GRUPO DE PROTECÇÃO DE DADOS DO ARTIGO 29.º

Transcrição

1 GRUPO DE PROTECÇÃO DE DADOS DO ARTIGO 29.º /10/PT WP 179 Parecer 8/2010 sobre a lei aplicável Adoptado em 16 de Dezembro de 2010 Este grupo de trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. É um órgão europeu independente, com carácter consultivo em matéria de protecção de dados e privacidade. As suas atribuições são definidas no artigo 30.º da Directiva 95/46/CE e no artigo 14.º da Directiva 97/66/CE. O secretariado é assegurado pela Direcção C (Direitos Fundamentais e Cidadania da União) da Comissão Europeia, Direcção-Geral da Justiça, B-1049 Bruxelas, Bélgica, Gabinete n.º MO59 06/036. Sítio Web:

2 Síntese O presente parecer vem esclarecer o âmbito de aplicação da Directiva 95/46/CE, em especial do seu artigo 4.º, que determina qual ou quais as legislações nacionais de protecção de dados, adoptadas nos termos dessa directiva, aplicáveis ao tratamento de dados pessoais. O parecer destaca também alguns domínios em que podem ser obtidos melhoramentos. Determinar a aplicação do direito da UE ao tratamento de dados pessoais serve para clarificar o âmbito de aplicação da legislação da UE em matéria de protecção de dados, tanto na UE/EEE como num contexto internacional mais vasto. Uma compreensão clara da lei aplicável contribuirá para garantir não só a segurança jurídica para os responsáveis pelo tratamento, mas também a existência de regras claras para os particulares e outros intervenientes. Além disso, a correcta compreensão das disposições da lei aplicável garantirá a inexistência de lacunas ou vazios legais no elevado nível de protecção de dados pessoais previsto pela Directiva 95/46. No que respeita ao artigo 4., n. 1, alínea a), a referência a «um» estabelecimento implica que a aplicabilidade da lei de um Estado-Membro será determinada pela localização de um estabelecimento do responsável pelo tratamento nesse país e que a lei de outros Estados-Membros pode ser aplicada devido à localização de outros estabelecimentos desse mesmo responsável noutros países. Para determinar a aplicação da lei nacional, o conceito de «contexto das actividades» do estabelecimento é decisivo, dado que implica que o estabelecimento do responsável pelo tratamento desenvolve actividades que implicam o tratamento de dados pessoais, tendo em conta o seu grau de participação nas actividades de tratamento, a natureza dessas actividades e a necessidade de garantir a protecção efectiva dos dados. No que respeita ao «recurso a meios» previsto no artigo 4., n. 1, alínea c), que poderá implicar a aplicação da Directiva aos responsáveis pelo tratamento estabelecidos fora do território da UE/EEE, o parecer especifica que este se deve aplicar aos casos em que não haja nenhum estabelecimento na UE/EEE que determine a aplicação do artigo 4., n. 1, alínea a), ou em que o tratamento não seja efectuado no contexto de um estabelecimento desse tipo. O parecer refere igualmente que uma interpretação ampla da noção de «equipamentos» justificada pela utilização do termo «meios» noutras versões linguísticas pode, em alguns casos, determinar a aplicação da legislação europeia de protecção dos dados, se o tratamento em questão não tiver qualquer verdadeira ligação com a UE/EEE. O parecer também dá orientações e exemplos no que se refere a: outras normas do artigo 4.º; requisitos de segurança previstos na lei aplicável, nos termos do artigo 17.º, n.º 3; possibilidade de as autoridades de protecção de dados utilizarem os respectivos poderes para verificar e intervir numa operação de tratamento que decorra no seu território, mesmo que a lei aplicável seja a lei de outro Estado-Membro (artigo 28.º, n.º 6). O parecer sugere também que a redacção da directiva e a coerência entre as diferentes partes do artigo 4.º beneficiarão de uma maior clarificação no âmbito da revisão do quadro normativo geral da protecção de dados. Nesta perspectiva, a simplificação das normas de determinação da lei aplicável consistiriam num regresso ao princípio do país de origem: todos os estabelecimentos de um responsável pelo tratamento situados na UE aplicariam a mesma lei a lei do estabelecimento principal independentemente do território em que se encontrem. No entanto, isto só poderá ser aceite se for alcançada uma vasta harmonização das legislações nacionais, incluindo a harmonização das obrigações de segurança. Poderão aplicar-se critérios adicionais aos casos em que o responsável pelo tratamento esteja estabelecido fora da UE, a fim de assegurar que existe uma ligação suficiente com o território da UE, evitando, ao mesmo tempo, que o território da UE seja utilizado para desenvolver actividades ilícitas de tratamento de dados por responsáveis pelo tratamento estabelecidos em países terceiros. Os - 2 -

3 seguintes critérios podem ser desenvolvidos para este fim: selecção de destinatários, que resulte na aplicação da legislação da UE em matéria de protecção de dados se a actividade que implica o tratamento de dados pessoais se destinar a pessoas que se encontram na UE; aplicação do critério dos meios, de forma residual e limitada, aos casos-limite (dados sobre pessoas de fora da UE, responsáveis pelo tratamento sem ligação com a UE) em que exista uma infra-estrutura relevante de tratamento de dados na UE

4 O Grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais Criado pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995 (JO L 281 de , p. 31), Tendo em conta o artigo 29.º e o artigo 30.º, n.º 1, alínea a), e n.º 3, da referida Directiva, Tendo em conta o seu regulamento interno, Adoptou o seguinte parecer: - 4 -

