Decisão da Comissão

de 30 de Junho de 2003

nos termos da Directiva 95/46/CE do Parlamento Europeu e do Conselho relativa à adequação do nível de protecção de dados pessoais na Argentina

(Texto relevante para efeitos do EEE)

(2003/490/CE)

A COMISSÃO DA COMUNIDADES EUROPEIAS,

Tendo em conta o Tratado que institui a Comunidade Europeia,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados(1), e, nomeadamente, o n.o 6 do seu artigo 25.o,

Considerando o seguinte:

(1) Nos termos da Directiva 95/46/CE, os Estados-Membros devem garantir que a transferência de dados pessoais para países terceiros só pode realizar-se se o país terceiro em questão assegurar um nível de protecção adequado e as legislações nacionais de execução de outras disposições da directiva tiverem sido respeitadas antes de efectuada a transferência.

(2) A Comissão pode determinar que um país terceiro garante um nível de protecção adequado. Nesse caso, podem ser transferidos dados pessoais a partir dos Estados-Membros sem necessidade de outras garantias.

(3) Nos termos da Directiva 95/46/CE, a adequação do nível de protecção de dados deve ser apreciada em função de todas as circunstâncias que envolvem a operação de transferência de dados ou o conjunto de operações de transferência de dados, atendendo particularmente a determinados elementos pertinentes para a transferência, enumerados no n.o 2 do artigo 25.o da referida directiva. O Grupo de Trabalho "Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais", criado pelo artigo 29.o da Directiva 95/46/CE, estabeleceu directrizes para efectuar tal apreciação(2).

(4) Uma vez que existem diferentes níveis de protecção consoante os países terceiros, a adequação deve ser apreciada, e quaisquer decisões com base no n.o 6 do artigo 25.o da Directiva 95/46/CE devem ser tomadas e cumpridas, de forma a que não se verifiquem discriminações arbitrárias ou injustificadas contra ou entre países terceiros, em que prevaleçam condições semelhantes, nem obstáculos dissimulados ao comércio, tendo em conta os actuais compromissos internacionalmente assumidos pela Comunidade.

(5) No que respeita à Argentina, as normas jurídicas relativas à protecção de dados pessoais estão previstas com carácter geral e sectorial. Ambas têm efeitos jurídicos vinculativos.

(6) As regras gerais estão consagradas na Constituição, na Lei n.o 25.326 sobre protecção de dados pessoais e no Decreto Regulamentar n.o 1558/2001 (em seguida denominados "lei argentina").

(7) A Constituição argentina prevê uma reparação judicial especial no que respeita à protecção de dados pessoais, conhecida por habeas data. Trata-se de uma subcategoria do processo consagrado na Constituição para a protecção dos direitos constitucionais, elevando, assim, a protecção de dados pessoais à categoria de direito fundamental. Em conformidade com o n.o 3 do artigo 43.o da Constituição, qualquer pessoa pode nos termos do habeas data tomar conhecimento dos dados a ela referentes e da sua finalidade, que constem em registos ou bancos de dados públicos, ou em registos ou bancos de dados privados destinados a fornecer informações. Em conformidade com o referido artigo, em casos de falsidade ou discriminação, a pessoa pode exigir a supressão, rectificação, confidencialidade ou actualização dos dados contidos nesses registos. Esse artigo não invalida o sigilo das fontes de informação jornalísticas. A jurisprudência argentina reconheceu o habeas data como um direito fundamental e directamente aplicável.

(8) A lei sobre a protecção dos dados pessoais de 4 de Outubro de 2000 (Lei n.o 25.326, em seguida denominada "lei") desenvolve e alarga as disposições constitucionais. Nela se incluem medidas relacionadas com os princípios gerais de protecção de dados, os direitos dos titulares dos dados, as obrigações dos responsáveis pelo tratamento dos dados e dos utilizadores dos dados, a autoridade ou o organismo de controlo, bem como medidas em matéria de sanções e de regras de processo relativas à reparação judicial habeas data.

(9) O Decreto Regulamentar n.o 1558/2001 de 3 de Dezembro de 2001 (em seguida denominado "regulamento") estatui regras para a aplicação da lei, completa as suas disposições e clarifica pontos da lei susceptíveis de interpretações divergentes.

