Grupo de Trabalho de protecção das pessoas no que diz respeito ao tratamento de dados pessoais. Documento de Trabalho

Transcrição

1 COMISSÃO EUROPEIA DIRECÇÃO-GERAL XV Mercado Interno e Serviços Financeiros Livre circulação da informação, direito das sociedades e informação financeira Livre circulação da informação, protecção dos dados e aspectos internacionais correlativos DG XV D/5025/98 WP 12 Grupo de Trabalho de protecção das pessoas no que diz respeito ao tratamento de dados pessoais Documento de Trabalho Transferência de dados pessoais para países terceiros: aplicação dos artigos 25º e 26º da Directiva comunitária relativa à protecção dos dados Adoptado pelo Grupo de Trabalho em 24 de Julho de

2 Índice Introdução p. 3 Capítulo I Avaliação da adequação do nível da protecção p. 5 Capítulo II Aplicação da abordagem em questão aos países que p. 9 ratificaram a Convenção 108 do Conselho da Europa Capítulo III Aplicação da abordagem em questão à auto-regulamentação p. 11 por parte de um sector Capítulo IV O papel das cláusulas contratuais p. 16 Capítulo V Derrogações à exigência de um nível de protecção adequado p. 26 Capítulo VI Aspectos processuais p. 29 Anexo 1 Anexo 2 Exemplos Artigos 25º e 26º -2-

3 Introdução O objectivo do presente documento é o de compilar o trabalho já efectuado pelo Grupo de Trabalho dos responsáveis comunitários pela protecção dos dados instituído pelo artigo 29º da directiva relativa à protecção dos dados 1, de forma a apresentar de maneira mais exaustiva as reflexões suscitadas por todas as questões essenciais levantadas pelos fluxos de dados pessoais para países terceiros no âmbito da aplicação da Directiva da UE relativa à protecção dos dados (95/46/CE). Este documento encontra-se estruturado de acordo com o sistema previsto pelos artigos 25º e 26º da directiva relativamente às transferências internacionais de dados pessoais (o texto destes artigos encontra-se no Anexo 2) O nº 1 do artigo 25º estabelece o princípio de que os Estados-Membros apenas podem autorizar uma transferência de dados para um país terceiro no caso de esse país terceiro assegurar um nível de protecção adequado. O nº 2 esclarece que a "adequação" deverá ser avaliada de forma casuística "em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados". O nº 6 estabelece que a Comissão tem poderes para constatar que determinados países terceiros oferecem um nível de protecção adequado. O Capítulo I deste documento debruça-se sobre a questão crucial do conceito de nível de protecção adequado, procurando explicar o que se entende por "adequado" e delineando um quadro destinado a possibilitar a avaliação da adequação da protecção em casos concretos. A aplicação desta abordagem é aprofundada nos Capítulos II e III. O Capítulo II aborda as transferências de dados para países que ratificaram a Convenção 108 do Conselho da Europa, enquanto o Capítulo III aprecia as questões que rodeiam as transferências de dados no caso de a protecção dos dados pessoais ser essencial ou exclusivamente garantida por mecanismos de auto-regulamentação e não por regras de direito. Na ausência de um nível de protecção adequado na acepção do nº 2 do artigo 25º, a directiva prevê, no nº 2 do seu artigo 26º, a possibilidade de adopção de medidas ad hoc, nomeadamente de natureza contratual, que podem proporcionar as garantias adequadas e com base nas quais será possível efectuar a transferência de dados em questão. O Capítulo IV deste documento examina as circunstâncias nas quais as soluções contratuais ad hoc podem considerar-se apropriadas, estabelecendo igualmente recomendações relativamente à sua eventual forma e conteúdo. O Capítulo V trata da terceira e última das situações previstas pela directiva: o conjunto limitado de casos previsto pelo nº 1 do artigo 26º, que constitui uma 1 Ver WP 4 (5020/97), "Primeiras orientações relativas à transferência de dados pessoais para países terceiros - métodos para avaliar a sua adequação", documento para discussão adoptado pelo Grupo de Trabalho em 26 de Junho de 1997; WP 7 (5057/97) Documento de trabalho: "Avaliação da auto-regulamentação por parte de um sector: em que casos contribui de forma significativa para o nível de protecção dos dados em países terceiros?", adoptado pelo Grupo de Trabalho em 14 de Janeiro de 1998; WP 9 (5005/98) Documento de trabalho: "Observações preliminares relativas ao uso de cláusulas contratuais no contexto da transferência de dados pessoais para países terceiros", adoptado pelo Grupo de Trabalho em 22 de Abril de

4 derrogação efectiva à exigência de um "nível de protecção adequado". Proceder-se-á ao exame do alcance preciso dessas derrogações, com exemplos ilustrativos dos tipos de casos que podem ser abrangidos, assim como de outros casos em que sucede o inverso. Finalmente, o Capítulo VI apresenta alguns comentários relativos a aspectos processuais relacionados com a avaliação da adequação (ou inadequação) da protecção e com o estabelecimento de uma abordagem coerente para estas questões à escala comunitária. O Anexo 1 contém um conjunto de exemplos que ilustram a forma como a abordagem estabelecida pelo presente documento poderá ser efectivada. -4-

