DIRECTIVA 95/46/CE DO PARLAMENTO EUROPEU E DO CONSELHO
de 24 de Outubro de 1995
Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de
dados pessoais e à livre circulação desses dados
O PARLAMENTO EUROPEU O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado que institui a Comunidade Europeia e,
nomeadamente, o seu artigo 100º- A
Tendo em conta a proposta da Comissão (),
Tendo em conta o parecer do Comité Económico e Social (),
Deliberando nos termos do procedimento previsto no artigo 189º B do Tratado
(),
1) Considerando que os objectivos da Comunidade, enunciados no Tratado, com a
redacção que lhe foi dada pelo Tratado da União Europeia, consistem em estabelecer
uma união cada vez mais estreita entre os povos europeus, em fomentar relações mais
próximas entre os Estados que pertencem à Comunidade, em assegurar o progresso
económico e social mediante acções comuns para eliminar as barreiras que dividem a
Europa, em promover a melhoria constante das condições de vida dos seus povos, em
preservar e consolidar a paz e liberdade e em promover a democracia com base nos
direitos fundamentais reconhecidos nas Constituições e leis dos Estados-membros,
bem como na Convenção europeia para a protecção dos direitos do Homem e das
liberdades fundamentais;
2) Considerando que os sistemas de tratamento de dados estão ao serviço do Homem;
que devem respeitar as liberdades e os direitos fundamentais das pessoas singulares
independentemente da sua nacionalidade ou da sua residência, especialmente a vida
privada, e contribuir para o progresso económico e social, o desenvolvimento do
comércio e o bem-estar dos indivíduos;
3) Considerando que o estabelecimento e o funcionamento do mercado interno no
qual, nos termos do artigo 7º A do Tratado, é assegurada a livre circulação das
mercadorias, das pessoas, dos serviços e dos capitais, exigem não só que os dados
pessoais possam circular livremente de um Estado-membro para outro, mas
igualmente, que sejam protegidos os direitos fundamentais das pessoas;
4) Considerando que o recurso ao tratamento de dados pessoais nos diversos domínios
das actividades económicas e sociais é cada vez mais frequente na Comunidade; que o
progresso registado nas tecnologias da informação facilita consideravelmente o
tratamento e a troca dos referidos dados;
5) Considerando que a integração económica e social resultante do estabelecimento e
funcionamento do mercado interno nos termos do artigo 7ºA do Tratado irá
necessariamente provocar um aumento sensível dos fluxos transfronteiras de dados
pessoais entre todos os intervenientes, privados ou públicos, na vida económica e
social dos Estados-membros; que o intercâmbio de dados pessoais entre empresas
estabelecidas em diferentes Estados-membros tende a intensificar-se; que as
administrações dos Estados-membros são chamadas, por força do direito comunitário,
a colaborar e a trocar entre si dados pessoais a fim de poderem desempenhar as suas
atribuições ou executar tarefas por conta de uma administração de outro Estadomembro, no âmbito do espaço sem fronteiras internas que o mercado interno
constitui;
6) Considerando, além disso, que o reforço da cooperação científica bem como a
introdução coordenada de novas redes de telecomunicações na Comunidade exigem e
facilitam a circulação transfronteiras de dados pessoais;
7) Considerando que as diferenças entre os Estados-membros quanto ao nível de
protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida
privada, no domínio do tratamento de dados pessoais, podem impedir a transmissão
desses dados do território de um Estado-membro para o de outro Estado-membro; que
estas diferenças podem, por conseguinte, constituir um obstáculo ao exercício de uma
série de actividades económicas à escala comunitária, falsear a concorrência e
entravar o exercício pelas administrações das funções que lhes incumbem nos termos
do direito comunitário; que esta diferença de níveis de protecção resulta da
disparidade de disposições legislativas, regulamentares e administrativas nacionais;
8) Considerando que, para eliminar os obstáculos à circulação de dados pessoais,
nível de protecção dos direitos e liberdades das pessoas no que diz respeito ao
tratamento destes dados deve ser equivalente em todos os Estados-membros; que a
realização deste objectivo, fundamental para o mercado interno, não pode ser
assegurada unicamente pelos Estados-membros ,tendo especialmente em conta a
dimensão das divergências que se verificam actualmente a nível das legislações
nacionais aplicáveis na matéria e a necessidade de coordenar as legislações dos
Estados-membros para assegurar que a circulação transfronteiras de dados pessoais
,seja regulada de forma coerente e em conformidade com o objectivo do mercado
interno nos termos do artigo 7°-A do Tratado; que é portanto necessária uma acção
comunitária com vista à aproximação das legislações;
9) Considerando que, devido à protecção equivalente resultante da aproximação das
legislações nacionais, os Estados-membros deixarão de poder levantar obstáculos à
livre circulação entre si de dados pessoais por razões de protecção dos direitos e
liberdades das pessoas, nomeadamente do direito a vida privada; que é deixada aos
Estados-membros uma margem de manobra que, no contexto da aplicação da
directiva, poderá ser utilizada pelos parceiros económicos e sociais; que os Estadosmembros poderão, pois, especificar na sua legislação nacional as condições gerais de
licitude do tratamento de dados; que, ao fazê-lo, os Estados-membros se esforçarão
por melhorar a protecção actualmente assegurada na respectiva legislação nacional;
que, nos limites dessa margem de manobra e em conformidade com o direito
comunitário, poderão verificar-se disparidades na aplicação da directiva, o que poderá
reflectir-se na circulação de dados quer no interior de um Estado-membro, quer na
Comunidade;
10) Considerando que o objectivo das legislações nacionais relativas ao tratamento de
dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais,
nomeadamente do direito à vida privada, reconhecido não só no artigo 8° da
Convenção europeia para a protecção dos direitos do Homem e das liberdades
fundamentais como nos princípios gerais do direito comunitário; que, por este motivo,
a aproximação das referidas legislações não deve fazer diminuir a protecção que
asseguram, devendo, pelo contrário, ter por objectivo garantir um elevado nível de
protecção na Comunidade;
11) Considerando que os princípios da protecção dos direitos e liberdades das
pessoas, nomeadamente do direito à vida privada, contidos na presente directiva,
precisam e ampliam os princípios contidos na Convenção do Conselho da Europa de
28 de Janeiro de 1981, relativa à protecção das pessoas no que diz respeito ao
tratamento automatizado de dados pessoais;
12) Considerando que os princípios da protecção devem aplicar-se a todo e qualquer
tratamento de dados pessoais sempre que as actividades do responsável pelo
tratamento sejam regidas pelo direito comunitário; que se deve excluir o tratamento de
dados efectuado por uma pessoa singular no exercício de actividades exclusivamente
pessoais ou domésticas, por exemplo correspondência ou listas de endereços;
13) Considerando que as actividades referidas nos Títulos V e VI do Tratado da União
Europeia, relativas à segurança pública, à defesa, à segurança do Estado ou às
actividades do Estado no domínio penal, não são abrangidas pelo âmbito de aplicação
do direito comunitário, sem prejuízo das obrigações que incumbem aos Estadosmembros nos termos do nº 2 do artigo 56° e dos artigos 57° e 100°-A do Tratado; que
o tratamento de dados pessoais necessário à protecção do bem-estar económico do
Estado não é abrangido pela presente directiva quando esse tratamento disser respeito
a questões de segurança do Estado;
14) Considerando que, tendo em conta a importância do desenvolvimento que, no
âmbito da sociedade de informação, sofrem actualmente as técnicas de captação,
transmissão, manipulação, gravação, conservação ou comunicação de dados de som e
de imagem relativos às pessoas singulares, há que aplicar a presente directiva ao
tratamento desses dados;
15) Considerando que o tratamento desses dados só é abrangido pela presente
directiva se for automatizado ou se os dados tratados estiverem contidos ou se
destinarem a ficheiros estruturados segundo critérios específicos relativos às pessoas,
a fim de permitir um acesso fácil dos dados pessoais em causa;
16) Considerando que o tratamento de dados de som e de imagem, tais como os de
vigilância por vídeo, não é abrangido pelo âmbito de aplicação à presente directiva se
for executado para fins de segurança pública, de defesa, de segurança do Estado ou no
exercício de actividades do Estado relativas a domínios de direito penal ou no
exercício de outras actividades não abrangidas pelo âmbito de aplicação do direito
comunitário;
17) Considerando que, no que se refere ao tratamento de som e de imagem para fins
jornalísticos ou de expressão literária ou artística, nomeadamente no domínio do
audiovisual, os princípios da directiva se aplicam de modo restrito de acordo com as
disposições referidas no artigo 9°;
18) Considerando que, a fim de evitar que uma pessoa seja privada da protecção a que
tem direito por força da presente directiva, é necessário que qualquer tratamento de
dados pessoais efectuado na Comunidade respeite a legislação de um dos Estadosmembros; que, nesse sentido, é conveniente que o tratamento efectuado por uma
pessoa que age sob a autoridade do responsável pelo tratamento estabelecido num
Estado-membro seja regido pela legislação deste Estado-membro;
19)Considerando que o estabelecimento no território de um Estado-membro
pressupõe o exercício efectivo e real de uma actividade mediante uma instalação
estável; que, para o efeito, a forma jurídica de tal estabelecimento, quer se trate de
uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante;
que, quando no território de vários Estados-membros estiver estabelecido um único
