Escolar Documentos
Profissional Documentos
Cultura Documentos
Mireille M. Caruana
Para citar este artigo: Mireille M. Caruana (2017): A reforma do quadro de protecção de
dados da UE no contexto do sector da justiça criminal da polícia e: harmonização, o escopo, a
supervisão e fiscalização, Revista Internacional de Direito, Informática e Tecnologia, DOI:
10,1080 / 13.600.869,2017. 1370224
Para conectar-se a este artigo: http://dx.doi.org/10.1080/13600869.2017.1370224
As visualizações do artigo: 50
Visualizar dados de
Crossmark
Departamento de Direito Europeu e Comparado, da Faculdade de Direito, Universidade de Malta, Msida, Malta
HISTORIA DO ARTIGO
Recebeu 30 de abril de 2017
do quadro de protecção de dados da UE, Aceito 18 de agosto de 2017
e como estes podem ter impacto sobre o processamento de
PALAVRAS-CHAVE
dados na aplicação da lei e da justiça criminal. Ele analisa esses Proteção de dados; polícia
aspectos da directiva recentemente promulgada 2016/680 sobre e justiça criminal; Directiva
protecção de dados nos setores da polícia e da justiça penal que 2016/680
será determinante para a sua aplicação efectiva e coerente na
prática. Ele considera a medida em que os princípios
estabelecidos no Conselho da Europa Recomendação R (87) 15
que regulamenta a utilização de dados pessoais no sector da
polícia, foram mantidos, adaptado, reforçado, enfraquecido ou
abandonados na Directiva 2016/680. Certos problemas
decorrentes da directiva, para não mencionar o próprio meio de
uma directiva, separado do regulamento geral, como o
instrumento de escolha, poderia ser dito ter sido 'escrita na
parede', como evidenciado pelas discussões em curso no grupo
de peritos da Comissão sobre o Regulamento 2016/679 e da
Directiva 2016/680 (E03461) em, por exemplo, a questão
complicada de delimitação entre a Directiva 2016/680 e do
Regulamento Geral de Protecção de Dados (2016 / 679),
supervisão e execução; em particular, assegurar o controlo
pelas autoridades de supervisão independentes e
transferências internacionais e transferências para festas
que, embora considerado pelo autor para ser imperfeito, no entanto, 'comunica
relativamente bem - e muito melhor do que ‘a protecção de dados’ - um dos interesses
centrais em jogo' (2014, 29), uma vez que 'protecção de dados' aparece intimamente
relacionada com a segurança de dados e foi confundida com o último. Tendo em
mente a literatura sobre esse relacionamento e distinção, este artigo centra-se no
direito de protecção de dados, como o foco de análise é um exemplo de legislação
desenvolvido especificamente para defender o direito à protecção de dados no
contexto das atividades dos órgãos governamentais envolvidos na aplicação da lei. 1
Este artigo considera selecionar questões emergentes decorrentes da reforma do
quadro de Tection os dados da UE pró, e como estes podem ter impacto sobre o
processamento de dados na lei enforce- mento e do sector da justiça criminal. Ele
analisa esses aspectos da directiva recentemente promulgada 2016/680 sobre a
protecção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais pelas autoridades competentes para efeitos de prevenção, investigação,
detecção ou secution pro- de infracções penais ou a execução de sanções penais, e
à livre circulação desses dados ( «Directiva2016/680') Que será determinante para a
sua aplicação efectiva e coerente na prática. Este artigo não pretende realizar uma
análise dos princípios fundamentais da lei de protecção de dados, como concretizado
pela Directiva2016/680. Em vez disso, as questões foram selecionados a fim de obter
mais conhecimentos sobre as perspectivas de tiva Direc-2016/680em termos de
harmonização efectiva, aplicação e execução. O papelconsidera, assim, os pontos
fortes e fracos das disposições essenciais da directiva relativa ao nível de
harmonização, o escopo, supervisão e execução da lei de protecção de dados
relativos; em particular de controlo que garanta por autoridades independentes de