5 CAPÍTULO I: AVALIAÇÃO DA ADEQUAÇÃO DA PROTECÇÃO (1) O que se deve entender por "nível de protecção adequado"? A protecção dos dados tem por finalidade garantir a protecção das pessoas cujos dados são objecto de tratamento. Tal protecção é normalmente assegurada através da conjugação da concessão de direitos às pessoas em causa e da imposição de obrigações àqueles que procedem ao tratamento dos seus dados ou que controlam esse tratamento. As obrigações e os direitos previstos pela Directiva 95/46/CE baseiam-se na Convenção 108 (1981) do Conselho da Europa que, por seu turno, se assemelha às Linhas Directrizes da OCDE (1980) ou às Linhas Directrizes da ONU (1990). Afigurase assim existir um certo consenso quanto ao conteúdo das regras em matéria de protecção dos dados que se alarga muito para além dos quinze Estados-Membros da Comunidade. Contudo, as regras relativas à protecção dos dados só podem contribuir para a protecção das pessoas se forem respeitadas na prática. É necessário, por conseguinte, considerar, para além do conteúdo das regras aplicáveis aos dados pessoais transferidos para um país terceiro, o sistema instituído para conferir eficácia a essas regras. Na Europa, a tendência até à data tem sido a de consagrar na legislação as regras relativas à protecção dos dados, o que tem permitido sancionar a sua não observância e atribuir um direito de reparação às pessoas em causa. Para além disso, tal legislação prevê, em geral, mecanismos processuais adicionais, tais como a instituição de autoridades de controlo e de investigação das queixas apresentadas. Estes aspectos processuais encontram-se reflectidos na Directiva 95/46/CE, através das suas disposições em matéria de responsabilidade, sanções, reparações, Autoridades de controlo e notificações. Fora da Comunidade, é menos comum o recurso a estes meios processuais como forma de garantir a observância das regras relativas à protecção dos dados. As partes signatárias da Convenção 108 são obrigadas a transpor os princípios relativos à protecção dos dados para a sua legislação nacional, mas não são exigidos mecanismos adicionais, tais como uma Autoridade de controlo. As Linhas Directrizes da OCDE, por seu turno, apenas estabelecem que "devem ser tomadas em conta" na legislação nacional, não prevendo quaisquer meios processuais destinados a garantir, na prática, uma protecção eficaz das pessoas em causa. As Linhas Directrizes posteriores da ONU prevêem, todavia, disposições relativas ao controlo e às sanções, o que reflecte a consciencialização crescente a nível mundial da necessidade de uma aplicação eficaz das regras relativas à protecção dos dados. Neste contexto, é evidente que uma análise do conceito de nível de protecção adequado deve compreender duas vertentes de base: o conteúdo das regras aplicáveis e os meios destinados a assegurar a sua aplicação eficaz. Partindo da Directiva 95/46/CE, e tendo em consideração as disposições de outros textos internacionais relativos à protecção dos dados, é possível extrapolar um conjunto de "princípios fundamentais" respeitantes ao "conteúdo" das regras relativas à protecção dos dados e às obrigações "processuais/de aplicação efectiva", podendo a observância destes princípios e obrigações ser considerada como um requisito mínimo para assegurar um nível de protecção adequado. Contudo, esta lista de condições mínimas não deve ser fixada de forma rígida, uma vez que, nalguns casos, -5-

6 justificar-se-ão aditamentos, enquanto noutros poderá ser possível reduzir o número de condições dela constante. O grau de risco que a transferência acarreta para as pessoas cujos dados são objecto de tratamento representará um factor importante na determinação dos requisitos precisos de cada caso concreto. Não obstante esta reserva, é certo que a elaboração de uma lista básica de condições mínimas constitui um bom ponto de partida para qualquer análise. (i) Princípios relativos ao conteúdo Os princípios básicos que devem ser incluídos são os seguintes: 1) Princípio da limitação da finalidade do tratamento - os dados devem ser tratados para um fim específico e subsequentemente usados ou comunicados apenas na medida em que tal não seja incompatível com o fim da transferência. As únicas excepções admissíveis a esta regra são as necessárias ao funcionamento de uma sociedade democrática, por um dos motivos enunciados no artigo 13º da directiva 2. 2) Princípio da proporcionalidade e da qualidade dos dados - os dados devem ser exactos, e, sendo necessário, objecto de actualização. Devem igualmente ser adequados, relevantes e não excessivos em relação aos fins para os quais são transferidos ou posteriormente tratados. 3) Princípio da transparência - as pessoas em causa devem ser informadas das finalidades do tratamento dos dados e da identidade do responsável pelo seu tratamento no país terceiro, devendo-lhes também ser fornecida qualquer informação necessária para garantir um tratamento imparcial. As únicas excepções admissíveis devem estar em conformidade com o nº 2 do artigo 11º 3 e com o artigo 13º da directiva. 4) Princípio da segurança - o responsável pelo tratamento dos dados deve tomar as medidas de segurança de carácter técnico e organizativo adequadas ao risco que o tratamento dos dados apresenta. Qualquer pessoa agindo sob a autoridade da pessoa responsável pelo tratamento dos dados, incluindo o subcontratante, não deverá proceder ao tratamento de dados a não ser com base em instruções da pessoa responsável. 5) Direitos de acesso, de rectificação e de oposição - a pessoa cujos dados foram objecto de tratamento tem o direito de obter uma cópia de todos os dados tratados a ela relativos, bem como o direito de rectificação desses dados caso se revelem inexactos. Em determinadas circunstâncias, a pessoa deverá também ter o direito de se 2 O artigo 13º permite uma restrição ao "princípio da finalidade" no caso de esta constituir uma medida necessária à protecção da segurança do Estado, da defesa, da segurança pública, assim como para efeitos de prevenção, investigação, detecção e repressão de infracções penais. Abrangem-se ainda os casos de violação da deontologia das profissões regulamentadas, de um interesse económico ou financeiro importante ou em que é necessário proteger a pessoa em causa ou os direitos e liberdades de outrém. 3 O nº 2 do artigo 11º estabelece que no caso de os dados não serem recolhidos junto da pessoa em causa, não é necessário fornecer informações a esta se tal se revelar impossível, implicar esforços desproporcionados ou quando a lei dispuser expressamente o registo dos dados ou a sua divulgação. -6-