responsável pelo tratamento, em especial através de uma filial, deverá assegurar,
nomeadamente para evitar que a legislação seja contornada, que cada um dos
estabelecimentos cumpra as obrigações impostas pela legislação nacional aplicável às
respectivas actividades;
20) Considerando que o facto de o tratamento de dados ser da responsabilidade de
uma pessoa estabelecida num país terceiro não deve constituir obstáculo à protecção
das pessoas assegurada pela presente directiva; que, nesses casos, o tratamento deverá
ser regido pela legislação do Estado-membro onde se encontram os meios utilizados
para o tratamento de dados em causa e que deverão oferecer-se garantias de que os
direitos e as obrigações estabelecidos na presente directiva serão efectivamente
respeitados;
21) Considerando que a presente directiva não prejudica as regras de territorialidade
aplicáveis em matéria de direito penal;
22) Considerando que os Estados-membros precisarão, na sua legislação ou nas regras
de execução adoptadas nos termos da presente directiva, às condições gerais em que o
tratamento de dados é lícito; que, nomeadamente, o artigo 50º, conjugado com os
artigos 7° e 8°, permite que os Estados-membros estabeleçam, independentemente das
regras gerais, condições especiais para o tratamento de dados em sectores específicos
e para as diferentes categorias de dados referidas no artigo 8°;
23) Considerando que os Estados-membros podem assegurar a concretização da
protecção das pessoas tanto por uma lei geral relativa à protecção das pessoas no que
diz respeito ao tratamento de dados pessoais, como por leis sectoriais, por exemplo as
relativas aos institutos de estatística;
24) Considerando que a legislação para a protecção das pessoas colectivas
relativamente ao tratamento de dados que lhes dizem respeito não é afectada pela
presente directiva;
25) Considerando que os princípios de protecção devem encontrar expressão, por um
lado, nas obrigações que impendem sobre as pessoas, as autoridades públicas, as
empresas, os serviços ou outros organismos responsáveis pelo tratamento de dados,
em especial no que respeita à qualidade dos dados, à segurança técnica, à notificação
à autoridade de controlo, às circunstâncias em que o tratamento pode ser efectuado, e,
por outro, nos direitos das pessoas cujos dados são tratados serem informadas sobre
esse tratamento, poderem ter acesso aos dados, poderem solicitar a sua rectificação e
mesmo, em certas circunstâncias, poderem opor-se ao tratamento;
26) Considerando que os princípios da protecção devem aplicar-se a qualquer
informação relativa a uma pessoa identificada ou identificável; que, para determinar
se uma pessoa é identificável, importa considerar o conjunto dos meios susceptíveis
de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por
qualquer outra pessoa, para identificar a referida pessoa; que os princípios da
protecção não se aplicam a dados tornados anónimos de modo tal que a pessoa já não
possa ser identificável; que os códigos de conduta na acepção do artigo 27° podem ser
um instrumento útil para fornecer indicações sobre os meios através dos quais os
dados podem ser tornados anónimos e conservados sob uma forma que já não permita
a identificação da pessoa em causa;
27) Considerando que a protecção das pessoas se deve aplicar tanto ao tratamento
automatizado de dados como ao tratamento manual; que o âmbito desta protecção não
deve, na prática, depender das técnicas utilizadas, sob pena de se correr o sério risco
de a protecção poder ser contornada; que, em todo o caso, no que respeita ao
tratamento manual, a presente directiva apenas abrange os ficheiros e não as pastas
não estruturadas; que, em particular, o conteúdo de um ficheiro deve ser estruturado
de acordo com critérios específicos relativos às pessoas que permitam um acesso fácil
aos dados pessoais; que, em conformidade com a definição da alínea c) do artigo 2º,
os diferentes critérios que permitem determinar os elementos de um conjunto
estruturado de dados pessoais e os diferentes critérios que regem o acesso a esse
conjunto de dados podem ser definidos por cada Estado-membro; que as pastas ou
conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo
com critérios específicos, de modo algum se incluem no âmbito de aplicação da
presente directiva;
28) Considerando que qualquer tratamento de dados pessoais deve ser efectuado de
forma lícita e leal para com a pessoa em causa; que deve, em especial, incidir sobre
dados adequados, pertinentes e não excessivos em relação às finalidades prosseguidas
com o tratamento; que essas finalidades devem ser explícitas e legítimas e ser
determinadas aquando da recolha dos dados; que as finalidades dos tratamentos
posteriores à recolha não podem ser incompatíveis com as finalidades especificadas
inicialmente;
29) Considerando que o tratamento posterior de dados pessoais para fins históricos,
estatísticos ou científicos não é de modo geral considerado incompatível com as
finalidades para as quais os dados foram previamente recolhidos, desde que os
Estados-membros estabeleçam garantias adequadas; que tais garantias devem em
especial impedir a utilização de dados em apoio de medidas ou de decisões tomadas
em desfavor de uma pessoa;
30) Considerando que, para ser lícito, o tratamento de dados pessoais deve, além
disso, ser efectuado com o consentimento da pessoa em causa ou ser necessário para a
celebração ou execução de um contrato que vincule a pessoa em causa, ou para o
cumprimento de uma obrigação legal, ou para a execução de uma missão de interesse
público ou para o exercício da autoridade pública, ou ainda para a realização do
interesse legítimo de uma pessoa, desde que os interesses ou os direitos e liberdades
da pessoa em causa não prevaleçam; que, em especial, para assegurar o equilíbrio dos
interesses em causa e garantir ao mesmo tempo uma concorrência real, os Estadosmembros são livres de determinar as condições em que os dados pessoais podem ser
utilizados e comunicados a terceiros no âmbito de actividades legítimas de gestão
corrente das empresas e outros organismos; que, do mesmo modo, podem precisar as
condições em que a comunicação a terceiros de dados pessoais pode ser efectuada
para fins de mala directa ou de prospecção feita por uma instituição de solidariedade
social ou outras associações ou fundações, por exemplo de carácter político, desde
que respeitem as disposições que permitem à pessoa em causa opor-se, sem
necessidade de indicar o seu fundamento ou de suportar quaisquer encargos, ao
tratamento dos dados que lhe dizem respeito;
31) Considerando que, do mesmo modo, o tratamento de dados pessoais deve ser
considerado lícito quando se destinar a proteger um interesse essencial à vida da
pessoa em causa;
32) Considerando que cabe às legislações nacionais determinar se o responsável pelo
tratamento que executa uma missão de interesse público ou exerce a autoridade
pública deve ser uma administração pública ou outra pessoa sujeita ao direito público
ou ao direito privado, por exemplo uma associação profissional;
33) Considerando que os dados susceptíveis, pela sua natureza, de por em causa as
liberdades fundamentais ou o direito à vida privada só deverão ser tratados com o
consentimento explícito da pessoa em causa; que, no entanto, devem ser
expressamente previstas derrogações a esta proibição no que respeita a necessidades
específicas, designadamente quando o tratamento desses dados for efectuado com
certas finalidades ligadas à saúde por pessoas sujeitas por lei à obrigação de segredo
profissional ou para as actividades legítimas de certas associações ou fundações que
tenham por objectivo permitir o exercício das liberdades fundamentais;
34) Considerando que, sempre que um motivo de interesse público importante o
justifique, os Estados-membros devem também ser autorizados a estabelecer
derrogações à proibição de tratamento de categorias de dados sensíveis em domínios
como a saúde pública e a segurança social – em especial para garantir a qualidade e a
rentabilidade no que toca aos métodos utilizados para regularizar os pedidos de
prestações e de serviços no regime de seguro de doença – e como a investigação
científica e as estatísticas públicas; que lhes incumbe, todavia, estabelecer garantias
adequadas e específicas para a protecção dos direitos fundamentais e da vida privada
das pessoas;
35) Considerando, além disso, que o tratamento de dados pessoais pelas autoridades
públicas para a consecução de objectivos consagrados no direito constitucional ou no
direito internacional público, em benefício de associações religiosas oficialmente
reconhecidas, é efectuado por motivos de interesse público importante;
36) Considerando que quando, para o exercício de actividades do âmbito eleitoral, o
funcionamento do sistema democrático exigir, em certos Estados-membros, que
partidos políticos recolham dados sobre a opinião política das pessoas, o tratamento
desses dados pode ser autorizado por motivos de interesse público importante, desde
que sejam estabelecidas garantias adequadas;
37) Considerando que o tratamento de dados pessoais para fins jornalísticos ou de
expressão artística ou literária, nomeadamente no domínio do audiovisual, deve
beneficiar de derrogações ou de restrições a determinadas disposições da presente
directiva, desde que tal seja necessário para conciliar os direitos fundamentais da
pessoa com a liberdade de expressão, nomeadamente a liberdade de receber ou
comunicar informações, tal como é garantida, nomeadamente pelo artigo 10º da
Convenção europeia para a protecção dos direitos do Homem e das liberdades
fundamentais; que, por conseguinte, compete aos Estados-membros estabelecer, tendo
em vista a ponderação dos direitos fundamentais, as derrogações e limitações
necessárias que se prendam com as medidas gerais em matéria de legalidade do
tratamento de dados, as medidas relativas à transferência de dados para países
terceiros, bem como com as competências das autoridades de controlo; que tal facto