supervisão ( 'ISA'), e as transferências internacionais e transferências para festas
privadas. A conexão entre ment enforce- da legislação de protecção de dados e
de 2017
Harmonização
Na pesquisa anterior, no contexto dos trabalhos preparatórios sobre uma
modernização futuro do R (87) 15, Cannataci e Caruana (2014) Destacou as
variações nas leis dos Estados membros do Conselho da Europa, e também de que
2017
Escopo
Directiva 2016/680 é aplicável ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de prevenção, investigação, detecção e repressão de
infrações penais ou de execução de sanções penais, incluindo a salvaguarda contra
e a prevenção de ameaças à segurança pública (Art 0,2 (1) e Art.1 (1)). Decisão-
Quadro 2008/977 / JAI do Conselho relativa à protecção dos dados pessoais tratados
no âmbito da cooperação policial e judiciária em matéria penal ( "CFD2008/977/ JAI
'), que é revogadocom efeito desde 6 de Maio de 2018 e substituída pela Directiva
2016/680, é limitado no seu âmbito de processamento de dados cruzada fronteira
(excluindo as comunicações internas) (Art.1 (2)) e pós-Tratado Lisboa foi sem dúvida
devido redundantes com o desaparecimento do chamado 'pilar' da UE estrutura de
competências. Em outras palavras, ao contrário de CFD2008/977/ JAI do Conselho, a
Directiva2016/680 abrange também o processamento doméstico ou nacional. Em
termos de escopo, portanto, a directiva é uma melhoria sobre o instrumento da UE
que a precedeu. No entanto, também deve-se ter em mente que este alargamento
do âmbito só acrescenta valor na medida em que a directiva aumenta
substancialmente o nível de protecção de dados nesta área. Além disso, como já
mencionado, infelizmente, o processo de reforma não assegurou que as regras de
protecção de dados uniforme aplica em todas as áreas do direito da UE (como
observado por Lynskey2015, 93), e tem como resultado deu origem a problemas
relacionados com a delimitação entre a Directiva 2016/680 eo PIBR.
A questão da delimitação entre a Directiva 2016/680 ea PIBR está provando ser
complicado. Directiva 2016/680 é aplicável ao tratamento de dados pessoais pelas
autoridades competentes ( 'âmbito de aplicação pessoal'), para efeitos de prevenção,
investigação, detecção e repressão de infrações penais ou de execução de sanções
penais, incluindo a salvaguarda contra e a prevenção de ameaças à segurança
pública ( 'âmbito de aplicação material'). Ele define 'autoridades competentes' como
8 MM CARUANA
por parte das empresas aéreas, o PIBR se aplica às companhias aéreas como o
registo de identificação de passageiros ( 'PNR') os dados sejam recolhidos para fins
comerciais e tratados posteriormente, a fim de cumprir uma obrigação legal à qual o
10 MM CARUANA
O que importa é o significado preciso 'em nome'. Pode uma obrigação legal ser
imposta para processar 'em nome', de modo que o processamento por parte do
sector privado para os efeitos da directiva (tendo em mente que 'armazenamento' ou
retenção por si só já constitui um 'tratamento') poderia ser interpretado como sendo
" em nome das autoridades responsáveis pela aplicação da lei? E, portanto, devem
essas entidades do sector privado estar vinculado por um 'contrato ou outro acto
jurídico' (considerando 11)? compreensão deste autor é que, neste caso, o
organismo privado ou entidade, por exemplo, um operador de telecomunicações ou
financeira instituição,3
De acordo com esta leitura, se uma UIF não é considerado uma autoridade pública
competente para efeitos da directiva, conforme descrito no artigo 3º (7), ele também
pode cair para ser considerado como um processador nos casos em que ele
processa pessoal dados 'em nome da' tenda compe- autoridades nacionais 'para
efeitos de prevenção, investigação, detecção e repressão de infrações penais ou de
de 2017
presente recomendação,
12 MM CARUANA
O que é mais notável é a falta de clareza de alguns termos que são usados
frequentemente permutáveis habilmente, como 'ordem pública' ou 'segurança
pública'.