7 opor ao tratamento dos dados a ela relativos. As únicas excepções a esses direitos deverão estar em conformidade com o artigo 13º da directiva. 6) Restrições relativas a transferências subsequentes - as transferências subsequentes de dados pessoais por parte do destinatário da transferência inicial só devem ser permitidas no caso de o segundo destinatário (isto é, o destinatário da transferência subsequente) se encontrar igualmente submetido a regras que garantem um nível de protecção adequado. As únicas excepções possíveis deverão estar em conformidade com o nº 1 do artigo 26º da directiva (tais excepções serão examinadas no Capítulo V). Exemplos de princípios adicionais a aplicar a determinados tipos de tratamento de dados: 1) Dados sensíveis - quando estiverem envolvidas determinadas categorias de dados "sensíveis" (as categorias enunciadas no artigo 8º 4 ), deverão ser previstas garantias adicionais, tais como a exigência de que a pessoa em causa dê o seu consentimento explícito em relação ao tratamento dos dados em questão. 2) Marketing directo - no caso de uma transferência de dados para fins de marketing directo, a pessoa em causa deverá ter a qualquer momento o direito de se opor à utilização dos seus dados para tais efeitos. 3) Decisão individual automatizada - quando a transferência tiver por finalidade uma decisão automatizada na acepção do artigo 15º da directiva, a pessoa em causa deverá ter direito a conhecer a lógica subjacente a uma tal decisão, devendo igualmente ser tomadas outras medidas destinadas a garantir a defesa dos interesses legítimos dessa pessoa. (ii) Mecanismos processuais/ de aplicação efectiva Na Europa, existe um consenso generalizado no sentido da consagração legislativa dos princípios relativos à protecção dos dados. Existe igualmente um consenso generalizado de que um sistema de "controlo externo" sob forma de uma Autoridade independente, constitui um elemento necessário de qualquer sistema destinado a assegurar a observância das regras em matéria de protecção dos dados. Estas características nem sempre se encontram sempre presentes em todas as partes do mundo. No sentido de providenciar uma base para a avaliação do nível de adequação da protecção garantida, é necessário identificar os objectivos principais de um sistema processual relativo à protecção dos dados, e, partindo dessa base, avaliar a multiplicidade de mecanismos processuais judiciais e extrajudiciais existentes em países terceiros. Um sistema de protecção de dados visa três objectivos fundamentais: 4 Dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, assim como os dados relativos à saúde e à vida sexual. Abrangem-se ainda os dados relativos a infracções, condenações penais ou medidas de segurança. -7-

8 1) Garantir um elevado nível de cumprimento das suas regras (nenhum sistema pode garantir um cumprimento a 100 %, mas alguns são mais eficazes do que outros). Um bom sistema caracteriza-se normalmente por um alto grau de conhecimento das suas obrigações por parte dos responsáveis pelo tratamento de dados, bem como, por parte das pessoas em causa, por um conhecimento dos seus direitos e meios de os exercer. A existência de sanções efectivas e dissuasivas é um meio importante de assegurar a observância das regras, tal como o são os sistemas de verificação directa pelas Autoridades, auditores ou funcionários independentes encarregados da protecção dos dados. 2) Prestar apoio e assistência às pessoas cujos dados foram objecto de tratamento aquando do exercício dos seus direitos. As pessoas deverão poder exercer os seus direitos de forma rápida e efectiva, sem custos proibitivos. Para tal, deverá existir um mecanismo institucional que permita a investigação independente de queixas. 3) Fornecer meios de reparação adequados à pessoa que sofreu danos devido ao não cumprimento das regras relativas à protecção de dados. Trata-se de um elemento crucial, que pressupõe um sistema de apreciação independente ou de arbitragem que poderá decidir do pagamento de uma indemnização e impor eventuais sanções. -8-

9 CAPÍTULO II: APLICAÇÃO DA ABORDAGEM AOS PAÍSES QUE RATIFICARAM A CONVENÇÃO 108 DO CONSELHO DA EUROPA A Convenção 108 é o único instrumento de direito internacional existente no domínio da protecção dos dados, para além da directiva. A maioria das partes signatárias da Convenção são também Estados-Membros da União Europeia (actualmente já a ratificaram os quinze países) ou países como a Noruega ou a Islândia que se encontram, de qualquer modo, vinculados pela directiva por força do Acordo sobre o Espaço Económico Europeu. No entanto, a Eslovénia, a Hungria e a Suíça também já ratificaram a Convenção e é provável que outros países terceiros o venham a fazer num futuro próximo, sobretudo devido ao facto de a Convenção também se encontrar aberta a países que não fazem parte do Conselho da Europa. Justifica-se, por conseguinte, por razões que transcendem uma mera análise académica, examinar se é possível considerar que os países que ratificaram a Convenção asseguram um nível de protecção adequado na acepção do artigo 25º da directiva. Como ponto de partida, afigura-se útil examinar o próprio texto da Convenção à luz do conceito teórico de "nível de protecção adequado" delineado no Capítulo I do presente documento. No que se refere ao conteúdo dos princípios básicos, pode considerar-se que a Convenção prevê as primeiras cinco das seis "condições mínimas" enunciadas 5. A Convenção prevê igualmente a necessidade de salvaguardas adequadas para dados sensíveis, que deve constituir um requisito indispensável para assegurar um nível de protecção adequado sempre que estejam em causa dados desse tipo. Um elemento relativo ao conteúdo omisso na Convenção reside nas restrições às transferências para países terceiros que não sejam suas partes signatárias. Isto cria o risco de um país signatário da Convenção 108 poder ser utilizado como "intermediário" numa transferência de dados efectuada a partir da Comunidade para outro país terceiro caracterizado por níveis de protecção totalmente inadequados. O segundo aspecto do conceito de "nível de protecção adequado" prende-se com os mecanismos processuais em vigor destinados a conferir eficácia aos princípios básicos na prática. A Convenção requer a transposição para o direito nacional dos princípios nela previstos e o estabelecimento de sanções e de meios de recurso adequados para os casos de violação destes princípios. Tal deveria ser suficiente para garantir um nível elevado de cumprimento das regras, bem como meios de reparação adequados para as pessoas em causa em caso de incumprimento (objectivos nºs 1 e 3 de um sistema de protecção dos dados). Contudo, a Convenção não obriga as partes contratantes a estabelecerem mecanismos institucionais permitindo uma investigação independente das queixas apresentadas, embora na prática os países tenham em geral optado por fazê-lo. Trata-se de uma limitação, na medida em que, sem mecanismos institucionais, 5 Poderão surgir algumas dúvidas no que se refere ao "princípio da transparência". A alínea a) do artigo 8º da Convenção poderá não corresponder exactamente à obrigação activa de prestar informações que constitui o fundamento dos artigos 10º e 11º da directiva. Para além disso, a Convenção não prevê direitos específicos de oposição no caso de utilização dos dados para fins de marketing directo nem disposições relativas a decisões individuais automatizadas (profiling). -9-