5 I. Introdução...6 II. Considerações gerais e aspectos políticos... 8 II.1. Breve história: da Convenção n.º 108 à Directiva 95/46/CE... 8 II.2. Papel dos conceitos... 9 II.2.a) Contexto e importância estratégica... 9 II.2.b) Âmbito de aplicação do direito da UE e do direito nacional na UE/EEE.9 II.2.c) Evitar lacunas e sobreposições indevidas II.2.d) Lei aplicável e competência no contexto da Directiva III. Análise das disposições III.1. Responsável pelo tratamento estabelecido num ou vários Estados-Membros [artigo 4.º, n.º 1), alínea a)] a) «(...) um estabelecimento do responsável pelo tratamento situado no território desse Estado-Membro (...)» b) «( ) o tratamento for efectuado no contexto das actividades ( )» III.2. Responsável pelo tratamento estabelecido num local em que a legislação do Estado-Membro seja aplicável por força do direito internacional público [artigo 4.º, n.º 1, alínea b)] III.2.a) «( ) o responsável pelo tratamento não estiver estabelecido no território do Estado-Membro ( )» III.2.b) «( ), mas num local onde a sua legislação nacional seja aplicável por força do direito internacional público ( )» III.3. Responsável pelo tratamento não estabelecido no território da Comunidade que recorre, para o tratamento de dados pessoais, a meios que se encontram num Estado-Membro [artigo 4.º, n.º 1, alínea c)] a) «( ) o responsável pelo tratamento não estiver estabelecido no território da Comunidade ( )» b) «( ) e recorrer, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território desse Estado-Membro ( )» c) «(...) salvo se só forem utilizados para trânsito no território da Comunidade (...)» d) «(...) deve designar um representante estabelecido no território desse Estado-Membro (...)» (artigo 4.º, n.º 2) III.4. Considerações sobre as consequências práticas da aplicação do artigo 4.º, n.º 1, alínea c) III.5. Lei aplicável às medidas de segurança (artigo 17.º, n.º 3) III.6. Competência e cooperação das autoridades de controlo (artigo 28.º, n.º 6). 28 III.6.a) «( ) a autoridade de controlo é competente, independentemente do direito nacional aplicável ( )» III.6.b) «( ) para o exercício no território do seu Estado-Membro ( )» III.6.c) «( ) cooperarão entre si na medida do necessário ao desempenho das suas funções ( )» IV. Conclusões IV.1. Clarificar as disposições vigentes IV.2. Melhorar as disposições vigentes ANEXO

6 I. Introdução A determinação da lei aplicável ao tratamento de dados pessoais ao abrigo da Directiva 95/46/CE («Directiva» ou «Directiva 95/46/CE») é uma questão fundamental por vários motivos. As disposições relativas à lei aplicável são cruciais para determinar o âmbito de aplicação externo da legislação da UE em matéria de protecção de dados, ou seja, para determinar em que medida ela é aplicável ao tratamento dos dados pessoais efectuado no todo ou em parte fora do espaço UE/EEE, mas que mantém uma ligação relevante com o território da UE/EEE. No entanto, as normas que regulam a lei aplicável determinam também o âmbito de aplicação da legislação de protecção de dados na UE/EEE, de modo a evitar eventuais conflitos e sobreposições entre as legislações nacionais dos Estados-Membros da UE/EEE de transposição da Directiva 1. Além disso, a correcta compreensão do direito aplicável deve garantir a inexistência de lacunas ou vazios legais no elevado nível de protecção dos dados pessoais previsto na Directiva 95/46. Algumas das disposições da Directiva regulam questões de aplicação da lei, em especial os artigos 4.º, 17.º e 28.º. Estas disposições determinam qual a lei nacional de protecção de dados aplicável e a autoridade responsável pela aplicação da mesma. Importa ter em conta que existe uma interacção entre o direito substantivo e a jurisdição, aspecto que será analisado adiante com mais pormenor. Foi sugerido que a aplicação e interpretação das disposições da Directiva relativas à lei aplicável está longe de ser uniforme na União Europeia. No «Primeiro Relatório sobre a Implementação da Directiva relativa à Protecção de Dados», a Comissão salientou que a aplicação do artigo 4.º da Directiva era «deficiente em diversos casos, permitindo a manifestação do tipo de conflitos de leis que o artigo mencionado pretende evitar» 2. Segundo o anexo técnico desse relatório, que apresenta uma análise circunstanciada de várias disposições nacionais, essa transposição deficiente pode explicar-se em parte pela complexidade da própria disposição. Do mesmo modo, um estudo financiado pela Comissão Europeia 3 sublinha a ambiguidade e a aplicação divergente das normas da Directiva sobre a lei aplicável e recomenda que «são necessárias, com urgência, normas mais claras e menos ambíguas em matéria de lei aplicável». Mais recentemente, na Comunicação intitulada «Uma Abordagem Global da Protecção de Dados Pessoais na União Europeia» 4, afirma-se que «a Comissão irá ponderar como rever e clarificar as disposições em vigor sobre a lei aplicável, incluindo a actual determinação dos critérios, no intuito de aumentar a segurança jurídica, clarificar a 1 A Directiva 95/46/CE também se aplica aos países da EFTA Noruega, Islândia e Liechtenstein, nos termos do Acordo EEE [cf. Decisão do Comité Misto do EEE nº 83/1999, de 25 de Junho de 1999, que altera o Protocolo nº 37 e o anexo XI (serviços de telecomunicações) do acordo EEE; JO L 296 de , p. 41]. 2 Primeiro relatório sobre a aplicação da Directiva da Protecção de Dados (95/46/CE), Maio de 2003, p. 17. O relatório encontra-se disponível em: 3 «Estudo comparativo sobre as abordagens diferentes relativamente aos novos desafios à privacidade, em especial à luz dos desenvolvimentos tecnológicos», de Janeiro de 2010, disponível em 4 COM(2010) 609 final de

7 responsabilidade dos Estados-Membros na aplicação das normas de protecção de dados e, por último, proporcionar o mesmo nível de protecção de todas pessoas da UE a que os dados dizem respeito, independentemente da localização geográfica do responsável pelo tratamento». A complexidade das questões relacionadas com a lei aplicável está também a aumentar devido à maior globalização e ao desenvolvimento de novas tecnologias: as empresas operam cada vez mais em jurisdições diferentes, prestando serviços e assistência 24 horas por dia; a internet facilita muito não só a prestação de serviços à distância, mas também a recolha e a partilha de dados pessoais em ambientes virtuais; a computação em nuvem torna difícil determinar a localização dos dados pessoais e dos meios utilizados em determinado momento. Assim, é fundamental que o significado exacto das disposições da Directiva que regulam a lei aplicável seja suficientemente claro para todos os que participam na aplicação da Directiva, bem como na aplicação quotidiana da legislação nacional de protecção de dados, tanto no sector público como no sector privado. Por conseguinte, o grupo de trabalho decidiu contribuir para a clarificação de algumas disposições fundamentais da Directiva e explicitar o conceito de lei aplicável, como já fez relativamente aos conceitos de dados pessoais, «responsável pelo tratamento» e «subcontratante» 5. No presente parecer, o grupo de trabalho remeterá também para os outros pareceres em que abordou a questão da lei aplicável, sempre que estiver relacionada com as questões específicas tratadas nesses pareceres 6. O objectivo último do grupo de trabalho é garantir segurança jurídica na aplicação da legislação da UE no domínio da protecção de dados. Para o efeito, é necessário, por um lado, que as pessoas em causa (a que os dados se referem) estejam cientes das regras aplicáveis para proteger os seus dados pessoais e, por outro, que as empresas, bem como outros organismos privados e públicos, conheçam as normas de protecção de dados que regem o processamento de dados que efectuam. A clarificação do conceito de lei aplicável reveste-se de grande importância, independentemente de eventuais alterações à redacção actual da Directiva. As disposições actualmente em vigor manterão a validade até à sua alteração, caso venham a ser alteradas. Assim, a clarificação das normas que regulam a lei aplicável contribuirá para garantir um melhor cumprimento da Directiva enquanto não forem aprovadas eventuais alterações da legislação. Além disso, ao elaborar o presente parecer, o grupo de trabalho baseou-se na experiência de aplicação das disposições em vigor, com vista a dar orientações ao legislador para efeitos de uma eventual revisão da Directiva no futuro. Por último, as normas que determinam a lei aplicável em matéria de protecção de dados foram concebidas para regular a aplicação da Directiva no seu próprio âmbito de 5 Parecer 4/2007 sobre o conceito de dados pessoais (WP 136); Parecer 1/2010 sobre os conceitos de «responsável pelo tratamento» e «subcontratante» (WP 169). Todos os pareceres podem ser consultados em: 6 Nomeadamente, o documento de trabalho sobre a determinação da aplicação internacional da legislação da UE em matéria de protecção de dados ao tratamento de dados pessoais na Internet efectuado por sites não-europeus (WP 56), o Parecer 10/2006 sobre o tratamento de dados pessoais pela sociedade das telecomunicações financeiras interbancárias no mundo (SWIFT) (WP 128) e o Parecer 1/2008 sobre questões de protecção dos dados ligadas aos motores de pesquisa (WP 148)

