ao Parlamento Europeu e ao Conselho, e pela
primeira vez o mais tardar três anos após a data referida no nº 1 do artigo 32º, um
relatório sobre a aplicação da presente directiva, eventualmente acompanhado de
propostas de alteração adequadas. O relatório será publicado.

A Comissão analisará, nomeadamente, a aplicação da presente directiva ao tratamento
de dados de som e de imagem relativos às pessoas singulares e apresentará as
propostas adequadas que se revelem necessárias, tendo em conta o desenvolvimento
das tecnologias da informação, e à luz da situação quanto aos trabalhos sobre a
sociedade de informação.

Artigo 34º

Os Estados-membros são os destinatários da presente directiva.

Feito no Luxemburgo, em 24 de Outubro de 1995.

Pelo Parlamento Europeu Pelo Conselho

O Presidente

K. Hansch L. Atienza

Membro
Cadastramento

Por favor, preencha todos os campos abaixo para prosseguir com o seu cadastro. Ao concluir, você será direcionado à página de pagamento. Seu cadastro é o primeiro passo para acessar nossos serviços exclusivos. Agradecemos a preferência!”

Preencha os dados do cartão de crédito abaixo.

assinar
cancelar