não deverá, no entanto, levar os Estados-membros a prever derrogações às medidas
destinadas a garantir a segurança do tratamento de dados; e que deverão igualmente
ser atribuídas pelo menos à autoridade de controlo determinadas competências a
posteriori, tais como a de publicar periodicamente um relatório ou de recorrer
judicialmente;
38) Considerando que, para que o tratamento de dados seja leal, a pessoa em causa
deve poder ter conhecimento da existência dos tratamentos e obter, no momento em
que os dados lhe são pedidos, uma informação rigorosa e completa das circunstâncias
dessa recolha;
39) Considerando que por vezes se tratam dados que não foram recolhidos
directamente pelo responsável junto da pessoa em causa; que, além disso, os dados
podem ser legitimamente comunicados a um terceiro sem que essa comunicação
estivesse prevista na altura da recolha dos dados junto da pessoa em causa; que, em
todos estes casos, a pessoa em causa deve ser informada no momento do registo dos
dados ou, o mais tardar, quando os dados são comunicados pela primeira vez a um
terceiro;
40) Considerando que, no entanto, a imposição desta obrigação não é necessária caso
a pessoa em causa esteja já informada; que, além disso, não existe essa obrigação caso
o registo ou a comunicação dos dados estejam expressamente previstos na lei ou caso
a informação da pessoa em causa se revele impossível ou exija esforços
desproporcionados, o que pode ser o caso do tratamento para fins históricos,
estatísticos ou científicos; que, para este efeito, podem ser tomados em consideração o
número de pessoas em causa, a antiguidade dos dados e as medidas compensatórias
que podem ser tomadas;
41) Considerando que todas as pessoas devem poder beneficiar do direito de acesso
aos dados que lhes dizem respeito e que estão em fase de tratamento, a fim de
assegurarem, nomeadamente, a sua exactidão e a licitude do tratamento; que, pelas
mesmas razões, todas as pessoas devem, além disso, ter o direito de conhecer a lógica
subjacente ao tratamento automatizado dos dados que lhe dizem respeito, pelo menos
no caso das decisões automatizadas referidas no nº 1 do artigo 15º; que este último
direito não deve prejudicar o segredo comercial nem a propriedade intelectual,
nomeadamente o direito de autor que protege o suporte lógico; que tal, todavia, não
poderá traduzir-se pela recusa de qualquer informação à pessoa em causa;
42) Considerando que, no interesse da pessoa em causa ou com o objectivo de
proteger os direitos e liberdades de outrem, os Estados-membros podem limitar os
direitos de acesso e de informação; que, por exemplo, podem precisar que o acesso
aos dados médicos só poderá ser obtido por intermédio de um profissional da saúde;
43) Considerando que restrições aos direitos de acesso e informação e a certas
obrigações do responsável pelo tratamento podem igualmente ser previstas pelos
Estados-membros na medida em que sejam necessárias para proteger, por exemplo, a
segurança do Estado, a defesa, a segurança pública, os interesses económicas ou
financeiros importantes de um Estado-membro ou da União, e para a investigação e a
repressão de infracções penais ou de violações da deontologia das profissões
regulamentadas; que há que enumerar, a título das excepções e restrições, as missões
de controlo, de inspecção ou de regulamentação necessárias nos três últimos domínios
citados referentes à segurança pública, ao interesse económico ou financeiro e à
repressão penal; que esta enumeração de missões respeitante aos três domínios
referidos não prejudica a legitimidade de excepções e de restrições por razões de
segurança do Estado e de defesa;
44) Considerando que os Estados-membros podem ser levados, por força das
disposições do direito comunitário, a prever derrogações às disposições da presente
directiva relativas ao direito de acesso, à informação das pessoas e à qualidade dos
dados para salvaguardarem algumas finalidades dentre as acima enunciadas;
45) Considerando que, nos casos de tratamento de dados lícito por razões de interesse
público, de exercício da autoridade pública ou de interesse legítimo de uma pessoa, a
pessoa em causa terá, ainda assim, o direito de, com base em razões preponderantes e
legítimas relacionadas com a sua situação específica, se opor ao tratamento dos dados
que lhe dizem respeito; que os Estados-membros, têm, no entanto, a possibilidade de
prever disposições nacionais em contrário;
46) Considerando que a protecção dos direitos e liberdades das pessoas em causa
relativamente ao tratamento de dados pessoais exige que sejam tomadas medidas
técnicas e organizacionais adequadas tanto aquando da concepção do sistema de
tratamento como da realização do próprio tratamento, a fim de manter em especial a
segurança e impedir assim qualquer tratamento não autorizado; que compete aos
Estados-membros zelar por que os responsáveis pelo tratamento respeitem estas
medidas; que estas medidas devem assegurar um nível de segurança adequado,
atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em
função dos riscos que o tratamento implica e a natureza dos dados a proteger;
47) Considerando que, quando uma mensagem que contém dados pessoais é
transmitida através de um serviço de telecomunicações ou de correio electrónico cujo
único objectivo é a transmissão de mensagens deste tipo, será a pessoa de quem
emana a mensagem, e não quem propõe o serviço de transmissão, que será em regra
considerada responsável pelo tratamento dos dados pessoais contidos na mensagem;
que, contudo, as pessoas que propõem esses serviços serão em regra consideradas
responsáveis pelo tratamento dos dados pessoais suplementares necessários ao
funcionamento do serviço;
48) Considerando que a notificação à autoridade de controlo tem por objectivo
assegurar a publicidade das finalidades e principais características do tratamento, a
fim de permitir verificar a sua conformidade com as disposições nacionais tomadas
nos termos da presente directiva;
49) Considerando que, a fim de evitar formalidades administrativas desnecessárias, os
Estados-membros podem estabelecer isenções da obrigação de notificação, ou
simplificações à notificação requerida, nos casos em que o tratamento não seja
susceptível de prejudicar os direitos e liberdades das pessoas em causa, desde que seja
conforme com um acto adoptado pelo Estado-membro que precise os seus limites; que
podem igualmente ser estabelecidas isenções ou simplificações caso uma pessoa
designada pelo responsável pelo tratamento se certifique de que o tratamento
efectuado não é susceptível de prejudicar os direitos e liberdades das pessoas em
causa; que essa pessoa encarregada da protecção de dados, empregada ou não do
responsável pelo tratamento, deve exercer as suas funções com total independência;
50) Considerando que poderá ser estabelecida a isenção ou a simplificação para
tratamentos cuja única finalidade seja a manutenção de registos destinados, de acordo
com o direito nacional, à informação do público e que possam ser consultados pelo
público ou por qualquer pessoa que possa provar um interesse legítimo;
51) Considerando que, no entanto, a simplificação ou a isenção da obrigação de
notificação não liberam o responsável pelo tratamento de nenhuma das outras
obrigações decorrentes da presente directiva;
52) Considerando que, neste contexto, a verificação a posteriori pelas autoridades
competentes deve ser, em geral, considerada uma medida suficiente;
53) Considerando que, no entanto, certos tratamentos podem ocasionar riscos
particulares para os direitos e liberdades das pessoas em causa, em virtude da sua
natureza, do seu âmbito ou da sua finalidade, como acontece, por exemplo, se esse
tratamento tiver por objectivo privar as pessoas de um direito, de uma prestação ou de
um contrato, ou em virtude da utilização de tecnologias novas; que compete aos
Estados-membros, se assim o entenderem, precisar esses riscos na respectiva
legislação;
54) Considerando que, de todos os tratamentos efectuados em sociedade, o número
dos que apresentem tais riscos particulares deverá ser muito restrito; que os Estadosmembros devem estabelecer um controlo prévio à realização desses tratamentos a
efectuar pela autoridade de controlo ou pelo encarregado da protecção dos dados em
cooperação com essa autoridade; que, na sequência desse controlo prévio, a
autoridade de controlo pode, de acordo com o direito nacional, dar um parecer ou
autorizar o tratamento dos dados; que esse controlo pode igualmente ser efectuado
durante os trabalhos de elaboração de uma medida legislativa do parlamento nacional
ou de uma medida baseada nesse medida legislativa, a qual defina a natureza do
tratamento e especifique as garantias adequadas;
55) Considerando que, se o responsável pelo tratamento não respeitar os direitos das
pessoas em causa, as legislações nacionais devem prever a possibilidade de recurso
judicial; que os danos de que podem ser vítimas as pessoas em virtude de um
tratamento ilegal devem ser ressarcidos pelo responsável pelo tratamento, o qual só
pode ser exonerado da sua responsabilidade se provar que o facto que causou o dano
lhe não é imputável, nomeadamente quando provar existir responsabilidade da pessoa
em causa ou um caso de força maior; que devem ser aplicadas sanções a todas as
pessoas, de direito privado ou de direito público, que não respeitem as disposições
nacionais tomadas nos termos da presente directiva;
56) Considerando que os fluxos transfronteiras de dados pessoais são necessários ao
desenvolvimento do comércio internacional; que a protecção das pessoas garantida na
Comunidade pela presente directiva não obsta às transferências de dados pessoais
para países terceiros que assegurem um nível de protecção adequado; que o carácter
adequado do nível de protecção oferecido por um país terceiro deve ser apreciado em
função de todas as circunstâncias associadas à transferência ou a uma categoria de
transferências;
57) Considerando em contrapartida que, sempre que um país terceiro não ofereça um