(10) A lei argentina abrange a protecção de dados pessoais incluídos em arquivos, registos, bancos de dados ou outros meios técnicos, públicos; e a protecção de dados pessoais incluídos em arquivos, registos, bancos de dados ou outros meios técnicos, privados, destinados a fornecer informações. Isto inclui aqueles que excedem o uso exclusivamente pessoal e aqueles que têm como finalidade a cedência ou transferência de dados pessoais, independentemente de a circulação das informações ou a informação produzida ser realizada a título oneroso ou gratuito.

(11) Determinadas disposições da lei aplicam-se uniformemente em toda a Argentina. Estas incluem disposições gerais e disposições respeitantes aos princípios gerais de protecção de dados, direitos dos titulares de dados, obrigações dos responsáveis pelo tratamento dos dados e dos utilizadores de arquivos, registos e bancos de dados, e sanções penais, além de fixar a existência e as características principais da reparação de habeas data, tal como estabelecida na Constituição.

(12) Outras disposições da lei aplicam-se a registos, arquivos, bases ou bancos de dados interligados em redes de alcance interjurisdicional (ou seja, "interprovincial"), nacional ou internacional, que são considerados como abrangidos pela jurisdição federal. Tais disposições incluem a vigilância exercida pela autoridade de controlo, as sanções por ela impostas e as regras de processo relativas à reparação judicial habeas data. Outros tipos de registos, arquivos, bases ou bancos de dados devem ser considerados como abrangidos pela jurisdição provincial. As províncias podem emitir disposições jurídicas quanto a estas questões.

(13) As disposições em matéria de protecção de dados estão contidas numa série de instrumentos legais que regulam diferentes domínios, como as transacções por cartão de crédito, as estatísticas, a banca ou a saúde.

(14) A lei argentina abrange todos os princípios básicos necessários para assegurar um nível adequado de protecção das pessoas singulares, embora também preveja excepções e limitações de modo a salvaguardar interesses públicos importantes. A aplicação destas normas é garantida por uma reparação judicial rápida específica para a protecção de dados pessoais, conhecida como habeas data, juntamente com as reparações judiciais gerais. A lei prevê a criação de um organismo de controlo responsável pela protecção de dados encarregado de realizar todas as acções necessárias para dar cumprimento aos objectivos e às disposições da lei e dotado das competência de investigação e de intervenção. Nos termos do regulamento, a Direcção Nacional de Protecção de Dados Pessoais foi criada como organismo de controlo. A lei argentina prevê sanções dissuasivas eficazes de natureza tanto administrativa como penal. Por outro lado, as disposições da lei argentina no que respeita à responsabilidade civil (contratual e extra-contratual) aplicam-se no caso de tratamento ilícito prejudicial para as pessoas em causa.

(15) O Estado argentino apresentou explicações e deu garantias sobre o modo como a legislação argentina deve ser interpretada e garantiu que as regras de protecção de dados na Argentina são aplicadas de acordo com essa interpretação. A presente decisão baseia-se nessas explicações e garantias e, consequentemente, depende delas. Nomeadamente, a presente decisão é fundada nas explicações e garantias dadas pelas autoridades argentinas sobre o modo como deve ser interpretada a lei argentina relativamente às situações abrangidas pelo âmbito de aplicação da lei argentina em matéria de protecção de dados.

(16) Deve assim considerar-se que a Argentina assegura um nível adequado de protecção dos dados pessoais, nos termos da Directiva 95/46/CE.

(17) Num interesse de transparência e para salvaguardar a capacidade de as autoridades competentes nos Estados-Membros assegurarem a protecção das pessoas no que diz respeito ao tratamento de dados pessoais, é necessário precisar as circunstâncias excepcionais em que a suspensão de transferências concretas de dados se pode justificar, apesar de verificado o nível de protecção adequado.

(18) O parecer emitido pelo Grupo de Trabalho criado pelo artigo 29.o da Directiva 95/46/CE, sobre o nível de protecção de dados pessoais na Argentina, foi tido em conta na elaboração da presente decisão(3).

(19) As medidas previstas pela presente decisão estão em conformidade com o parecer do Comité estabelecido pelo n.o 1 do artigo 31.o da Directiva 95/46/CE,

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

Para efeitos do n.o 2 do artigo 25.o da Directiva 95/46/CE, considera-se que a Argentina assegura um nível adequado de protecção dos dados pessoais transferidos a partir da Comunidade Europeia.