No que diz respeito âmbito de aplicação material, os efeitos da transformação sob
a Lavagem de quarta Anti Money ( 'AML') directiva (2015/849) É um sub-conjunto de
(mais estreita do que) os efeitos da Directiva 2016/680. A Quarta Directiva AML,
art.41 (1) prevê que o tratamento de dados pessoais ao abrigo da directiva está
sujeita à Directiva de Protecção de Dados ( «Directiva95/46'), Tal como foi transposta
para o direito nacional. O sub-parágrafo seguinte (2) que proporciona ainda:
Os dados pessoais devem ser processados por entidades obrigadas com base na
presente directiva só para os efeitos de prevenção de branqueamento de capitais e
financiamento do terrorismo, tal como referido no artigo 1, não devendo ser
posteriormente tratados de forma incompatível com essas finalidades.
Assim, parece que o processamento pela entidade obrigada, mesmo para um sub-
conjunto das poses pur- da Directiva 2016/680, cai a ser regulada pela Directiva
95/46 - território PIBR - como o 'âmbito de aplicação pessoal' não é conheceu. No
entanto, isso não se aplica necessariamente à UIF.
segurança nacional
A Directiva 2016/680 não se aplica ao tratamento de dados pessoais: 'no exercício
de actividades não sujeitas à aplicação do direito da União'.6 Art.2 (3) da Proposta de
Directiva relativa à protecção de dados nos setores de polícia e de justiça (COM
/2012/010final) (a seguir 'proposta') excluídos do seu âmbito do tratamento de dados
pessoais 'no exercício de actividades não sujeitas à aplicação do direito da União,
em particular a segurança nacional em matéria'. A refe- rência à segurança nacional
foi excluído do artigo 2º (3) no texto da directiva (2016/680), mas foi reinserido no
Considerando (14):
Uma vez que esta directiva não se aplica ao tratamento de dados pessoais no âmbito
de uma actividade que está fora do âmbito do direito da União, as actividades
relacionadas com a segurança nacional, as atividades de agências ou unidades que
tratam de questões de segurança nacional e ao tratamento de dados pessoais pelos
Estados-Membros no exercício de actividades que se inserem no âmbito do Capítulo 2
do Título V do Tratado da União Europeia (TUE) [disposições específicas relativas à
política externa e de segurança comum] não devem ser consideradas actividades
abrangidas pelo âmbito da presente directiva.
da União Europeia (TJUE ") segundo o qual 'embora seja para os Estados-Membros
a tomarem as medidas adequadas para garantir a sua segurança interna e externa,
o simples facto de uma decisão
16 MM CARUANA
processo penal
Transferido por [b-on: Biblioteca do Conhecimento on-line IPBeja] em 01:14 25 de setembro
- parece que deveria. Mais uma vez, o objetivo de regras harmonizadas é potencial-
mente prejudicada, eo A29WP considerou esta isenção do âmbito de sua aplicação
da directiva desaconselhável (2012, 27). Tal como acontece com a questão da
'segurança nacional', há um risco de que tais disposições podem criar 'buracos
negros', onde os Estados-Membros deixam de aplicar os direitos e obrigações de
de 2017
protecção de dados.
Além disso, a directiva prevê que os Estados-Membros devem impedir a sua ISA
a partir de operações de processamento vising super- de tribunais, quando agindo
na sua capacidade judicial (Directiva 2016/680 art.45 (2)). Novamente, não há
ambiguidade quanto ao quando os tribunais podem ser consideradas como 'exercício
da sua competência judicial', e, portanto, não sujeito a ISA escrutínio. É necessário
esclarecer que a relação entre o ISA e os tribunais deveriam ser, e em que cir-
cunstâncias tarefas de supervisão pode ser realizada (A29WP2012, 27).
Supervisão e repressão
Control - autoridades de supervisão
REVISÃO Internacional de Direito, Computadores & tecnologia 17
ISA, o que pode ser o ISA estabelecidos no âmbito do PIBR, ampliando a missão
dessas autoridades para contribuir para a aplicação coerente da directiva em toda a
UE (art.41 (3)). Um elemento essencial desta disposição é o caráter independente da
instituição exercer a supervisão das autoridades policiais. Esta exigência foi Reiter-
ated pelo TJUE (o primeiro caso era Comissão v Alemanha (C-518/07, 9.3.2010;. Cf.