10 poderá não ser possível garantir apoio e assistência adequados às pessoas em causa aquando do exercício dos seus direitos (objectivo nº 2). Esta breve análise leva a crer que a maior parte das transferências de dados pessoais para os países que ratificaram a Convenção 108 será susceptível de autorização nos termos do nº 1 do artigo 25º da directiva, na condição de: - o país em causa dispor igualmente de mecanismos adequados à garantia do cumprimento das regras, bem como à prestação de apoio e ao fornecimento de meios de reparação às pessoas em causa (tais como uma Autoridade de controlo independente e dotada dos poderes necessários); e - o país em causa ser o destinatário final da transferência e não um país intermediário através do qual transitam os dados, à excepção dos casos em que a transferência subsequente seja para um país da Comunidade ou para qualquer outro país que garanta um nível de protecção adequado 6. É evidente que se trata de uma análise bastante simplificada e superficial da Convenção. Os casos específicos de transferências de dados para países signatários da Convenção podem levantar outros problemas não considerados neste contexto. 6 A Convenção 108 está presentemente a ser revista, podendo conduzir a alterações que contemplem estas e outras dificuldades. -10-

11 CAPÍTULO III: APLICAÇÃO DA ABORDAGEM EM QUESTÃO À AUTO-REGULAMENTAÇÃO POR PARTE DE UM SECTOR Introdução O nº 2 do artigo 25º da Directiva relativa à protecção dos dados (95/46/CE) estabelece que a adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiam a transferência ou o conjunto de transferências de dados em questão. É feita também uma referência específica às regras de direito em vigor no país terceiro em causa e "às regras profissionais e medidas de segurança que são respeitadas nesse país. A directiva requer, por conseguinte, que se tomem em consideração regras juridicamente não vinculativas que sejam aplicadas no país terceiro em questão, desde que tais regras sejam respeitadas nesse país. É neste contexto que se deverá considerar o papel da auto-regulamentação por parte de um sector. O que é a auto-regulamentação? O termo "auto-regulamentação" pode ser interpretado de diversas maneiras. Para efeitos do presente documento, deverá considerar-se código de auto-regulamentação (ou outro instrumento) qualquer conjunto de regras relativas à protecção dos dados, aplicáveis a uma pluralidade de responsáveis pelo seu tratamento dentro duma mesma profissão ou sector industrial e cujo conteúdo tenha basicamente sido elaborado por membros do sector industrial ou da profissão em causa. Trata-se de uma definição ampla, que tanto abrange um código voluntário relativo à protecção dos dados elaborado por uma pequena associação industrial com poucos membros, como um código pormenorizado de ética profissional aplicável a profissões inteiras (por exemplo, médicos e bancários) e com quase força jurídica. O organismo responsável pelo código é representativo do sector em questão? Tal como este capítulo tentará demonstrar, um critério importante para apreciar o valor de um código é o da força executiva das suas normas. Neste contexto, a questão de saber se a associação ou organismo responsável pelo código representa todos aqueles que operam no sector em questão ou apenas uma parte é provavelmente menos importante do que o seu poder de, por exemplo, impor sanções aos membros pelo incumprimento do disposto no código. Contudo, os códigos relativos a todo um sector industrial ou a toda uma profissão, abrangentes em termos de cobertura, constituem por outras razões instrumentos de protecção mais adequados do que os desenvolvidos por pequenos grupos de empresas pertencentes a determinados sectores. A primeira razão consiste no facto de uma indústria fragmentada e caracterizada pela existência de várias associações rivais, cada qual com o seu próprio código de protecção de dados, ser confusa do ponto de vista do consumidor. A coexistência de vários códigos diferentes cria uma imagem global de falta de transparência para a pessoa cujos dados são objecto de tratamento. A segunda razão é que, em especial no caso de sectores tais como o de marketing directo, em que os dados pessoais são habitualmente transferidos entre diferentes empresas do mesmo sector, pode acontecer -11-