nível de protecção adequado, a transferência de dados pessoais para esse país deve ser
proibida;
58) Considerando que devem poder ser previstas excepções a esta proibição em certas
circunstâncias, quando a pessoa em causa tiver dado o seu consentimento, quando
transferência for necessária no âmbito de um contrato ou de um processo judicial,
quando a protecção de um interesse público importante assim o exigir, por exemplo
nos casos transferências internacionais de dados entre as autoridades fiscais ou
aduaneiras ou em os serviços competentes em matéria de segurança social, ou quando
a transferência feita a partir de um registo instituído por lei e destinado a consulta pelo
público ou por pessoas com um interesse legítimo; que nesse caso tal transferência
não deve abranger a totalidade dos dados nem as categorias de dados contidos nesse
registo; que, sempre que um registo se destine a ser consultado por pessoas com um
interesse legítimo, a transferência apenas deverá poder ser efectuada a pedido dessas
pessoas ou caso sejam elas os seus destinatários;
59) Considerando que podem ser tomadas medidas especiais para sanar a
insuficiência de protecção num país terceiro, se o responsável pelo tratamento
apresentar garantias adequadas; que, além disso, devem ser previstos processos de
negociação entre Comunidade e os países terceiros em causa;
60) Considerando que, em todo o caso, as transferências para países terceiros só
podem ser efectuadas no pleno respeito das disposições adoptadas pelos Estadosmembros nos termos de presente directiva, nomeadamente do seu artigo 8º;
61) Considerando que, no âmbito das respectivas competências, os Estados-membros
e a Comissão devem incentivar as organizações sectoriais interessadas a elaborar
códigos de conduta com vista a facilitar a aplicação da presente directiva, tendo em
conta as características específicas do tratamento efectuado em certos sectores e
respeitando as disposições nacionais tomadas para a sua execução;
62) Considerando que a criação nos Estados-membros de autoridades de controlo que
exerçam as suas funções com total independência constitui um elemento essencial da
protecção das pessoas no que respeita ao tratamento de dados pessoais;
63) Considerando que essas autoridades devem ser dotadas dos meios necessários
para a realização das suas funções, incluindo poderes de inquérito ou de intervenção,
especialmente em caso de reclamações, e poderes para intervir em processos judiciais;
que essas autoridades devem ajudar a garantir a transparência do tratamento de dados
efectuado no Estado-membro sob cuja jurisdição se encontram;
64) Considerando que as autoridades dos diferentes Estados-membros deverão
prestar-se mutuamente assistência no desempenho das suas funções por forma a
assegurar integralmente o respeito das regras de protecção em toda a União Europeia;
65) Considerando que deve ser criado, a nível comunitário, um grupo de trabalho
sobre a protecção das pessoas no que diz respeito ao tratamento de dados pessoais, o
qual deve gozar de total independência no exercício das suas funções; que, atendendo
à sua natureza específica, esse grupo deve aconselhar a Comissão e contribuir
nomeadamente para a aplicação uniforme das normas nacionais adoptadas nos termos
da presente directiva;
66) Considerando que, no que se refere à transferência de dados para países terceiros,
a aplicação da presente directiva requer a atribuição de competências de execução à
Comissão e a criação de um procedimento de acordo com as normas estabelecidos na
Decisão 87/373/CEE do Conselho ();
67) Considerando que, em 20 de Dezembro de 1994, se chegou a acordo sobre um
modus vivendi entre o Parlamento Europeu, o Conselho e a Comissão quanto às
medidas de execução de actos adoptados nos termos do procedimento previsto no
artigo 189º-B do Tratado;
68) Considerando que os princípios enunciados na presente directiva para a protecção
dos direitos e liberdades das pessoas, nomeadamente do seu direito à vida privada, no
que diz respeito ao tratamento de dados pessoais, poderão ser completados ou
especificados, nomeadamente em relação a certos sectores, através de regras
específicas baseadas nesses princípios;
69) Considerando que é conveniente conceder aos Estados-membros um prazo não
superior a três anos a contar de data de entrada em vigor das medidas nacionais de
transposição da presente directiva, durante o qual essas novas disposições nacionais
serão aplicadas de forma progressiva a qualquer tratamento de dados já em curso; que,
para facilitar uma aplicação rentável dessas disposições, os Estados-membros poderão
prever um prazo suplementar, que expirará doze anos a contar da data de adopção da
presente directiva, para assegurar a conformidade dos ficheiros manuais existentes
com determinadas disposições da directiva; que os dados contidos nesses ficheiros,
que sejam objecto de um tratamento manual efectivo durante esse período de
transição suplementar, deverão ser postos em conformidade com essas disposições
aquando da realização desse tratamento;
70) Considerando que a pessoa em causa não é obrigada a dar novamente o seu
consentimento para que o responsável continue a efectuar, após a entrada em vigor
das disposições nacionais tomadas nos termos da presente directiva, um tratamento de
dados sensíveis necessário à execução de um contrato celebrado com base num
consentimento livre e informado antes da entrada em vigor das disposições acima
referidas;
71) Considerando que a presente directiva não obste a que um Estado-membro
regulamente as actividades de mala directa junto dos consumidores residentes no seu
território, desde que a referida regulamentação não diga respeito à protecção das
pessoas no que se refere ao tratamento de dados pessoais;
72) Considerando que a presente directiva permite tomar em consideração o princípio
do direito de acesso do público aos documentos oficiais aquando da implementação
dos princípios nela estabelecidos,
ADOPTARAM A PRESENTE DIRECTIVA
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1 º
Objecto de directiva
- Os Estados-Membros assegurarão, em conformidade com a presente directiva, a
protecção das liberdades e dos direitos fundamentais das pessoas singulares,
nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados
pessoais. - Os Estados-membros não podem restringir ou proibir a livre circulação de dados
pessoais entre Estados-membros por razões relativas à protecção assegurada por força
do nº 1.
Artigo 2º
Definições
Para efeitos de presente directivo, entende-se por:
a) «Dados pessoais», qualquer informação relativa a uma pessoa
singular identificado ou identificável («pessoa em causa»); é
considerado identificável todo aquele que possa ser identificado,
directa ou indirectamente, nomeadamente por referência a um número
de identificação ou a um ou mais elementos específicos da sua
identidade física, fisiológica, psíquica, económica, cultural ou social;
b) «Tratamento de dados pessoais» («tratamento»), qualquer operação
ou conjunto de operações efectuadas sobre dados pessoais, com ou sem
meios automatizados, tais como a recolha, registo, organização,
conservação, adaptação ou alteração, recuperação, consulta, utilização,
comunicação por transmissão, difusão ou qualquer outra forma de
colocação à disposição, com comparação ou interconexão, bem como o
bloqueio, apagamento ou destruição;
c) «Ficheiro de dados pessoais» («ficheiro»), qualquer conjunto
estruturado de dados pessoais, acessível segundo critérios
determinados, quer seja centralizado, descentralizado ou repartido de
modo funcional ou geográfico;
d) «Responsável pelo tratamento», a pessoa singular ou colectiva, a
autoridade pública, o serviço ou qualquer outro organismo que,
individualmente ou em conjunto com outrem, determine as finalidades
e os meios de tratamento dos dados pessoais; sempre que as finalidades
e os meios do tratamento sejam determinadas por disposições
legislativas ou regulamentares nacionais ou comunitárias, o
responsável pelo tratamento ou os critérios específicos para a sua
nomeação podem ser indicados pelo direito nacional ou comunitário;
c) «Subcontratante», a pessoa singular ou colectiva, a autoridade
pública, o serviço ou qualquer outro organismo que trata os dados
pessoais por conta do responsável pelo tratamento;
«Terceiro», a pessoa singular ou colectiva, a autoridade pública, o
serviço ou qualquer outro organismo que não a pessoa em causa, o
responsável pelo tratamento, o subcontratante e as pessoas que, sob a
autoridade directa do responsável pelo tratamento ou do
subcontratante, estão habilitadas a tratar dos dados;
«Destinatário», a pessoa singular ou colectiva, a autoridade pública, o
serviço ou qualquer outro organismo que receba comunicações de
dados independentemente de se tratar ou não de um terceiro; todavia,
as autoridades susceptíveis de receberem comunicações de dados no
âmbito duma missão de inquérito específica não são consideradas
destinatários;
«Consentimento da pessoa em causa», qualquer manifestação de
vontade, livre, específica e informada, pela qual a pessoa em causa
aceita que dados pessoais que lhe dizem respeito sejam objecto de
tratamento.
Artigo 3º
Âmbito de aplicação
- A presente directiva aplica-se ao tratamento de dados pessoais por meios total ou
parcialmente automatizados, bem como ao tratamento por meios não automatizados
de dados pessoais contidos num ficheiro ou a ele destinados. - A presente directiva não se aplica ao tratamento de dados pessoais:
- Efectuado no exercício de actividades não sujeitas à aplicação do direito
comunitário, tais como as previstas nos Títulos V e VI do Tratado da União Europeia,
e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança
pública, a defesa, a segurança do Estado (incluindo o bem-estar económico do Estado
quando esse tratamento disser respeito a questões de segurança do Estado), e as
actividades do Estado no domínio do direito penal; - Efectuado por uma pessoa singular no exercício de actividades exclusivamente
pessoais ou domésticas.