Hüttl2012), Mais recentemente, no processo Comissão contra a Áustria (C-614/10,
2012/10/16), onde concluiu que, devido aos laços estreitos entre a Autoridade de
Protecção de Dados austríaca (Datenschutzkommisson) e da Chancelaria Federal, a
Autoridade não fez
cumprir os requisitos de independência definidos na Directiva 95/46.
Transferido por [b-on: Biblioteca do Conhecimento on-line IPBeja] em 01:14 25 de setembro
A justificativa para isso é descrito no considerando (80) da seguinte forma: 'a fim de
salvaguardar a independência dos juízes no exercício das suas funções judiciais'. No
entanto, isso levanta questões de interpretação e alcance, por exemplo,
especialmente considerando as diferenças importantes em sistemas judiciais entre
Estados-Membros, nem sempre é claro quando e se os promotores públicos são
'autoridades judiciais independentes', bem como, quando e que ponto suas
atividades constituem 'actividades judiciais' (AEPD2015a, 8). A AEPD teve
ommended reco- - com referência ao considerando 55 da proposta - manter
actividades judiciais 'genuínas' do termo, que foi suprimido pelo Conselho, mas esta
recomendação não fazê-lo com o texto da Directiva 2016/680.
Considerando 80 afirma ainda que 'Em qualquer caso, o cumprimento das regras
deste tiva Direc- pelos tribunais e outras autoridades judiciais independentes está
sempre sujeito a um controlo independente em conformidade com o artigo 8 (3) da
REVISÃO Internacional de Direito, Computadores & tecnologia 19
razão aparente para limitar os poderes do ISA fora deste contexto específico. Pelo
contrário, forte supervisão da polícia é sem dúvida mais importante do que em outros
ramos do governo, como as atividades da polícia impacto significativo sobre os
direitos de protecção de dados individuais e da liberdade social. Embora os dados
22 MM CARUANA
consulta prévia
Uma primeira expressão de 'consulta antes' é encontrado em R (87) 15, o qual
proporciona que o organismo responsável deve consultar o ISA previamente em
qualquer caso em que a introdução de métodos de processamento automatizado
levanta questões sobre a aplicação do dação Reco- ( princípio 1.3). Directiva
2016/680 Art.28 (1) introduz a obrigação para a legislação nacional Europeia para o
controlador / processador para realizar tal consulta prévia ao tratamento de dados
pessoais que fazem parte de um novo sistema de arquivamento criado em que:
(a) uma avaliação de impacto de protecção de dados, tal como previsto no artigo 27
indica que o processamento resultaria em um risco elevado na ausência de
medidas tomadas pelo troller con- para mitigar o risco; ou
(b) o tipo de processamento, em particular, onde a utilização de novas tecnologias,
mecanismos ou procedimentos, envolve um risco elevado para os direitos e
liberdades das pessoas em causa.
Directiva 2016/680 Art.28 (2) prevê que o ISA também devem ser consultados
durante a preparação de uma proposta de medida legislativa a ser adotada por um
parlamento nacional ou de uma medida reguladora com base em uma medida
legislativa, que se refere a em processamento.
Directiva 2016/680 Art.28 (3) prevê ainda que os Estados-Membros devem prever
que o ISA pode estabelecer uma lista das operações de tratamento que estão sujeitos
de 2017
Cooperação e consistência
O crescimento exponencial da troca de informações entre a aplicação da lei nacional
e autoridades judiciais requer abordagens harmonizadas, bem como garantias de
que as medidas de aplicação de um ISA num Estado-Membro não seja contornada
se os dados são processados em outro Estado-Membro. Além disso, uma estreita
cooperação das ISA poderia facilitar a utilização de dados pessoais no âmbito de
processos judiciais com um elemento transfronteiriço. Por estas razões, a
cooperação entre as ISA nacionais, e entre estes ea Comissão, para garantir a
REVISÃO Internacional de Direito, Computadores & tecnologia 23
mais limitado. A directiva reconhece que a cooperação entre as ISA faz sentido, mesmona
área da cooperação judiciária (considerando (83) e Art.50) e policial. Directiva
2016/680 Art.50 à assistência mútua é trazida em linha com Art.61 ( 'assistência
mútua') PIBR, Comparada com a disposição equivalente da proposta que não foi tão
alinhados. Art.50 (8) prevê que a Comissão pode, por meio de actos de execução,
especifique o formato e as modalidades de assistência mútua e as modalidades de
troca de informa- ções por meios electrónicos entre ISA e entre ISA e o EDPB. Isso
reflete a posição da abordagem geral do Conselho, e não assumir a recomendação
da AEPD ter a EDPB ser responsável por isso, em vez da Comissão (AEPD2015b,
318).
