COMISSÃO EUROPEIA

Bruxelas, 24.6.2020

COM(2020) 264 final

COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

A proteção de dados enquanto pilar da capacitação dos cidadãos e a abordagem da UE para a transição digital - dois anos de aplicação do Regulamento Geral sobre a Proteção de Dados

{SWD(2020) 115 final}

COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

A proteção de dados enquanto pilar da capacitação dos cidadãos e a abordagem da UE para a transição digital - dois anos de aplicação do Regulamento Geral sobre a Proteção de Dados

1As regras em matéria de proteção de dados enquanto pilar da capacitação dos cidadãos e a abordagem da UE para a transição digital

O presente relatório é o primeiro sobre a avaliação e revisão do Regulamento Geral sobre a Proteção de Dados 1 («RGPD»), em especial sobre a aplicação e o funcionamento das regras sobre a transferência de dados pessoais para países terceiros e organizações internacionais e sobre as regras de cooperação e coerência, nos termos do artigo 97.º do RGPD.

O RGPD, aplicável desde 25 de maio de 2018, está no cerne do quadro da UE 2 que garante o direito fundamental à proteção de dados, tal como consagrado na Carta dos Direitos Fundamentais da União Europeia (artigo 8.º) e nos Tratados (artigo 16.º do Tratado sobre o Funcionamento da União Europeia, «TFUE»). O RGPD reforçou as garantias em matéria de proteção de dados. Proporciona aos indivíduos direitos adicionais mais sólidos, maior transparência e garante que todos os encarregados do tratamento de dados pessoais no seu âmbito de aplicação são mais responsabilizados. O regulamento dota as autoridades independentes responsáveis pela proteção de dados de poderes de execução reforçados e harmonizados e cria um novo sistema de governação. Além disso, cria condições de concorrência equitativas para todas as empresas que operam no mercado da UE, independentemente do local onde se encontram estabelecidas, e assegura a livre circulação de dados na UE, reforçando assim o mercado interno.

O RGPD é uma componente importante da abordagem da tecnologia que se centra no ser humano. Serve de fio condutor à utilização da tecnologia na dupla transição ecológica e digital que caracteriza a elaboração das políticas da UE. Este aspeto foi salientado mais recentemente pelo Livro Branco sobre a Inteligência Artificial 3 e pela Comunicação «Uma Estratégia Europeia para os Dados» 4 (a seguir designada «Estratégia para os dados»), de fevereiro de 2020.

Numa economia que se baseia cada vez mais no tratamento de dados, incluindo dados pessoais, o RGPD é um instrumento essencial para assegurar que as pessoas possuem um maior controlo sobre os seus dados pessoais e que esses dados são tratados para fins legítimos, de forma lícita, justa e transparente. Ao mesmo tempo, o RGPD contribui para promover a inovação fiável, nomeadamente através da sua abordagem baseada no risco e de princípios como a privacidade desde a conceção e por defeito. A Comissão propôs complementar a moldura legal em matéria de proteção de dados e privacidade 5 com o Regulamento relativo à privacidade e às comunicações eletrónicas 6 , que se destina a substituir a atual Diretiva relativa à privacidade no setor das comunicações eletrónicas 7 . A proposta em causa está atualmente a ser analisada pelos colegisladores e é muito importante assegurar a sua rápida adoção.

No âmbito das principais prioridades da Comissão constantes nos documentos «Uma Europa preparada para a era digital» 8 e o «Pacto Ecológico Europeu» 9 , poderão ser desenvolvidas novas iniciativas para capacitar os cidadãos no sentido de desempenharem um papel mais ativo na transição digital e de tirar proveito da utilização das ferramentas digitais com vista a alcançar uma sociedade neutra do ponto de vista climático e um desenvolvimento mais sustentável. O RGPD estabelece um quadro para estas iniciativas e assegura que as mesmas se destinam a capacitar eficazmente as pessoas.

A Estratégia para os dados 10 apela à criação de um «espaço único europeu de dados», um verdadeiro mercado único de dados, bem como de dez espaços comuns europeus de dados a nível setorial, pertinentes para efeitos da dupla transição ecológica e digital 11 . Para todas estas prioridades, é fundamental um quadro claro e operacional para uma partilha segura e uma maior disponibilidade de dados. A Estratégia para os dados anunciou também a intenção da Comissão de estudar, na futura legislação, a forma de permitir a utilização de dados conservados em bases de dados públicas para fins de investigação científica, em conformidade com o RGPD. Os espaços de dados devem ser apoiados por uma federação europeia de serviços de computação em nuvem que preste serviços de tratamento de dados e de infraestruturas de computação em nuvem em conformidade com o RGPD. O RGPD assegura um elevado nível de proteção dos dados pessoais e confere um papel central às pessoas em todos estes espaços de dados, proporcionando a flexibilidade necessária para facultar diferentes abordagens.

A necessidade de assegurar a confiança e a exigência a nível de proteção dos dados pessoais não se limitam certamente à UE. Os cidadãos de todo o mundo valorizam cada vez mais a privacidade e a segurança dos seus dados. Conforme demonstra um inquérito global recente 12 , os cidadãos consideram que se trata de um fator importante que influencia as suas decisões de compra e o seu comportamento em linha. Um número crescente de empresas respondeu a esta procura de privacidade, nomeadamente através do alargamento voluntário de alguns dos direitos e garantias previstos no RGPD aos seus clientes estabelecidos fora da UE. Muitas empresas também promovem o respeito pelos dados pessoais como um diferenciador competitivo e um ponto de venda no mercado mundial, oferecendo produtos e serviços inovadores com novas soluções em matéria de privacidade ou de segurança dos dados. Além disso, o aumento da capacidade dos intervenientes do setor público e privado para recolher e tratar dados em grande escala levanta questões importantes e complexas, que colocam cada vez mais a privacidade no centro do debate público em diferentes partes do mundo.

A adoção do RGPD incentivou outros países de muitas regiões do mundo a ponderar tomá-lo como exemplo. Trata-se de uma verdadeira tendência a nível mundial do Chile até à Coreia do Sul, do Brasil ao Japão, do Quénia à Índia e da Califórnia até à Indonésia. A liderança da UE em matéria de proteção de dados mostra que pode atuar como organismo de referência mundial para a regulação da economia digital e foi bem acolhida por vozes importantes da comunidade internacional, como o Secretário-Geral das Nações Unidas, António Guterres, que salientou a forma como o RGPD «deu o exemplo […] inspirando outras medidas semelhantes noutros lugares» e «insta[ou] a UE e os seus Estados-Membros a continuarem a liderar a era digital e a permanecerem na linha da frente da inovação tecnológica e da regulamentação» 13 .

A atual crise provocada pela pandemia de COVID-19 constitui um bom exemplo desta globalização do debate sobre a privacidade, tanto durante a crise como à medida que o mundo procura sair dela. Na UE, vários Estados-Membros tomaram medidas de emergência para proteger a saúde pública. O RGPD é claro ao estabelecer que qualquer restrição deve respeitar a essência dos direitos e liberdades fundamentais e constituir uma medida necessária e proporcionada numa sociedade democrática para salvaguardar um interesse público, como a saúde pública. Conforme as medidas de confinamento vão sendo gradualmente eliminadas, os decisores devem ter em conta as expectativas dos cidadãos no sentido de que lhes são oferecidas soluções digitais fiáveis que respeitam os direitos à privacidade e à proteção dos dados pessoais.