Artigo 2.o

A presente decisão só diz respeito à adequação do nível de protecção facultado na Argentina, tendo em vista o cumprimento do disposto no n.o 1 do artigo 25.o da Directiva 95/46/CE, e não afecta as condições ou restrições decorrentes da execução de outras disposições da referida directiva, no que se refere ao tratamento de dados pessoais nos Estados-Membros.

Artigo 3.o

1. Sem prejuízo do poder de agir para assegurar o respeito das disposições nacionais adoptadas em conformidade com medidas diferentes das enunciadas no artigo 25.o da Directiva 95/46/CE, as autoridades competentes dos Estados-Membros podem suspender a transferência de dados para um destinatário na Argentina, por forma a assegurar a protecção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, sempre que:

a) a autoridade argentina competente verifique que o destinatário desrespeita as normas de protecção aplicáveis; ou

b) existam fortes probabilidades para supor que as normas de protecção não estão a ser cumpridas; existam motivos suficientes para crer que as autoridades competentes argentinas não tomam ou não tomarão as decisões adequadas na altura devida para resolver o caso em questão; a continuação da transferência dos dados possa representar risco eminente de graves prejuízos para as pessoas em causa, embora as autoridades competentes nos Estados-Membros envidem esforços razoáveis, dadas as circunstâncias, para facultar à organização responsável pelo tratamento estabelecida na Argentina a informação e oportunidade para responder.

A suspensão cessará assim que o respeito das normas de protecção estiver assegurado e a autoridade competente em questão na Comunidade Europeia seja disso informada.

2. Os Estados-Membros devem informar imediatamente a Comissão da adopção de medidas nos termos do n.o 1.

3. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de protecção na Argentina não garantam esse mesmo cumprimento.

4. Se a informação recolhida nos termos dos n.os 1, 2 e 3 demonstrar que os organismos responsáveis pelo cumprimento das normas de protecção na Argentina não desempenham eficazmente as suas funções, a Comissão deve informar as autoridades competentes argentinas e, se necessário, apresentar um projecto de medidas, de acordo com o processo referido no n.o 2 do artigo 31.o da Directiva 95/46/CE, para revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.

Artigo 4.o

1. A presente decisão pode ser alterada em qualquer altura, à luz da experiência obtida com a sua aplicação ou em caso de alterações da lei argentina, da sua execução e interpretação.

A Comissão acompanhará a aplicação da presente decisão e informará o Comité criado em conformidade com o artigo 31.o da Directiva 95/46/CE de todas as conclusões pertinentes, e nomeadamente de todos os elementos que possam afectar a avaliação da adequação do nível de protecção facultado pela Argentina relativamente ao disposto no artigo 1.o da presente decisão, nos termos do artigo 25.o da Directiva 95/46/CE, e de todos os elementos de aplicação discriminatória da presente decisão.

2. A Comissão apresentará, se necessário, projectos de medidas nos termos do processo referido no n.o 2 do artigo 31.o da Directiva 95/46/CE.

Artigo 5.o

Os Estados-Membros tomarão todas as medidas necessárias para dar cumprimento à presente decisão, o mais tardar cento e vinte dias após a data da sua notificação aos Estados-Membros.

Artigo 6.o

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 30 de Junho de 2003.

Pela Comissão

Frederik Bolkestein

Membro da Comissão

(1) JO L 281 de 23.11.1995, p. 31.

(2) Parecer 12/98, adoptado pelo Grupo de Trabalho em 24 de Julho de 1998: Transferência de dados pessoais para países terceiros: aplicação dos artigos 25.o e 26.o da directiva comunitária relativa à protecção dos dados (DG MARKT D/5025/98), disponível em Europa, o website da Comissão Europeia:

http://europa.eu.int/comm/ internal-market/en/dataprot/wpdocs/ wpdocs-98.htm

(3) Parecer 4/2002 sobre o nível de protecção dos dados pessoais na Argentina - WP 63 de 3 Outubro de 2002, disponível em http://europa.eu.int/comm/ internal-market/en/dataprot/wpdocs/ index.htm