Regulamento da RIPD A Rede Ibero-americana de Proteção de Dados (RIPD) surge na sequência do acordo alcançado entre os representantes de 14 países ibero-americanos, participantes no Encontro Ibero-americano de Proteção de Dados (EIPD), realizado em Antígua, Guatemala, entre 1 e 6 de junho de 2003. Esta iniciativa contou desde o seu início com um apoio político espelhado na Declaração Final da XIII Cimeira de Chefes de Estado e Governo dos países ibero-americanos, que teve lugar em Santa Cruz de la Sierra, Bolívia, em 14 e 15 de novembro de 2003, conscientes da natureza da proteção de dados pessoais como direito fundamental, assim como da importância das iniciativas regulatórias ibero-americanas para proteger a privacidade dos cidadãos. A consolidação da Rede concretizou-se na aprovação do seu Regulamento, por ocasião do VI Encontro, realizado em Cartagena das Índias, Colômbia, de 27 a 30 de maio de 2008, no qual se fixaram os seus objetivos e se formalizou o seu funcionamento interno. A RIPD configura-se, assim, desde a sua criação em 2003, como um fórum permanente de troca de informação, aberto a todos os países membros da Comunidade Ibero-americana, permitindo envolver vários intervenientes tanto do setor público como do privado, com a finalidade de promover os desenvolvimentos normativos necessários para garantir uma regulação avançada do direito à proteção de dados pessoais num contexto democrático, tendo em consideração a necessidade de um contínuo fluxo de dados entre países que têm diversos laços em comum e uma preocupação por este direito. A atividade da Rede durante estes dez anos foi intensa e frutífera, promovendo a realização de dez Encontros, um por ano, e de Seminários sobre os mais variados temas de interesse, como foram, entre outros, a proteção de dados de menores; os dados de saúde; o setor financeiro (fraude); o sector comercial e marketing, em particular a luta contra o spam; as novas tecnologias e o seu impacto sobre a privacidade e as transferências internacionais. Esta trajetória levou a que a Rede se tenha consolidado como principal promotora do diálogo e impulsionadora de iniciativas e políticas na região, das quais resultaram que mais de 150 milhões de cidadãos latino-americanos disponham atualmente de normas que permitem garantir eficazmente a utilização da sua informação pessoal e de autoridades especializadas com competências para tutelar tais garantias. 1
Exemplos significativos do avanço legislativo produzido na região durante estes dez anos de funcionamento da Rede encontram-se em países como a Argentina (Lei 25326/2008); Uruguai (Lei 18.331/2008); Perú (Lei 29733/2011); Costa Rica (Lei 8968/2011); Nicarágua (Lei 787/2012) e Colômbia (Lei 1581/2012), que foi a última a integrar o grupo de países que dispõem de legislação específica nesta matéria. Tudo isto contribuiu, sem dúvida, para o reforço da presença da região nos fóruns internacionais, presença essa que, com o esforço coletivo de todos os participantes na Rede, irá aumentar nos próximos anos. Tal foi constatado por ocasião da 33ª Conferência Internacional de Autoridades de Proteção de Dados e Privacidade, realizada no México, em 2011, e confirmada um ano depois na 34ª CIAPDP, realizada em Punta del Este, Uruguai. Concretamente, no âmbito desta Conferência, teve lugar o X Encontro da RIPD, em cuja declaração se reconhece: «Uma vez que a Rede é constituída por quem pertence a algum organismo público cuja atuação está relacionada com a proteção de dados pessoais nos seus respetivos países, é indispensável proceder às alterações correspondentes no seu Regulamento, a fim de formalizar a participação dos seus membros e continuar os esforços para promover e fortalecer a proteção adequada de este direito humano à proteção de dados e à privacidade» (Declaração final, ponto 2). O objetivo do X Encontro, ao pugnar pela revisão do Regulamento, foi fundamentalmente o de reforçar o carácter institucional da RIPD numa dupla perspetiva: por um lado, clarificando o estatuto atual dos membros da Rede mediante a atribuição da condição de