Em muitos países, a proteção da privacidade «integrada», como a subscrição voluntária pelos utilizadores, a minimização e segurança dos dados, bem como a exclusão da geolocalização, são consideradas essenciais para garantir a fiabilidade e a aceitação por parte da sociedade de soluções baseadas em dados destinadas a monitorizar e conter a propagação do vírus, a uniformizar as medidas defensivas das políticas públicas, a prestar assistência aos doentes ou a implementar estratégias de saída. Na UE, o quadro legislativo em matéria de proteção de dados e privacidade 14 revelou-se um instrumento suficientemente flexível para permitir o desenvolvimento de soluções práticas (por exemplo, aplicações de rastreamento), assegurando simultaneamente um elevado nível de proteção dos dados pessoais. Neste contexto, em 16 de abril de 2020, a Comissão publicou orientações sobre as aplicações que apoiam a luta contra a pandemia relacionada com a proteção de dados 15 .

A proteção dos dados pessoais é também fundamental para prevenir a manipulação das escolhas dos cidadãos, nomeadamente através do micro-direcionamento dos eleitores com base no tratamento ilícito de dados pessoais, evitar interferências nos processos democráticos e preservar o debate público, a equidade e a transparência que são essenciais numa democracia. Por este motivo, em setembro de 2018, a Comissão publicou as suas orientações sobre a aplicação da legislação da União em matéria de proteção de dados no contexto eleitoral 16 .

Para esta avaliação e revisão, a Comissão teve em conta os contributos do Conselho 17 , do Parlamento Europeu 18 , do Comité Europeu para a Proteção de Dados (a seguir designado «o Comité») 19 e das autoridades de proteção de dados individuais 20 , do grupo de peritos multipartes interessadas 21 e de outras partes interessadas, nomeadamente através do retorno de informação fornecidas relativamente ao roteiro 22 .

A opinião geral é que, dois anos após a sua entrada em vigor, o RGPD cumpriu os seus objetivos de reforçar a proteção do direito dos cidadãos em matéria de proteção de dados pessoais e de garantir a livre circulação de dados pessoais na UE 23 . No entanto, foram também identificados alguns domínios que carecem de melhorias no futuro. Tal como a maioria das partes interessadas e das autoridades de proteção de dados, a Comissão considera que seria prematuro, nesta fase, tirar conclusões definitivas sobre a aplicação do RGPD. É provável que, nos próximos anos, a maior parte das questões identificadas pelos Estados-Membros e pelas partes interessadas venham a beneficiar de uma maior experiência na aplicação do RGPD. No entanto, o presente relatório destaca os desafios que se colocaram até agora na aplicação do RGPD e define possíveis formas de os resolver.

Não obstante a sua ênfase nas duas questões assinaladas no artigo 97.º, n.º 2, do RGPD, nomeadamente as transferências internacionais e os procedimentos de cooperação e coerência, esta avaliação e revisão adota uma abordagem mais ampla para abordar também questões levantadas por vários intervenientes nos últimos dois anos.

2Principais conclusões

Aplicação do RGPD e funcionamento dos procedimentos de cooperação e de controlo da coerência

O RGPD criou um sistema de governação inovador, baseado em autoridades independentes de proteção de dados nos Estados-Membros e na sua cooperação em processos transfronteiriços, no âmbito do Comité Europeu para a Proteção de Dados («o Comité»). De um ponto de vista geral, as autoridades responsáveis pela proteção de dados utilizaram de forma equilibrada os seus poderes de correção reforçados, incluindo advertências e repreensões, coimas e limitações temporárias ou definitivas ao tratamento de dados 24 . A Comissão observa que as autoridades recorreram a coimas administrativas oscilando entre alguns milhares de euros e vários milhões, em função da gravidade das infrações. Outras sanções, como a proibição de tratamento de dados, podem ter também um efeito dissuasor igual, se não superior, ao das coimas. O objetivo final do RGPD é alterar a cultura e o comportamento de todos os intervenientes implicados em benefício das pessoas. O documento de trabalho dos serviços da Comissão que o acompanha apresenta informações mais pormenorizadas sobre a utilização dos poderes de correção pelas autoridades de proteção de dados.

Embora ainda seja prematuro avaliar plenamente o funcionamento dos novos procedimentos de cooperação e de controlo da coerência, as autoridades de proteção de dados desenvolveram a sua cooperação através do sistema de balcão único 25 e através de uma grande utilização da assistência mútua 26 . O sistema de balcão único, que constitui um trunfo essencial do mercado interno, é utilizado para decidir muitos processos transfronteiras 27 . Encontram-se atualmente pendentes decisões importantes com uma dimensão transfronteiriça que estarão sujeitas ao sistema de balcão único. Estas decisões, que envolvem frequentemente grandes empresas multinacionais de tecnologia, terão um impacto significativo nos direitos das pessoas em muitos Estados-Membros.

No entanto, o desenvolvimento de uma verdadeira cultura europeia comum em matéria de proteção de dados entre as autoridades responsáveis pela sua proteção continua a ser um processo ainda não concluído. As autoridades responsáveis pela proteção de dados ainda não utilizaram plenamente os instrumentos previstos no RGPD, tais como operações conjuntas que poderão conduzir a investigações conjuntas. Por vezes, a adoção de uma abordagem comum implicava optar pelo menor denominador comum e, consequentemente, perdiam-se oportunidades de promover uma maior harmonização 28 .

São necessários mais progressos para melhorar a eficácia e harmonizar o tratamento dos processos transfronteiras em toda a UE, nomeadamente de um ponto de vista processual, por exemplo, em questões como os processos de tratamento de reclamações, os critérios de admissibilidade das reclamações, a duração dos processos devido a prazos diferentes ou a ausência de prazos no direito processual administrativo nacional, o momento em que é concedido o direito de ser ouvido ou a informação e participação dos autores da reclamação durante o procedimento. O processo de reflexão lançado pelo Comité em relação a esta questão é bem acolhido e a Comissão participa nestes debates 29 .

As atividades e as orientações e diretrizes do Comité são fundamentais para promover uma evolução consequente dos intercâmbios entre o Comité e as partes interessadas 30 . No final de 2019, o Comité tinha adotado 67 documentos, incluindo 10 novas orientações e diretrizes 31 , e 43 pareceres 32 . De um modo geral, as partes interessadas congratulam-se com as orientações e diretrizes do Comité e solicitam outras sobre conceitos-chave do RGPD, mas apontam também para algumas incoerências entre as orientações nacionais e as orientações do Comité. Sublinham a necessidade de um aconselhamento mais prático, nomeadamente de exemplos mais concretos, e a necessidade de as autoridades de proteção de dados serem dotadas dos recursos humanos, técnicos e financeiros necessários para desempenhar eficazmente as suas funções.

A Comissão salientou sistematicamente a obrigação dos Estados-Membros de atribuírem recursos humanos, financeiros e técnicos suficientes às autoridades nacionais de proteção de dados 33 . A maioria das autoridades beneficiou de um aumento do pessoal e do orçamento entre 2016 e 2019 34 , tendo as autoridades irlandesas, neerlandesas, islandesas, luxemburguesas e finlandesas beneficiado dos maiores aumentos relativos em termos de pessoal. Dado que as grandes multinacionais de alta tecnologia estão estabelecidas na Irlanda e no Luxemburgo, as autoridades responsáveis pela proteção de dados desses países atuam como autoridades competentes em muitos processos transfronteiras relevantes, podendo carecer de recursos mais avultados do que a sua população parece sugerir. No entanto, a situação continua a ser desigual entre os Estados-Membros, não sendo ainda inteiramente satisfatória. As autoridades responsáveis pela proteção de dados desempenham um papel essencial para garantir que o RGPD é aplicado a nível nacional e que os procedimentos de cooperação e de controlo da coerência no âmbito do Comité funcionam de forma eficaz, incluindo, em especial, o mecanismo de balcão único para processos transfronteiras. Os Estados-Membros são, por conseguinte, instados a dotá-las dos recursos adequados, em conformidade com o RGPD 35 .

