Tratamento de Dados Pessoais e Livre Circulação de Dados

Directiva 95/46/CE, de 24 de Outubro – Tratamento de Dados Pessoais e Livre Circulação de Dados.

Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:31995L0046&from=PT

O PARLAMENTO EUROPEU O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o seu artigo 100° A,

Tendo em conta a proposta da Comissão (¹),

Tendo em conta o parecer do Comité Económico e Social (²),

Deliberando nos termos do procedimento previsto no artigo 189? B do Tratado (³),

(1) Considerando que os objectivos da Comunidade, enunciados no T-atado, com a redacção que lhe foi dada pelo Tratado da União Europeia, consistem em estabelecer uma união cada vez mais estreita entre os povos europeus, em fomentar relações mais próximas entre os Estados que pertencem à Comunidade, em assegurar o progresso económico e social mediante acções comuns para eliminar as barreiras que dividem a Europa, em promover a melhoria constante das condições de vida dos seus poovos, em preservar e consolidar a paz e a liberdade e em promover a democracia com base nos direitos fundamentais reconhecidos nas Consti­tuições e leis dos Estados-membros, hem como na Convenção europeia para a protecção dos direitos do Homem e das liberdades fundamentais;

(2) Considerando que os sistemas de tratamento de dados estão ao serviço do Homem; que devem respeitar as liberdades e os direitos fundamentais das pessoas singulares independentemente da sua nacionalidade ou da sua residência, especialmente a vida privada, e contribuir para o progresso econó­mico e social, o desenvolvimente do comércio e o bem-estar dos indivíduos;

(3) Considerando que o estabelecimento e o funciona­mento do mercado interno no qual, nos termos do artigo 7° A do Tratado, é assegurada a livre circulação das mercadorias, das pessoas, dos servi­ços e dos capitais, exigem não só que os dados pessoais possam circular livremente de um Estado­-membro para outro, mas igualmente, que sejam protegidos os direitos fundamentais das pessoas;

(1) JO n? C 277 de 5. 11. 1990, p. 3, e JO n° C 311 de 27. 11. 1992, p. 30.

(²) JO n`•’ C 159 de 17. 6. 1991, p. 38.

(3) Parecer do Parlamento Europeu de 11 de Março de 1992 (JO n° C 94 de 13. 4. :.992, p. 198), confirmado em 2 de Dezembro de 1993 (JO n° C 342 de 20. 12. 1993,  p. 30ì, posição comum do Conselho de 20 de Fevereiro de 1995 (JO n9 C 93 de 13. 4. 1995, p. 1) e decisão do Parlamento Europeu de 15 de Junho de 1995 (JO ⁿ⁹ C 166 de 3. 7. 1995).

(4) Considerando que o recurso ao tratamento de dados pesoais nos diversos domínios das activida­des económicas e sociais é cada vez mais frequente na Comunidade; que o prograsso registado nas tecnologias da informação facilita consideravel­mente o tratamento e a troca dos referidos dados;

(5) Considerando que a integração económica e social resultante do estabelecimento e funcionamento do mercado interno nos termos do artigo 7? A do Tratado irá necessariamente provocar um aumento sensível dos fluxos transfronteiras de dados pes­soais entre todos os intervenientes, privados ou públicos, na vida económica e social dos Estados­-membros; que o intercâmbio de dados pessoais entre empresas estabelecidas em diferentes Estados­-membros tende a intensificar-se; que as adminis­trações dos Estados-membros são chamadas, por força do direito comunitário, a colaborar e a trocar entre si dados pessoais a fim de poderem desempe­nhar as suas atribuições ou executar tarefas por conta de uma administração de outro Estado­-membro, no âmbito do espaço sem fronteiras internas que o mercado interno constitui;

(6) Considerando, além disso, que o reforço da coope­ração científica bem como a introdução coorde­nada de novas redes de telecomunicações na Comunidade exigem e facilitam a circulação trans-fronteiras de dados pessoais;