Membro, Observador ou Perito Acreditado, com os seus respetivos direitos e obrigações, em especial o direito de voto de que gozam apenas os primeiros; e, por outro, fortalecendo a cooperação entre os seus membros, com a utilização de instrumentos que possibilitem às instituições e entidades membros com competências de execução e controlo um cumprimento mais efetivo da legislação de proteção de dados, promovendo ao mesmo tempo a colaboração com outras Redes e fóruns com objetivos afins aos da Rede. Isto sem prejuízo de outras alterações de carácter formal justificadas por melhorias técnicas ou pelas necessárias adaptações sistemáticas resultantes das modificações introduzidas. Em suma, com a presente revisão do Regulamento pretende-se formalizar um processo de institucionalização da Rede, que permita dotá-la de uma estrutura e modo de funcionamento mais conforme com o seu atual nível de desenvolvimento, preparando-a para continuar a crescer e poder assumir novos desafios cada vez mais ambiciosos. 2
TÍTULO I OBJETIVOS Artigo 1.º Objetivos São objetivos da RIPD: a) Promover a cooperação, o diálogo e o uso partilhado da informação para o desenvolvimento de iniciativas e políticas de proteção de dados; b) Promover políticas, tecnologias e metodologias que permitam garantir o direito fundamental à proteção de dados pessoais; c) Prestar assistência técnica e partilha de conhecimentos tecnológicos aos membros que o solicitem; d) Promover acordos com instituições públicas ou privadas que permitam o desenvolvimento e execução de projetos de interesse mútuo; e) Promover a edição e publicação de documentos de trabalho e de obras que permitam divulgar e difundir os resultados obtidos no desenvolvimento das suas atividades; f) Participar em fóruns internacionais; g) Dar transparência e difusão universal a todas as atividades da RIPD; h) Promover programas de formação entre os seus membros, tais como sobre a informação aos cidadãos quanto ao uso e destino dos seus dados pessoais e os direitos que podem exercer perante a utilização que se faça dos mesmos. TÍTULO II COMPOSIÇÃO Artigo 2.º Composição 1. A RIPD é composta por: - Membros; - Observadores; 3
2. Os membros da RIPD representam organismos públicos que contribuem para promover, estimular e tomar decisões sobre as políticas de proteção de dados pessoais e privacidade nos seus respetivos países. 3. Sempre que num país existam diferentes instituições nacionais membros da RIPD, estas devem eleger, entre si, aquela que realiza a tarefa de coordenação perante a RIPD. A instituição coordenadora será considerada a interlocutora, sem prejuízo de que aos EIPD possam assistir representantes das diferentes instituições vinculadas e com competências na matéria nos respetivos países. Artigo 3.º Condição de Membro 1. Terão a condição de Membro da RIPD os organismos e entidades públicas do universo ibero-americano que concluam de forma satisfatória o processo de admissão previsto no artigo 6.º do presente Regulamento, e que cumpram os seguintes critérios: a) Que se trate de uma entidade pública, criada por instrumento legal adequado com base em tradições legais do país ou organização internacional a que pertence; b) Que tenha atribuídas competências em matéria de proteção de dados ou privacidade de dados pessoais; c) Que a legislação segundo a qual opere seja compatível com os principais instrumentos internacionais relativos à proteção de dados ou salvaguarda da privacidade, e d) Que tenha atribuídos os adequados poderes legais para o desempenho das suas funções. 2. Os Membros da RIPD têm os seguintes direitos e obrigações: a) Acreditar os seus representantes nos EIPD, que assistem às suas sessões com direito de intervenção e de voto. Também podem participar nos Seminários e nas restantes atividades que a RIPD organize; b) Eleger a Presidência da RIPD; c) Aprovar os pedidos de admissão de novos membros; d) Apoiar técnica e financeiramente, quando necessário, a RIPD no desempenho das suas funções; 4