8 aplicação, definido no artigo 3.º. Como tal, estas normas interagem com outros domínios do direito, sem que, porém, produzam efeitos para além do seu âmbito de aplicação 7. II. II.1. Considerações gerais e aspectos políticos Breve história: da Convenção n.º 108 à Directiva 95/46/CE Em 1981, os autores da Convenção n.º 108, redigida sob os auspícios do Conselho da Europa, identificaram os riscos decorrentes do conflito de leis ou do vazio legal que poderiam resultar da aplicação de leis nacionais diferentes. No entanto, esta Convenção não inclui normas destinadas a regular estes problemas: o facto de a Convenção prever um «núcleo comum de direito substantivo» foi considerado a principal garantia de que, mesmo em presença de diversas legislações, os princípios a aplicar seriam, no fim de contas, os mesmos, evitando assim as diferenças em termos de nível de protecção. A necessidade de definir critérios para determinar a lei aplicável foi uma questão abordada pela Comissão Europeia ao redigir a Directiva da Protecção de Dados. Na proposta inicial 8, a Comissão definiu que a localização do ficheiro de dados era um factor de determinação primário e que a residência do responsável pelo tratamento era um factor de determinação secundário, nos casos em que o ficheiro se encontrasse num país terceiro. No decurso do debate no Parlamento Europeu e no Conselho da UE, o critério da localização do ficheiro foi substituído pelo critério do estabelecimento do responsável pelo tratamento. A localização dos meios foi definida como o segundo critério, a utilizar nos casos em que o responsável pelo tratamento não esteja estabelecido na UE. O Conselho complementou estes critérios e forneceu indicações adicionais relativas ao conceito de estabelecimento. A proposta alterada da Comissão 9 indicava expressamente que o tratamento devia efectuar-se «no contexto das actividades de um estabelecimento» do responsável pelo tratamento e tinha em consideração a possibilidade de o responsável pelo tratamento poder ter vários estabelecimentos em diferentes Estados-Membros. Uma das alterações principais prendeu-se com o facto de o principal critério para determinar a lei aplicável não ser o lugar em que o responsável pelo tratamento tem o estabelecimento principal, mas sim o lugar em que existe um estabelecimento do responsável pelo tratamento. As consequências destas alterações, em termos de uma aplicação mais Embora a Directiva inclua disposições sobre responsabilidade (artigo 23. ) e sanções (artigo 24.º), os princípios gerais do direito civil ou penal não devem ser prejudicados, como se refere no considerando 21. Serão prejudicados apenas na medida necessária para prever sanções em caso de violação dos princípios de protecção dos dados. Na prática, a aplicação da Directiva a nível nacional conduziu à existência de regimes diferentes, que podem incluir sanções penais ou não. Para mencionar outro exemplo, embora a Directiva inclua disposições sobre a necessidade de consentimento [artigo 2.º, alínea h), artigo 7., alínea a), e artigo 8., n. 2, alínea a)] ou a relevância das obrigações contratuais [artigo 7.º, alínea b)], não interfere no direito dos contratos (por exemplo, condições de celebração de contratos, lei aplicável, etc.) ou noutros aspectos de direito civil para além do seu próprio âmbito de aplicação. COM(1990) de , proposta de Directiva do Parlamento Europeu e do Conselho, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais. COM(1992) 422 final de

9 distributiva do que uniforme da lei nacional em caso de pluralidade de estabelecimentos, serão analisadas mais adiante. II.2. Papel dos conceitos II.2.a) Contexto e importância estratégica Determinar a aplicação do direito da UE ao tratamento de dados pessoais, como foi referido atrás, serve para clarificar o âmbito de aplicação da legislação da UE em matéria de protecção de dados, tanto na UE/EEE como num contexto internacional mais vasto. Uma compreensão clara da lei aplicável contribuirá para garantir não só a segurança jurídica para os responsáveis pelo tratamento, mas também a existência de regras claras para os particulares e outros intervenientes. A identificação da lei aplicável encontra-se estreitamente ligada à identificação do responsável pelo tratamento 10 e respectivo(s) estabelecimento(s): a principal consequência deste vínculo é a reafirmação das responsabilidades do responsável pelo tratamento, e do seu representante, se esse responsável estiver estabelecido num país terceiro. Tal como será analisado mais adiante, isso não significa que haverá sempre uma lei aplicável, em especial se o responsável pelo tratamento dispuser de vários estabelecimentos: a localização desses estabelecimentos e a natureza das respectivas actividades também serão decisivas. Mas a ligação clara entre a lei aplicável e o responsável pelo tratamento pode ser uma garantia de eficácia e de aplicabilidade, especialmente num contexto em que seja difícil, senão mesmo impossível, localizar um ficheiro (como nos casos de computação em nuvem). A existência de orientações claras quanto às normas sobre a lei aplicável deve contribuir para gerir os novos desenvolvimentos: tecnológicos (internet; ficheiros em rede/computação em nuvem) e comerciais (empresas multinacionais). II.2.b) Âmbito de aplicação do direito da UE e do direito nacional na UE/EEE Os critérios principais para determinar a lei aplicável são a localização do estabelecimento do responsável pelo tratamento e a localização dos meios ou equipamento 11 utilizados, nos casos em que o responsável pelo tratamento esteja estabelecido fora do EEE. Por conseguinte, nem a nacionalidade nem o local de residência habitual das pessoas em causa, nem a localização física dos dados pessoais são determinantes para este efeito 12. Deste modo se alarga muito o âmbito de aplicação, com implicações jurídicas que se estendem para lá do território do EEE: a Directiva e os diplomas nacionais de Cf. Parecer 1/2010 sobre os conceitos de «responsável pelo tratamento» e «subcontratante» (WP 169). Como a seguir se explica no ponto III.2.b, o conceito de equipment foi traduzido noutras línguas da UE por «meios». Desta forma se abre o caminho a uma interpretação ampla do conceito de «equipamento» e se explica por que razão se utilizam os dois conceitos no presente documento. Ver, na mesma linha, a Directiva 2000/31/CE, relativa a certos aspectos legais dos serviços da sociedade da informação, em especial do comércio electrónico, no mercado interno. Um factor relevante adicional é a localização do subcontratante no que se refere à lei aplicável às medidas de segurança (artigo 17.º). Contudo, este critério não é decisivo por si só e deve ser aplicado em conjugação com o critério principal referente ao estabelecimento do responsável pelo tratamento

