32002D0016

Decisão da Comissão

de 27 de Dezembro de 2001

relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros, nos termos da Directiva 95/46/CE

[notificada com o número C(2001) 4540]

(Texto relevante para efeitos do EEE)

(2002/16/CE)

A COMISSÃO DAS COMUNIDADES EUROPEIAS,

Tendo em conta o Tratado que institui a Comunidade Europeia,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados(1), e, nomeadamente, o n.o 4 do seu artigo 26.o,

Considerando o seguinte:

(1) Nos termos da Directiva 95/46/CE, os Estados-Membros devem assegurar que a transferência de dados pessoais para um país terceiro só possa realizar-se se o país terceiro em questão garantir um nível adequado de protecção de dados e se a legislação dos Estados-Membros, que é conforme às outras disposições da directiva, tiver sido respeitada antes de efectuada a transferência.

(2) Contudo, o n.o 2 do artigo 26.o da Directiva 95/46/CE estipula que os Estados-Membros podem autorizar, sujeitos a determinadas garantias, uma transferência ou um conjunto de transferências de dados pessoais para países terceiros que não assegurem um nível de protecção adequado. Essas garantias podem, designadamente, resultar de cláusulas contratuais adequadas.

(3) Nos termos da Directiva 95/46/CE, o nível de protecção dos dados pessoais deve ser apreciado em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados. O grupo de trabalho de protecção das pessoas no que diz respeito ao tratamento de dados pessoais, instituído pela referida directiva(2), apresentou orientações destinadas a contribuir para essa apreciação(3).

(4) As cláusulas contratuais-tipo só se referem à protecção dos dados. O exportador de dados e o importador de dados podem incluir outras cláusulas sobre questões correlacionadas comercialmente que considerem pertinentes para o contrato desde que não contradigam as cláusulas contratuais-tipo.

(5) A presente decisão não deve impedir as autorizações nacionais que os Estados-Membros possam conceder em conformidade com as disposições nacionais nos termos do n.o 2 do artigo 26.o da Directiva 95/46/CE. A presente decisão apenas tem o efeito de requerer que os Estados-Membros não se recusem a reconhecer que as cláusulas contratuais nela estabelecidas oferecem garantias adequadas, não tendo, portanto, qualquer efeito sobre outras cláusulas contratuais.

(6) O âmbito da presente decisão limita-se a estipular que as cláusulas nela estabelecidas podem ser utilizadas por um responsável pelo tratamento de dados estabelecido na Comunidade, de modo a apresentar garantias adequadas, na acepção do n.o 2 do artigo 26.o da Directiva 95/46/CE, aquando de uma transferência de dados pessoais para um subcontratante estabelecido num país terceiro.

(7) A presente decisão deve executar a obrigação prevista no n.o 3 do artigo 17.o da Directiva 95/46/CE e não prejudica o conteúdo dos contratos ou actos jurídicos celebrados nos termos daquela disposição. Todavia, algumas das cláusulas contratuais-tipo, em especial no que respeita às obrigações do exportador de dados, devem ser introduzidas para aumentar a clareza no que se refere às disposições que podem ser incluídas num contrato entre um responsável pelo tratamento de dados e um subcontratante.

(8) As autoridades de controlo dos Estados-Membros desempenham um papel fundamental neste mecanismo contratual, assegurando a protecção adequada dos dados após a sua transferência. Nos casos excepcionais em que os exportadores de dados se recusem ou não possam dar instruções adequadas aos importadores de dados, podendo, dessa forma, prejudicar gravemente os titulares dos dados, as cláusulas contratuais-tipo devem permitir às autoridades de controlo realizar auditorias e, se for caso disso, tomar decisões vinculativas para os importadores de dados. As autoridades de controlo dos Estados-Membros devem ter o poder de proibir ou suspender uma transferência ou um conjunto de transferências de dados baseadas nas cláusulas contratuais-tipo, nos casos excepcionais em que se determine que uma transferência de base contratual possa ter um efeito adverso substancial nas garantias e obrigações que fornecem uma protecção adequada ao titular dos dados.