Artigo 4º
Direito nacional aplicável
- Cada Estado-membro aplicará as suas disposições nacionais adoptadas por força da
presente directiva ao tratamento de dados pessoais quando:
a) O tratamento for efectuado no contexto das
actividades de um estabelecimento do responsável pelo
tratamento situado no território desse Estado-membro;
se o mesmo responsável pelo tratamento estiver
estabelecido no território de vários Estados-membros,
deverá tomar as medidas necessárias para garantir que
cada um desses ,estabelecimentos cumpra as obrigações
estabelecidas no direito nacional que lhe for aplicável;
b) O responsável pelo tratamento não estiver
estabelecido no território do Estado-membro, mas num
local onde a sua legislação nacional seja aplicável por
força do direito internacional público;
c) O responsável pelo tratamento não estiver
estabelecido no território da Comunidade e recorrer,
para tratamento de dados pessoais, a meios,
automatizados ou não, situados no território desse
Estado-membro, salvo se esses meios só forem
utilizados para trânsito no território da Comunidade.
No caso referido na alínea c) do nº 1, o responsável pelo tratamento
deve designar um representante estabelecido no território desse Estadomembro, sem prejuízo das acções que possam vir a ser intentadas
contra o próprio responsável pelo tratamento.
CAPITULO II
CONDIÇOES GERAIS DE LICITUDE DO TRATAMENTO
DE DADOS PESSOAIS
Artigo 5º
Os Estados-membros especificarão, dentro dos limites do disposto no presente
capítulo, as condições em que é lícito o tratamento de dados pessoais.
SECÇÃO I
PRINCÍPlOS RELATIVOS À QUALIDADE DOS DADOS
Artigo 6º
- Os Estados-membros devem estabelecer que os dados pessoais serão:
a) Objecto de um tratamento leal e lícito;
b) Recolhidos para finalidades determinadas, explícitas e legítimas, e
que não serão posteriormente tratados de forma incompatível com
essas finalidades. O tratamento posterior para fins históricos,
estatísticos ou científicos não é considerado incompatível desde que os
Estados-membros estabeleçam garantias adequadas;
c) Adequados, pertinentes e não excessivos relativamente às
finalidades para que são recolhidos e para que são tratados
posteriormente;
d) Exactos e, se necessário , actualizados; devem ser tomadas todas as
medidas razoáveis para assegurar que os dados inexactos ou
incompletos, tendo em conta as finalidades para que foram recolhidos
ou para que são tratados posteriormente, sejam apagados ou
rectificados;
e) Conservados de forma a permitir a identificação das pessoas em
causa apenas durante o período necessário para a prossecução das
finalidades para que foram recolhidos ou para que são tratados
posteriormente. Os Estados-membros estabelecerão garantias
apropriadas para os dados pessoais conservados durante períodos mais
longos do que o referido, para fins históricos, estatísticos ou
científicos. - Incumbe ao responsável pelo tratamento assegurar a observância do disposto no nº
- SECÇÃO II
PRINCÍPlOS RELATIVOS À LEGITIMIDADE DO TRATAMENTO DE
DADOS
Artigo 7º
Os Estados-membros estabelecerão que o tratamento de dados pessoais só poderá ser
efectuado se:
a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou
b) O tratamento for necessário para a execução de um contrato no qual
a pessoa em causa é parte ou de diligências prévias à formação do
contrato decididas a pedido da pessoa em causa; ou
O tratamento for necessário para cumprir uma obrigação legal à qual o
responsável pelo tratamento esteja sujeito; ou
O tratamento for necessário para a protecção de interesses vitais da
pessoa em causa; ou
O tratamento for necessário para a execução de uma missão de
interesse público ou o exercício da autoridade pública de que é
investido o responsável pelo tratamento ou um terceiro a quem os
dados sejam comunicados; ou
O tratamento for necessário para prosseguir interesses legítimos do
responsável pelo tratamento ou do terceiro ou terceiros a quem os
dados sejam comunicados, desde que não prevaleçam os interesses ou
os direitos e liberdades fundamentais da pessoa em causa, protegidos
ao abrigo do nº 1 do artigo 1º.
SECÇÃO III
CATEGORIAS ESPECÍFICAS DE TRATAMENTOS
Artigo 8º
Tratamento de certas categorias específicas de dados
- Os Estados-membros proibirão o tratamento de dados pessoais que revelem a
origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a
filiação sindical, bem como o tratamento de dados relativos à saúde ou à vida sexual. - O nº 1 não se aplica quando:
a) A pessoa em causa tiver dado o seu consentimento explícito para
esse tratamento, salvo se a legislação do Estado-membro estabelecer
que a proibição referida no nº1 não pode ser retirada pelo
consentimento da pessoa em causa; ou
b) O tratamento for necessário para o cumprimento das obrigações e
dos direitos do responsável pelo tratamento no domínio da legislação
do trabalho, desde que o mesmo seja autorizado por legislação
nacional que estabeleça garantias adequadas; ou
c) O tratamento for necessário para proteger interesses vitais de pessoa
em causa ou de uma outra pessoa se a pessoa em causa estiver física ou
legalmente incapaz de dar o seu consentimento; ou
d) O tratamento for efectuado, no âmbito das suas actividades
legítimas e com as garantias adequadas, por uma fundação, uma
associação ou qualquer outro organismo sem fins lucrativos de carácter
político, filosófico, religioso ou sindical, na condição de o tratamento
dizer unicamente respeito aos membros desse organismo ou às pessoas
que com ele mantenham contactos periódicos ligados às suas
finalidades, e de os dados não serem comunicados a terceiros sem o
consentimento das pessoas em causa; ou
e) O tratamento disser respeito a dados manifestamente tornados
públicos pela pessoa em causa ou for necessário à declaração, ao
exercício ou à defesa de um direito num processo judicial. - O nº 1 não se aplica quando o tratamento dos dados for necessário para efeitos de
medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos
médicos ou gestão de serviços da saúde e quando o tratamento desses dados for
efectuado por um profissional de saúde obrigado ao segredo profissional pelo direito
nacional ou por regras estabelecidas pelos organismos nacionais competentes, ou por
outra pessoa igualmente sujeita a uma obrigação de segredo equivalente. - Sob reserva de serem prestadas as garantias adequadas, os Estados-membros
poderão estabelecer, por motivos de interesse público importante, outras derrogações
para além das previstas no nº 2, quer através de disposições legislativas nacionais,
quer por decisão da autoridade de controlo referida no artigo 28º. - O tratamento de dados relativos a infracções, condenações penais ou medidas de
segurança só poderá ser efectuado sob o controlo das autoridades públicas ou se o
direito nacional estabelecer garantias adequadas e específicas, sob reserva das
derrogações que poderão ser concedidas pelo Estado-membro com base em
disposições nacionais que prevejam garantias específicas e adequadas. Contudo, o
registo completo das condenações penais só pode ser mantido sob o controlo das
autoridades públicas.
Os Estados-membros podem estabelecer que o tratamento de dados relativos a
sanções administrativas ou decisões cíveis fique igualmente sujeito ao controlo das
autoridades públicas.
- As derrogações ao nº1 previstas nos nº 4 e 5 serão notificadas à Comissão.
- Cabe aos Estados-membros determinar as condições em que um número nacional
de identificação ou qualquer outro elemento de identificação de aplicação geral
poderá ser objecto de tratamento.
Artigo 9º
Tratamento de dados pessoais e liberdade de expressão
Os Estados-membros estabelecerão isenções ou derrogações ao disposto no presente
Capítulo o nos Capítulos IV e VI para o tratamento de dados pessoais efectuado para
fins exclusivamente jornalísticos ou de expressão artística ou literária, apenas na
medida em que sejam necessárias para conciliar o direito à vida privada com as
normas que regem a liberdade de expressão.
SECÇÃO IV
INFORMAÇÃO DA PESSOA EM CAUSA
Artigo 10º
Informação em caso de recolha de dados junto
da pessoa em causa
Os Estados-membros estabelecerão que o responsável pelo tratamento ou o seu
representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe
digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver
conhecimento:
a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;
b) Finalidades do tratamento a que os dados se destinam;
c) Outras informações, tais como:
- os destinatários ou categorias de destinatários dos dados,
- o carácter obrigatório ou facultativo da resposta, bem como as possíveis
consequências se não responder, - a existência do direito de acesso aos dados que lhe digam respeito e do direito de os
rectificar,
desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha
dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.
Artigo 11º
Informação em caso de dados não recolhidos
junto da pessoa em causa
1 . Se os dados não tiverem sido recolhidos junto da pessoa em causa, os Estadosmembros estabelecerão que o responsável pelo tratamento, ou o seu representante,
deve fornecer à pessoa em causa, no momento em que os dados forem registados ou,
se estiver prevista a comunicação de dados a terceiros, o mais tardar aquando da
primeira comunicação desses dados, pelo menos as seguintes informações, salvo se a
referida pessoa já delas tiver conhecimento:
a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;
b) Finalidades do tratamento;
c) Outras informações, tais como:
- as categorias de dados envolvidos,
- os destinatários ou categorias de destinatários dos dados,
- a existência do direito de acesso aos dados que lhe digam respeito e do direito de os
rectificar,
desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha
dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.
- O nº 1 não se aplica quando, nomeadamente no caso do tratamento de dados com
finalidades estatísticas, históricas ou de investigação científica, a informação da
pessoa em causa se revelar impossível ou implicar esforços desproporcionados ou
quando a lei dispuser expressamente o registo dos dados ou a sua divulgação. Nestes
casos, os Estados-membros estabelecerão as garantias adequadas.