10 transposição são aplicáveis ao tratamento de dados pessoais fora do EEE (quando for efectuado no contexto das actividades de um estabelecimento do responsável pelo tratamento situado no EEE), bem como aos responsáveis estabelecidos fora do EEE (quando utilizem meios no EEE). Em consequência, as disposições da Directiva podem ser aplicadas aos serviços com uma componente internacional, como sejam os motores de pesquisa, as redes sociais e a computação em nuvem. Estes exemplos são analisados mais adiante no documento. Sempre que os dados pessoais sejam tratados por um responsável pelo tratamento dos dados (X) cujo único estabelecimento se encontra no Estado-Membro A, o tratamento é regido pela lei nacional deste país, independentemente do local em que for efectuado. Se X dispuser também de um estabelecimento (Y) no Estado-Membro B, o tratamento efectuado por Y é regido pela lei nacional deste último país, desde que o tratamento seja efectuado no contexto das actividades de Y. Se o tratamento efectuado por Y for efectuado no contexto das actividades do estabelecimento de X no Estado-Membro A, a lei aplicável ao tratamento é a lei do Estado-Membro A. Se os dados pessoais forem tratados por um responsável pelo tratamento dos dados que não esteja estabelecido em nenhum Estado-Membro, o tratamento é regido pela lei nacional do Estado-Membro em que se encontrem os meios ou os equipamentos utilizados por esse responsável para o tratamento. Ao longo do presente parecer serão analisados exemplos retirados destas diferentes situações. O objectivo deste vasto âmbito de aplicação é, em primeiro lugar, que os particulares não se vejam privados da protecção a que têm direito nos termos da Directiva e, em simultâneo, evitar que a lei seja contornada. A Directiva prevê critérios para determinar: i) Se a legislação europeia conjugada com a lei de um país terceiro ou de forma isolada é aplicável a determinada actividade de tratamento de dados pessoais; bem como ii) Nos casos em que a legislação europeia é aplicável ao tratamento, qual a lei nacional (de que Estado-Membro) aplicável ao caso concreto. Convém igualmente salientar que algumas das actividades de tratamento na UE não são abrangidas pelo âmbito de aplicação da Directiva, mas podem determinar a aplicação de outros instrumentos jurídicos da UE, como a Decisão-Quadro 2008/977/JAI, relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal 13, o Regulamento n.º 45/2001, relativo ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários 14, ou outros instrumentos relativos a organismos ou sistemas de informação da UE (Europol, a Eurojust, SIS, CIS, etc.) Decisão-Quadro 2008/977/JAI do Conselho, de , relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal (JO L 350 de , p. 60). Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e órgãos comunitários e à livre circulação desses dados (JO L 8 de , p. 1). Europol: Decisão 2009/371/JAI do Conselho, JO L 121 de , p. 37; Eurojust: Decisão 2002/187/JAI do Conselho, JO L 63 de , p. 1, com a redacção que lhe foi dada pela Decisão 2009/426/JAI do Conselho, JO L 138 de , p

11 II.2.c) Evitar lacunas e sobreposições indevidas O propósito da definição de critérios inequívocos para determinar a lei aplicável é evitar, por um lado, que seja possível contornar o disposto nas leis dos Estados-Membros e, por outro, que haja sobreposição de normas aplicáveis. O tratamento será regido por uma ou várias leis nacionais consoante o número e as actividades do estabelecimento ou estabelecimentos do responsável pelo tratamento: o o Se o responsável pelo tratamento tiver um estabelecimento, é aplicável uma única lei para toda a UE/EEE, determinada pela localização desse estabelecimento 16. Caso existam vários estabelecimentos: a aplicação das leis nacionais é distribuída em função das actividades de cada estabelecimento. A aplicação dos critérios deve evitar a aplicação simultânea de várias leis nacionais à mesma actividade de tratamento. II.2.d) Lei aplicável e competência no contexto da Directiva No domínio da protecção de dados, é especialmente importante distinguir os conceitos de lei aplicável (que determina o regime jurídico aplicável a determinada situação) e de competência (que determina, habitualmente, os poderes de um tribunal nacional para apreciar um processo ou executar uma sentença ou despacho). A lei aplicável e a competência relativamente a um dado tratamento nem sempre coincidem. O âmbito de aplicação externo do direito da UE é uma expressão da sua capacidade de estabelecer normas destinadas a proteger os interesses fundamentais no âmbito da sua jurisdição. As disposições da Directiva determinam, igualmente, o âmbito de aplicação das leis nacionais dos Estados-Membros, mas não incidem sobre a competência dos tribunais nacionais para apreciar os processos que lhes são apresentados. As disposições da Directiva referem-se, isso sim, ao âmbito territorial da competência das autoridades de controlo que podem aplicar e fazer cumprir a lei aplicável. Embora na maior parte dos casos estes dois conceitos lei aplicável e competência das autoridades de controlo tendam a coincidir, tendo como resultado habitual que a lei do Estado-Membro A é aplicada pelas autoridades do Estado-Membro A, a Directiva prevê explicitamente a possibilidade de existirem situações diferentes. Nos termos do artigo 28.º, n.º 6, as autoridades nacionais responsáveis pela protecção de dados devem poder exercer as suas competências sempre que a lei de protecção de dados de outro Estado-Membro se aplicar ao tratamento de dados pessoais efectuado no âmbito da sua jurisdição. As consequências práticas desta questão serão analisadas de forma mais aprofundada num futuro parecer. As situações deste tipo levam à existência de processos transnacionais e sublinham a necessidade de cooperação entre as referidas autoridades, não perdendo de vista os poderes conferidos a cada uma delas. Estas situações ilustram também a necessidade de normas nacionais que transponham correctamente o disposto na Directiva a este respeito, que podem ser decisivas para uma cooperação e aplicação eficazes a nível transnacional. 16 Excepto no que se refere a medidas de segurança, que dependem da localização de um eventual subcontratante, conforme previsto no artigo 17., n. 3, da Directiva