(9) No futuro, a Comissão também pode considerar se as cláusulas contratuais-tipo para a transferência de dados pessoais para subcontratantes estabelecidos em países terceiros que não ofereçam um nível adequado de protecção de dados, apresentadas pelas organizações empresariais e por outras partes interessadas, oferecem garantias adequadas em conformidade com o n.o 2 do artigo 26.o da Directiva 95/46/CE.

(10) A divulgação de dados pessoais a um subcontratante estabelecido fora da Comunidade é considerada uma transferência internacional protegida nos termos do capítulo IV da Directiva 95/46/CE. Por conseguinte, a presente decisão não abrange a transferência de dados pessoais efectuada por responsáveis pelo tratamento de dados estabelecidos na Comunidade para responsáveis pelo tratamento de dados estabelecidos fora da Comunidade que estejam abrangidos pelo âmbito de aplicação da Decisão 2001/497/CE da Comissão, de 15 de Junho de 2001, relativa às cláusulas contratuais-tipo aplicáveis às transferências de dados pessoais para países terceiros, nos termos da Directiva 95/46/CE(4).

(11) As cláusulas contratuais-tipo devem definir quais são as medidas de segurança técnicas e organizativas que um subcontratante estabelecido num país terceiro que não assegure uma protecção adequada deve aplicar para garantir um nível de segurança adequado em relação aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger. As partes devem incluir uma disposição no contrato relativa às medidas técnicas e organizativas que, atendendo à legislação sobre protecção de dados aplicável, aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, sejam necessárias para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados e contra qualquer outra forma de tratamento ilícito.

(12) Por forma a facilitar o fluxo de dados da Comunidade, é desejável que os subcontratantes que prestem serviços de tratamento de dados a vários responsáveis pelo tratamento de dados na Comunidade sejam autorizados a aplicar as mesmas medidas de segurança técnicas e organizativas qualquer que seja o Estado-Membro de onde provenha a transferência dos dados, em particular nos casos em que o importador de dados receba dados para tratamento posterior provenientes de diferentes estabelecimentos do exportador de dados na Comunidade, caso em que deve aplicar-se a legislação do Estado-Membro de estabelecimento designado.

(13) Convém estabelecer a informação mínima que as partes devem especificar no contrato relativo à transferência. Os Estados-Membros devem conservar o poder de especificar quais as informações que as partes devem fornecer. O funcionamento da presente decisão deve ser revisto à luz da experiência adquirida.

(14) O importador de dados deve tratar os dados pessoais transferidos apenas por conta do exportador de dados, mediante as suas instruções e as obrigações contidas nas cláusulas. Em particular, o importador de dados não deve comunicar os dados pessoais a terceiros, excepto em conformidade com determinadas condições. O exportador de dados deve dar instruções ao importador de dados ao longo da duração dos serviços de tratamento de dados para proceder ao tratamento dos dados de acordo com as suas instruções, a legislação sobre protecção de dados aplicável e as obrigações contidas nas cláusulas. A transferência de dados pessoais para subcontratantes estabelecidos fora da Comunidade não invalida o facto de as actividades de tratamento serem regidas, de qualquer modo, pela legislação sobre protecção de dados aplicável.

(15) As cláusulas contratuais-tipo devem ser passíveis de execução não apenas pelas organizações signatárias do contrato, mas também pelos titulares dos dados, em particular quando os titulares dos dados sofrerem danos em consequência de uma violação do contrato.

(16) O titular dos dados deve ter o direito de intentar uma acção e de, se for caso disso, obter uma indemnização do exportador de dados que é o responsável pelo tratamento dos dados pessoais transferidos. A título excepcional, o titular dos dados deve também ter o direito de intentar uma acção e, se for caso disso, obter uma indemnização do importador de dados, nos casos em que, com base numa violação por parte do importador de dados de qualquer das suas obrigações referidas no segundo parágrafo da cláusula 3, o exportador de dados tenha desaparecido de facto ou tenha sido legalmente extinto ou se tenha tornado insolvente.