SECÇÃO V
DIREITO DE ACESSO DA PESSOA EM CAUSA AOS DADOS
Artigo 12º
Direito de acesso
Os Estados-membros garantirão às pessoas em causa o direito de obterem do
responsável pelo tratamento:
a) Livremente e sem restrições, com periodicidade razoável e sem demora ou custos
excessivos:
- a confirmação de terem ou não sido tratados dados que lhes digam respeito, e
informações pelo menos sobre os fins a que se destina esse tratamento, as categorias
de dados sobre que incide e os destinatários ou categorias de destinatários a quem são
comunicados os dados, - a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer
informações disponíveis sobre a origem dos dados, - o conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe
digam respeito, pelo menos no que se refere às decisões automatizadas referidas no
nº1 do artigo 15º;
b) Consoante o caso, a rectificação, o apagamento ou o bloqueio dos dados cujo
tratamento não cumpra o disposto na presente directiva, nomeadamente devido ao
carácter incompleto ou inexacto desses dados;
c) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer
rectificação, apagamento ou bloqueio efectuado nos termos da alínea b), salvo se isso
for comprovadamente impossível ou implicar um esforço desproporcionado.
SECÇÃO VI
DERROGAÇOES E RESTRIÇÕES
Artigo 13º
Derrogações e restrições
- Os Estados-membros podem tomar medidas legislativas destinadas a restringir o
alcance das obrigações e direitos referidos no nº 1 do artigo 6º, no artigo 10º, no nº 1
do artigo 11º e nos artigos 12º e 21º, sempre que tal restrição constitua uma medida
necessária à protecção:
a) Da segurança do Estado;
b) Da defesa;
c) Da segurança pública;
d) Da prevenção, investigação, detecção e repressão de infracções penais e de
violações da deontologia das profissões regulamentadas;
De um interesse económico ou financeiro importante de um Estadomembro ou da União Europeia, incluindo nos domínios monetário,
orçamental ou fiscal;
De missões de controlo, de inspecção ou de regulamentação
associadas, ainda que ocasionalmente, ao exercício de autoridade
pública, nos casos referidos nas alíneas c), d) e e);
De pessoa em causa ou dos direitos e liberdades de outrem. - Sob reserva de garantias jurídicas adequadas, nomeadamente a de que os dados não
serão utilizados para tomar medidas ou decisões em relação a pessoas determinadas,
os Estados-membros poderão restringir através de uma medida legislativa os direitos
referidos no artigo 12º nos casos em que manifestamente não exista qualquer perigo
de violação do direito à vida privada da pessoa em causa e os dados forem
exclusivamente utilizados para fins de investigação científica ou conservados sob
forma de dados pessoais durante um período que não exceda o necessário à finalidade
exclusiva de elaborar estatísticas.
SECÇÃO VII
DIREITO DE OPOSIÇÃO DA PESSOA EM CAUSA
Artigo 14º
Direito de oposição da pessoa em causa
Os Estados-membros reconhecerão à pessoa em causa o direito de:
a) Pelo menos nos casos referidos nas alíneas e) e f) do artigo 7º, se
opor em qualquer altura, por razões preponderantes e legítimas
relacionadas com a sua situação particular, a que os dados que lhe
digam respeito sejam objecto de tratamento, salvo disposição em
contrário do direito nacional. Em caso de oposição justificado, o
tratamento efectuado pelo responsável deixa de poder incidir sobre
esses dados;
b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados
pessoais que lhe digam respeito previsto pelo responsável pelo
tratamento para efeitos de mala directa; ou ser informada antes de os
dados pessoais serem comunicados pelo primeira vez a terceiros para
fins de mala directa ou utilizados por conta de terceiros, e de lhe ser
expressamente facultado o direito de se opor, sem despesas, a tais
comunicações ou utilizações.
Os Estados-membros tomarão as medidas necessárias para garantir que as pessoas em
causa tenham conhecimento do direito referido no primeiro parágrafo da alínea b).
Artigo 15º
Decisões individuais automatizadas
- Os Estados-membros reconhecerão a qualquer pessoa o direito de não ficar sujeita a
uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo
significativo, tomada exclusivamente com base num tratamento automatizado de
dados destinado a avaliar determinados aspectos da sua personalidade, como por
exemplo a sua capacidade profissional, o seu crédito, confiança de que é merecedora,
comportamento. - Os Estados-membros estabelecerão, sob reserva das restantes disposições da
presente directiva, que uma pessoa pode ficar sujeita a urna decisão do tipo referido
no nº 1 se a mesma:
a) For tomada no âmbito da celebração ou da execução de um contrato,
na condição de o pedido de celebração ou a execução do contrato
apresentado pela pessoa em causa, ter sido satisfeito, ou de existirem
medidas adequadas, tais como a possibilidade de apresentar o seu
ponto de vista, que garantam a defesa dos seus interesses legítimos; ou
b) For autorizada por uma lei que estabeleça medidas que garantam a
defesa dos interesses legítimos da pessoa em causa.
SECÇÃO VIII
CONFIDENCIALIDADE E SEGURANÇA DO TRATAMENTO
Artigo 16º
Confidencialidade do tratamento
Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do
subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais,
não procederá no seu tratamento sem instruções do responsável pelo tratamento, salvo
por força de obrigações legais.
Artigo 17º
Segurança do tratamento
- Os Estados-membros estabelecerão que o responsável pelo tratamento deve pôr em
prática medidas técnicas e organizativas adequadas para proteger os dados pessoais
contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou
acesso não autorizados, nomeadamente quando o tratamento implicar a sua
transmissão por rede, e contra qualquer outra forma de tratamento ilícito.
Estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e
aos custos resultantes da sua aplicação, um nível de segurança adequado em relação
aos riscos que o tratamento apresenta e à natureza dos dados a proteger. - Os Estados-membros estabelecerão que o responsável pelo tratamento, em caso de
tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias
suficientes em relação às medidas de segurança técnica e de organização do
tratamento a efectuar e deverá zelar pelo cumprimento dessas medidas. - A realização de operações de tratamento em subcontratação deve ser regida por um
contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento
e que estipule, designadamente, que:
- o subcontratante apenas actuará mediante instruções do responsável pelo tratamento;
- as obrigações referidas no nº 1, tal como definidas pela legislação do Estadomembro onde o subcontratante está estabelecido, incumbem igualmente a este último.
- Para efeitos de conservação de provas, os elementos do contrato ou do acto jurídico
relativos à protecção dos dados, bem como as exigências relativas às medidas
referidas no nº 1, deverão ficar consignados por escrito ou sob forma equivalente.
SECÇÃO IX
NOTIFICAÇÃO
Artigo 18º
Obrigação de notificação à autoridade de controlo
- Os Estados-membros estabelecerão que o responsável pelo tratamento ou,
eventualmente, o seu representante deve notificar a autoridade de controlo referida no
artigo 28º antes da realização de um tratamento ou conjunto de tratamentos, total ou
parcialmente automatizados, destinados à prossecução de uma ou mais finalidades
interligadas. - Os Estados-membros apenas poderão estabelecer a simplificação ou a isenção da
notificação nos seguintes casos e condições:
- se, para os categorias de tratamentos que, atendendo aos dados a
tratar, não são susceptíveis de prejudicar os direitos e liberdades das
pessoas em causa, especificarem as finalidades do tratamento, os dados
ou categorias de dados a tratar, a categoria ou categorias de pessoas em
causa, os destinatários ou categorias de destinatários a quem serão
comunicados os dados e o período de conservação dos dados; e/ou - se o responsável pelo tratamento nomear, nos termos do direito
nacional a que está sujeito, um encarregado da protecção dos dados
pessoais, responsável nomeadamente por garantir, de modo
independente, a aplicação, a nível interno, das disposições nacionais
tomadas nos termos de presente directiva, - manter um registo dos tratamentos efectuados pelo responsável do tratamento,
contendo as informações referidas no nº 2 do artigo 21º, - assegurando assim que os tratamentos não são susceptíveis de prejudicar os direitos
e liberdades das pessoas em causa.
- Os Estados-membros poderão estabelecer que o nº 1 não se aplica a tratamentos
cuja única finalidade seja a manutenção de registos que, nos termos de disposições
legislativas ou regulamentares, se destinem à informação do público e se encontrem
abertos à consulta pelo público em geral ou por qualquer pessoa que possa provar um
interesse legítimo. - Os Estados-membros podem isentar da obrigação de notificação os tratamentos de
dados referidos no nº 2, alínea d), do artigo 8º, ou prever uma simplificação dessa
notificação. - Os Estados-membros podem determinar que todos ou alguns dos tratamentos não
automatizados de dados pessoais sejam notificados, eventualmente de forma
simplificada.
Artigo 19º
Conteúdo da notificação
- Os Estados-membros especificarão as informações que devem constar da
notificação. Essas informações devem incluir, pelo menos:
a) O nome e endereço do responsável pelo tratamento e, eventualmente, do seu
representante;
b) A ou as finalidades do tratamento;
c) Uma descrição da ou das categorias de pessoas em causa e dos dados ou categorias
de dados que lhes respeitem;
d) Os destinatários ou categorias de destinatários a quem os dados poderão ser
comunicados;
e) As transferências de dados previstas para países terceiros;
f) Uma descrição geral que permita avaliar de forma preliminar a adequação das
medidas tomadas para garantir a segurança do tratamento em aplicação do artigo 17º. - Os Estados-membros especificarão os procedimentos de notificação à autoridade de
controlo das alterações que afectem as informações referidas no nº 1.