Transferido por [b-on: Biblioteca do Conhecimento on-line IPBeja] em 01:14 25 de setembro
Soluções e sanções
Directiva 2016/680 prevê recursos disponíveis para a pessoa em causa: é possível
recorrer ao ISA, ou ao tribunal competente nacional ( 'recurso judicial eficaz'). O
primeiro é exercido sem prejuízo do último, ou de qualquer outro recurso
administrativo (Art.52); o último é exercido sem prejuízo do 'qualquer outro recurso
administrativo ou não judicial' (Art.53 e Art.54). Ele também prevê um recurso judicial
dis- poníveis para o controlador / processador contra uma decisão juridicamente
REVISÃO Internacional de Direito, Computadores & tecnologia 25
vinculativa da ISA. Finalmente, o próprio ISA tem posição legal junto dos tribunais
nacionais competentes.
26 MM CARUANA
Por sua vez, cada ISA deve ter o poder de trazer violações das disposições
adoptadas nos termos da Directiva 2016/680 à atenção das autoridades judiciais e,
quando apropriado, para iniciar ou participar em processos judiciais, a fim de fazer
cumprir as disposições adoptadas nos termos da directiva (Directiva 2016/680, Art.47
(5)).
Directiva 2016/680 prevê que qualquer pessoa que tenha sofrido danos materiais
ou não materiais, como resultado de um tratamento ilícito ou de qualquer ato infringir
disposições nacionais adoptadas nos termos da directiva deve ter o direito de receber
uma compensação para o dano sofrido com a controlador ou qualquer outra
autoridade competente de acordo com a lei do Estado-Membro (Directiva 2016/680,
Transferido por [b-on: Biblioteca do Conhecimento on-line IPBeja] em 01:14 25 de setembro
Art.56).
A directiva prevê também que os Estados-Membros devem 'estabelecer as regras
relativas às sanções aplicáveis às violações das disposições adoptadas nos termos
da directiva' e tomar todas as medidas necessárias para assegurar a sua aplicação;
as sanções previstas devem ser eficazes, proporcionadas e dissuasivas (Directiva
2016/680, Art.57). A ISA tem nenhum poder específico no âmbito da Directiva
2016/680 de aplicar sanções. Sob o PIBR o ISA é fornecido com o poder 'corretiva'
para impor uma 'multa administrativa' (em conformidade com o Art.83), dependendo
das circunstâncias de cada caso concreto (Art.58 (2) (i)). Sob o PIBR, os Estados-
Membros devem também estabelecer as regras de outras sanções aplicáveis em
caso de infracção do regulamento, nomeadamente em caso de infracções que não
são sujeitos a admi- multas mentares em conformidade com o Art.83, e tomar todas
as medidas necessárias para assegurar a sua aplicação (PIBR, Art.84 (1)). Este é
um caso de fraqueza relativa do ISA no que diz respeito a operações de
processamento realizadas sob a directiva, quando comparado com a posição sob o
PIBR.
transferências internacionais
Esta seção lida com um aspecto da Directiva 2016/680 que envolve as leis em
jurisdições diferentes, como resultado da necessidade de fluxos transfronteiriços de
dados pessoais para a cooperação a nível internacional e aplicação da lei. O
julgamento em Schrems (C-362/14, 2015/10/06) confirma as condições rigorosas
para a transferência de dados pessoais a terceiros países. Directiva 2016/680 Art.35
fornece os princípios gerais relativas às transferências de dades Auth- competentes
de dados pessoais para países terceiros ou organizações internacionais - eles são
de 2017
arte.2015b, 256)). Em qualquer caso, um novo Art.39 também foi intro-duzido (pela
abordagem do Conselho geral, como Art.36aa) que trouxe uma 'derrogação' a esta
regra (discutido abaixo), apesar do fato de que a AEPD opôs fortemente qualquer
possibilidade de transferência e processamento de dados pessoais por países
terceiros ou internacional isations ganizações além do quadro já estabelecido pela
directiva proposta.