(7) Considerando que as diferenças entre os Estados­-membros quanto ao nível de protecção dos direi­tos e liberdades das pessoas, nomeadamente do direito à vida privada, no domónio do tratamento de dados pessoais, podem impedir a transmissão desses dados do território de um Estado-membro para o de outro Estado-membro; que estas difere­nças podem, por conseguinte, constituir um obstá­culo ao- exercício de uma série de actividades económicas à escala comunitária, falsear a concor­rência e entravar o exercício pelas administrações das funções que lhes incumbem nos termos do direito comunitário; que esta diferença de níveis de prote­cção resulta da disparidade das disposições legisla­tivas, regulamentares e administrativas nacionais;

(8) Considerando que, para eliminar os obstáculos à circulação de dados pessoais, o nível de protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento destes dados deve ser equi­valente em todos os Estados-membros; que a reali­zação deste objectivo, fundamental para o mercado interno, não pode ser assegurada unicamente pelos Estados-membros, tendo especialmente em conta a dimensão das divergências que se verificam actual­mente a nível das legislações nacionais aplicáveis na matéria e a necessidade do coordenar as legisla­ções dos Estados-membros para assegurar que a circulação transfronteiras de dados pessoais seja regulada de forma coerente e em conformidade com o objectivo do mercado interno nos termos do artigo 79 A do Tratado; que é portanto necessária uma acção comunitária com vista à aproximação das legislações;

(9) Considerando que, devido à protecção equivalente resultante da aproximação das legislações nacio­nais, os Estados-membros deixarão de poder levan­tar obstáculos à livre circulação entre si de dados pessoais por razões de protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada.; que é deixada aos Estadas-membros uma margem de manobra que, no contexto da aplicação da directiva, poderá ser utilizada pelos parceiros económicos e sociais; que os Estados­-membros poderão, pois, especificar na sua legisla­ção nacional as condições gerais de licitude do tratamento de dados; que, ao fazê-lo, os Estados­-membros se esforçarão por melhorar a protecção actualmente assegurada na respectiva legislação nacional; que, nos limites dessa margem de mano­bra e em conformidade com o direito comunitário, poderão verficar-se disparidades na aplicação da directiva, o que poderá reflectir-se na circulação de dados quer no interior de um Estado-membro, quer na Comunidade;

(10) Considerando que o objectivo das legislações nacionais relativas ao tratamento de dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais, nomeadamente do direito à vida privada, reconhecido não só no artigo 89 da Con­venção europeia para a protecção dos direitos do Homem e das liberdades fundamentais como nos princípios gerais do direito comunitário; que, por este motivo, a aproximação das referidas legisla­ções não deve fazer diminuir a protecção que asseguram, devendo, pelo contrário, ter por objec­tivo garantir um elevado nível de protecção na Comunidade;

(11) Considerando que os princípios da protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, contidos na presente directiva, precisam e ampliam os princípios conti­dos na Convenção do Conselho da Europa, de 28 de Janeiro de 1981, relativa à protecção das pes­soas no que diz respeito ao tratamento automati­zado de dados pessoais;

(12) Considerando que os princípios da protecção devem aplicar-se a todo e qualquer tratamento de dados pessoais sempre que as actividades do res­ponsável pelo tratamento sejam regidas pelo direito comunitário; que se deve excluir o tratamento de dados efectuado por uma pessoa singular no exer­cício de actividades exclusivamente pessoais ou domésticas, por exemplo correspondência ou listas de endereços;

(13) Considerando que as actividades referidas nos títu­los V e VI do Tratado da União Europeia, relativas à segurança pública, à defesa, à segurança do Estado ou às actividades do Estado no domínio penal, não são abrangidas pelo âmbito de aplica­ção do direito comunitário, sem prejuízo das obri­gações que incumbem aos Estados-membros nos termos do n’. 2 do artigo 569 e dos artigos 579 e 1009 A do Tratado; que o tratamento de dados pessoais necessário à protecção do bem-estar eco­nómico do Estado não é abrangido pela presente directiva quando esse tratamento disser respeito a questões de segurança do Estado;

