Decisão da Comissão

de 26 de Julho de 2000

nos termos da Directiva 95/46/CE do Parlamento Europeu e do Conselho e relativa ao nível de protecção adequado dos dados pessoais na Suíça

[notificada com o número C(2000) 2304]

(Texto relevante para efeitos do EEE)

(2000/518/CE)

A COMISSÃO DAS COMUNIDADES EUROPEIAS,

Tendo em conta o Tratado que institui a Comunidade Europeia,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados(1) e, nomeadamente, o n.o 6 do seu artigo 25.o,

Considerando o seguinte:

(1) Nos termos da Directiva 95/46/CE, os Estados-Membros devem prever que a transferência de dados pessoais para um país terceiro só pode realizar-se se o país terceiro em questão assegurar um nível de protecção adequado e a lei de execução dos Estados-Membros de outras disposições da directiva tiver sido respeitada antes de efectuada a transferência.

(2) A Comissão pode determinar se um país terceiro garante um nível de protecção adequado. Nesse caso podem ser transferidos dados pessoais a partir dos Estados-Membros sem que sejam necessárias garantias adicionais.

(3) Nos termos da directiva, a adequação do nível de protecção de dados deve ser apreciada em função de todas as circunstâncias que acompanham a operação de transferência de dados ou o conjunto de operações de transferência de dados, com relação a determinadas regras. O grupo de trabalho "Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais", criado pela referida directiva, estabeleceu directrizes para efectuar tal apreciação(2).

(4) Tendo em conta as diferentes concepções de protecção de dados existentes nos países terceiros, a verificação do carácter adequado dessa protecção e a aplicação de qualquer decisão ao abrigo do n.o 6 do artigo 25.o devem assentar em critérios que não criem desvantagens arbitrárias ou injustificadas a nenhum dos países terceiros em que existam condições similares e não constituam um obstáculo dissimulado ao comércio, atendendo aos compromissos internacionais actuais da Comunidade.

(5) Em matéria de protecção de dados pessoais, a Confederação Helvética dispõe de normas legais que produzem efeitos jurídicos vinculativos a nível federal e cantonal.

(6) A Constituição federal, alterada por referendo em 18 de Abril de 1999 e que entrou em vigor em 1 de Janeiro de 2000, confere a todas as pessoas o direito ao respeito da sua vida privada e, em especial, o direito de protecção contra a utilização abusiva dos dados que lhes digam respeito. O Tribunal federal já produziu entretanto, com base no texto anterior da constituição que não continha tal disposição, uma jurisprudência que fixa os princípios gerais aplicáveis aos tratamentos de dados pessoais relativa, designadamente, à qualidade dos dados tratados, ao direito de acesso das pessoas envolvidas e ao direito de solicitar a rectificação ou a destruição dos dados. Estes princípios impõem-se no que se refere tanto à federação como a cada cantão.

(7) A Lei federal suíça de 19 de Junho de 1992 sobre a protecção de dados entrou em vigor em 1 de Julho de 1993. As modalidades de aplicação de algumas disposições desta lei relativas, nomeadamente, ao direito de acesso das pessoas, à declaração dos tratamentos à autoridade de controlo independente ou à transferência de dados para o estrangeiro foram fixadas por despachos do Conselho federal. A lei aplica-se aos tratamentos de dados pessoais efectuados pelos órgãos federais e pelo conjunto do sector privado, bem como aos tratamentos efectuados pelos órgãos cantonais em aplicação do direito federal, na medida em que os cantões não sujeitem esses tratamentos a disposições cantonais de protecção de dados.

(8) A maior parte dos cantões adoptou legislação em matéria de protecção de dados nos domínios da sua competência, que dizem especialmente respeito aos hospitais públicos, à educação, aos impostos directos cantonais e à polícia. Nos demais cantões, a protecção de dados rege-se por actos de natureza regulamentar ou por princípios desenvolvidos pela jurisprudência. Independentemente da fonte e do conteúdo das disposições cantonais, ou na ausência destas, os princípios constitucionais atrás referidos devem ser respeitados. Nos domínios da sua competência, as entidades cantonais competentes podem ser obrigadas a transferir dados pessoais para administrações públicas de Estados limítrofes essencialmente com objectivos de assistência mútua, para salvaguarda de interesses públicos importantes ou, no caso dos hospitais públicos, com vista à protecção do interesse vital das pessoas envolvidas.

(9) Em 2 de Outubro de 1997, a Suíça ratificou a Convenção do Conselho da Europa para a protecção das pessoas singulares no que respeita ao tratamento informático dos dados pessoais (Convenção n.o 108)(3), que visa reforçar a protecção dos dados pessoais e garantir a livre circulação entre as partes contratantes, sem prejuízo de derrogações que estas possam prever. Sem ser directamente aplicável, a convenção fixa compromissos internacionais relativamente não só à federação, como aos cantões. Estes compromissos incidem quer sobre os princípios de base da protecção, que cada parte contratante deve respeitar no seu direito interno, quer sobre os mecanismos de cooperação entre as partes contratantes. Em particular, as entidades suíças competentes devem fornecer às entidades competentes das outras partes contratantes todas as informações que as mesmas solicitarem sobre o direito e a prática administrativa em matéria de protecção de dados, bem como informações de facto sobre um determinado tratamento automatizado. Devem igualmente prestar assistência a todas as pessoas que residam no estrangeiro quanto ao exercício, por parte destas, do direito de serem informadas da existência de um tratamento de dados que lhes digam respeito, do direito de acederem a esses dados e de, eventualmente, solicitarem a rectificação ou a destruição dos mesmos, e do direito de disporem da possibilidade de recurso.