Regras harmonizadas, mas persistindo ainda um certo grau de fragmentação e abordagens divergentes

A Comissão acompanha a aplicação do RGPD na legislação nacional. À data do presente relatório, com exceção da Eslovénia, todos os Estados-Membros adotaram nova legislação ou adaptaram a sua legislação nacional em matéria de proteção de dados. A Eslovénia 36 foi convidada a prestar esclarecimentos à Comissão sobre a conclusão desse processo 37 .

O RGPD prevê uma abordagem coerente no que respeita às regras de proteção de dados em toda a UE. No entanto, exige que os Estados-Membros legislem em alguns domínios 38 e confere-lhes a possibilidade de precisarem melhor o RGPD noutros domínios 39 . Em consequência, ainda existe um certo grau de fragmentação, devido, nomeadamente, à utilização extensiva de cláusulas de especificação facultativas. Por exemplo, a diferença entre os Estados-Membros na idade do consentimento dos menores em relação aos serviços da sociedade da informação gera incerteza para os menores e os seus pais quanto à aplicação dos seus direitos de proteção de dados no mercado único. Esta fragmentação cria também desafios para a realização de negócios transfronteiras, para a inovação, em especial no que diz respeito aos novos progressos tecnológicos e às soluções em matéria de cibersegurança. Para o funcionamento eficaz do mercado interno e para evitar encargos desnecessários para as empresas, é também essencial que a legislação nacional não ultrapasse os limites estabelecidos pelo RGPD ou introduza requisitos adicionais quando não os haja.

Um desafio específico para a legislação nacional é a conciliação do direito à proteção dos dados pessoais com a liberdade de expressão e de informação e o equilíbrio adequado desses direitos. Algumas legislações nacionais estabelecem o princípio do primado da liberdade de expressão, enquanto outras estabelecem o primado da proteção dos dados pessoais e isentam a aplicação das regras de proteção de dados apenas em situações específicas, como no caso de pessoas com estatuto público. Por último, outros Estados-Membros preveem um certo equilíbrio pelo legislador e/ou uma avaliação casuística no que respeita às derrogações de determinadas disposições do RGPD.

A Comissão prosseguirá a sua avaliação da legislação nacional. A conciliação deve ser prevista por lei, respeitar o conteúdo essencial desses direitos fundamentais e ser proporcional e necessária 40 . As regras em matéria de proteção de dados (bem como a sua interpretação e aplicação) não devem afetar o exercício da liberdade de expressão e de informação, por exemplo, criando um efeito dissuasor ou exercendo pressão sobre os jornalistas para que divulguem as suas fontes. A ponderação destes dois direitos pelas legislações nacionais deve ser enquadrada pela jurisprudência do Tribunal de Justiça e do Tribunal Europeu dos Direitos do Homem 41 .

A legislação dos Estados-Membros segue diferentes abordagens ao aplicar derrogações à proibição geral de tratamento de categorias especiais de dados pessoais, no que diz respeito ao nível de especificação e às garantias, nomeadamente para fins de saúde e investigação. Para resolver esta questão, a Comissão está, numa primeira fase, a proceder ao levantamento das diferentes abordagens dos Estados-Membros 42 e apoiará, como passo seguinte, o estabelecimento de códigos de conduta que contribuam para uma abordagem mais coerente neste domínio e facilitem o tratamento de dados pessoais transfronteiras 43 . Além disso, as futuras orientações do Comité sobre a utilização de dados pessoais no domínio da investigação científica contribuirão para uma abordagem harmonizada. A Comissão deverá contribuir para o Comité, em especial no que se refere à investigação no domínio da saúde, nomeadamente sob a forma de questões concretas e análise de cenários específicos que tenha recebido da comunidade científica.

Capacitar as pessoas no sentido de controlarem os seus dados

De acordo com um inquérito sobre os direitos fundamentais 44 , 69% da população da UE com mais de 16 anos ouviu falar do RGPD e 71 % das pessoas na UE sabem da existência da sua autoridade nacional responsável pela proteção dos dados.

Os cidadãos estão cada vez mais conscientes dos seus direitos: os direitos de acesso, retificação, apagamento e portabilidade dos seus dados pessoais, o direito de se oporem ao tratamento, bem como a uma maior transparência. O RGPD reforçou os direitos processuais, abrangendo o direito de apresentar uma reclamação junto de uma autoridade de proteção de dados, nomeadamente através de ações coletivas, e o direito a vias de recurso judicial. As pessoas utilizam cada vez mais estes direitos, mas é necessário facilitar o seu exercício e a sua plena aplicação. As reflexões levadas a cabo pelo Comité irão clarificar e facilitar ainda mais o exercício dos direitos individuais, ao mesmo tempo que a proposta de diretiva relativa a ações coletivas 45 , uma vez adotada, deverá permitir às pessoas intentar ações coletivas em todos os Estados-Membros e reduzir os custos das ações transfronteiriças.

O direito à portabilidade dos dados tem um claro potencial, ainda não totalmente utilizado, para colocar as pessoas no centro da economia dos dados, permitindo-lhes mudar de prestador de serviços, combinar diferentes serviços, utilizar outros serviços inovadores e escolher os serviços que mais favorecem a proteção de dados. Tal contribuirá, indiretamente, para promover a concorrência e apoiar a inovação. Libertar este potencial é uma das prioridades da Comissão, em especial porque, com a crescente utilização de dispositivos da «Internet das Coisas», são gerados cada vez mais dados pelos consumidores, que correm o risco de ter de enfrentar práticas desleais e efeitos de bloqueio. A portabilidade poderá trazer benefícios significativos em matéria de saúde e bem-estar, reduzir a pegada ambiental e o acesso a serviços públicos e privados, aumentar a produtividade na indústria transformadora e aumentar a qualidade e a segurança dos produtos.

A Estratégia para os dados salientou a necessidade de resolver dificuldades, como a falta de normas que permitam o fornecimento de dados num formato com leitura ótica, a fim de aumentar a utilização eficaz do direito à portabilidade dos dados, atualmente limitado a alguns setores (por exemplo, banca e telecomunicações). Este objetivo poderá ser alcançado, nomeadamente, através da conceção de instrumentos, formato normalizado e interfaces adequados 46 . Esta utilização crescente poderá também concretizar-se, nomeadamente através da imposição de interfaces técnicas e de formatos com leitura ótica que permitam a portabilidade dos dados em tempo real. Uma maior utilização do direito à portabilidade poderá, entre outras coisas, contribuir para que as pessoas autorizem mais facilmente a utilização dos seus dados no sentido do interesse público (por exemplo, para promover a investigação no setor da saúde), se assim o desejarem («altruísmo no domínio dos dados»). Na preparação do pacote «Lei dos Serviços Digitais» 47 , a Comissão irá examinar de forma mais ampla o papel dos dados e das práticas relacionadas com os dados no ecossistema das plataformas.