12 que a empresa que divulga os dados pessoais não esteja submetida ao mesmo código de protecção dos dados do que a empresa destinatária. Tal constitui uma fonte de ambiguidade considerável relativamente à natureza das regras aplicáveis, podendo igualmente tornar a investigação e a resolução de litígios extremamente difícil para as pessoas em causa. Apreciação da auto-regulamentação - abordagem a adoptar Dada a multiplicidade de instrumentos abrangidos pela noção de auto-regulamentação, é necessário diferenciar as diversas formas de auto-regulamentação em função do seu impacto real sobre o nível de protecção dos dados pessoais aquando da sua transferência para países terceiros. O ponto de partida para a avaliação de qualquer conjunto específico de regras relativas à protecção dos dados (quer este conjunto esteja classificado como "auto-regulamentação", quer como "regulamentação") terá de ser a abordagem geral estabelecida no Capítulo I do presente documento. Basicamente, esta metodologia consiste num exame do conteúdo do instrumento (que deverá conter toda uma série de princípios fundamentais) e da sua eficácia na obtenção de: - um nível geral elevado de cumprimento das regras; - apoio e assistência às pessoas cujos dados foram objecto de tratamento; e, sobretudo, - meios de reparação adequados (incluindo, se necessário, uma indemnização). Apreciação do conteúdo de um instrumento de auto-regulamentação Trata-se de uma tarefa relativamente fácil, destinada a assegurar que os princípios necessários relativos ao conteúdo estabelecidos no Capítulo I se encontram reunidos. A avaliação a efectuar é objectiva, uma vez que se trata de saber o que o código prevê e não como foi criado. O facto de um sector ou uma profissão ter sido o principal responsável pelo conteúdo do código não é em si relevante, embora seja obviamente mais provável que o código reflicta mais os necessários princípios fundamentais de protecção dos dados caso as opiniões das pessoas em causa e das organizações de consumidores tenham sido tomadas em consideração durante o processo de elaboração. A transparência do código é um elemento crucial, devendo este ser apresentado numa linguagem simples e com exemplos concretos ilustrativos das suas disposições. Para além disso, o código deverá proibir a divulgação de dados a empresas não membros e que não sejam regidas pelo código, a menos que sejam fornecidas garantias adicionais adequadas. Apreciação da eficácia de um instrumento de auto-regulamentação A avaliação da eficácia de um determinado código ou instrumento de auto-regulamentação constitui um exercício mais difícil, que requer a compreensão das formas e meios através dos quais é assegurada a adesão a um código e tratados os problemas de incumprimento. Os três critérios funcionais que permitem avaliar a eficácia da protecção assegurada por um código de auto-regulamentação devem -12-

13 encontrar-se cumulativamente reunidos, para que se possa considerar que este garante um nível de protecção adequado. Elevado nível de cumprimento Um código relativo a um determinado sector ou profissão é em regra criado pelo organismo representativo do sector ou profissão em questão e aplica-se seguidamente aos membros desse organismo representativo. É provável que o nível de cumprimento desse código dependa do grau de conhecimento da sua existência e do seu conteúdo entre os seus membros, bem como das medidas tomadas para assegurar a sua transparência em relação aos consumidores, permitindo assim às forças de mercado prestarem uma contribuição efectiva. A existência de um sistema de controlo externo (tal como a exigência de uma auditoria regular de conformidade), e, provavelmente o aspecto mais decisivo, a natureza das sanções existentes para os casos de incumprimento, bem como a possibilidade de as aplicar efectivamente, são também aspectos relevantes. As questões mais importantes a colocar são as seguintes: - Que iniciativas foram tomadas pelo organismo representativo para assegurar que os membros têm conhecimento do código? - O organismo representativo exige aos seus membros prova de que aplicaram as regras do código? Com que frequência? - A prova é apresentada pela própria empresa membro ou por uma fonte externa (por exemplo, um auditor autorizado)? - O organismo representativo investiga os casos de presumíveis violações do código? - O cumprimento das regras contidas no código é uma condição para ser membro do organismo representativo ou é puramente voluntário? - Em caso de violação por parte de um membro das regras contidas no código, de que tipo de sanções dispõe o organismo representativo (expulsão ou outras)? - É possível um indivíduo ou empresa continuar a trabalhar na profissão ou no sector industrial em questão após expulsão pelo organismo representativo? - O cumprimento das regras contidas no código pode ser assegurado por outros meios, por exemplo, através dos tribunais comuns ou especializados? Os códigos de ética profissional têm força de lei em alguns países. Em determinadas circunstâncias, será também possível recorrer à legislação geral em matéria de lealdade de comércio, ou mesmo às regras de concorrência, para dar execução a códigos sectoriais? Aquando do exame do tipo de sanções existentes, é importante distinguir entre uma sanção "de correcção", que requer apenas, em caso de incumprimento, que o responsável pelo tratamento dos dados altere as suas práticas de modo a passar a cumprir as disposições do código e uma sanção que vai mais longe, punindo o responsável pelo seu incumprimento. Apenas este segundo tipo de sanções "repressivas" tem um efeito real no comportamento futuro dos responsáveis pelo tratamento de dados, incentivando-os a cumprirem o código de forma permanente. Num código, a ausência de sanções verdadeiramente dissuasivas e repressivas constitui, portanto, uma fraqueza fundamental. Sem esse tipo de sanções é difícil -13-

14 antever como atingir um elevado nível geral de cumprimento, a não ser que se instaure um sistema rigoroso de controlo externo (por exemplo, através duma autoridade pública ou privada competente para intervir em caso de incumprimento do código, ou da exigência de uma auditoria externa regular). Apoio e assistência às pessoas cujos dados foram objecto de tratamento Uma condição essencial para a existência dum sistema de protecção dos dados adequado e efectivo é a prestação de apoio institucional, que permita às pessoas com problemas relativos aos seus dados pessoais superar as dificuldades encontradas, não as deixando entregues a si mesmas. Tal apoio institucional deverá idealmente ser imparcial, independente e dotado dos poderes necessários para investigar qualquer queixa por parte da pessoa em causa. As questões relevantes a este respeito para efeitos de auto-regulamentação são as seguintes: - Existe um sistema que permita a investigação das queixas apresentadas por pessoas cujos dados foram objecto de tratamento? - Como é dado conhecimento às pessoas em causa da existência desse sistema e das decisões tomadas em casos individuais? - A pessoa em causa incorrerá em custos? - Quem conduz a investigação? Trata-se de uma pessoa ou entidade dotada dos poderes necessários? - Quem tem poderes para decidir num caso de presumível violação do código? Trata-se de uma pessoa ou entidade independente e imparcial? A imparcialidade do árbitro ou da pessoa que decide sobre qualquer presumível violação do código é um aspecto essencial. Tal pessoa ou entidade deverá obviamente ser independente em relação ao responsável pelo tratamento dos dados. Contudo, este aspecto não é em si suficiente para assegurar a imparcialidade. Idealmente, o árbitro deverá vir de fora da profissão ou do sector em questão, posto que os membros de uma determinada profissão ou sector têm obviamente interesses comuns com o responsável pelo tratamento dos dados que presumivelmente violou o código. Na ausência destas características, a neutralidade da entidade com poderes para decidir poderá ser assegurada através da inclusão de representantes dos consumidores paralelamente aos representantes do sector (em igual número). Meios de reparação adequados Caso se conclua que o código de auto-regulamentação foi violado, é necessário proporcionar uma reparação à pessoa em causa. Esta solução deverá pôr fim ao problema (por exemplo, através da supressão ou do apagamento de dados inexactos, ou ainda da garantia que o processamento para fins incompatíveis cessará), e, caso tenha havido um dano para a pessoa em causa, providenciar o pagamento de uma indemnização adequada. Deverá ter-se presente que "dano" na acepção da directiva relativa à protecção dos dados inclui não apenas danos físicos e perdas financeiras, mas também qualquer prejuízo psicológico ou moral ( distress, na terminologia utilizada pela legislação do Reino Unido e dos Estados Unidos). Vários aspectos relativos às sanções descritos anteriormente na secção "elevado nível de cumprimento" são também relevantes neste ponto. Conforme anteriormente -14-