12 III. Análise das disposições A principal disposição sobre a lei aplicável é o artigo 4.º, que determina quais as legislações nacionais de protecção de dados adoptadas nos termos da Directiva que podem ser aplicadas ao tratamento de dados pessoais. III.1. Responsável pelo tratamento estabelecido num ou vários Estados-Membros [artigo 4.º, n.º 1), alínea a)] A primeira situação abordada pelo artigo 4., n. 1, é a dos responsáveis pelo tratamento que têm um ou mais estabelecimentos no território da UE. Nestes casos, a alínea a) estabelece que cada Estado-Membro deve aplicar as suas disposições nacionais de protecção de dados quando «o tratamento for efectuado no contexto das actividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado-Membro; se o mesmo responsável pelo tratamento estiver estabelecido no território de vários Estados-Membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpra as obrigações estabelecidas no direito nacional que lhe for aplicável». É útil recordar que o conceito de «responsável pelo tratamento» é definido no artigo 2.º, alínea d), da Directiva. Esta definição não será analisada no presente parecer, uma vez que já foi clarificada pelo grupo de trabalho do artigo do artigo 29.º no parecer sobre os conceitos de «responsável pelo tratamento» e «subcontratante» 17. Além disso, é importante sublinhar que não é necessário que um estabelecimento tenha personalidade jurídica e também que o conceito de estabelecimento tem ligações flexíveis com o conceito de responsabilidade pelo tratamento. Um responsável pelo tratamento pode ter vários estabelecimentos, os co-responsáveis pelo tratamento podem concentrar actividades num ou em vários estabelecimentos. O elemento decisivo para qualificar um estabelecimento, nos termos da Directiva, é o exercício efectivo e real de actividades no âmbito das quais se procede ao tratamento de dados pessoais. a) «(...) um estabelecimento do responsável pelo tratamento situado no território desse Estado-Membro (...)» O conceito de estabelecimento não se encontra definido na Directiva. O preâmbulo da Directiva refere, no entanto, que «o estabelecimento no território de um Estado-Membro pressupõe o exercício efectivo e real de uma actividade mediante uma instalação estável; (...) para o efeito, a forma jurídica de tal estabelecimento, quer se trate de uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante; (...)» (considerando 19). No que se refere à liberdade de estabelecimento, na acepção do artigo 50. do TFUE (ex-artigo 43.º do TCE), o Tribunal de Justiça da União Europeia (TJUE) considerou que para um estabelecimento ser considerado estável é necessário que «os recursos humanos e técnicos necessários para a prestação de determinados serviços estejam permanentemente disponíveis» Parecer 1/2010 sobre os conceitos de «responsável pelo tratamento» e «subcontratante» (WP 169). TJUE, acórdão de 4 de Julho de 1985, Bergholz (processo C-168/84, Col. 1985, p. 2251, n. 14), e acórdão de 7 de Maio de 1998, Lease Plan Luxemburg/Belgische Staat (C-390/96, Col. 1998, p. I- 2553). Neste último processo tratava-se de determinar se o servidor de uma empresa, localizado num país diferente do país do prestador de serviços, poderia ser considerado um estabelecimento estável. O objectivo era identificar o país em que o IVA deveria ser pago. O Tribunal recusou-se a considerar os

13 A forte ênfase colocada no preâmbulo da Directiva em matéria de «exercício efectivo e real de uma actividade mediante uma instalação estável» reflecte inequivocamente o conceito de «estabelecimento estável» a que o Tribunal de Justiça se referia no momento da adopção da Directiva. Embora não seja claro se esta e as subsequentes interpretações do Tribunal de Justiça quanto à liberdade de estabelecimento, na acepção do artigo 50. do TFUE, podem ser plenamente aplicadas às situações abrangidas pelo artigo 4. da Directiva da Protecção de Dados, a interpretação do Tribunal naqueles processos poderá constituir uma orientação útil para a análise do articulado da Directiva. Esta interpretação é utilizada nos exemplos seguintes: - Nos casos de «exercício efectivo e real de uma actividade», por exemplo, num escritório de advogados, mediante «instalação estável», este escritório pode ser considerado um estabelecimento. - Um servidor ou um computador não é susceptível de ser qualificado como estabelecimento, na medida em que consiste num mero equipamento ou instrumento técnico utilizado para o tratamento de informações Um gabinete para uma única pessoa pode ser considerado um estabelecimento, desde que não se trate de uma mera representação de um responsável pelo tratamento estabelecido noutro local e seja um elemento activo das actividades em cujo contexto se proceda ao tratamento de dados pessoais. - Em qualquer caso, a forma do gabinete não é decisiva: até um mero agente pode ser considerado um estabelecimento relevante, se a sua presença no Estado-Membro em causa for suficientemente estável. Exemplo n.º 1: publicação para viajantes Uma empresa estabelecida no Estado-Membro A, a fim de redigir uma publicação para viajantes, está a recolher dados sobre os serviços fornecidos por estações de abastecimento de combustível no Estado-Membro B. Os dados são recolhidos por um empregado que viaja por B, tira e envia fotografias e observações para o empregador, em A. Neste caso, os dados são recolhidos em B (sem um «estabelecimento» nesse país), mas são tratados no âmbito das actividades do estabelecimento em A: é aplicável a lei de A. O artigo 4.º, n.º 1, alínea a), que refere um estabelecimento do responsável pelo tratamento situado no território do Estado-Membro, suscita questões além do conceito de estabelecimento que requerem clarificação. Em primeiro lugar, a referência a «um» estabelecimento significa que a aplicabilidade da lei de um Estado-Membro será determinada pela localização de um estabelecimento do responsável pelo tratamento nesse Estado-Membro, mas a aplicabilidade da lei de outros 19 meios informáticos como um estabelecimento virtual [regressando, deste modo, a um conceito mais «tradicional» de estabelecimento, diferente do que havia sido adoptado num acórdão anterior, de 17 de Julho de 1997, ARO Lease/Inspecteur der Belastingdienst Grote Ondernemingen te Amsterdam (C-190/95, Col. 1997, p. I-4383)]. A possibilidade de serem integrados noutro conceito, por exemplo de «meios», será analisada mais adiante