Oportunidades e desafios para as organizações, em especial as pequenas e médias empresas

O RGPD, juntamente com o Regulamento sobre o livre fluxo de dados não pessoais, 48 oferece oportunidades às empresas, promovendo a concorrência e a inovação, assegurando o livre fluxo de dados na UE e criando condições de concorrência equitativas para as empresas estabelecidas fora da UE 49 . O direito à portabilidade, associado a um número crescente de pessoas em busca de soluções mais respeitadoras da privacidade, tem potencial para reduzir os obstáculos à entrada de empresas e criar oportunidades de crescimento baseadas na confiança e na inovação. Algumas partes interessadas comunicaram que a aplicação do RGPD constitui um desafio, especialmente para as pequenas e médias empresas (PME). De acordo com a abordagem baseada no risco, não seria adequado prever derrogações com base na dimensão dos operadores, uma vez que a sua dimensão não constitui, por si só, uma indicação dos riscos que o tratamento dos dados pessoais que efetua pode criar para os indivíduos. Várias autoridades de proteção de dados forneceram instrumentos práticos para facilitar a aplicação do RGPD pelas PME com atividades de tratamento de baixo risco. Estes esforços devem ser intensificados e generalizados, de preferência no âmbito de uma abordagem europeia comum, a fim de não criar obstáculos ao mercado único.

As autoridades de proteção de dados desenvolveram uma série de atividades para ajudar as PME a cumprir o RGPD, por exemplo através do fornecimento de modelos para contratos de tratamento e registos de atividades de tratamento, seminários e linhas diretas de apoio. Algumas destas iniciativas beneficiaram de financiamento da UE 50 . Devem ser consideradas outras atividades para facilitar a aplicação do RGPD às PME.

O RGPD disponibiliza um conjunto de instrumentos a todos os tipos de empresas e organizações para as ajudar a demonstrar a conformidade, tais como códigos de conduta, mecanismos de certificação e cláusulas contratuais-tipo. Este conjunto de instrumentos deve ser utilizado em toda a sua dimensão. As PME sublinham, em particular, a importância e a utilidade dos códigos de conduta adaptados à sua situação e que não implicam custos desproporcionados. No que diz respeito aos sistemas de certificação, a segurança (incluindo a cibersegurança) e a proteção de dados desde a conceção são elementos fundamentais que devem ser considerados no âmbito do RGPD e deviam beneficiar de uma abordagem comum e ambiciosa em toda a UE. A Comissão está atualmente a trabalhar em cláusulas contratuais-tipo entre os responsáveis pelo tratamento e respetivos subcontratantes 51 , com base nos trabalhos em curso sobre a modernização das cláusulas contratuais-tipo aplicáveis às transferências internacionais 52 .

Aplicação do RGPD às novas tecnologias

O RGPD, pelo facto de ter sido concebido de forma tecnologicamente neutra, baseia-se em princípios, sendo, por conseguinte, concebido de modo a abranger novas tecnologias à medida que estas se desenvolvem.

É considerado um instrumento essencial e flexível para assegurar a conformidade do desenvolvimento de novas tecnologias com os direitos fundamentais. O quadro legislativo em matéria de proteção de dados e privacidade demonstrou a sua importância e flexibilidade durante a crise do COVID-19, nomeadamente no que se refere à conceção de aplicações de rastreio e a outras soluções tecnológicas para combater a pandemia. Os desafios futuros consistem em clarificar a forma de aplicar os princípios comprovados a tecnologias específicas, como a inteligência artificial, a cadeia de blocos, a Internet das Coisas ou o reconhecimento facial, que exigem um acompanhamento contínuo. O Livro Branco da Comissão sobre a Inteligência Artificial 53 , por exemplo, lançou um debate público sobre as circunstâncias específicas, se as houver, que poderão justificar a utilização de inteligência artificial para efeitos de identificação biométrica à distância (como o reconhecimento facial) em locais públicos, e sobre garantias comuns. A este respeito, as autoridades de proteção de dados devem estar preparadas para acompanhar os processos de conceção técnica numa fase precoce.

Além disso, a aplicação rigorosa e eficaz do RGPD em relação às grandes plataformas digitais e às empresas integradas, nomeadamente em domínios como a publicidade em linha e o micro-direcionamento, é um elemento essencial para a proteção das pessoas.

Desenvolver um conjunto de instrumentos internacionais modernos para a transferência de dados

O RGPD oferece um conjunto de instrumentos atualizados para facilitar a transferência de dados pessoais da UE para países terceiros ou organizações internacionais, assegurando simultaneamente que os dados continuam a beneficiar de um elevado nível de proteção. Nos últimos dois anos, a Comissão intensificou os seus trabalhos no sentido de explorar todo o potencial dos instrumentos disponíveis ao abrigo do RGPD.

Este esforço incluiu um diálogo ativo com os principais parceiros, com vista a alcançar uma «decisão de adequação». O efeito de tal decisão consiste em permitir a circulação livre e segura de dados pessoais para o país terceiro em causa sem haver necessidade de o exportador de dados apresentar outras garantias ou obter qualquer autorização. Em especial, as decisões de adequação mútua entre a UE e o Japão, que entraram em vigor em fevereiro de 2019, criaram o maior espaço de circulação livre e segura de dados do mundo. Além disso, o processo de adequação com a República da Coreia está numa fase avançada e estão em curso conversações exploratórias com outros parceiros importantes na Ásia e na América Latina.

A adequação também assume um papel importante no âmbito das futuras relações com o Reino Unido, desde que sejam cumpridas as condições aplicáveis. Trata-se de um fator dinamizador para o comércio, incluindo o comércio digital, e uma condição essencial para a promoção de uma cooperação estreita e ambiciosa no domínio da aplicação da lei e da segurança. Além disso, um elevado grau de convergência no domínio da proteção de dados é um elemento importante para garantir condições de concorrência equitativas entre duas economias tão estreitamente integradas. Em conformidade com a Declaração política que estabelece o quadro das futuras relações entre a UE e o Reino Unido, a Comissão está atualmente a proceder a uma avaliação da adequação, tanto ao abrigo do RGPD como da Diretiva sobre a proteção de dados na aplicação da lei. 54 .

No âmbito da primeira avaliação do RGPD, a Comissão deve também rever as decisões de adequação adotadas ao abrigo das regras anteriores 55 . Os serviços da Comissão encetaram um intenso diálogo com cada um dos 11 países e territórios terceiros em causa, 56 a fim de avaliar a forma como os seus sistemas de proteção de dados evoluíram desde a adoção da decisão de adequação e se cumprem a norma estabelecida pelo RGPD. A necessidade de assegurar a continuidade de tais decisões, enquanto instrumento fundamental para o comércio e a cooperação internacional, é um dos fatores que levaram vários desses países e territórios a modernizar e a reforçar a sua legislação em matéria de proteção da vida privada. Estão a ser debatidas salvaguardas adicionais com alguns destes países e territórios, para colmatar as diferenças pertinentes em matéria de proteção. No entanto, dado que o Tribunal de Justiça, num acórdão a proferir em 16 de julho, pode prestar esclarecimentos que possam ser relevantes para determinados elementos do padrão de adequação, a Comissão apresentará um relatório separado sobre a avaliação das decisões de adequação existentes depois de o Tribunal de Justiça ter proferido o seu acórdão nesse processo. 57  

Para além do seu trabalho de adequação, a Comissão está a trabalhar numa modernização aprofundada das cláusulas contratuais-tipo, no sentido de as atualizar em função dos novos requisitos introduzidos pelo RGPD. O objetivo é refletir melhor as realidades das operações de tratamento na economia digital moderna e ponderar a eventual necessidade, designadamente à luz da futura jurisprudência do Tribunal de Justiça, de clarificar determinadas garantias de proteção. 58 Estas cláusulas representam de longe o mecanismo de transferência de dados mais amplamente utilizado, incluindo milhares de empresas da UE que delas dependem para prestar uma vasta gama de serviços aos seus clientes, fornecedores, parceiros e empregados.