15 descrito, as sanções têm uma dupla função: punir o prevaricador (encorajando dessa forma o cumprimento das regras tanto por este como por terceiros) e reparar a situação. Neste documento, é este segundo aspecto que nos interessa essencialmente. Eventuais questões adicionais poderiam incluir os seguintes aspectos: - É possível verificar se um membro que transgrediu o código modificou as suas práticas, corrigindo assim a situação? - As pessoas em causa têm a possibilidade de obter uma indemnização adequada nos termos do código? Em caso afirmativo, como? - A violação do código é equiparável a uma violação de um contrato (ou é passível de execução nos termos do direito público, por exemplo, o direito dos consumidores ou o direito relativo à concorrência desleal)? Partindo dessa base, é possível à jurisdição competente conceder uma indemnização? Conclusões A auto-regulamentação deverá ser apreciada utilizando a metodologia objectiva e funcional descrita no Capítulo I. Para que um instrumento de auto-regulamentação possa ser considerado como um elemento válido de garantia de um "nível de protecção adequado", deverá ser obrigatório em relação a todos os membros para os quais são transferidos dados pessoais e fornecer garantias adequadas em caso de transferência de dados para não membros. O instrumento deverá ser transparente e incluir o conteúdo principal dos princípios fundamentais relativos à protecção dos dados. O instrumento deverá prever mecanismos que efectivamente garantam um elevado nível geral de cumprimento. Uma forma de atingir esse fim consiste na previsão de um sistema de sanções dissuasivas e repressivas; outra forma, em auditorias externas obrigatórias. O instrumento deverá prestar apoio e assistência às pessoas que se defrontem com problemas relativamente ao tratamento dos seus dados pessoais. Deverá, por conseguinte, criar-se um organismo facilmente acessível, imparcial e independente responsável pelas queixas apresentadas pelas pessoas em causa e dotado de poderes para decidir em caso de violação das regras do código. O instrumento deverá garantir uma reparação adequada em caso de incumprimento, devendo ser possível à pessoa em causa reparar a situação ou obter uma indemnização adequada. -15-

16 CAPÍTULO IV: O PAPEL DAS CLÁUSULAS CONTRATUAIS 1. Introdução A Directiva relativa à protecção dos dados (95/46/CE) estabelece, no nº 1 do seu artigo 25º, o princípio de que só se deverá efectuar uma transferência de dados pessoais para países terceiros se o país terceiro em questão assegurar um nível de protecção adequado. O objectivo deste Capítulo é o de examinar as possibilidades de derrogação previstas pelo nº 2 do artigo 26º a este princípio estabelecido no artigo 25º. Esta disposição dá aos Estados-Membros a possibilidade de autorizarem uma transferência ou um conjunto de transferências de dados para países terceiros com um nível de protecção inadequado "desde que o responsável pelo tratamento apresente garantias suficientes da protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respectivos direitos". A disposição especifica ainda que "essas garantias podem, designadamente, resultar de cláusulas contratuais adequadas". O nº 4 do artigo 26º atribui ainda à Comissão o poder para decidir, de acordo com o procedimento previsto no artigo 31º, se certas cláusulas contratuais-tipo oferecem as garantias suficientes referidas no nº 2 do artigo 26º. A ideia de utilizar contratos como meios de regulamentação de transferências internacionais de dados pessoais não nasceu, obviamente, com a adopção da directiva. Já em 1992, o Conselho da Europa, a Câmara de Comércio Internacional e a Comissão Europeia, realizaram conjuntamente um estudo sobre o assunto 7. Mais recentemente, um número crescente de peritos e de comentadores, talvez apercebendo-se da existência de uma referência expressa no texto da directiva, têm vindo a analisar o recurso a contratos nos seus estudos e artigos. Os contratos têm também sido usados na prática como uma forma de tratar problemas relacionados com a exportação de dados pessoais de certos Estados-Membros da UE. Em França, os contratos têm sido extensivamente utilizados desde o final dos anos 80. Na Alemanha, o exemplo recente do processo "Bahncard", envolvendo o Citibank, foi objecto de uma publicidade considerável A utilização dos contratos como base para o fluxo intracomunitário de dados Antes de analisar os requisitos das cláusulas contratuais no contexto dos fluxos de dados para países terceiros, é importante estabelecer claramente a diferença entre a situação dos países terceiros e dos países da Comunidade. Neste último caso, o contrato é um instrumento utilizado para definir e regulamentar a repartição das responsabilidades em matéria de protecção dos dados quando existe mais do que uma entidade envolvida no seu tratamento. Nos termos da directiva, existe uma entidade, o "responsável pelo tratamento", que assume a responsabilidade principal pelo cumprimento dos princípios substantivos relativos à protecção dos dados. A segunda 7 "Model Contract to Ensure Equivalent Data Protection in the Context of Transborder Data Flows, with Explanatory Memorandum", estudo efectuado conjuntamente pelo Conselho da Europa, pela Comissão das Comunidades Europeias e pela Câmara de Comércio Internacional, Estrasburgo, 2 de Novembro de Ver a apresentação deste caso por Alexander Dix na Conferência "International Data Protection and Privacy Commissioners", Setembro de 1996, Otava. -16-