14 Estados-Membros poderá ser determinada pela localização de outros estabelecimentos do mesmo responsável nestes países. Mesmo que o responsável pelo tratamento tenha o seu estabelecimento principal num país terceiro, basta ter um dos seus estabelecimentos num Estado-Membro para que seja aplicável a lei deste país, desde que estejam preenchidas as outras condições previstas no artigo 4.º, n.º 1, alínea a) [cf. alínea b), mais adiante]. Esta situação é também confirmada pela segunda parte da referida alínea a), que prevê expressamente que se o mesmo responsável pelo tratamento se encontrar estabelecido no território de vários Estados-Membros, deverá garantir que todos os seus estabelecimentos cumprem a lei nacional aplicável. b) «( ) o tratamento for efectuado no contexto das actividades ( )» A Directiva associa a aplicabilidade da legislação de protecção de dados de um Estado-Membro ao tratamento de dados pessoais. O conceito de «tratamento» já foi abordado acessoriamente noutros pareceres do grupo de trabalho, nos quais se sublinhou que é possível proceder a diversas operações ou a séries de operações com dados pessoais em simultâneo ou em fases diferentes 20. No contexto da determinação da lei aplicável, este elemento pode implicar a eventual aplicabilidade de várias leis às diversas fases do tratamento de dados pessoais. A multiplicidade de leis aplicáveis constitui, portanto, um risco grave, pelo que deve ser tida em consideração a possibilidade de as ligações a nível global entre as diversas actividades de tratamento levar, em alternativa, à aplicação de uma única lei nacional. Para determinar se é uma ou são várias as leis aplicáveis às diferentes fases do tratamento, é importante ter em mente a perspectiva de conjunto das actividades de tratamento: um conjunto de operações efectuadas em diferentes Estados-Membros, mas destinadas a alcançar o mesmo objectivo, poderia conduzir à aplicação de uma única lei nacional. Em tais circunstâncias, o conceito de «contexto das actividades» e não a localização dos dados é um factor determinante para a identificação da lei aplicável. O conceito de «contexto das actividades» não implica que a lei aplicável seja a lei do Estado-Membro em que o responsável pelo tratamento está estabelecido, mas sim a do país em que um estabelecimento do responsável desenvolve actividades ligadas ao tratamento de dados. A análise de várias situações pode ajudar a esclarecer o que se entende pelo conceito de «contexto das actividades» e a sua influência na determinação da lei aplicável às diferentes actividades de tratamento em vários países diferentes. a. Se o responsável pelo tratamento tiver um estabelecimento na Áustria e proceder ao tratamento de dados pessoais na Áustria no âmbito das actividades desse estabelecimento, a lei aplicável será, obviamente, a lei da Áustria, isto é, o país onde se encontra o estabelecimento. 20 Cf., nomeadamente, o Parecer 1/2010 sobre os conceitos de «responsável pelo tratamento» e «subcontratante» (WP 169)

15 b. Na segunda situação, o responsável pelo tratamento tem um estabelecimento na Áustria, cujas actividades incluem o tratamento de dados pessoais recolhidos através do respectivo sítio Web. Este sítio é acessível a utilizadores de vários países. A lei aplicável ao tratamento de dados continuará a ser a austríaca isto é, o país em que se encontra o estabelecimento, independentemente da localização dos utilizadores e dos dados. c. Na terceira situação, o responsável pelo tratamento dos dados está estabelecido na Áustria, mas confia o tratamento a um subcontratante na Alemanha. O tratamento na Alemanha é feito no contexto das actividades do responsável pelo tratamento na Áustria. O mesmo é dizer que o tratamento é efectuado para os fins comerciais e sob as instruções do estabelecimento austríaco. A lei austríaca será aplicável ao tratamento efectuado pelo subcontratante na Alemanha. Além disso, este subcontratante deve cumprir os requisitos da lei alemã quanto às medidas de segurança a respeitar para proceder ao tratamento 21. Estas disposições impõem uma supervisão coordenada por parte das autoridades de protecção de dados da Alemanha e da Áustria. d. Na quarta situação, o responsável pelo tratamento estabelecido na Áustria abre um escritório de representação em Itália, que organiza todos os conteúdos italianos do sítio Web e trata os pedidos dos utilizadores italianos. As actividades de tratamento de dados efectuadas pelo escritório italiano são desenvolvidas no contexto do estabelecimento italiano, pelo que será a lei italiana a lei aplicável a estas actividades. Só podemos tirar uma conclusão sobre a lei aplicável com base num entendimento claro do conceito de «contexto das actividades». As considerações que se seguem devem ser tidas em conta para proceder a esta análise: O grau de participação do ou dos estabelecimentos nas actividades no contexto das quais os dados pessoais são tratados é fundamental. Trata-se aqui de verificar «quem faz o quê», isto é, quais as actividades que estão a ser desenvolvidas por qual dos estabelecimentos, de modo a poder determinar se o estabelecimento é relevante para determinar a aplicação da legislação nacional de protecção de dados. Se um estabelecimento proceder ao tratamento de dados pessoais no contexto das suas próprias actividades, a lei aplicável será a do Estado-Membro em que este estabelecimento se encontrar. Se o estabelecimento proceder ao tratamento de dados pessoais no contexto das actividades de outro estabelecimento, a lei aplicável será a do Estado-Membro em que esse outro estabelecimento se encontrar. A natureza das actividades dos estabelecimentos constitui um elemento secundário, mas ajudará a identificar a lei aplicável a cada estabelecimento: a questão de saber se uma actividade implica o tratamento de dados ou não, e de qual o tratamento efectuado no contexto de que actividade, depende em grande medida da natureza destas actividades. Em alternativa, o facto de diferentes estabelecimentos poderem desenvolver actividades 21 Nos termos do artigo 17.º, n.º 3, da Directiva 95/46/CE, o subcontratante está vinculado às obrigações em matéria de medidas de segurança previstas na legislação do Estado-Membro em que estiver estabelecido. Em caso de conflito entre as obrigações em matéria de segurança previstas na lei do subcontratante e na lei do responsável pelo tratamento, prevalece a lex loci (lei do subcontratante, neste caso). Embora a responsabilidade final continue a ser do responsável pelo tratamento, o subcontratante tem de provar que tomou todas as medidas necessárias, previstas no contrato celebrado com o responsável pelo tratamento, bem como as obrigações de segurança previstas na legislação do Estado-Membro em que se encontra estabelecido (cf. ponto III.5 para mais pormenores)