O Comité desempenhou também um papel ativo no desenvolvimento dos aspetos internacionais do RGPD. Tal inclui a atualização das orientações sobre os mecanismos de transferência existentes, tais como regras vinculativas para as empresas e as chamadas «derrogações», bem como o desenvolvimento da infraestrutura jurídica para a utilização de novos instrumentos introduzidos pelo RGPD, ou seja, códigos de conduta e certificação.

Para que as partes interessadas possam utilizar plenamente os instrumentos de transferência previstos no RGPD, é importante que o Comité intensifique os seus trabalhos em curso sobre os vários mecanismos de transferência, nomeadamente através de uma maior simplificação do processo de aprovação das regras vinculativas para empresas, da conclusão das orientações relativas aos códigos de conduta e certificação, como instrumentos de transferência, e da clarificação da relação entre as regras relativas às transferências internacionais de dados (capítulo V) e o âmbito de aplicação territorial do RGPD (artigo 3.º).

Outro aspeto importante da dimensão internacional das regras da UE em matéria de proteção de dados é o âmbito de aplicação territorial alargado do RGPD, que abrange igualmente as atividades de tratamento de operadores estrangeiros que exercem a atividade no mercado da UE. Para garantir o cumprimento efetivo do RGPD e assegurar condições de concorrência verdadeiramente equitativas, é essencial que esse alargamento se traduza devidamente nas medidas de execução tomadas pelas autoridades responsáveis pela proteção de dados. As autoridades em causa devem, em especial, incluir, se necessário, o representante do responsável pelo tratamento dos dados ou do respetivo subcontratante na UE, que pode ser contactado juntamente ou em vez da empresa estabelecida fora da UE. Esta abordagem deve ser prosseguida com maior determinação, a fim de enviar uma mensagem clara de que a falta de um estabelecimento na UE não exime os operadores estrangeiros das suas responsabilidades ao abrigo do RGPD.

Promover a convergência e a cooperação internacional no domínio da proteção de dados

O RGPD já surgiu como um ponto de referência fundamental a nível internacional e funcionou como catalisador para muitos países de todo o mundo para ponderarem a introdução de regras modernas em matéria de proteção da privacidade. Esta tendência para a convergência global é uma evolução muito positiva, que proporciona novas oportunidades para melhor proteger os cidadãos da UE quando os seus dados são transferidos para o estrangeiro, facilitando simultaneamente os fluxos de dados.

Com base nesta tendência, a Comissão intensificou o seu diálogo em vários fora bilaterais, regionais e multilaterais para promover uma cultura global do respeito pela privacidade e desenvolver elementos de convergência entre os diferentes sistemas de privacidade. Nos seus esforços, a Comissão confiou e continuará a contar com o apoio ativo do Serviço Europeu para a Ação Externa e da rede de delegações da UE em países terceiros e missões junto de organizações internacionais. Tal permitiu também uma maior coerência e complementaridade entre os diferentes aspetos da dimensão externa das políticas da UE, do comércio à nova parceria UE-África. O G20 e o G7 reconheceram também recentemente o contributo da proteção de dados para a confiança na economia digital e nos fluxos de dados, em especial através do conceito de «fluxo de dados livre com base na confiança» inicialmente proposto pela presidência japonesa do G20. 59 A Estratégia para os dados salienta a intenção da Comissão de continuar a promover a partilha de dados com parceiros dignos de confiança, combatendo simultaneamente abusos, como o acesso desproporcionado das autoridades públicas (estrangeiras) aos dados pessoais.

Ao promover a convergência das normas de proteção de dados a nível internacional, como forma de facilitar os fluxos de dados e, por conseguinte, o comércio, a Comissão está também determinada a combater o protecionismo digital, tal como salientado recentemente na Estratégia para os dados 60 . Para o efeito, a Comissão desenvolveu disposições específicas em matéria de fluxos de dados e de proteção de dados em acordos comerciais 61 que apresenta sistematicamente nos seus acordos bilaterais, mais recentemente com a Austrália, a Nova Zelândia e o Reino Unido, e negociações multilaterais, como as atuais negociações da OMC sobre o comércio eletrónico 62 . Estas disposições horizontais excluem restrições não justificadas, como os requisitos de localização forçada de dados, preservando em simultâneo a autonomia regulamentar das partes para proteger o direito fundamental à proteção de dados.

As sinergias entre o comércio e os instrumentos de proteção de dados devem, por conseguinte, ser mais exploradas para garantir fluxos de dados internacionais seguros e gratuitos que são essenciais para as operações empresariais, a competitividade e o crescimento das empresas europeias, incluindo as PME, na economia cada vez mais digitalizada.

Do mesmo modo, é importante assegurar que, quando as empresas ativas no mercado europeu são chamadas, com base num pedido legítimo, a partilhar dados para garantir a aplicação da lei, podem fazê-lo sem dever fazer face a conflitos de leis e no pleno respeito dos direitos fundamentais da UE. A fim de melhorar tais tipos de transferências, a Comissão está empenhada em desenvolver quadros jurídicos adequados com os seus parceiros internacionais de modo a evitar conflitos de leis e a apoiar formas eficazes de cooperação, nomeadamente prevendo as necessárias garantias em matéria de proteção de dados, contribuindo assim para uma luta mais eficaz contra a criminalidade.

Por último, numa altura em que as questões de respeito da privacidade ou os incidentes no domínio da segurança dos dados podem afetar um grande número de pessoas simultaneamente em várias jurisdições, importa reforçar a cooperação «no terreno» entre os reguladores europeus e internacionais. Tal exige, em especial, o desenvolvimento de instrumentos jurídicos adequados para promover formas mais estreitas de cooperação e de assistência mútua, nomeadamente permitindo o necessário intercâmbio de informações no âmbito dos inquéritos. É também neste espírito que a Comissão está a criar um «Instituto de Proteção de Dados», uma plataforma em que as autoridades de proteção de dados da UE e dos países estrangeiros partilhem conhecimentos, experiências e boas práticas para facilitar e apoiar a cooperação entre as autoridades de proteção da privacidade.

3Ações futuras

Para realizar todo o potencial do RGPD, é importante criar uma abordagem harmonizada e uma cultura comum europeia de proteção de dados, bem como promover um tratamento mais eficiente e harmonizado dos processos transfronteiras. As pessoas e as empresas alimentam esta expectativa, que constitui um objetivo essencial da reforma das regras da UE em matéria de proteção de dados. É igualmente importante assegurar que todos os instrumentos disponíveis no RGPD sejam plenamente utilizados para assegurar uma aplicação eficiente para as pessoas e as empresas.

A Comissão prosseguirá os seus intercâmbios bilaterais com os Estados-Membros sobre a aplicação do RGPD e, se necessário, continuará a utilizar todos os instrumentos ao seu dispor para promover o cumprimento pelos Estados-Membros das suas obrigações nos termos do RGPD.

Tendo em conta a avaliação em curso da legislação nacional, o curto período de experiência prática desde a entrada em vigor do RGPD e o facto de a legislação setorial estar ainda a ser revista em muitos Estados-Membros, é ainda demasiado cedo para tirar conclusões definitivas sobre o atual nível de fragmentação. No que diz respeito ao possível conflito de leis devido à aplicação de cláusulas de especificação pelos Estados-Membros, é necessário, em primeiro lugar, compreender melhor as consequências para os responsáveis pelo tratamento e os respetivos subcontratantes 63 .