17 entidade, o "subcontratante", é apenas responsável pela segurança dos dados. Presume-se que uma determinada entidade é o responsável pelo tratamento quando detém o poder de decisão relativamente aos fins e aos meios do tratamento dos dados, sendo o subcontratante apenas a entidade que presta fisicamente os serviços relativos ao seu tratamento. A relação entre estas duas entidades está prevista pelo nº 3 do artigo 17º da directiva, que estabelece o seguinte: A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que: - o subcontratante apenas actuará mediante instruções do responsável pelo tratamento, - as obrigações referidas no nº 1 (as disposições substantivas relativas à segurança dos dados), tal como definidas pela legislação do Estado-Membro onde o subcontratante está estabelecido, incumbem igualmente a este último. Esta disposição completa o princípio geral estabelecido no artigo 16º, segundo o qual qualquer entidade agindo sob a responsabilidade do responsável pelo tratamento, incluindo o próprio subcontratante, não pode proceder ao tratamento de dados pessoais sem instruções do responsável (salvo por força de disposições legais). Na hipótese de uma transferência de dados pessoais para países terceiros, também haverá normalmente mais do que uma parte envolvida. A relação relevante neste caso é a que se estabelece entre a entidade que procede à transferência dos dados (o "cedente") e aquela que os recebe no país terceiro (o "destinatário"). Neste contexto, um dos objectivos do contrato deverá ser o de determinar a repartição entre as duas partes da responsabilidade pelo cumprimento dos princípios relativos à protecção dos dados. Contudo, o contrato deverá ir bastante mais longe: deverá ainda fornecer garantias adicionais à pessoa em causa, necessárias pelo facto de o destinatário no país terceiro não estar sujeito a um conjunto de regras relativas à protecção dos dados exequível e que garanta um nível de protecção adequado. 3. O objectivo de uma solução contratual No âmbito das transferências de dados para países terceiros, o contrato é um meio através do qual o responsável pelo tratamento fornece garantias adequadas à pessoa em causa aquando da transferência dos seus dados para fora da Comunidade (isto é, para fora do perímetro de protecção assegurado pela directiva, e, em termos mais gerais, da protecção assegurada pelo direito comunitário 9 ), mais concretamente, para um país terceiro no qual o nível geral de protecção não é adequado. Para poderem cumprir esta função, as cláusulas contratuais terão de compensar de forma satisfatória a ausência de um nível geral de protecção adequado, através da inclusão de elementos essenciais de protecção omissos numa determinada situação concreta. 9 O exercício pelas pessoas do direito à protecção dos dados encontra-se facilitado dentro da Comunidade pelo enquadramento jurídico geral, por exemplo, o Acordo de Estrasburgo (1977) relativo à transmissão de pedidos de apoio judiciário. -17-

18 4. Os requisitos específicos de uma solução contratual O ponto de partida para a avaliação do significado da expressão "garantias suficientes" utilizado no nº 2 do artigo 26º é o conceito de "nível de protecção adequado", já desenvolvido com alguma profundidade no Capítulo I e que consiste num conjunto de princípios básicos relativos à protecção dos dados e em certas condições necessárias para assegurar a sua eficácia. (i) As regras substantivas relativas à protecção dos dados O primeiro requisito de uma solução contratual é o de as partes envolvidas numa transferência assegurarem a aplicação do conjunto básico de princípios relativos à protecção dos dados estabelecido no Capítulo I ao tratamento dos dados transferidos para países terceiros. Esses princípios básicos são os seguintes: - Princípio da limitação da finalidade do tratamento; - Princípio da qualidade e da proporcionalidade dos dados; - Princípio da transparência; - Princípio da segurança; - Direitos de acesso, de rectificação e de oposição; - Restrições relativas a transferências subsequentes para terceiros não partes no contrato 10 ; Para além disso, haverá que aplicar em certas situações determinados princípios adicionais relativamente a dados sensíveis, marketing directo e decisões individuais automatizadas. O contrato deverá descrever pormenorizadamente de que forma o destinatário da transferência dos dados deverá aplicar estes princípios (nomeadamente, deverão ser especificadas as finalidades da transferência, as categorias de dados transferidos, os prazos de retenção dos dados e as medidas de segurança tomadas). Noutras situações, por exemplo, no caso de a protecção no país terceiro ser assegurada por uma lei geral de protecção dos dados semelhante à directiva, os mecanismos que clarificam a forma como as regras relativas à protecção dos dados se aplicam na prática (códigos de conduta, notificações, função consultiva da Autoridade de controlo) já existem possivelmente. O mesmo não acontece numa situação contratual, o que significa que uma descrição pormenorizada é absolutamente essencial no caso de a transferência ser baseada num contrato. 10 As transferências subsequentes de dados pessoais do destinatário para um terceiro não deverão ser permitidas, a menos que se encontre um meio de vincular contratualmente este último a fornecer o mesmo nível de garantias relativas à protecção dos dados à pessoa em causa. -18-