16 totalmente diferentes, no contexto das quais procedem ao tratamento de dados pessoais, terá um impacto sobre a lei aplicável. O exemplo n.º 4 ilustra estas considerações. O objectivo geral da Directiva deve igualmente ser tomado em consideração, na medida em que visa garantir uma protecção efectiva das pessoas singulares, de forma simples, eficaz e previsível. Exemplo n.º 2: transferência de dados pessoais em relação com o factoring Uma empresa italiana de serviços públicos transfere informações sobre os seus devedores para um banco de investimentos francês, no intuito de proceder à cobrança das dívidas, que se referem a contas de electricidade que não foram pagas. A transferência deste tipo de informações implica a transferência de dados pessoais dos clientes para o banco de investimentos francês, mais especificamente para a sucursal em Itália (ou seja, o estabelecimento do banco francês em Itália). O banco de investimentos francês é um responsável pelo tratamento de dados no que se refere às operações de tratamento que constituem a transferência e a sua filial italiana efectua a gestão e cobrança das dívidas em seu nome. Os dados são tratados pelo responsável pelo tratamento, quer em França quer na sucursal italiana. O responsável pelo tratamento dos dados francês fornece a todos os clientes italianos informações sobre as operações atrás referidas, através da sucursal italiana. A sucursal italiana é um estabelecimento na acepção da Directiva e como a sua actividade consiste no tratamento de dados pessoais para informar os consumidores das operações efectuadas, deve cumprir o disposto na legislação italiana de protecção de dados. As medidas de segurança seguidas pela sucursal italiana devem também cumprir os requisitos fixados na legislação italiana de protecção de dados, ao passo que o responsável pelo tratamento de dados francês deve cumprir, paralelamente, as obrigações de segurança aplicáveis ao tratamento de dados efectuado no seu estabelecimento em França. As pessoas em causa, isto é, os devedores, podem exigir junto da sucursal italiana o exercício de direitos de protecção de dados, como o acesso, a rectificação e a supressão, nos termos da lei italiana. A análise destes critérios deve ser feita numa perspectiva funcional: mais do que a avaliação teórica feita pelas partes sobre a lei aplicável, os factores determinantes devem ser o seu comportamento e interacção na prática: qual o verdadeiro papel de cada estabelecimento e qual a actividade que se desenvolve no contexto de que estabelecimento? Deve ser dada especial atenção ao grau de participação de cada estabelecimento nas actividades em cujo contexto são tratados os dados pessoais. Assim, compreender o conceito de «contexto das actividades» é também útil em casos complexos, a fim de individualizar as diferentes actividades realizadas por diversos estabelecimentos da mesma empresa na UE

17 Exemplo n.º 3: recolha de dados de clientes por lojas Uma cadeia de lojas de pronto-a-vestir tem sede em Espanha e lojas em toda a UE. Todas estas lojas procedem à recolha de dados de clientes, mas transferem-nos para a sede em Espanha, onde têm lugar as actividades de tratamento de dados (análise dos perfis dos clientes, serviço aos clientes, publicidade direccionada, etc.). As actividades de marketing directo dirigido aos clientes na Europa, por exemplo, são orientadas exclusivamente pela sede em Espanha. Podemos considerar que essas actividades são desenvolvidas no contexto das actividades do estabelecimento espanhol. A lei espanhola seria, portanto, aplicável às actividades de tratamento. No entanto, cada uma das lojas continua a ser responsável pelo tratamento dos dados pessoais dos respectivos clientes, efectuado no contexto das actividades dessas lojas (por exemplo, recolha de informações pessoais dos clientes). Na medida em que este tratamento seja efectuado no contexto das actividades de cada uma das lojas, é-lhe aplicável a lei do país em que a loja em questão se encontrar estabelecida. Uma consequência prática e directa desta análise é que cada loja deve tomar as medidas necessárias para informar os clientes das condições de recolha e posterior tratamento dos seus dados, em conformidade com a lei nacional aplicável. Os clientes podem dirigir-se directamente à autoridade de protecção de dados do seu país, em caso de reclamação. Se a reclamação disser respeito a acções de marketing directo no contexto das actividades da sede espanhola, a autoridade de protecção de dados local terá de remeter o caso à sua congénere espanhola. É possível, deste modo, que um único estabelecimento esteja envolvido numa série de actividades de vários tipos e que sejam aplicáveis diferentes leis nacionais ao tratamento de dados no contexto dessas diversas actividades. Para conseguir uma abordagem previsível e viável, se existir a possibilidade de aplicação de várias leis nacionais às diversas actividades de um único estabelecimento, deve ser seguida uma perspectiva funcional que tenha em consideração um quadro jurídico mais amplo. Exemplo n.º 4: base de dados centralizada de recursos humanos Na prática, são cada vez mais as situações em que a mesma base de dados pode estar sujeita a diferentes leis nacionais. Estas situações são frequentes no domínio dos recursos humanos, em que as filiais/os estabelecimentos em diferentes países centralizam dados relativos aos empregados numa base de dados única. Embora este fenómeno se verifique sobretudo por motivos de economia de escala, não deverá incidir sobre as responsabilidades de cada estabelecimento previstas na lei local aplicável, tanto no que se refere à protecção de dados, como no que se refere ao direito do trabalho e a disposições de ordem pública. Se, por exemplo, os dados dos trabalhadores de uma filial irlandesa (que possa ser considerada um estabelecimento) forem transferidos para uma base de dados central no Reino Unido, na qual se conservam também dados dos trabalhadores da filial/do estabelecimento britânica/o, serão aplicáveis duas legislações de protecção de dados diferentes, a irlandesa e a britânica

18 A aplicação de duas legislações nacionais diferentes não resulta simplesmente do facto de os dados serem originários de dois Estados-Membros diferentes, mas sim do facto de o tratamento dos dados relativos aos trabalhadores irlandesas por parte do estabelecimento do Reino Unido se efectuar no contexto das actividades do estabelecimento irlandês na qualidade de empregador. Este exemplo ilustra o facto de não ser o local do qual são enviados os dados ou no qual se encontram localizados que determina a lei nacional aplicável; os factores principais neste caso são a natureza e o local das actividades normais, que determinam o «contexto» em que o tratamento é efectuado: os dados de recursos humanos ou sobre clientes são, por conseguinte, normalmente sujeitos à legislação de protecção de dados do país em que a actividade em cujo contexto se procede ao tratamento dos dados tem lugar. Este exemplo confirma igualmente que não existe uma correlação directa entre a legislação nacional aplicável e a jurisdição, dado que a lei nacional pode ser aplicável fora da jurisdição nacional. Em resumo, os critérios utilizados para determinar a lei aplicável incidem a vários níveis: o o o Em primeiro lugar, ajudam a determinar se a legislação da UE em matéria de protecção de dados é aplicável ao tratamento; Em segundo lugar, nos casos em que a legislação da UE em matéria de protecção de dados for aplicável, os critérios determinam a) qual a legislação nacional sobre protecção de dados aplicável e b) no caso de múltiplos estabelecimentos em diferentes Estados-Membros, qual o país cuja legislação nacional de protecção de dados será aplicável e a que actividade de tratamento; Em terceiro lugar, os critérios serão úteis nos casos em que exista uma dimensão extra-europeia das actividades de tratamento como no exemplo que se segue, em que o responsável pelo tratamento está estabelecido fora do EEE. Exemplo n.º 5: prestador de serviços na Internet Um prestador de serviços na Internet (o responsável pelo tratamento de dados) tem a sede fora da UE, por exemplo no Japão. Dispõe de escritórios comerciais na maior parte dos Estados-Membros da UE e de um escritório na Irlanda que se ocupa de questões relacionadas com o tratamento de dados pessoais, incluindo sobretudo o apoio de TI. O responsável pelo tratamento está a criar um centro de dados na Hungria, cujos trabalhadores e servidores se dedicam ao tratamento e armazenamento de dados relativos aos utilizadores dos seus serviços. O responsável pelo tratamento no Japão tem também outros estabelecimentos em vários Estados-Membros da UE, com actividades diferentes: - O centro de dados na Hungria só faz a manutenção técnica; - Os escritórios comerciais do prestador de serviços na Internet organizam campanhas publicitárias gerais;