No seguimento destas questões, a jurisprudência relevante dos tribunais nacionais e do Tribunal de Justiça ajuda a criar uma interpretação coerente das regras em matéria de proteção de dados. Os tribunais nacionais proferiram recentemente acórdãos que invalidam disposições das legislações nacionais que contrariam o RGPD 64 .

No que diz respeito à dimensão internacional, a Comissão continuará a centrar-se na promoção da convergência das regras de proteção de dados como forma de garantir a segurança dos fluxos de dados. Tal inclui várias formas de trabalho «a montante», por exemplo, no contexto das reformas em curso para criar leis novas ou atualizadas em matéria de proteção de dados, ou impulsionar o conceito de «Fluxo de dados livre baseado na confiança» em instâncias multilaterais. Abrange igualmente vários diálogos de adequação e a modernização e a expansão do conjunto de instrumentos de transferência, através da atualização das cláusulas contratuais-tipo e da preparação de mecanismos de certificação. Este trabalho implica também negociações internacionais, como no domínio do acesso transfronteiras a provas eletrónicas, a fim de assegurar que serão efetuadas transferências de dados com salvaguardas adequadas em matéria de proteção de dados. Por último, ao encetar negociações sobre a cooperação internacional e a assistência mútua entre as autoridades responsáveis pela aplicação da proteção de dados, a Comissão esforçar‑se-á por ver concretizados na prática os princípios da convergência.

Com base nesta avaliação da aplicação do RGPD desde maio de 2018, as ações a seguir enumeradas foram identificadas como sendo necessárias para apoiar a sua aplicação. A Comissão acompanhará a sua aplicação, tendo igualmente em vista o próximo relatório de avaliação em 2024.

Aplicar e completar o quadro jurídico

Os Estados-Membros devem

-completar o alinhamento da sua legislação setorial com o RGPD;

-ponderar a possibilidade de limitar a utilização de cláusulas de especificação que possam criar fragmentação e pôr em causa a livre circulação de dados na UE;

-avaliar se a legislação nacional que aplica o RGPD se enquadra, em todos os casos, dentro dos limites previstos para a legislação dos Estados-Membros.

A Comissão deverá

-prosseguir os intercâmbios bilaterais com os Estados-Membros sobre a conformidade das legislações nacionais com o RGPD, nomeadamente no que respeita à independência e aos recursos das autoridades nacionais de proteção de dados; utilizar todos os instrumentos à sua disposição, incluindo procedimentos por infração, para assegurar o cumprimento do RGPD pelos Estados-Membros;

-apoiar novas trocas de pontos de vista e práticas nacionais entre os Estados‑Membros sobre temas sujeitos a especificações adicionais a nível nacional, a fim de reduzir o nível de fragmentação do mercado único, como o tratamento de dados pessoais relacionados com a saúde e a investigação, ou que estejam sujeitos a um equilíbrio com outros direitos, como a liberdade de expressão;

-apoiar uma aplicação coerente do quadro de proteção de dados no que se refere às novas tecnologias para incentivar a inovação e o desenvolvimento tecnológico;

-utilizar o grupo de peritos dos Estados-Membros no âmbito do RGPD (criado durante a fase transitória anterior à entrada em vigor do RGPD) para facilitar os debates e a partilha de experiências entre os Estados-Membros e com a Comissão;

-examinar se, em função da experiência adquirida e da jurisprudência pertinente, será adequado propor eventuais alterações específicas futuras para determinadas disposições do RGPD, em especial no que diz respeito aos registos do tratamento por parte de PME cuja atividade principal não seja o tratamento de dados pessoais (risco reduzido) 65 , e à eventual harmonização da idade das crianças para efeito de consentimento em relação aos serviços da sociedade da informação.

Aproveitar todo o potencial do novo sistema de governação

O Comité e as autoridades responsáveis pela proteção de dados são convidados a

-desenvolver mecanismos eficazes entre as autoridades de proteção de dados no que se refere ao funcionamento dos procedimentos de cooperação e de controlo da coerência, incluindo os aspetos processuais, com base nos conhecimentos especializados dos seus membros e reforçando o envolvimento do respetivo secretariado;

-apoiar a harmonização na aplicação e execução do RGPD recorrendo a todos os meios ao seu dispor, nomeadamente através da clarificação dos principais conceitos do RGPD e garantindo que as orientações nacionais são plenamente conformes com as orientações adotadas pelo Comité;

-incentivar a utilização de todos os instrumentos previstos no RGPD para assegurar a sua aplicação coerente;

-intensificar a cooperação entre as autoridades responsáveis pela proteção de dados, por exemplo, através da realização de investigações conjuntas.

A Comissão deverá

-continuar a acompanhar de perto a independência absoluta e efetiva das autoridades nacionais de proteção de dados;

-incentivar a cooperação entre reguladores (em especial em domínios como a concorrência, as comunicações eletrónicas, a segurança das redes e dos sistemas de informação e a política dos consumidores);

-apoiar a reflexão no âmbito do Comité sobre os procedimentos aplicados pelas autoridades nacionais de proteção de dados, a fim de melhorar a cooperação nos processos transfronteiras.

Os Estados-Membros devem:

-afetar recursos às autoridades responsáveis pela proteção de dados que lhes permitam desempenhar as suas funções.

Apoiar as partes interessadas

O Comité e as autoridades responsáveis pela proteção de dados são convidados a

-adotar novas orientações práticas, facilmente compreensíveis e que proporcionem respostas claras e evitem ambiguidades sobre questões relacionadas com a aplicação do RGPD, por exemplo, no tratamento dos dados das crianças e dos direitos dos titulares dos dados, incluindo o exercício do direito de acesso e o direito de apagamento, consultando as partes interessadas no processo;

-rever as orientações e diretrizes quando forem necessárias clarificações adicionais à luz da experiência adquirida e tendo em conta os desenvolvimentos, nomeadamente no domínio da jurisprudência do Tribunal de Justiça.

-desenvolver instrumentos práticos, tais como formulários harmonizados para as violações de dados e os registos simplificados das atividades de tratamento, para ajudar as PME de baixo risco a cumprirem as suas obrigações.

A Comissão deverá

-prever cláusulas contratuais-tipo tanto para as transferências internacionais como para o relacionamento entre o responsável pelo tratamento e o respetivo subcontratante;

-prever instrumentos que clarifiquem ou apoiem a aplicação das regras de proteção de dados às crianças 66 ;

-em consonância com a Estratégia para os dados, explorar meios práticos para facilitar uma maior utilização do direito à portabilidade dos dados pelas pessoas, dando-lhes um maior controlo sobre quem pode aceder e utilizar dados gerados automaticamente;

-apoiar a normalização/certificação, em especial no domínio da cibersegurança, através da cooperação entre a Agência da União Europeia para a Cibersegurança (ENISA), as autoridades responsáveis pela proteção de dados e o Comité;

-sempre que adequado, fazer uso do direito de solicitar ao Comité que elabore orientações e pareceres sobre questões específicas relevantes para as partes interessadas;

-sempre que necessário, fornecer orientações, respeitando plenamente o papel do Comité;

-apoiar as atividades das autoridades de proteção de dados que facilitem a aplicação das obrigações decorrentes do RGPD pelas PME, através de apoio financeiro, especialmente para orientações práticas e ferramentas digitais que possam ser reproduzidas noutros Estados-Membros.