(14) Considerando que, tendo em conta a importância do desenvolvimento que, no âmbito da sociedade de informação, sofrem actualmente as técnicas de captação, transmissão. manipulação, gravação, conservação ou comunicação de dados de som e de imagem relativos as pessoas singulares, há que aplicar a presente directiva ao tratamento desses dados;

(15) Considerando que o tratamento desses dados só é abrangido pela presente directiva se for automati­zado ou se os dados tratados estiverem contidos ou se destinarem a ficheiros estruturados segundo cri­térios específicos relativos às pessoas, a fim de permitir uni acesso fácil aos dados pessoais em causa;

(16) Considerando que o tratamento de dados de som e de imagem, tais corno os de vigilância por vídeo, não é abrangido pelo âmbito de aplicação da presente directiva se for executado para fins de segurança pública, de defesa, de segurança do Estado ou no exercício de actividades do Estado relativas a domínios de direito penal ou no exercí­cio de outras actividades não abrangidas pelo âm­bito de aplicação do direito comunitário;

(17) Considerando que, no que se refere ao tratamento de som e de imagem para fins jornalísticos ou de expressão literária ou artística, nomeadamente no domínio do audiovisual, os princípios da directiva se aplicam de modo restrito de acordo com as disposições referidas no artigo 9º;

(18) Considerando que, a fim de evitar que uma pessoa seja privada da protecção a que tem direito por força da presente directiva, é necessário que qual­quer tratamento de dados pessoais efectuado na Comunidade respeite a legislação de um dos Esta­dos-membros; que, nesse sentido, é conveniente que o tratamento efectuado por uma pessoa que age sob a autoridade do responsável pelo trata­mento estabelecido num Estado-membro seja regido pela legislação deste Estado-membro;

(19) Considerando que o estabelecimento no território de um Estado-membro pressupõe o exercício efec­tivo e real de uma actividade mediante uma insta­lação estável; que, para o efeito, a forma jurídica de tal estabelecimento, quer se trate de urna sim­ples sucursal ou de uma filial com personalidade jurídica, não é determinante; que, quando no terri­tório de vários Estados-membros estiver estabele­cido um único responsável pelo tratamento, cm especial através de uma filial, deverá assegurar, nomeadamente para evitar que a legislação seja contornada, que cada um dos estabelecimentos cumpra as obrigações impostas pela legislação nacional aplicável às respectivas actividades;

(20) Considerando que o facto de o tratamento de dados ser da responsabilidade de uma pessoa esta­belecida num país terceiro não deve constituir obstáculo à protecção das pessoas assegurada pela presente directiva; que, nesses casos, o tratamento deverá ser regido pela legislação do Estado-mem­bro onde se encontram os meios utilizados para o tratamento de dados em causa e que deverão oferecer-se garantias de que os direitos e as obriga­ções estabelecidos na presente directiva serão efectivamente ate respeitados;

(21) Considerando que a presente directiva não preju­dica as regras de territorialidade aplicáveis em matéria de direito penal;

(22) Considerando que os Estados-membros precisarão, na sua legislação ou nas regras de execução adop­tadas nos termos das presente directiva, as condi­ções gerais em que o tratamento de dados é lícito; que, nomeadamente, o artigo 5.’, conjugado com os artigos 7° e 8° permite que os Estados­-membros estabeleçam, independentemente das regras gerais, condições especiais para o tratamento de dados em sectores específicos e para as diferen­tes categorias de dados referidas no artigo 8`.’;

(23) Considerando que os Estados-membros podem assegurar a concretização da protecção das pessoas tanto por uma lei geral relativa à protecção das pessoas no que diz respeito ao tratamento de dados pessoais, como por leis sectoriais, por exem­plo as relativas aos institutos de estatística;

(24) Considerando que a legislação para a protecção das pessoas colectivas relativamente ao tratamento de dados que lhes dizem respeito não é afectada pela presente directiva;