(17) Em caso de conflito que não possa ser resolvido de forma amigável entre o titular dos dados, invocando a cláusula do terceiro beneficiário, e o importador de dados, o importador de dados deve acordar em conceder ao titular dos dados a escolha entre a mediação, a arbitragem e o litígio. Até que ponto o titular dos dados terá uma escolha efectiva deve depender da disponibilidade de sistemas fiáveis reconhecidos de mediação e arbitragem. A mediação das autoridades de controlo responsáveis pela protecção dos dados do Estado-Membro em que o exportador de dados está estabelecido deve ser uma opção, sempre que tal entidade faculte esses serviços.

(18) A lei aplicável ao contrato deve ser a do Estado-Membro em que o exportador de dados está estabelecido quando permita a um terceiro beneficiário executar um contrato. Os titulares dos dados devem poder ser representados por associações ou outros organismos se assim o desejarem e se a legislação nacional o permitir.

(19) O grupo de trabalho de protecção das pessoas no que diz respeito ao tratamento de dados pessoais, instituído em conformidade com o artigo 29.o da Directiva 95/46/CE, emitiu um parecer sobre o nível de protecção oferecido pelas cláusulas contratuais-tipo anexadas à presente decisão, o qual foi tomado em consideração na elaboração da mesma(5).

(20) As medidas previstas na presente decisão estão em conformidade com o parecer do comité instituído pelo artigo 31.o da Directiva 95/46/CE,

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

Considera-se que as cláusulas contratuais-tipo constantes do anexo oferecem garantias adequadas de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respectivos direitos, na acepção do n.o 2 do artigo 26.o da Directiva 95/46/CE.

Artigo 2.o

A presente decisão diz apenas respeito à adequação do nível de protecção concedido pelas cláusulas contratuais-tipo estabelecidas no anexo aplicáveis à transferência de dados pessoais para os subcontratantes. Não afecta a aplicação de outras disposições nacionais de transposição da Directiva 95/46/CE relativas ao tratamento de dados pessoais nos Estados-Membros.

A presente decisão aplica-se à transferência de dados pessoais efectuada por responsáveis pelo tratamento de dados estabelecidos na Comunidade para destinatários estabelecidos fora do território da Comunidade que actuem apenas como subcontratates.

Artigo 3.o

Para efeitos da presente decisão:

a) Aplicam-se as definições da Directiva 95/46/CE;

b) "Categorias especiais de dados" significa os dados a que se refere o artigo 8.o da citada directiva;

c) "Autoridade de controlo" significa a autoridade a que se refere o artigo 28.o da citada directiva;

d) "Exportador de dados" significa o responsável pelo tratamento que transfere os dados pessoais;

e) "Importador de dados" significa o subcontratante estabelecido num país terceiro que concorda em receber, do exportador, dados pessoais para serem tratados por conta deste depois da transferência, em conformidade com as suas instruções e nos termos da presente decisão e que não está sujeito a um sistema de um país terceiro que assegure uma protecção adequada;

f) "Legislação sobre protecção de dados aplicável" significa a legislação que protege os direitos e as liberdades fundamentais das pessoas singulares e, em particular, o seu direito à protecção da vida privada no que diz respeito ao tratamento dos seus dados pessoais, aplicável a um responsável pelo tratamento dos dados no Estado-Membro em que o exportador de dados está estabelecido;

g) "Medidas de segurança técnicas e organizativas" significa as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.