Incentivar a inovação

A Comissão deverá

-acompanhar a aplicação do RGPD às novas tecnologias, tendo também em conta possíveis iniciativas futuras no domínio da inteligência artificial e no âmbito da Estratégia para os dados;

-incentivar, nomeadamente através de apoio financeiro, a elaboração de códigos de conduta da UE no domínio da saúde e da investigação;

-acompanhar de perto o desenvolvimento e a utilização de aplicações no âmbito da pandemia de COVID-19.

O Comité é convidado a

-emitir orientações sobre a aplicação do RGPD no domínio da investigação científica, da inteligência artificial, da tecnologia de cadeia de blocos e de outros possíveis desenvolvimentos tecnológicos;

-rever as orientações quando forem necessárias clarificações adicionais em função do desenvolvimento tecnológico.

Continuar a desenvolver o conjunto de instrumentos para as transferências de dados

A Comissão deverá

-prosseguir diálogos sobre adequação com os países terceiros interessados, em conformidade com a estratégia estabelecida na sua Comunicação de 2017 intitulada «Intercâmbio e proteção de dados pessoais num mundo globalizado», nomeadamente, sempre que possível, através da cobertura das transferências de dados para as autoridades de aplicação da lei penal (ao abrigo da Diretiva sobre a proteção de dados na aplicação da lei) e outras autoridades públicas; isto inclui a finalização do processo de adequação com a República da Coreia o mais rapidamente possível;

-concluir a avaliação em curso das decisões de adequação existentes e apresentar um relatório ao Parlamento Europeu e ao Conselho;

-ultimar os trabalhos sobre a modernização das cláusulas contratuais-tipo, com vista à sua atualização à luz do RGPD, abrangendo todos os cenários de transferência relevantes e refletindo melhor as práticas comerciais modernas.

O Comité é convidado a

-clarificar melhor a interação entre as regras relativas às transferências internacionais de dados (capítulo V) e o âmbito de aplicação territorial do RGPD (artigo 3.º);

-assegurar uma aplicação eficaz face a operadores estabelecidos em países terceiros abrangidos pelo âmbito de aplicação territorial do RGPD, nomeadamente no que diz respeito à nomeação de um representante, se for caso disso (artigo 27.º);

-facilitar a avaliação e a eventual aprovação de regras vinculativas para empresas, a fim de acelerar o processo;

-concluir os trabalhos sobre a organização, os procedimentos e os critérios de avaliação dos códigos de conduta e dos mecanismos de certificação enquanto instrumentos para transferências de dados.

Promover a convergência e desenvolver a cooperação internacional

A Comissão deverá

-apoiar os processos de reformas em curso em países terceiros sobre regras novas ou regras atualizadas em matéria de proteção de dados, através da partilha de experiências e de boas práticas;

-colaborar com os parceiros africanos para promover a convergência regulamentar e apoiar o reforço das capacidades das autoridades de supervisão como parte do capítulo digital da nova parceria UE-África;

-avaliar a forma como a cooperação entre os operadores privados e as autoridades responsáveis pela aplicação da lei poderia ser facilitada, nomeadamente através da negociação de quadros bilaterais e multilaterais de transferência de dados no contexto do acesso das autoridades de aplicação da lei penal estrangeiras a provas eletrónicas, a fim de evitar conflitos de leis e, ao mesmo tempo, garantir salvaguardas adequadas em matéria de proteção de dados;

-colaborar com organizações internacionais e regionais, como a OCDE, a ASEAN ou o G20, para promover fluxos de dados fiáveis com base em normas elevadas de proteção de dados, nomeadamente no âmbito da iniciativa «Fluxo de dados livre baseado na confiança»;

-criar um «Instituto de Proteção de Dados» para facilitar e apoiar os intercâmbios entre reguladores europeus e internacionais;

-promover a cooperação internacional em matéria de aplicação da lei entre as autoridades de supervisão, nomeadamente através da negociação de acordos de cooperação e de assistência mútua.

(1)

     Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE- JO L 119 de 4.5.2016, p. 1-88.

(2)

     Após a sua integração no Acordo sobre o Espaço Económico Europeu (EEE), o regulamento também se aplica à Noruega, à Islândia e ao Listenstaine.

(3)

      https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_en

(4)

      https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy

(5)

     Este quadro legislativo também inclui a Diretiva sobre a proteção de dados na aplicação da lei (Diretiva 2016/680) e o Regulamento relativo à proteção de dados pelas instituições e organismos da UE (Regulamento (CE) n.º 2018/1725).

(6)

     Proposta de regulamento do Parlamento Europeu e do Conselho relativo ao respeito pela vida privada e à proteção dos dados pessoais nas comunicações eletrónicas e que revoga a Diretiva 2002/58/CE (Regulamento relativo à privacidade e às comunicações eletrónicas), COM(2017) 10 final - 2017/03 (COD).

(7)

     Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) - JO L 201 de 31.7.2002, p. 37-47.

(8)

     https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_en

(9)

     Comunicação da Comissão ao Parlamento Europeu, ao Conselho Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões - «Pacto Ecológico Europeu» - COM(2019) 640 final.

(10)

     Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões - Uma estratégia europeia para os dados - COM/2020/66 final.

(11)

     Estes dez espaços comuns de dados europeus setoriais são os seguintes: saúde, indústria transformadora, energia, mobilidade, agricultura, dados financeiros, administração pública, um espaço comum europeu de dados sobre competências, um espaço europeu de dados sobre o Pacto Ecológico e uma Nuvem Europeia para a Ciência Aberta.

(12)

     Ver, por exemplo o Estudo sobre a Privacidade do Consumidor 2019, publicado pela Cisco ( https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf ). De acordo com este estudo, que analisou 2 600 consumidores em todo o mundo, um número significativo de consumidores já tomou medidas para proteger a sua privacidade, por exemplo, mudando de empresas ou fornecedores devido às suas políticas de dados ou práticas de partilha de dados.

(13)

     Discurso do Secretário-Geral das Nações Unidas ao Senado italiano, 18 de dezembro de 2019 (disponível em: https://www.un.org/press/en/2019/sgsm19916.doc.htm ).

(14)

     Este quadro inclui, para além do RGPD, a Diretiva relativa à privacidade e às comunicações eletrónicas (Diretiva 2002/58/CE) que estabelece regras, nomeadamente, em matéria de acesso e armazenamento de informações sobre o equipamento terminal do utilizador.

(15)

     Comunicação da Comissão - Orientações respeitantes a aplicações móveis de apoio à luta contra a pandemia de COVID 19 na perspetiva da proteção de dados, 2020/C 124 I/01 - C/2020/2523 - JO C 124I de 17.4.2020, p. 1-9. Em 16 de abril de 2020, os Estados-Membros da UE, apoiados pela Comissão, desenvolveram um conjunto de instrumentos da UE para a utilização de aplicações móveis de identificação e alerta de contacto  em resposta à pandemia de coronavírus. Esta abordagem faz parte de uma abordagem comum coordenada para apoiar o levantamento gradual das medidas de confinamento.      https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf .

(16)

     Orientações da Comissão sobre a aplicação do direito da União em matéria de proteção de dados no contexto eleitoral «Uma contribuição da Comissão Europeia para a reunião dos dirigentes realizada em Salzburgo, em 19 e 20 de setembro de 2018» - COM/2018/638 final.

(17)

     Posição do Conselho e conclusões sobre a aplicação do Regulamento Geral sobre a Proteção de Dados:

    https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/en/pdf

(18)

     Carta da Comissão LIBE do Parlamento Europeu, de 21 de fevereiro de 2020, dirigida ao Comissário Reynders, Ref.: IPOL-COM-LIBE D (2020)6525.