Artigo 20º
Controlo prévio
- Os Estados-membros especificarão os tratamentos que possam representar riscos
específicos para os direitos e liberdades das pessoas em causa e zelarão por que sejam
controlados antes da sua aplicação. - Esse controlo prévio será efectuado pelo autoridade de controlo referida no artigo
28º após recepção de uma notificação do responsável pelo tratamento ou pelo
encarregado da protecção de dados que, em caso de dúvida, deverá consultar a
autoridade de controlo. - Os Estados-membros poderão igualmente efectuar este controlo durante os
trabalhos de preparação de uma medida do parlamento nacional ou de uma medida
baseada nessa medida legislativa, a qual defina a natureza do tratamento e estabeleça
as garantias adequadas.
Artigo 21º
Publicidade dos tratamentos
- Os Estados-membros tomarão as medidas necessárias para assegurar a publicidade
dos tratamentos. - Os Estados-membros estabelecerão que a autoridade de controlo referida no artigo
28º manterá um registo dos tratamentos notificados por força do artigo 18º.
Esse registo deverá conter, pelo menos, as informações enumeradas no nº 1, alíneas a)
a e), do artigo 19º.
O registo poderá ser consultado por qualquer pessoa. - Os Estados-membros estabelecerão que, no que respeita aos tratamentos não
sujeitos a notificação, o responsável pelo tratamento, ou outra entidade designada
pelos Estados-membros, comunicará de forma adequada, a qualquer pessoa que o
solicite, pelo menos as informações referidas no nº 1, alíneas a) a e), do artigo 19º.
Os Estados-membros poderão estabelecer que a presente disposição não se aplica a
tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de
disposições legislativas ou regulamentares, se destinem à informação do público o se
encontrem abertos à consulta pelo público em geral ou por qualquer pessoa que possa
provar um interesse legítimo.
CAPITULO III
RECURSOS JUDICIAIS, RESPONSABILIDADE E SANÇÕES
Artigo 22º
Recursos
Sem prejuízo de quaisquer garantias graciosas, nomeadamente por parte da autoridade
de controlo referida no artigo 28º, previamente a um recurso contencioso, os Estadosmembros estabelecerão que qualquer pessoa poderá recorrer judicialmente em caso de
violação dos direitos garantidos pelas disposições nacionais aplicáveis no tratamento
em questão.
Artigo 23º
Responsabilidade
- Os Estados-membros estabelecerão que qualquer pessoa que tiver sofrido um
prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto incompatível
com as disposições nacionais de execução de presente directiva tem o direito de obter
do responsável pelo tratamento a reparação pelo prejuízo sofrido. - O responsável pelo tratamento poderá ser parcial ou totalmente exonerado desta
responsabilidade se provar que o facto que causou o dano lhe não é imputável.
Artigo 24º
Sanções
Os Estados-membros tomarão as medidas adequadas para assegurar a plena aplicação
das disposições da presente directiva e determinarão, nomeadamente, as sanções a
aplicar em caso de violação das disposições adoptadas nos termos de presente
directiva.
CAPITULO IV
TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS
Artigo 25º
Princípios
- Os Estados-membros estabelecerão que a transferência para um país terceiro de
dados pessoais objecto de tratamento, ou que se destinem a ser objecto de tratamento
após a sua transferência, só pode realizar-se se, sob reserva da observância das
disposições nacionais adoptadas nos termos das outras disposições da presente
directiva, o país terceiro em questão assegurar um nível de protecção adequado. - A adequação do nível de protecção oferecido por um país terceiro será apreciada
em função de todas os circunstâncias que rodeiem a transferência ou o conjunto de
transferências de dados; em especial, serão tidas em consideração a natureza dos
dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de
origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país
terceiro em causa, bem como as regras profissionais e as medidas de segurança que
são respeitadas nesse país. - Os Estados-membros e a Comissão informar-se-ão mutuamente dos casos em que
considerem que um país terceiro não assegura um nível de protecção adequado na
acepção do nº 2. - Sempre que a Comissão verificar, nos termos do procedimento previsto no nº 2 do
artigo 31º, que um país terceiro não assegura um nível de protecção adequado na
acepção do nº 2 do presente artigo, os Estados-membros tomarão as medidas
necessárias para impedir qualquer transferência de dados de natureza idêntica para o
país terceiro em causa. - Em momento oportuno, a Comissão encetará negociações com vista a obviar à
situação resultante da constatação feita em aplicação do nº 4. - A Comissão pode constatar, nos termos do procedimento previsto no nº 2 do artigo
31º, que um país terceiro assegura um nível de protecção adequado na acepção do nº 2
do presente artigo em virtude da sua legislação interna ou dos seus compromissos
internacionais, subscritos nomeadamente na sequência das negociações referidas no nº
5, com vista à protecção do direito à vida privada e das liberdades e direitos
fundamentais das pessoas.
Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão
da Comissão.
Artigo 26º
Derrogações
- Em derrogação ao disposto no artigo 25º e sob reserva de disposições em contrário
do seu direito nacional em casos específicos, os Estados-membros estabelecerão que a
transferência de dados pessoais para um país terceiro que não assegure um nível de
protecção adequado na acepção do nº 2 do artigo 25º poderá ter lugar desde que:
a) A pessoa em causa tenha dado de forma inequívoca o seu consentimento à
transferência; ou
b) A transferência seja necessária para a execução de um contrato entre a pessoa em
causa e o responsável pelo tratamento ou de diligências prévias à formação do
contrato decididas a pedido da pessoa em causa; ou
c) A transferência seja necessária à execução ou celebração de um contrato celebrado
ou a celebrar, no interesse da pessoa em cause, entre o responsável pelo tratamento e
um terceiro; ou
d) A transferência seja necessária ou legalmente exigida para a protecção de um
interesse público importante, ou para a declaração, o exercício ou a defesa de um
direito num processo judicial; ou
e) A transferência seja necessária para proteger os interesses vitais da pessoa em
causa; ou
f) A transferência seja realizada a partir de um registo público que, nos termos de
disposições legislativas ou regulamentares, se destine à informação do público e se
encontre aberto à consulta pelo público em geral ou por qualquer pessoa que possa
provar um interesse legítimo, desde que as condições estabelecidas na lei para a
consulta sejam cumpridas no caso concreto. - Sem prejuízo do nº 1, um Estado-membro pode autorizar uma transferência ou um
conjunto de transferências de dados pessoais para um país terceiro que não assegura
um nível de protecção adequado na acepção do nº 2 do artigo 25º, desde que o
responsável pelo tratamento apresente garantias suficientes de protecção da vida
privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício
dos respectivos direitos; essas garantias podem, designadamente, resultar de cláusulas
contratuais adequadas. - O Estado-membro informará a Comissão e os restantes Estados-membros das
autorizações que conceder nos termos do nº 2.
Em caso de oposição, por um Estado-membro ou pela Comissão devidamente
justificada no que se refere à protecção da privacidade e dos direitos e liberdades
fundamentais das pessoas, a Comissão adoptará as medidas adequadas, nos termos do
procedimento previsto no nº 2 do artigo 31º.
Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão
da Comissão. - Sempre que a Comissão decidir, nos termos do procedimento previsto no nº 2 do
artigo 31º, que certas cláusulas contratuais-tipo oferecem as garantias suficientes
referidas no nº 2, os Estados-membros tomarão as medidas necessárias para dar
cumprimento à decisão da Comissão.
CAPÍTULO V
CÓDIGOS DE CONDUTA
Artigo 27º
- Os Estados-membros e a Comissão promoverão a elaboração de códigos de
conduta destinados a contribuir, em função das características dos diferentes sectores,
para a boa execução das disposições nacionais tornadas pelos Estados-membros nos
termos da presente directiva. - Os Estados-membros estabelecerão que as associações profissionais e as outras
organizações representativas de outras categorias de responsáveis pelo tratamento que
tenham elaborado projectos de códigos nacionais ou que tencionem alterar ou
prorrogar códigos nacionais existentes, podem submetê-los à apreciação das
autoridades nacionais.
Os Estados-membros estabelecerão que essas autoridades se certificarão,
nomeadamente, de conformidade dos projectos que lhe são apresentados com as
disposições nacionais tomadas nos termos de presente directiva. Se o considerarem
oportuno, as autoridades solicitarão a opinião das pessoas em causa ou dos seus
representantes. - Os projectos de códigos comunitários, assim como as alterações ou prorrogações de
códigos comunitários existentes, poderão ser submetidos ao grupo referido no artigo
29º. O grupo pronunciar-se-á, nomeadamente, quanto à conformidade dos projectos
submetidos à sua apreciação com as disposições nacionais adoptadas em aplicação da
presente directiva. Se o considerar oportuno, solicitará a opinião das pessoas em causa
ou dos seus representantes. A Comissão pode garantir uma publicidade adequada dos
códigos aprovados pelo grupo.
CAPITULO VI
AUTORIDADE DE CONTROLO E GRUPO DE PROTECÇÃO DAS PESSOAS
NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS
Artigo 28º
Autoridade de controlo
- Cada Estado-membro estabelecerá que uma ou mais autoridades públicas serão
responsáveis pela fiscalização da aplicação no seu território das disposições adoptadas
pelos Estados-membros nos termos da presente directiva.