e) Realizar as tarefas que lhe sejam solicitadas pelo EIPD em coordenação com os órgãos competentes da RIPD, informando periodicamente a Presidência e o Secretariado Permanente sobre o avanço dos trabalhos; f) Integrar os Órgãos da RIPD nos termos previstos por este Regulamento. Artigo 4.º Condição de Observador 1. Podem integrar a RIPD, com o estatuto de Observador, as seguintes entidades e organizações: a) Entidades públicas que, tendo objetivos similares aos da RIPD, não cumpram os critérios estabelecidos no artigo anterior; b) Organizações internacionais cuja atividade está relacionada com a proteção de dados pessoais; c) Qualquer outra organização que tenha concedido a condição de Observador à RIPD, conforme o princípio da reciprocidade. 2. São direitos e obrigações dos Observadores os seguintes: a) Acreditar os seus representantes nos EIPD, que assistem às suas sessões com direito de intervenção. Também podem participar nos Seminários e nas restantes atividades que a RIPD organize; b) Integrar os Grupos de Trabalho por convite dos mesmos; c) Acordar com a RIPD a realização de projetos específicos; d) Utilizar os serviços da RIPD cumprindo com as normas correspondentes. Artigo 5.º Peritos convidados 1. Podem participar nos Encontros, por convite, com direito a intervir mas sem direito a votar, peritos em matéria de proteção de dados, em particular quando contribuam para o desenvolvimento legislativo nesta matéria. 5
2. Podem também ser convidadas a participar nas reuniões e atividades da RIPD pessoas e organizações com conhecimentos e experiência específica nos diferentes assuntos que venham a tratar-se. Artigo 6.º Regras e Procedimento de admissão 1. Podem integrar a RIPD as organizações e entidades públicas que, de acordo com o procedimento e os critérios regulados nos números seguintes, manifestem o seu interesse em aderir à mesma e assumam as funções que, como membro, lhes são atribuídas. 2. O pedido de adesão deve ser dirigido, de forma justificada, ao Secretariado Permanente, o qual, de acordo com os critérios e requisitos estabelecidos, instrui os pedidos correspondentes e apresenta-os no EIPD seguinte; ou, em caso de urgência, submete-os ao Comité Executivo, que os aprova, neste caso, por maioria simples dos seus membros. 3. É adotado o mesmo procedimento para os pedidos de revisão da condição de membro da RIPD. TÍTULO III ORGANIZAÇÃO Artigo 7.º Órgãos da RIPD São órgãos da RIPD: - A Presidência; - O Comité Executivo; - O Secretariado Permanente; - O Encontro Ibero-americano (EIPD). Artigo 8.º Presidência 1. A Presidência da RIPD é eleita por maioria simples de entre os Membros presentes no EIPD. 6
2. Tem direito de voto quem possua a condição de Membro. A votação realiza-se por ocasião do correspondente EIPD, uma vez decorridos dois anos desde o Encontro em que se efetuou a eleição. 3. A Presidência compete à pessoa que ocupe a posição de direção, presidência ou cargo similar na Instituição ou Comissão Nacional de proteção de dados pessoais do respetivo membro da RIPD. 4. A Presidência é ocupada por um período de dois anos, podendo renovar-se por iguais períodos. Em todo o caso, as suas funções são exercidas até à nova eleição. 5. Compete à Presidência da RIPD: a) Representar a RIPD em todos os fóruns nacionais ou internacionais nos quais se tratem aspetos relacionados com a proteção de dados; b) Promover e apoiar nas Câmaras legislativas nacionais dos países do universo iberoamericano todas as iniciativas legislativas relativas à proteção de dados; c) Promover e representar a RIPD junto dos diferentes atores sociais que operam no espaço ibero-americano e cuja atividade incide sobre este direito fundamental; d) Presidir as reuniões do Comité Executivo. 6. A Presidência pode convocar, após consulta prévia aos membros do Comité Executivo, as reuniões que considere oportunas, a fim de debater, analisar ou resolver determinadas questões que não possam aguardar pelo EIPD seguinte. Artigo 9.º Comité Executivo 1. O Comité Executivo é constituído pela Presidência e por três Vogais membros da RIPD. O Secretariado Permanente da RIPD faz parte do mesmo como membro por inerência. 2. As pessoas que ocupam a Presidência e os Vogais não podem representar o mesmo país. 7