Art.36 da versão vazada previsto outras condições para a transferência de dados
pessoais para países terceiros ou de organizações internacionais, posteriormente
omitidos da Proposta cido pub-. A condição estabelecida pelo Art.36 (1) (a) que 'o
nível de protecção das pessoas singulares para a protecção de dados pessoais
garantidos na União pela presente directiva não seja prejudicada' reflete a condição
de R (87) 15 , Princípio 5.4 - 'desde que regulamentares internas para a proteção da
pessoa não sejam prejudicados'. Ele foi reintegrado no texto final da Directiva
2016/680, Art.35 (3): 'Todas as disposições do presente capítulo devem ser aplicadas
a fim de garantir que o nível de protecção das pessoas singulares assegurada pela
presente directiva não seja prejudicada.'
Quando comparado com a disposição equivalente da proposta e da Directiva
2016/680, Art.36 (1) (b) da versão vazada colocado ênfase no requisito da
necessidade para um propósito a aplicação da lei para cada transferência específica.
Em relação ao artigo 36 (2) da versão vazada, é importante notar que não seria
permitido ao abrigo deste instrumento para as autoridades policiais ou judiciais para
transferir dados a nível internacional, na ausência de uma decisão quacy ade-, ou no
ausência de salvaguardas adequadas onde tal foram aduzidos em um instrumento
juridicamente vinculativo. Estas disposições foram significativamente enfraquecida.
Não só a Directiva 2016/680 alterar a primeira base sobre a qual as transferências
internacionais são permitidas sob R (87) 15, isto é, uma disposição legal clara, mas
de 2017
É digno de nota que Art.36 (2) (a) não é orientada para 'a transferência de dados
Transferido por [b-on: Biblioteca do Conhecimento on-line IPBeja] em 01:14 25 de setembro
destina-se'. É também digno de nota que uma decisão de adequação emitido sob a
PIBR não será aplicável a transferências no contexto da directiva, e vice-versa (a
referência à PIBR foi removido).
No que diz respeito transferências por meio de salvaguardas adequadas, na ausência
de uma Comissãodecisão de adequação, a Directiva 2016/680 art.37 estabelece que
as salvaguardas apropriadas necessárias antes de transferências internacionais
pode ser feita através de um instrumento juridicamente vinculativo, por exemplo, um
acordo internacional. Em alternativa, o controlador de dados pode, com base numa
avaliação das circunstâncias que envolvem a transferência, concluir da existência de
tais garantias. A directiva prevê que o controlador deve informar o ISA sobre
'categorias de transferências' sob a segunda alternativa (art.37 (2)). Quando uma
transferência baseia-se esta disposição, essa transferência deve ser documentado
ea documentação disponibilizada ao ISA, a pedido, incluindo a data ea hora da
transferência, informa- ções sobre a autoridade competente receber, a justificação
para a transferência e os dados pessoais transferidos (art.37 (3)). Estes representam
salvaguardas adicionais, mas são sem dúvida insuficientes em si mesmos. Uma
avaliação pelo controlador por si só não deve ser considerada como uma salvaguarda
adequada e suficiente para permitir transferências para um país terceiro, ou uma
organização internacional, numa base sistemática ou estrutural, pois proporciona
proteção insuficiente para as pessoas em causa. Esta é também a opinião da AEPD
(2012, Para. 413-414). Em contraste, em tais casos PIBR Art.46 (3) fornece de
autorização prévia de ISA. Os AEPD (2012, Para. 415) tinha fortemente
recomendado exclusão de propostas Art.35 (1) (b) (Directiva 2016/680 art.37 (1) (b))
ou, no mínimo, o que requer a ização autori- antes do AHI. A AEPD tinha
recomendado assegurar que a transferência de dados pessoais sem uma decisão de
adequação será limitada a situações em que existe um instrumento juridicamente
de 2017
ocorrer por derrogação do Art.36 (transferências com uma decisão quacy ade-) e
art.37 (transferências por meio de salvaguardas apropriadas ) com a condição de que
a transferência é necessário:
REVISÃO Internacional de Direito, Computadores & tecnologia 33
2016/680 Art.38 - não continha os motivos enumerados no Art.38 (d) e (e), que
prevêem as derrogações mais amplas. A débil tentativa de compensar é feita no
Art.38 (2) que pro- vides: 'Os dados pessoais não serão transferidos se a autoridade
competente a transferência deter- minas que os direitos e liberdades fundamentais
da pessoa em causa em questão sobrepor o interesse público na transferência
estabelecido nas alíneas (d) e (e) do n.º 1.'