(10) As normas legais aplicáveis na Suíça englobam todos os princípios de fundo necessários para a constatação de um nível de protecção adequado das pessoas singulares, embora estejam também previstas excepções e limitações para a salvaguarda de interesses públicos importantes. A aplicação dessas normas é garantida pela possibilidade de recursos jurisdicionais e pelo controlo independente exercido pelas entidades competentes, como seja o comissário federal dotado de poderes de investigação e intervenção. Por outro lado, em caso de tratamento ilícito que tenha causado dano, aplicam-se as disposições do direito suíço relativas à responsabilidade civil.

(11) Numa preocupação de transparência e para salvaguardar a competência das autoridades responsáveis dos Estados-Membros no sentido de garantir a protecção das pessoas, no que se refere ao tratamento dos respectivos dados pessoais, é necessário especificar na decisão as circunstâncias excepcionais em que a suspensão de determinados fluxos de dados se justifica, não obstante o facto de o nível de protecção dos dados pessoais ser considerado adequado.

(12) Os pareceres emitidos pelo grupo de trabalho "Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais", criado pelo artigo 29.o da Directiva 95/46/CE, sobre o nível de protecção facultado pela legislação suíça, foram tidos em conta na preparação da presente decisão(4).

(13) As medidas previstas pela presente decisão estão em conformidade com o parecer do comité estabelecido pelo artigo 31.o da Directiva 95/46/CE,

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

Nos termos do n.o 2 do artigo 25.o da Directiva 95/46/CE, para efeitos de todas as actividades abrangidas pelo âmbito da directiva, considera-se que a Suíça oferece um nível de protecção adequado dos dados pessoais transferidos a partir da União Europeia.

Artigo 2.o

A presente decisão diz respeito tão só ao nível adequado de protecção previsto na Suíça, a fim de dar cumprimento ao disposto no n.o 1 do artigo 25.o da Directiva 95/46/CE, e não afecta a aplicação de outras disposições da referida directiva, relativas ao tratamento de dados pessoais nos Estados-Membros.

Artigo 3.o

1. Sem prejuízo da competência para tomar medidas que garantam o cumprimento das disposições nacionais adoptadas por força de outras disposições além das previstas no artigo 25.o da Directiva 95/46/CE, as autoridades competentes dos Estados-Membros podem exercer as suas competências para suspender a transferência de dados para um destinatário na Suíça, a fim de proteger as pessoas no que respeita ao tratamento dos seus dados pessoais, nos casos seguintes:

a) A entidade suíça constatou que o destinatário não respeita as normas de protecção aplicáveis; ou

b) Existem fortes probabilidades para supor que os princípios não estão a ser respeitados. Há indícios de que a autoridade suíça competente não tomou ou não tomará as medidas adquadas na altura necessária para resolver o caso em questão, que a continuação da transferência dos dados pode causar graves prejuízos às pessoas em causa e que as entidades competentes nos Estados-Membros envidaram esforços razoáveis, dadas as circuntâncias, para facultar ao responsável pelo tratamento de dados, estabelecido na Suíça, a informação e para lhe dar a possibilidade de responder.

A suspensão cessará assim que o respeito pelas normas de protecção estiver assegurado e a autoridade competente em questão na Comunidade seja disso informada.

2. Os Estados-Membros informarão de imediato a Comissão sobre a adopção de medidas nos termos do n.o 1.

3. Os Estados-Membros e a Comissão manter-se-ão mutuamente informados relativamente aos casos em que as medidas tomadas pelos organismos responsáveis pelo cumprimento das normas de protecção na Suíça não sejam de molde a garantir esse cumprimento.

4. Se a informação recolhida nos termos dos n.os 1, 2 e 3 demonstrar que os organismos responsáveis pelo cumprimento das normas de protecção na Suíça não cumprem eficazmente as suas obrigações, a Comissão informará desse facto a autoridade suíça competente e, se necessário, apresentará um projecto de medidas a tomar em conformidade com o procedimento referido no artigo 31.o da Directiva 95/46/CE, para revogar ou suspender a presente decisão ou limitar o seu âmbito.

Artigo 4.o

1. A presente decisão poderá ser adaptada a qualquer momento, à luz da experiência adquirida com a sua aplicação ou de eventuais alterações na legislação suíça.

A Comissão avaliará a aplicação da presente decisão, com base nas informações disponíveis, três anos após a sua notificação aos Estados-Membros e comunicará ao comité previsto no artigo 31.o da Directiva 95/46/CE todas as conclusões pertinentes, e, nomeadamente, todas as provas que possam afectar a avaliação feita no artigo 1.o da presente decisão de que o nível de protecção de dados na Suíça é adequado nos termos do artigo 25.o da directiva e todas as provas de aplicação discriminatória da decisão.

2. A Comissão apresentará, se necessário, um projecto das medidas a tomar em conformidade com o procedimento previsto no artigo 31.o da Directiva 95/46/CE.

Artigo 5.o

Os Estados-Membros tomarão todas as medidas necessárias para dar cumprimento à presente decisão, o mais tardar até 90 dias após a data da sua notificação aos Estados-Membros.

Artigo 6.o

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 26 de Julho de 2000.

Pela Comissão

Frederik Bolkestein

Membro da Comissão

(1) JO L 281 de 23.11.1995, p. 31.

(2) Parecer 12/98 adoptado pelo grupo de trabalho em 24 de Julho de 1998: "Transferência de dados pessoais para países terceiros. Aplicação dos artigos 25.o e 26.o da directiva comunitária relativa à protecção dos dados" (DG MARKT D/5025/98), disponível no sítio web "Europa" da Comissão Europeia http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Parecer 5/99 aprovado pelo grupo de trabalho em 7 de Junho de 1999 (DG MARKT 5054/99), disponível no sítio web mencionado na nota de pé-de-página 2.