Essas autoridades exercerão com total independência as funções que lhes forem
atribuídas. - Cada Estado-membro estabelecerá que as autoridades de controlo serão consultadas
aquando da elaboração de medidas regulamentares ou administrativas relativas à
protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento de
dados pessoais. - Cada autoridade de controlo disporá, nomeadamente:
- de poderes de inquérito, tais como o poder de aceder aos dados
objecto de tratamento e de recolher todas as informações necessárias
ao desempenho das suas funções de controlo; - de poderes efectivos de intervenção, tais como, por exemplo, o de
emitir pareceres previamente à execução adequada desses pareceres, o
de ordenar o bloqueio, o apagamento ou a destruição dos dados, o de
proibir temporária ou definitivamente o tratamento, o de dirigir uma
advertência ou uma censura ao responsável pelo tratamento ou o de
remeter a questão para os parlamentos nacionais ou para outras
instituições políticas; - do poder de intervir em processos judiciais no caso de violação das
disposições nacionais adoptadas nos termos da presente directiva ou de
levar essas infracções ao conhecimento das autoridades judiciais.
As decisões de autoridade de controlo que lesem interesses são passíveis de recurso
jurisdicional.
- Qualquer pessoa ou associação que a represente pode apresentar à autoridade de
controlo um pedido para protecção dos seus direitos e liberdades no que diz respeito
ao tratamento de dados pessoais. A pessoa em causa será informada do seguimento
dado ao seu pedido.
Em particular, qualquer pessoa pode apresentar à autoridade de controlo um pedido de
verificação da licitude de qualquer tratamento de dados, sempre que sejam aplicáveis
as disposições nacionais adoptadas por força do artigo 13º. O requerente será pelo
menos informado da realização da verificação. - Cada autoridade de controlo elaborará periodicamente um relatório sobre a sua
actividade. O relatório será publicado. - Cada autoridade de controlo é competente, independentemente do direito nacional
aplicável ao tratamento em causa, para o exercício no território do seu Estadomembro dos poderes que lhe foram atribuídos em conformidade com o nº3. Cada
autoridade de controlo pode ser solicitada a exercer os seus poderes por uma
autoridade de outro Estado-membro.
As autoridades de controlo cooperarão entre si na medida do necessário ao
desempenho das suas funções, em especial através do intercâmbio de quaisquer
informações úteis. - Os Estados-membros determinarão que os membros e agentes das autoridades de
controlo fiquem sujeitos, mesmo após a cessação das suas actividades, à obrigação de
segredo profissional em relação às informações confidenciais a que tenham acesso.
Artigo 29º
Grupo de protecção das pessoas no que diz respeito ao
tratamento de dados pessoais
- É criado um Grupo de protecção das pessoas no que diz respeito ao tratamento de
dados pessoais, a seguir designado «grupo».
O grupo tem carácter consultivo e é independente. - O grupo é composto por um representante da autoridade ou autoridades de controlo
designadas por cada Estado-membro, por um representante da autoridade ou
autoridades criadas para as instituições e organismos comunitários, bem como por um
representante da Comissão.
Cada membro do grupo será designado pela instituição, autoridade ou autoridades que
representa. Sempre que um Estado-membro tiver designado várias autoridades de
controlo, estas nomearão um representante comum. O mesmo acontece em relação às
autoridades criadas para as instituições e organismos comunitários. - O grupo tomará as suas decisões por maioria simples dos representantes das
autoridades de controlo. - O grupo elegerá o seu presidente. O mandato do presidente tem uma duração de
dois anos e é renovável. - O secretariado do grupo será assegurado pela Comissão.
- O grupo elaborará o seu regulamento interno.
- O grupo analisará as questões inscritas na ordem de trabalhos pelo seu presidente,
quer por iniciativa deste, quer a pedido de um representante das autoridades de
controlo, quer ainda a pedido de Comissão.
Artigo 30º
- O grupo tem por atribuições:
a) Analisar quaisquer questões relativas à aplicação das disposições nacionais
tomadas nos termos da presente directiva, com vista a contribuir para a sua aplicação
uniforme;
b) Dar parecer à Comissão sobre o nível de protecção na Comunidade e nos países
terceiros;
c) Aconselhar a Comissão sobre quaisquer projectos de alteração da presente directiva
ou sobre quaisquer projectos de medidas adicionais ou específicas a tomar para
proteger os direitos e liberdades das pessoas singulares no que diz respeito ao
tratamento de dados pessoais, bem como sobre quaisquer outros projectos de medidas
comunitárias com incidência sobre esses direitos e liberdades;
d) Dar parecer sobre os códigos de conduta elaborados a nível comunitário. - Se o grupo verificar que surgem divergências susceptíveis de prejudicar a
equivalência da protecção das pessoas no que diz respeito ao tratamento de dados
pessoais na Comunidade entre a legislação ou a prática dos Estados-membros,
informará desse facto a Comissão. - O grupo pode, por sua própria iniciativa, formular recomendações sobre quaisquer
questões relativas à protecção das pessoas no que diz respeito ao tratamento de dados
pessoais na Comunidade. - Os pareceres o recomendações do grupo serão transmitidos à Comissão e ao comité
referido no artigo 31º. - A Comissão informará o grupo do seguimento que deu aos seus pareceres e
recomendações. Para o efeito, elaborará um relatório que será igualmente enviado ao
Parlamento Europeu e ao Conselho. O relatório será publicado. - O grupo elaborará um relatório anual sobre a situação da protecção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais na Comunidade e nos
países terceiros, que será comunicado à Comissão, ao Parlamento Europeu e ao
Conselho. O relatório será publicado.
CAPÍTULO VII
MEDIDAS DE EXECUÇÃO COMUNITÁRIAS
Artigo 31º
Comitologia
- A Comissão será assistida por um comité composto por representantes dos Estadosmembros e presidido pelo representante da Comissão.
- O representante da Comissão submeterá à apreciação do comité um projecto das
medidas a tomar. O comité emitirá o seu parecer sobre esse projecto num prazo que o
presidente pode fixar em função da urgência da questão em causa.
O parecer será emitido por maioria, nos termos previstos no nº 2 do artigo 148º do
Tratado. Nas votações no comité, os votos dos representantes dos Estados-membros
estão sujeitos à ponderação definida no artigo atrás referido. O presidente não
participa na votação.
A Comissão adoptará medidas que são imediatamente aplicáveis. Todavia, se não
forem conformes com o parecer emitido pelo comité, essas medidas serão
imediatamente comunicados pela Comissão ao Conselho. Nesse caso:
- A Comissão diferirá a aplicação das medidas que aprovou por um prazo de três
meses a contar de data da comunicação. - O Conselho, deliberando por maioria qualificada, pode tomar uma decisão diferente
no prazo previsto no travessão anterior.
DISPOSIÇÕES FINAIS
Artigo 32º
- Os Estados-Membros porão em vigor as disposições legislativas, regulamentares e
administrativos necessárias para dar cumprimento à presente directiva o mais tardar
três anos a contar de data da sua adopção.
Quando os Estados-membros adoptarem essas disposições, estas devem incluir uma
referência à presente directiva ou ser acompanhadas dessa referência na publicação
oficial. As modalidades dessa referência serão adoptadas pelos Estados-membros. - Os Estados-membros assegurarão que os tratamentos já em curso à data da entrada
em vigor das disposições nacionais tomadas nos termos da presente directiva
cumprirão essas disposições o mais tardar três anos a contar de referida data.
Em derrogação ao parágrafo anterior, os Estados-membros poderão estabelecer que o
tratamento de dados já existente em ficheiros manuais à data de entrada em vigor das
disposições nacionais tomadas nos termos de presente directiva cumprirá o disposto
nos artigos 6º, 7º e 8º no prazo de doze anos a contar da data de adopção da presente
directiva. Os Estados-membros possibilitarão, no entanto, à pessoa em causa obter, a
seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a
rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou
conservados de modo incompatível com os fins legítimos prosseguidos pelo
responsável pelo tratamento. - Em derrogação ao nº 2, os Estados-membros poderão estabelecer que, sob reserva
das garantias adequadas, os dados conservados unicamente com finalidades de
investigação histórica não terão que cumprir os artigos 6º, 7º e 8º da presente
directiva. - Os Estados-membros comunicarão à Comissão o texto das disposições de direito
interno que adoptem no domínio regido pela presente directiva.
Artigo 33º
A Comissão apresentará periodicamente ao Parlamento Europeu e ao Conselho, e pela
primeira vez o mais tardar três anos após a data referida no nº 1 do artigo 32º, um
relatório sobre a aplicação da presente directiva, eventualmente acompanhado de
propostas de alteração adequadas. O relatório será publicado.
A Comissão analisará, nomeadamente, a aplicação da presente directiva ao tratamento
de dados de som e de imagem relativos às pessoas singulares e apresentará as
propostas adequadas que se revelem necessárias, tendo em conta o desenvolvimento
das tecnologias da informação, e à luz da situação quanto aos trabalhos sobre a
sociedade de informação.
Artigo 34º
Os Estados-membros são os destinatários da presente directiva.
Feito no Luxemburgo, em 24 de Outubro de 1995.
Pelo Parlamento Europeu Pelo Conselho
O Presidente
K. Hansch L. Atienza