No que diz respeito derrogações Comissão art.34 proposta e Art.35 (equivalente
a Directiva 2016/680 Art.36 e art.37), a AEPD havia enfatizado que qualquer
derrogação usada para justificar uma transferência deve ser interpretado
restritivamente e não devem permitir que o Quent fre-, transferência maciça e
estrutural dos dados pessoais. Deve ficar claro que um caso individual não deve
permitir transferências por atacado de dados e deve ser limitado a dados estritamente
necessários. Isto aplica-se igualmente a qualquer transferência justificada por uma
ameaça imediata e grave à segurança pública, conforme mencionado na Proposta
Art.36 (c), o equivalente a Directiva 2016/680 Art.38 (c). Este foi esclarecido na
Directiva 2016/680 considerando (72), que dispõe que: '[...] Essas derrogações
devem ser interpretadas restritivamente e não devem permitir que quent fre-,
transferências maciças e estruturais de dados pessoais, ou transferências em larga
escala de dados, mas deve ser limitado a dados estritamente necessários. [...]' A
título de salvaguardas adicionais, a Directiva 2016/680 Art.38 (3) prevê que, se uma
transferência é baseada em uma derrogação, tal deve ser documentado ea
documentação disponibilizada ao ISA, a pedido, incluindo a data e momento da
transferência, as informações sobre a autoridade petente com- receber, a justificação
para a transferência e os dados pessoais transferidos.
Directiva 2016/680 Art.39 derrogação à regra geral encontrada no Art.35 (1) (b) que
fers trans são feitas para uma autoridade ( 'controller') num país terceiro ou
organização internacional que é competente para efeitos da directiva. Em casos
individuais e específicos, fers trans podem ser feitas pelas autoridades competentes
referidas no artigo 3º (7) (a) (autoridades públicas) para festas privadas. Este é
fornecido como uma opção ( 'direito da União ou Estado-Membro pode fornecer ...') e
não cria uma obrigação para os Estados-Membros. O artigo não derroga os acordos
internacionais existentes (por exemplo mútuos laços assistência Tratados que legais
( 'MLAT')), e todas as outras disposições da directiva precisam ser cumpridas para
que uma transferência seja lícita. As condições para as transferências previstas no
presente artigo incluem os requisitos documen- tação e a obrigação de informar o
ISA (autorização não é necessária). O grupo de peritos da Comissão observou que,
34 MM CARUANA
embora presente artigo deve ser uma exceção, ele pode se tornar uma regra em
determinadas situações, como em situações de urgência no combate ao crime
cibernético, onde há uma necessidade de preservação de dados, ou na luta contra a
fraude de cartão de crédito .
REVISÃO Internacional de Direito, Computadores & tecnologia 35
Também, mas mais excepcionalmente, este artigo pode ser usado para entrar em
contato com as companhias aéreas durante uma transferência de um prisioneiro.
Não havia equivalente do presente artigo na proposta. Foi introduzido pelo
Conselho (como Art.36 (aa)), e as suas disposições foram feitas de forma incremental
mais rigorosa da sua primeira para a sua encarnação final ( 'somente se as outras
disposições da presente directiva sejam cumpridos e todas as seguintes condições
são cumprida'(dos quais existem cinco - Art.39 (1) (a) - (e))). No entanto, a
recomendação específica da AEPD (2015a, 9;2015b, 274 (recomendação para uma
Art.36aa (2) (c))) requerendo
Transferido por [b-on: Biblioteca do Conhecimento on-line IPBeja] em 01:14 25 de setembro
não foi levado a bordo. As condições mais rigorosas previstas pela AEPD qual
transferênciaspara uma festa privada só pode ter lugar sem prejuízo das condições
que estão actualmente previstas no R (87) 15 princípio 5.3 sobre 'Comunicação a
particulares' não foram cumpridas. Com relação ao Art.40, que prevê que, em
relação a países terceiros e organizações inter- nacionais, a Comissão e os Estados-
Membros devem 'tomar medidas adequadas' para cooperar internacionalmente, a
AEPD recomendou que o EDPB e, eventualmente, as normas de auditoria tomar tal
medidas adequadas. Esta recomendação também foi
não tidas em conta.