19 - O escritório na Irlanda é o único estabelecimento na UE com actividades no contexto das quais se procede efectivamente ao tratamento de dados pessoais (não obstante o contributo da sede japonesa). As actividades do escritório irlandês determinam a aplicação da legislação da UE em matéria de protecção de dados: os dados pessoais são tratados no contexto das actividades do escritório irlandês, pelo que este tratamento está sujeito à legislação da UE em matéria de protecção de dados. A lei aplicável ao tratamento de dados efectuado no contexto das actividades do escritório irlandês é a legislação irlandesa de protecção de dados, independentemente de o tratamento se efectuar em Portugal, Itália ou qualquer outro Estado-Membro. Significa isto que, nesta hipótese, o centro de dados na Hungria terá de respeitar a lei irlandesa de protecção de dados no que se refere ao tratamento dos dados pessoais de utilizadores dos serviços prestados. Sem prejuízo, porém, da aplicação da lei húngara a um tratamento de dados pessoais distinto, efectuado pelo centro de dados húngaro no contexto das suas actividades próprias por exemplo, o tratamento de dados pessoais relativos aos trabalhadores do centro de dados. Por sua vez, os escritórios comerciais noutros Estados-Membros, cuja actividade se limite a campanhas publicitárias gerais não direccionadas que não impliquem o tratamento dos dados pessoais dos utilizadores, não estão sujeitos à legislação da UE em matéria de protecção de dados. No entanto, se decidirem proceder, no contexto das suas próprias actividades, a um tratamento de dados pessoais de particulares no país em que estejam estabelecidos (como o envio de publicidade direccionada a utilizadores actuais e potenciais, para os seus próprios fins comerciais), terão de cumprir a legislação de protecção de dados local. Se não puder ser estabelecida qualquer ligação entre o tratamento de dados e o estabelecimento irlandês (o apoio em TI é muito limitado e não há participação no tratamento de dados pessoais), outras disposições da Directiva poderão determinar a aplicação dos princípios de protecção de dados, nomeadamente se o responsável pelo tratamento utilizar meios na UE. Esta situação é analisada no capítulo III.3. III.2. Responsável pelo tratamento estabelecido num local em que a legislação do Estado-Membro seja aplicável por força do direito internacional público [artigo 4.º, n.º 1, alínea b)] O artigo 4., n. 1, alínea b), regula os casos menos frequentes em que a legislação de protecção de dados de um Estado-Membro é aplicável se «o responsável pelo tratamento não estiver estabelecido no território do Estado-Membro, mas num local onde a sua legislação nacional seja aplicável por força do direito internacional público». III.2.a) «( ) o responsável pelo tratamento não estiver estabelecido no território do Estado-Membro ( )» A primeira condição deve ser interpretada no sentido de que, por motivos de coerência do n.º 1 do artigo 4.º, o responsável pelo tratamento não tem no território do Estado-Membro qualquer estabelecimento que determine a aplicabilidade da alínea a) [ver também o ponto III.3.a)]. Por outras palavras, que, na ausência de um

20 estabelecimento relevante na UE, nenhuma legislação nacional de protecção dos dados poderia ser identificada nos termos do artigo 4., n. 1, alínea a). III.2.b) «( ), mas num local onde a sua legislação nacional seja aplicável por força do direito internacional público ( )» Todavia, há critérios externos decorrentes do direito internacional público que podem determinar, em situações específicas, a extensão da aplicação da legislação nacional de protecção dos dados para lá das fronteiras nacionais. Trata-se dos casos em que o direito internacional público ou os acordos internacionais em vigor determinam a lei aplicável numa embaixada ou consulado, ou a legislação aplicável a um navio ou avião. Nos casos em que o responsável pelo tratamento estiver estabelecido num destes locais específicos, a legislação nacional de protecção dos dados aplicável será determinada pelo direito internacional. Todavia, é importante salientar igualmente que a legislação nacional de protecção de dados pode não ser aplicável às missões estrangeiras ou às organizações internacionais em território da UE, na medida em que estas têm um estatuto especial ao abrigo do direito internacional, quer em termos gerais quer através de um acordo de sede: esta isenção pode impedir a aplicação do artigo 4., n. 1, alínea a), à missão ou organização internacional. Exemplo n.º 6: embaixadas estrangeiras Uma embaixada de um Estado-Membro da UE no Canadá está sujeita à legislação nacional de protecção de dados desse Estado-Membro e não à legislação canadiana de protecção de dados. A embaixada de qualquer país nos Países Baixos não está sujeita à legislação neerlandesa de protecção de dados, visto que todas as embaixadas têm um estatuto especial por força do direito internacional. Uma violação da segurança dos dados no contexto das actividades da referida embaixada, portanto, não implica a aplicação da legislação neerlandesa de protecção de dados e respectivas medidas de execução. Uma organização não governamental com escritórios nos Estados-Membros da UE não deve, em princípio, beneficiar de isenção semelhante, a menos que esteja expressamente prevista num acordo internacional com o país de acolhimento. III.3. Responsável pelo tratamento não estabelecido no território da Comunidade que recorre, para o tratamento de dados pessoais, a meios que se encontram num Estado-Membro [artigo 4.º, n.º 1, alínea c)] O artigo 4., n. 1, alínea c), procura salvaguardar o direito à protecção dos dados pessoais previsto na Directiva da UE, mesmo que o responsável pelo tratamento não esteja estabelecido no território da UE/EEE, nos casos em que haja uma ligação inequívoca entre o tratamento dos dados pessoais e esse território, como se indica no considerando Considerando 20: «Considerando que o facto de o tratamento de dados ser da responsabilidade de uma pessoa estabelecida num país terceiro não deve constituir obstáculo à protecção das pessoas assegurada pela presente directiva; que, nesses casos, o tratamento deverá ser regido pela legislação