3. O mandato do Comité Executivo tem a mesma duração que o da Presidência. Decorrido o mesmo e por ocasião do Encontro Ibero-americano seguinte, são eleitos os novos membros. 4. O Comité Executivo tem as seguintes funções: a) Assistir aos EIPD e aos seminários setoriais que se realizem durante o ano de exercício e decidir sobre os temas relacionados com o funcionamento e as atividades da RIPD; b) Aprovar o programa de trabalho do ano de exercício seguinte e impulsionar todas as ações necessárias para a realização do próximo EIPD; c) Aprovar a constituição dos Grupos de Trabalho; d) Cooperar ativa e periodicamente com o Secretariado Permanente no desenvolvimento das suas funções; e) Atuar como revisor editorial das publicações submetidas. 5. As decisões do Comité Executivo são adotadas por consenso; quando este não for possível, são adotadas por maioria dos votos expressos, excluídas as abstenções. 6. As reuniões do Comité Executivo podem realizar-se, utilizando os meios tecnológicos adequados que permitam o desenrolar das mesmas sem necessidade de que os seus membros se desloquem a outro país. Artigo 10.º Secretariado Permanente 1. O Secretariado Permanente da RIPD é assegurado pela Agencia Española de Protección de Datos, que assume as tarefas de coordenação como órgão técnico e de seguimento das atividades da RIPD. 2. O Secretariado Permanente garante a continuidade institucional das tarefas e funções da RIPD. 3. O Secretariado Permanente assume as seguintes funções: a) Manter uma relação contínua com o Comité Executivo da RIPD; 8
b) Estabelecer contactos com organismos nacionais e internacionais, instituições relacionadas e de cooperação, a fim de gerir possíveis apoios técnicos e logísticos para o desempenho das atividades da RIPD; c) Concretizar, juntamente com os Grupos de Trabalho, as decisões e projetos aprovados nos EIPDs; d) Procurar uma comunicação aberta e o intercâmbio de informação entre os membros da RIPD, tendo em conta as suas iniciativas e propostas; e) Promover e coordenar as atividades dos Seminários e dos Grupos de Trabalho; f) Instruir os pedidos de admissão à RIPD de novos membros; g) Convocar e colaborar na organização dos EIPDs; h) Tramitar os convites a peritos e observadores dos EIPDs. Artigo 11.º Encontro Ibero-americano (EIPD) 1. O Encontro Ibero-americano é o órgão constituído por todos os membros da RIPD, que se realiza anualmente e tem o carácter de Assembleia Geral da mesma. 2. O EIPD tem a natureza de fórum de discussão direta e de adoção de decisões e documentos. 3. As reuniões do EIPD realizam-se segundo as modalidades de Sessão Aberta e Sessão Fechada. 4. Compete à Sessão Fechada: a) Eleger o Presidente da RIPD e o Comité Executivo; b) Definir a direção estratégica da RIPD; c) Estabelecer os Grupos de Trabalho apropriados; d) Debater e, consoante o caso, votar as resoluções e declarações propostas; e) Adotar os relatórios submetidos pelo Comité Executivo e pelos Grupos de Trabalho; 9
f) Decidir sobre a admissão e revisão da condição de membro da RIPD, em conformidade com as regras e princípios contidos neste Regulamento; 5. A Sessão Fechada é presidida pela Presidência da Rede, que pode delegá-la no Secretariado Permanente ou no representante da Cidade anfitriã. 6. As decisões da Sessão Fechada são adotadas por consenso e, quando tal não for possível, são adotadas por maioria dos votos expressos, excluídas as abstenções. 7. Cada país só pode expressar um voto. Quando assista à Sessão Fechada mais do que um membro do mesmo país, a autoridade nacional, após consulta com os outros membros em causa, expressará o voto. 8. A lista dos membros votantes é adotada no início de cada Sessão Fechada, sob proposta do Comité Executivo. Artigo 12.º Grupos de Trabalho 1. Pode ser decidida a criação de Grupos de Trabalho, os quais desenvolvem um trabalho sistemático e especializado por temas. 