Conclusão
Este trabalho tem incidido sobre os aspectos de harmonização, o escopo, supervisão
e ment enforce- da Directiva 2016/680, sendo áreas de pista, em termos de coerência
e eficácia da aplicação da directiva, ainda gerando notável incerteza e debate no
contexto do processo de de transposição da directiva e eventual aplicação a nível
nacional. No geral, a directiva recentemente promulgada parece bem posicionada
para alcançar uma melhoria signi- ficativa sobre o que se passou antes, apesar das
36 MM CARUANA
Notas
de 2017
declaração de divulgação
Nenhum potencial conflito de interesse foi relatado pelo autor.
ORCID
Mireille M. Caruana http://orcid.org/0000-0002-1943-5413
Referências
Artigo 29.º Protecção de Dados.2012. “Parecer 01/2012 sobre as propostas de reforma de
Protecção de Dados.” Adoptada em 23 de Março de 2012. 00530/12 / PT WP 191.
Artigo 29.º Protecção de Dados. 2015. “Parecer 03/2015 sobre o projecto de directiva relativa
à protecção das pessoas no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de prevenção, investigação, detecção e repressão de
infracções penais ou de execução de sanções penais, e à livre circulação de tais
dados.”adoptada em 1 de Dezembro de 2015. 3211/15 / PT WP 233.
Boehm, Franziska.2012. Partilha de Informação e Proteção de Dados no Espaço de Liberdade,
Segurança eJustiça. Berlin: Springer.
Bygrave, Lee A.2014. Lei de Privacidade de Dados: Uma Perspectiva Internacional. Oxford:
Oxford University Press. Cannataci, Joseph A., e Mireille M. Caruana.2014. T-PD (2013) 11
Recomendação R (87) 15 -
Vinte e cinco anos para baixo da linha. Estrasburgo, 18 de Fevereiro.
Cocq, Céline C.2016. “Regras de proteção de dados da UE que aplicam a Aplicação da Lei
Atividades: Rumo a umaHarmonizada Quadro Legal “New Journal of European Criminal Law
7 (3):? 263-276.
Decisão-Quadro 2008/977 / JAI do Conselho, de 27 de Novembro de 2008 sobre a protecção dos
dados pessoaistratados no âmbito da cooperação judiciária em matéria penal, JO L 350/60
de polícia e, 30 de Dezembro de 2008.
de 2017
Recomendação do Conselho da Europa 87 (15) regula a utilização de dados pessoais no sector da polícia.
Adoptada pelo Comité de Ministros em 17 de Setembro de 1987.
de Hert, Paul, e Serge Gutwirth.2006. “A privacidade, protecção de dados e da aplicação da lei.
Opacidade do indivíduo e Transparência do Poder.”Em Privacidade e Direito Penal, editado por
E. Claes, A.Duff, e S. Gutwirth, 61-104. Antuérpia: Intersentia.
de Hert, Paul, e Vagelis Papakonstantinou.2016. “The New Policial e Criminal Directiva de
Protecção de Dados Justiça: uma primeira análise.” New Journal of European Criminal Law
7 (1): 7-19.
Directiva 95/46 / CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa
à protecção das pessoas no que respeita ao tratamento de dados pessoais e à livre
circulação desses dados, JO L 281/31, 23.11. 1995.
Directiva (UE) 2015/849 do Parlamento Europeu e do Conselho, de 20 de maio de 2015 sobre
a intervenção pré-da utilização do sistema financeiro para efeitos de branqueamento de
capitais e cing finan- terrorista, que altera o Regulamento (UE) n.º 648 / 2012 do Parlamento
Europeu e do Conselho, e que revoga a Directiva 2005/60 / CE do Parlamento Europeu e
40 MM CARUANA