Decisão da Comissão

de 21 de Novembro de 2003

relativa à adequação do nível de protecção de dados pessoais em Guernsey

[notificada com o número C(2003) 4309]

(Texto relevante para efeitos do EEE)

(2003/821/CE)

A COMISSÃO DAS COMUNIDADES EUROPEIAS,

Tendo em conta o Tratado que institui a Comunidade Europeia,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados(1), e, nomeadamente, o n.o 6 do seu artigo 25.o,

Após consulta do Grupo de Trabalho "Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais"(2),

Considerando o seguinte:

(1) Nos termos da Directiva 95/46/CE, os Estados-Membros devem garantir que a transferência de dados pessoais para um país terceiro só possa realizar-se se o país terceiro em questão assegurar um nível de protecção adequado e as legislações nacionais dos Estados-Membros que transponham outras disposições da directiva tiverem sido respeitadas antes de efectuada a transferência.

(2) A Comissão pode determinar que um país terceiro garante um nível de protecção adequado. Nesse caso, podem ser transferidos dados pessoais a partir dos Estados-Membros sem que sejam necessárias garantias adicionais.

(3) Nos termos da Directiva 95/46/CE, a adequação do nível de protecção de dados deve ser apreciada em função de todas as circunstâncias que envolvem a operação de transferência de dados ou o conjunto de operações de transferência de dados, atendendo particularmente a determinados elementos pertinentes para a transferência enumerados no n.o 2 do artigo 25.o da referida directiva.

(4) Uma vez que existem diferentes níveis de protecção consoante os países terceiros, a adequação deve ser apreciada, e quaisquer decisões com base no n.o 6 do artigo 25.o da Directiva 95/46/CE devem ser tomadas e cumpridas, de forma a que não se verifique uma discriminação arbitrária ou injustificada contra ou entre países terceiros onde prevaleçam condições semelhantes, nem um obstáculo dissimulado ao comércio, tendo em conta os actuais compromissos internacionalmente assumidos pela Comunidade.

(5) O Bailiado de Guernsey é uma das dependências da Coroa Britânica (não fazendo parte do Reino Unido nem sendo uma das suas colónias) que goza de independência total, excepto no que se refere às relações internacionais e à defesa, que são da responsabilidade do Governo do Reino Unido. O Bailiado de Guernsey deve, por essa razão, ser considerado com um país terceiro na acepção da directiva.

(6) Com efeito a partir de Agosto de 1987, a ratificação do Reino Unido da Convenção do Conselho da Europa para a protecção das pessoas singulares no que respeita ao tratamento informático dos dados pessoais (Convenção n.o 108) foi alargada ao Bailiado de Guernsey.

(7) No que se refere ao Bailiado de Guernsey, as normas jurídicas relativas à protecção de dados pessoais, baseadas nas normas estabelecidas na Directiva 95/46/CE, foram implementadas através da Lei de protecção de dados do Bailiado de Guernsey de 2001, que entrou em vigor em 1 de Agosto de 2002.

(8) Em 2002, também foram adoptados em Guernsey dezasseis instrumentos regulamentares (ordens), fixando regras específicas relativas a questões como o acesso dos titulares dos dados, o tratamento de dados sensíveis e a notificação à autoridade de protecção de dados, instrumentos esses que são complementares em relação à lei.

(9) As normas jurídicas aplicáveis em Guernsey englobam todos os princípios de fundo necessários para a constatação de um nível de protecção adequado das pessoas singulares. A aplicação dessas normas é garantida pela possibilidade de recurso judicial e pelo controlo independente exercido pelas autoridades, como seja o Comissário para a protecção de dados dotado de poderes de investigação e intervenção.

(10) Deve portanto considerar-se que Guernsey assegura um nível adequado de protecção dos dados pessoais, na acepção da Directiva 95/46/CE.

(11) Num interesse de transparência e para salvaguardar a capacidade de as autoridades competentes nos Estados-Membros assegurarem a protecção das pessoas no que diz respeito ao tratamento de dados pessoais, é necessário precisar as circunstâncias excepcionais em que a suspensão de transferências concretas de dados se pode justificar, apesar de verificado o nível de protecção adequado.