(19)

     Contribuição do Comité para a avaliação do RGPD nos termos do artigo 97.º, adotado em 18 de fevereiro de 2020:    
https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_en

(20)

      https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_en

(21)

     O grupo de peritos multilateral, instituído pela Comissão no quadro do RGPD, integra representantes da sociedade civil e das empresas, académicos e profissionais:

    https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537

(22)

      https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the-application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437

(23)

     Ver, por exemplo, a posição e as conclusões do Conselho, bem como a contribuição do Comité.

(24)

     Ver ponto 2.1 do documento de trabalho dos serviços da Comissão.

(25)

     Se uma empresa proceder ao tratamento de dados transfronteiras, a autoridade competente em matéria de proteção de dados é a dos Estados-Membros onde a empresa tem o seu estabelecimento principal.

(26)

     Ver ponto 2.2 do documento de trabalho dos serviços da Comissão.

(27)

     Entre 25 de maio de 2018 e 31 de dezembro de 2019, foram apresentados 141 projetos de decisão através do procedimento de balcão único, dos quais 79 resultaram em decisões finais.

(28)

     Por exemplo, as listas nacionais dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados, nos termos do artigo 35.º do RGPD, poderiam ter sido mais harmonizadas.

(29)

     Ver ponto 2.2 do documento de trabalho dos serviços da Comissão.

(30)

     Em particular, representantes das empresas e da sociedade civil. Ver ponto 2.3 do documento de trabalho dos serviços da Comissão.

(31)

     Estas complementam as 10 orientações adotadas pelo Grupo de Trabalho do artigo 29.º, no período que antecede a entrada em vigor do regulamento, e aprovadas pelo Comité. O Comité adotou igualmente 4 orientações e diretrizes adicionais entre janeiro e o final de maio de 2020, e atualizou uma já existente.

(32)

     42 desses pareceres foram adotados ao abrigo do artigo 64.º do RGPD e um deles foi adotado nos termos do artigo 70.º, n.º 1, alínea s), do RGPD e dizia respeito à decisão de avaliação da adequação relativamente ao Japão.

(33)

     Comunicação da Comissão ao Parlamento Europeu e ao Conselho: As regras de proteção de dados como instrumento gerador de confiança dentro e fora da UE – ponto da situação, COM(2019) 374 final, 24.7.2019.

(34)

     Em geral, entre 2016 e 2019, verificou-se um aumento de 42 % do pessoal e de 49 % do orçamento para as autoridades nacionais de proteção de dados no conjunto do EEE.

(35)

     Ver ponto 2.4 do documento de trabalho dos serviços da Comissão.

(36)

     Mais recentemente, através de uma carta do Comissário Reynders, em março de 2020.

(37)

     Note-se que a autoridade nacional de proteção de dados da Eslovénia foi estabelecida com base na atual legislação nacional em matéria de proteção de dados e supervisiona a aplicação do RGPD naquele Estado-Membro.

(38)

     Ver ponto 3.1 do documento de trabalho dos serviços da Comissão.

(39)

     Ver ponto 3.2 do documento de trabalho dos serviços da Comissão.

(40)

     Artigo 52.º, n.º 1, da Carta.

(41)

     Ver ponto 3.1 do documento de trabalho dos serviços da Comissão. Conciliação do direito à proteção dos dados pessoais com a liberdade de expressão e de informação.

(42)

     A Comissão lançou um estudo sobre a «Avaliação das regras dos Estados-Membros em matéria de dados de saúde à luz do RGPD», Chafea/2018/Health/03, contrato específico n.º 2019 70 01.

(43)

     Ver as ações anunciadas na Estratégia Europeia para os Dados, p. 30.

(44)

     Agência dos Direitos Fundamentais da União Europeia (ADF) (2020): Inquérito sobre os direitos fundamentais de 2019. Proteção de dados e tecnologia:    
https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection

(45)

     A proposta de diretiva relativa a ações coletivas para proteger os interesses coletivos dos consumidores (COM/2018/0184 final - 2018/089 (COD)), uma vez adotada, deverá reforçar o quadro das ações coletivas também no domínio da proteção de dados.

(46)

     Esses instrumentos podem incluir instrumentos de gestão do consentimento e aplicações de gestão de informações pessoais.

(47)

      https://ec.europa.eu/commission/presscorner/detail/en/ip_20_962

(48)

     Regulamento (UE) 2018/1807 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia, JO L 303 de 28.11.2018, p. 59-68.

(49)

     Ver ponto 5 do documento de trabalho dos serviços da Comissão. Ver também COM/2019/250 final - Orientações sobre o regulamento relativo a um quadro para o livre fluxo de dados não pessoais na União Europeia, que explica as regras que regem o tratamento de conjuntos de dados mistos, compostos por dados pessoais e não pessoais, um recurso útil para as empresas, incluindo as PME.

(50)

     A Comissão prestou apoio financeiro através de três vagas de subvenções, num total de 5 milhões de EUR, as duas mais recentes especificamente destinadas a apoiar as autoridades nacionais de proteção de dados nos seus esforços para chegar às pessoas e às pequenas e médias empresas: https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en . Será afetado um montante adicional de 1 milhões de euros em 2020.

(51)

     Nos termos do artigo 28.º do RGPD.

(52)

     Nos termos do artigo 46.º do RGPD.

(53)

     Livro Branco sobre a Inteligência Artificial - Uma abordagem europeia da excelência e da confiança - COM/2020/65 final.

(54)

     Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho, JO L 119 de 4.5.2016, p. 89-131.

(55)

     Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, JO L 281 de 23.11.1995, p. 31-50.

(56)

     Os referidos países e territórios são: Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Jersey, Ilha de Man, Israel, Nova Zelândia, Suíça e Uruguai.

(57)

     Ver Processo C-311/18, Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems («Schrems II»), que diz respeito a um pedido de decisão prejudicial sobre as chamadas cláusulas contratuais-tipo. No entanto, alguns elementos do padrão de adequação podem também ser clarificados pelo Tribunal.

(58)

     Ver processo Schrems II.

(59)

     Ver, por exemplo, o texto da declaração dos líderes do G20 em Osaka: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf

(60)

     Estratégia para os dados, p. 23.

(61)

     Ver texto das disposições horizontais relativas aos fluxos de dados transfronteiras e à proteção dos dados pessoais (nos acordos comerciais e de investimento da UE): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf

(62)

     Os 84 membros da OMC estão agora empenhados em negociações multilaterais sobre o comércio eletrónico, na sequência de uma iniciativa de declaração conjunta adotada pelos ministros em 25 de janeiro de 2019, em Davos. No âmbito deste processo, a UE apresentou, em 3 de maio de 2019, a sua proposta de texto sobre as futuras regras e obrigações em matéria de comércio eletrónico. A proposta inclui disposições horizontais sobre fluxos de dados e proteção de dados pessoais:    
https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf .

(63)

     Cf. posição do Conselho e conclusões sobre a aplicação do RGPD.

(64)

     Foi o que sucedeu na Alemanha e em Espanha, ou na Áustria, que colmatou uma lacuna na legislação nacional.

(65)

     Artigo 30.º, n.º 5, do RGPD.

(66)

     Projeto da Comissão sobre instrumentos de identificação da idade - projeto-piloto para a demonstração de uma infraestrutura técnica interoperável para a proteção dos menores, incluindo verificação da idade e do consentimento dos pais. Tal deverá apoiar a aplicação dos mecanismos de proteção dos menores, baseados na legislação da UE em vigor, relevantes para a proteção das crianças em linha.