(25) Considerando que os princípios de protecção devem encontrar expressão, por um lado, nas obri­gações que impendem sobre as pessoas, as autori­dades públicas, as empresas, os serviços ou outros organismos responsáveis pelo tratamento de dados, em especial no que respeita n qualidade dos dados, à segurança técnica, à notificação á autoridade de controlo, às circunstância , em que o tratamento pode ser efectuado, e, por outro, nos direitos das pessoas cujos dados são tratados serem informadas sobre esse tratamento, poderem ter acesso aos dados, poderem solicitar a sua rectificação e mesmo, em certas circunstâncias, poderem opor-se ao tratamento;

(26) Considerando que os princípios da protecção devem aplicar-se a qualquer informação relativa a uma pessoa identificada ou identificável; que, para determinar se urna pessoa é identificável, importa considerar o conjunto dos meios susceptíveis de serem razoavelmente utilizados, seja pelo responsá­vel pelo tratamento, seja por qualquer outra pes­soa, para identificar a referida pessoa; que os princípios da protecção não se aplicam a dados tornados anónimos de modo tal que a pessoa já não possa ser identificável; que os códigos de conduta na acepção do artigo 27’•’ podem ser um instrumento útil para fornecer indicações sobre os meios através dos quais os dados podem ser torna­dos anónimos e conservados sob uma forma que já não permita a identificação da pessoa em causa;

(27) Considerando que a protecção das pessoas se deve aplicar tanto ao tratamento automatizado de dados como ao tratamento manual; que o âmbito desta protecção não deve, na prática, depender das técni­cas utilizadas, sob pena de se correr o sério risco de a protecção poder ser contornada; que, em todo caso, no que respeita ao tratamento manual, a presente directiva apenas abrange os ficheiros e não as pastas não estruturadas; que, em particular, conteúdo de um ficheiro deve ser estruturado de acordo com critérios específicos relativos às pessoas que permitam um acesso fácil aos dados pessoais; que, em conformidade com a definição da alínea c) do artigo 2º, os diferentes critérios que permitem determinar os elementos de uni conjunto estrutu­rado de dados pessoais e os diferentes critérios que regem o acesso a esse conjunto de dados podem ser definidos por cada Estado-membro; que as pastas ou conjuntos de pastas, bem como as suas capas, qii não estejam estruturadas de acordo com crité­rios específicos, de modo algum se incluem no âmbito de aplicação da presente directiva;

(28) Considerando que qualquer tratamento de dados pessoais deve ser efectuado de forma lícita e leal para com a pessoa em causa; que deve, em espe­cial, incidir sobre dados adequados, pertinentes e não excessivos em relação às finalidades prossegui­das com o tratamento; que essas finalidades devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados; que as finalidades dos tratamentos posteriores à recolha não podem ser incompatíveis com as finalidades especificadas inicialmente;

(29) Considerando que o tratamento posterior de dados pessoais para fins históricos, estatísticos ou. científi­cos não é de modo geral considerado incompatível com as finalidades para as quais os dados foram previamente recolhidos, desde que os Estados­-membros estabeleçam garantias adequadas; que tais garantias devem em especial impedir a utiliza­ção de dados em apoio de medidas ou de decisões tomadas em desfavor de uma pessoa;

(30) Considerando que, para ser lícito, o tratamento de dados pessoais deve, além disso, ser efectuado com o consentimento da pessoa em causa ou ser neces­sário para a celebração ou execução de um con­trato que vincule a pessoa em causa, ou para o cumprimento de uma obrigação legal, ou para a execução de uma missão de interesse público ou para o exercício da autoridade pública, ou ainda para a realização do interesse legítimo de uma pessoa, desde que os interesses ou os direitos e liberdades c.a pessoa em causa não prevaleçam; que, em especial, para assegurar o equilíbrio dos interesses em causa e garantir ao mesmo tempo uma concorrência real, os Estados-membros são livres de determinar as condições em que os dados pessoais podem ser utilizados e comunicados a terceiros no âmbito de actividades legítimas de gestão corrente das empresas e outros organismos; que, do mesmo modo, podem precisar as condições em que a comunicação a terceiros de dados pes­soais pode ser efectuada para fins de mala directa ou de prospecção feita por uma instituição de solidariedade social ou outras associações ou fun­dações, por exemplo de carácter político, desde que respeitem as disposições que permitem à pes­soa em causa opor-se, sem necessidade de indicar o seu fundamento ou de suportar quaisquer encar­gos, ao tratamento dos dados que lhe dizem res­peito;