19 (ii) Assegurar a eficácia das regras substantivas O Capítulo I estabelece três critérios que permitem avaliar a eficácia de um sistema de protecção dos dados e que consistem na capacidade desse sistema para: - Garantir um elevado nível de cumprimento das suas regras; - Prestar apoio e assistência às pessoas cujos dados foram objecto de tratamento aquando do exercício dos seus direitos; - Fornecer meios de reparação adequados à pessoa que sofreu danos devido ao não cumprimento das regras relativas à protecção dos dados. Trata-se aqui de um elemento crucial. Deverão aplicar-se os mesmos critérios aquando da avaliação da eficácia de uma solução contratual. Trata-se claramente de um enorme desafio, embora não impossível de ultrapassar. A questão principal é a de encontrar os meios que possam compensar a ausência de mecanismos de controlo e de aplicação e que possam proporcionar apoio, assistência e, em último caso, reparação, a uma pessoa cujos dados tenham sido objecto de tratamento e que eventualmente não seja parte no contrato. Há que analisar pormenorizadamente cada uma destas questões. Por razões de facilidade, vamos proceder à sua análise pela ordem inversa. Meios de reparação para a pessoa cujos dados foram objecto de tratamento Providenciar um meio jurídico de reparação para a pessoa em causa (isto é, o direito a ver a sua queixa decidida por um árbitro independente e de receber uma indemnização quando apropriado) por meio de contrato entre o "cedente" e o "destinatário" dos dados não é tarefa fácil. Muito dependerá da natureza da lei nacional escolhida como lei aplicável ao contrato. A lei aplicável será normalmente a lei do Estado-Membro no qual se encontra estabelecido o cedente. O direito dos contratos vigente em alguns Estados-Membros permite a atribuição de direitos a terceiros, enquanto noutros Estados-Membros tal não é possível. Como regra geral, quanto mais limitada for a liberdade do destinatário quanto à escolha das finalidades, meios e condições de tratamento dos dados transferidos, maior será a segurança jurídica da pessoa em causa. Tendo em consideração que estamos a lidar com casos em que o nível geral de protecção é inadequado, será preferível que o contrato estabeleça que o destinatário da transferência não tem poder de decisão autónomo em relação aos dados transferidos, ou à forma como deverão ser subsequentemente tratados. Nesta situação, o destinatário é obrigado a actuar unicamente segundo as instruções do cedente, e, embora os dados sejam fisicamente transferidos para fora da Comunidade, as decisões a eles relativas continuam a ser controladas pelo cedente estabelecido na Comunidade. O cedente é o responsável pelo tratamento dos dados, enquanto o destinatário é um mero subcontratante. Nestas circunstâncias, dado que o controlo sobre os dados é efectuado por uma entidade estabelecida num Estado-Membro, a lei desse Estado-Membro continua a ser aplicável ao tratamento dos dados no país terceiro 11, e a pessoa responsável pelo seu tratamento 11 Por força do nº 1, alínea a), do artigo 4º da Directiva 95/46/CE. -19-

20 continua a ser responsável nos termos da legislação desse mesmo Estado-Membro por qualquer dano resultante de uma operação ilegal de tratamento 12. Este tipo de acordo não é muito diferente do "Acordo Interterritorial", que pôs termo ao processo "Bahncard" da Citibank anteriormente referido. Neste caso, o contrato estabelecia pormenorizadamente os acordos em matéria de tratamento de dados, especialmente os relativos à sua segurança, excluindo o seu uso para qualquer outro fim por parte do destinatário da transferência. O direito alemão foi declarado aplicável ao tratamento dos dados efectuado no país terceiro, garantindo dessa forma um meio jurídico de reparação para as pessoas em causa 13. Este tipo de solução não é obviamente aplicável a todos os casos. O destinatário da transferência poderá não estar apenas a prestar um serviço de tratamento de dados ao responsável estabelecido na UE. De facto, o destinatário poderá, por exemplo, ter alugado ou comprado os dados com o fim de os usar para proveito próprio e para os seus próprios fins. Nestes casos, o destinatário disporá de um certo grau de liberdade no que respeita ao tratamento dos dados, tornando-se na prática num verdadeiro "responsável pelo tratamento dos dados". Neste tipo de situações, não é possível partir do pressuposto de que o direito dum Estado-Membro continua automaticamente a ser aplicável e que o cedente dos dados continua a ser o responsável pelos danos. Terão de ser previstos mecanismos mais complexos que forneçam à pessoa em causa um meio jurídico de reparação adequado. Conforme referido anteriormente, alguns sistemas jurídicos permitem a terceiros invocar direitos com base num contrato, podendo tal ser usado para atribuir à pessoa em causa direitos nos termos de um contrato aberto e público entre cedente e destinatário. A posição da pessoa em causa sairia reforçada se, como parte integrante do contrato, as partes se obrigassem a um sistema de arbitragem vinculativo no caso de aquela contestar o seu cumprimento. Alguns códigos sectoriais de auto-regulamentação prevêem mecanismos de arbitragem e o recurso a contratos em combinação com esses códigos poderia ser proveitoso. Uma outra possibilidade é a de o cedente, eventualmente no momento inicial de obtenção dos dados da pessoa em causa, concluir com esta um contrato separado estipulando que continuará a ser responsável por qualquer dano físico ou moral ("distress") causado pelo não cumprimento por parte do destinatário da transferência dos princípios básicos acordados relativos à protecção dos dados. Atribui-se desta forma à pessoa em causa um meio de reparação contra o cedente pelas infracções do destinatário. Competiria depois ao cedente recuperar qualquer indemnização que tivesse sido forçado a pagar à pessoa em causa através de uma acção por incumprimento do contrato intentada contra o destinatário. Esta solução complexa em três etapas é provavelmente mais viável do que parece. O contrato com a pessoa em causa poderia tornar-se parte das condições normais em que os bancos ou as agências de viagens, por exemplo, prestam serviços aos seus clientes. 12 Ver o artigo 23º da Directiva 95/46/CE. 13 Contudo, dado que este caso ocorreu no âmbito de uma lei anterior à directiva, a lei não se aplicou automaticamente a todos os tratamentos controlados por uma pessoa responsável pelo tratamento estabelecida na Alemanha. O meio jurídico de reparação para a pessoa em causa deveu-se antes à capacidade da lei contratual alemã de atribuir direitos a terceiros. -20-