2. Os Grupos de Trabalho são constituídos por membros da RIPD e desenvolvem os trabalhos e projetos determinados em cada Encontro, dependendo a sua composição das matérias que lhes sejam atribuídas, assim como dos membros e interessados. Podem solicitar junto de entidades todo o tipo de informação necessária para o desenvolvimento da sua atividade. 3. Os Grupos de Trabalho podem ter um carácter temporário ou permanente, de acordo com as atividades que desenvolvam e segundo o que se decidir nos EIPDs. 4. Os Grupos de Trabalho devem reportar oportunamente ao Secretariado Permanente da RIPD os progressos feitos nos documentos de trabalho de que estejam incumbidos, e apresentar os seus resultados no EIPD seguinte ou nos Seminários respetivos, dependendo do conteúdo dos mesmos. 10
TÍTULO IV COOPERAÇÃO Artigo 13.º Princípio da cooperação 1. A RIPD promove o diálogo e a cooperação entre os seus membros como princípio basilar para garantir o cumprimento efetivo do direito à proteção de dados pessoais, bem como o desenvolvimento e aplicação adequados das respetivas legislações. 2. O princípio da cooperação abrange preferencialmente os contextos de formação e treino; intercâmbio de informação; transmissão de experiências; análise de projetos legislativos (cooperação legislativa) e exercício das respetivas competências de execução da legislação de proteção de dados pessoais. 3. A cooperação entre os membros da RIPD articula-se através dos seguintes mecanismos: a) Instrumentos básicos de cooperação; b) Instrumentos de cooperação reforçada. Artigo 14.º Instrumentos básicos de cooperação 1. É fomentado entre os membros da RIPD, através dos instrumentos que se considerem adequados, o intercâmbio de informação que seja de interesse comum. Em especial, a RIPD dispõe de um sítio de Internet como instrumento de difusão de notícias e atividades próprias da Rede. A sua gestão e manutenção competem ao Secretariado Permanente, em estreita coordenação com os membros da Rede. É igualmente impulsionada uma base de dados jurisprudencial com as decisões judiciais mais relevantes na área da privacidade e da proteção de dados pessoais. 2. É promovida a troca de experiências e, em geral, a formação e treino técnico do pessoal e autoridades das respetivas instituições e entidades. Com esse fim, são estimuladas a organização de visitas, oficinas, seminários, e outros atos conjuntos. 11
1. Acordos de colaboração. Artigo 15.º Instrumentos de cooperação reforçada Os membros da RIPD podem subscrever, com carácter bilateral ou multilateral, acordos de colaboração com o seguinte objeto: - Análise de projetos legislativos; - Intercâmbio de documentação; - Fomento de estudos e investigações; - Troca de experiências; - Formação; - Transmissão de experiências sobre sistemas de informação. 2. Mecanismos de cooperação na aplicação da legislação. De acordo com o que estabeleça o direito interno, e sobre a base do princípio da reciprocidade e do pleno respeito pelo direito à proteção de dados de carácter pessoal, as instituições e entidades membros da RIPD, com competências de execução e controlo, promovem o uso de instrumentos de cooperação para garantir o cumprimento efetivo da legislação de proteção de dados pessoais. Artigo 16.º Cooperação com outras Redes ou organizações afins São promovidas, mediante os mecanismos que se considerem mais adequados, as relações de colaboração com outras Redes ou fóruns que tenham objetivos afins aos da RIPD e, em especial, com aqueles que obtenham a condição de Observador. Disposição final No prazo de um ano, a contar a partir da aprovação da presente revisão, as entidades, organizações e pessoas que reúnam as condições e requisitos estabelecidos nos artigos 2.º a 6.º do presente Regulamento manifestam a sua vontade expressa de adesão à RIPD, mediante pedido dirigido ao Secretariado Permanente, o qual, uma vez finalizado tal prazo, procede à publicação da lista de membros da RIPD e seu respetivo estatuto. O Secretariado Permanente elabora o respetivo modelo de pedido de adesão. Uma vez publicada a relação, decorre um período de 3 meses para que os afetados possam apresentar eventuais reclamações perante o Secretariado Permanente. 12