(31) Considerando que, do mesmo modo, o tratamento de dados pessoais deve ser considerado lícito quando se destinar a proteger um interesse essen­cial à vida da pessoa em causa;

(32) Considerando que cabe às legislações nacionais determinar se o responsável pelo tratamento que executa uma missão de interesse público ou exerce a autoridade pública deve ser uma administração pública ou outra pessoa sujeita ao direito público ou ao direito privado, por exemplo uma associação profissional;

(33) Considerando que os dados susceptíveis, pela sua natureza, de pôr em causa as liberdades fundamen­tais ou o direito à vida privada só deverão ser tratados com o consentimento explítico da pessoa em causa; que, no entanto, devem ser expressa­mente previstas derrogações a esta proibição no que respeita a necessidades específicas, designada­mente quando o tratamento desses dados for efec­tuado com certas finalidades ligadas à saúde por pessoas sujeits por lei à obrigação de segredo profissional ou para as actividades legítimas de certas associações ou fundações que tenham por objectivo permitir o exercício das liberdades funda­mentais;

(34) Considerando que, sempre que um motivo de interesse público importante o justifique, os Esta­dos-membros devem também ser autorizados a estabelecer derrogações à proibição de tratamento de categorias de dados sensíveis em domínios como a saúde pública e a segurança social — em especial para garantir a qualidade e a rentabilidade no que toca aos métodos utilizados para regularizar os pedidos de prestações e de serviços no regime de seguro de doença — e como a investigação científi­ca e as estatísticas públicas; que lhes incumbe, todavia, estabelecer garantias adequadas e específi­cas para a protecção dos direitos fundamentais e da vida privada das pessoas;

(35) Considerando, além disso, que o tratamento de dados pessoais pelas autoridades públicas para a consecução de objectivos consagrados no direito constitucional ou no direito internacioanl público, em benefício de associações religiosas oficialmente reconhecidas, é efectuado por motivos de interesse público importante;

(36) Considerando que quando, para o exercício de actividades do âmbito eleitoral, o funcionamento do sistema democrático exigir, em certos Estados­-membros, que partidos políticos recolham dados sobre a opinião política das pessoas, o tratamento desses dados pode ser autorizado por motivos de interesse público importante, desde que sejam es­tabelecidas garantias adequadas;

(37) Considerando que o tratamento de dados pessoais para fins jornalísticos ou de expressão artística ou literária, nomeadamente no domínio do audiovi­sual, deve beneficiar de derrogações ou de restri­ções a determinadas disposições da presente direc­tiva, desde que tal seja necessário para conciliar os direitos fundamentais da pessoa com a liberdade de expressão, nomeadamente a liberdade de rece­ber ou comunicar informações, tal como é garan­tida, nomeadamente pelo artigo 10º da Convenção europeia para a protecção dos direitos do Homem e das liberdades fundamentais; que, por conse­guinte, compete aos Estados-membros estabelecer, tendo em vista a ponderação dos direitos funda­mentais, as derrogações e limitações necessárias que se prendam com as medidas gerais em matéria de legalidade do tratamento de dados, as medidas relativas à transferência de dados para países ter­ceiros, bem como com as competências das autori­dades de controlo; que tal facto não deverá, no entanto, levar os Estados-membros a prever derro­gações às medidas destinadas a garantir a seguran­ça do tratamento de dados; e que deverão igual­mente ser atribuídas pelo menos à autoridade de controlo determinadas competências a posteriori, tais como a de publicar periodicamente um relató­rio ou de recorrer judicialmente;