Artigo 4.o

1. Sem prejuízo das suas competências para tomar medidas que garantam o cumprimento das disposições nacionais adoptadas por força dos capítulos II, III, V e VI da Directiva 95/46/CE, as autoridades competentes dos Estados-Membros podem exercer as suas competências existentes para proibir ou suspender o fluxo de dados para países terceiros por forma a proteger as pessoas no que diz respeito ao tratamento dos seus dados pessoais, nos casos em que:

a) Seja determinado que a legislação a que o importador de dados está sujeito lhe impõe requisitos que lhe permitem derrogar a legislação sobre protecção de dados aplicável e que ultrapassam as restrições necessárias ao funcionamento de uma sociedade democrática tal como disposto no artigo 13.o da Directiva 95/46/CE, quando estes requisitos possam ter um efeito adverso substancial nas garantias fornecidas pela legislação sobre protecção de dados aplicável e pelas cláusulas contratuais-tipo, ou

b) Seja determinado, por uma entidade competente, que o importador de dados não respeitou as cláusulas contratuais em anexo, ou

c) Existam fortes probabilidades para supor que as cláusulas contratuais-tipo em anexo não estão a ser ou não virão a ser cumpridas e que a continuação da transferência dos dados pode causar graves prejuízos aos titulares dos dados.

2. A proibição ou suspensão, nos termos no n.o 1, serão levantadas assim que as razões para a suspensão ou proibição deixem de existir.

3. Quando os Estados-Membros adoptarem medidas em conformidade com o n.o 1 e o n.o 2, informarão o mais rapidamente possível a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 5.o

A Comissão avaliará o funcionamento da presente decisão com base na informação disponível três anos após a sua notificação aos Estados-Membros e apresentará um relatório sobre as conclusões do comité instituído pelo artigo 31.o da Directiva 95/46/CE, incluindo qualquer prova que possa afectar a avaliação no que diz respeito à adequação das cláusulas contratuais-tipo contidas no anexo e qualquer prova de que a presente decisão esteja a ser aplicada de forma discriminatória.

Artigo 6.o

A presente decisão aplica-se a partir de 3 de Abril de 2002.

Artigo 7.o

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 27 de Dezembro de 2001.

Pela Comissão

Frederik Bolkestein

Membro da Comissão

(1) JO L 281 de 23.11.1995, p. 31.

(2) O endereço na Internet do grupo de trabalho é o seguinte:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

(3) WP 4 (5020/97): "Primeiras orientações sobre as transferências de dados para países terceiros - eventual metodologia a adoptar para avaliar a adequação do grau de protecção", documento de trabalho adoptado pelo grupo de trabalho em 26 de Junho de 1997.

WP 7 (5057/97): "Documento de trabalho: Avaliação da auto-regulamentação por parte de um sector: em que casos contribui de forma significativa para o nível de protecção dos dados em países terceiros?", adoptado pelo grupo de trabalho em 14 de Janeiro de 1998.

WP 9 (5005/98): "Documento de trabalho: Observações preliminares relativas ao uso de cláusulas contratuais no contexto da transferência de dados pessoais para países terceiros", adoptado pelo grupo de trabalho em 22 de Abril de 1998.

WP 12: "Transferência de dados pessoais para países terceiros: aplicação dos artigos 25.o e 26.o da directiva comunitária relativa à protecção dos dados", adoptado pelo grupo de trabalho em 24 de Julho de 1998; disponível no website da Comissão Europeia:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm.

(4) JO L 181 de 4.7.2001, p. 19.

(5) Parecer n.o 7/2001 adoptado pelo grupo de trabalho em 13 de Setembro de 2001 (DG MARKT...), disponível no website "Europa" da Comissão.

ANEXO

>PIC FILE= "L_2002006PT.005702.TIF">

>PIC FILE= "L_2002006PT.005801.TIF">

>PIC FILE= "L_2002006PT.005901.TIF">

>PIC FILE= "L_2002006PT.006001.TIF">

Apêndice 1

>PIC FILE= "L_2002006PT.006102.TIF">

Apêndice 2

>PIC FILE= "L_2002006PT.006202.TIF">