(12) As medidas previstas pela presente decisão estão em conformidade com o parecer do Comité estabelecido pelo n.o 1 do artigo 31.o da Directiva 95/46/CE,

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

Para efeitos do n.o 2 do artigo 25.o da Directiva 95/46/CE, considera-se que o Bailiado de Guernsey assegura um nível adequado de protecção dos dados pessoais transferidos a partir da Comunidade.

Artigo 2.o

A presente decisão diz respeito à adequação do nível de protecção facultado em Guernsey, tendo em vista o cumprimento do disposto no n.o 1 do artigo 25.o da Directiva 95/46/CE, e não afecta as condições ou restrições que transponham outras disposições da referida directiva, no que se refere ao tratamento de dados pessoais nos Estados-Membros.

Artigo 3.o

1. Sem prejuízo das competências que lhes permitem agir para assegurar o respeito pelas disposições nacionais adoptadas em conformidade com medidas diferentes das enunciadas no artigo 25.o da Directiva 95/46/CE, as autoridades competentes dos Estados-Membros podem exercer as actuais competências para suspender a transferência de dados para um destinatário em Guernsey, por forma a assegurar a protecção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, sempre que:

a) Uma autoridade competente de Guernsey verifique que o destinatário desrespeita as normas de protecção aplicáveis; ou

b) Existam fortes probabilidades de as normas de protecção não estarem a ser cumpridas; existam motivos suficientes para crer que a autoridade competente de Guernsey não toma ou não tomará as decisões adequadas na altura devida para resolver o caso em questão; a continuação da transferência dos dados possa representar risco iminente de graves prejuízos para as pessoas em causa, embora as autoridades competentes nos Estados-Membros envidem esforços razoáveis, dadas as circunstâncias, para facultar à organização responsável pelo tratamento estabelecida em Guernsey a informação e a oportunidade de responder.

2. A suspensão cessará assim que o respeito das normas de protecção estiver assegurado e a autoridade competente do Estado-Membro em questão for disso informada.

Artigo 4.o

1. Os Estados-Membros devem informar imediatamente a Comissão da adopção de medidas nos termos do artigo 3.o

2. Os Estados-Membros e a Comissão devem ainda manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de protecção em Guernsey não garantam esse mesmo cumprimento.

3. Se a informação recolhida ao abrigo do artigo 3.o e dos n.os 1 e 2 do presente artigo revelar que os organismos responsáveis pelo cumprimento das normas de protecção em Guernsey não desempenham eficazmente as suas funções, a Comissão deve informar a autoridade competente de Guernsey e, se necessário, apresentar um projecto de medidas, de acordo com o procedimento referido no n.o 2 do artigo 31.o da Directiva 95/46/CE, para revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.

Artigo 5.o

A Comissão acompanhará a aplicação da presente decisão e informará o Comité criado em conformidade com o artigo 31.o da Directiva 95/46/CE de todas as conclusões pertinentes, nomeadamente de todas as provas que possam afectar a avaliação da adequação do nível de protecção facultado por Guernsey relativamente ao disposto no artigo 1.o da presente decisão, nos termos do artigo 25.o da Directiva 95/46/CE, e de todas as provas de aplicação discriminatória da presente decisão.

Artigo 6.o

Os Estados-Membros tomarão todas as medidas necessárias para dar cumprimento à presente decisão, no prazo de quatro meses após a data da sua notificação.

Artigo 7.o

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 21 de Novembro de 2003.

Pela Comissão

Frederik Bolkestein

Membro da Comissão

(1) JO L 281 de 23.11.1995, p. 31.

(2) Parecer 5/2003 sobre o nível de protecção de dados pessoais em Guernsey, adoptado pelo Grupo de Trabalho em 13 de Junho de 2003, disponível em http://europa.eu.int/comm/ internal_market/privacy/workingroup/ wp2003/wpdocs03_en.htm