(38) Considerando que, para que o tratamento de dados seja leal , a pessoa em causa deve poder ter conhecimento da existência dos tratamentos e obter, no momento em que os dados lhe são pedidos, uma informação rigorosa e completa das circunstâncias dessa recolha;

(39) Considerando que por vezes se tratam dados que não foram recolhidos directamente pelo responsá­vel junto da pessoa em causa; que, além disso, os dados podem ser legitimamente comunicados a um terceiro sem que essa comunicação estivesse pre­vista na altura da recolha dos dados junto da pessoa em causa; que, em todos estes casos, a pessoa em causa deve ser informada no momento do registo dos dados ou, o mais tardar, quando os dados são comunicados pela primeira vez a um terceiro;

(40) Considerando que, no entanto, a imposição desta obrigação não é necessária caso a pessoa em causa esteja já informada; que, além disso, não existe essa obrigação caso o registo ou a comunicação dos dados estejam expressamente previstos na lei ou caso a informação da pessoa em causa se revele impossível ou exija esforços desproporcionados, o que pode ser o caso do tratamento para fins históricos, estatísticos ou científicos; que, para este efeito, podem ser tomados em consideração o número de pessoas em causa, a antiguidade dos dados e as medidas compensatórias que podem ser tomadas;

(41) Considerando que todas as pessoas devem poder beneficiar do direito de acesso aos dados que lbes dizem repeito e que estão em fase de tratamento, a fim de assegurarem, nomeadamente, a sua exacti­dão e a licitude do tratamento; que, pelas mesmas razões, todas as pessoas devem, além disso, ter o direito de conhecer a lógica subjacente ao trata­mento automatizado dos dados que lhe dizem respeito, pelo menos no caso das decisões automa­tizadas referidas no n° 1 do artigo 15º; que este último direito não deve prejudicar o segredo comercial nem a propriedade intelectual, nomeada­mente o direito de autor que protege o suporte lógico; que tal, todavia, não poderá traduzir-se pela recusa de qualquer informação à pessoa em causa;

(42) Considerando que, no interesse da pessoa em causa ou com o objectivo de proteger os direitos e liberdades de outrem, os Estados-membros podem limitar os direitos de acesso e de informação; que, por exemplo, podem precisar que o acesso aos dados médicos só poderá ser obtido por intermédio de um profissional da saúde;

(43) Considerando que restrições aos direitos de acesso e informação e a certas obrigações do responsável pelo tratamento podem igualmente ser previstas pelos Estados-membros na medida em que sejam necessárias para proteger, por exemplo, a seguran­ça do Estado, a defesa, a segurança pública, os interesses económicos ou financeiros importantes de um Estado-membro ou da União, e para a investigação e a repressão de infracções penais ou de violações da deontologia das profissões regula­mentadas; que há que enumerar, a título das excepções e restrições, as missões de controlo, de inspecção ou de regulamentação necessárias nos três últimos domínios citados referentes à seguran­ça pública, ao interesse económio ou financeiro e à repressão penal; que esta enumeração de missões respeitante aos três domínios referidos não preju­dica a legitimidade de excepções e de restrições por razões de segurança do Estado e de defesa;

(44) Considerando que os Estados-membros podem ser levados, por força das disposições do direito comu­nitário, a prever derrogações às disposições da presente directiva relativas ao direito de acesso, à informação das pessoas e à qualidade dos dados para salvaguardarem algumas finalidades dentre as acima enunciadas;

(45) Considerando que, nos casos de tratamento de dados lícito por razões de interesse público, de exercício da autoridade pública ou de interesse legítimo de uma pessoa, a pessoa em causa terá, ainda assim, o direito de, com base em razões preponderantes e legítimas relacionadas com a sua situação específica, se opor ao tratamento dos dados que lhe dizem respeito; que os Estados­-membros, têm, no entanto, a possibilidade de prever disposições nacionais em contrário;

(46) Considerando que a protecção dos direitos e liber­dades das pessoas em causa relativamente ao trata­mento de dados pessoais exige que sejam tomadas medidas técnicas e organizacionais ade­quadas tanto aquando da concepção do sistema de tratamento como da realização do próprio trata­mento, a fim de manter em especial a segurança e impedir assim qualquer tratamento não autorizado; que compete aos Estados-membros zelar por que os responsáveis pelo tratamento respeitem estas medidas; que estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos que o trata­mento implica e a natureza dos dados a proteger;

(47) Considerando que, quando uma mensagem que contém dadas pessoais é transmitida através de um serviço de telecomunicações ou de correio electró­nico cujo único objectivo é a transmissão de men^–sagens deste tipo, será a pessoa de quem emana a mensagem, e não quem propõe o serviço de trans­missão, que será em regra considerada responsável pelo tratamento dos dados pessoais contidos na mensagem; que, contudo, as pessoas que propõem esses serviços serão em regra consideradas respon­sáveis pelo tratamento dos dados pessoais suple­mentares necessários ao funcionamento do ser­viço;

(48) Considerando que a notificação à autoridade de controlo tem por objectivo assegurar a publicidade das finalidades e principais características do trata­mento, a fim de permitir verificar a sua conformi­dade com as disposições nacionais tomadas nos termos da presente directiva;

(49) Considerando que, a fim de evitar formalidades administrativas desnecessárias, os Estados-mem­bros podem estabelecer isenções da obrigação de notificação, ou simplificações à notificação reque­rida, nos casos em que o tratamento não seja susceptível de prejudicar os direitos e liberdades das pessoas em causa, desde que seja confirme com um acro adoptado pelo Estado-membro que precise os seus limites; que podem igualmente ser estabelecido; isenções ou simplificações caso uma pessoa designada pelo responsável pelo tratamento se certifique de que o tratamento efectuado não é susceptível de prejudicar os direitos e liberdades das pessoas em causa; que essa pessoa encarregada da protecção de dados, empregada ou não do responsável pelo tratamento, deve exercer as suas funções com total independência;

(50) Considerando que poderá ser estabelecida a isen­ção ou a simplificação para tratamentos cuja indica finalidade seja a manutenção de registos destina­dos, de acordo com o direito nacional, à informa­ção do público e que possam ser consultados pelo público ou por qualquer pessoa que possa provar um interesse legítimo;

(51) Considerando que, no entanto, a simplificação ou a isenção da obrigação de notificação não liberam o responsável pelo tratamento de nenhuma das outras obrigações decorrentes da presente direc­tiva;

(52) Considerando que, neste contexto, a verificação a posteriori pelas autoridades competentes deve ser, em geral, considerada uma medida suficiente;

(53) Considerando que, no entanto, certos tratamentos podem ocasionar riscos particulares para os direi­tos e liberdades das pessoas em causa, em virtude da sua natureza, do seu âmbito ou da sua finali­dade, como acontece, por exemplo, se esse trata­mento tiver por objetivo privar as pessoas de um direito, de urna prestação ou de um contrato, ou em virtude da utilização de tecnologias novas; que compete aos Estados-membros, se assim o entende­rem, precisar esses riscos na respectiva legislação;

(54) Considerando que, de todos os tratamentos efec­tuados em sociedade, o número dos que apresen­tam tais riscos particulares deverá ser muito res­trito; que os Estados-membros devem estabelecer um controlo prévio à realização desses tratamentos a efectuar pela autoridade de controlo ou pelo encarregado da protecção dos dados em coopera­ção com essa autoridade; que, na sequência desse controlo prévio, a autoridade de controlo pode, de acordo com o direito nacional, dar um parecer ou autorizar o tratamento dos dados; que esse con­trolo pode igualmente ser efectuado durante os trabalhos de elaboração de uma medida legislativa do parlamento nacional ou de uma medida baseada nessa medida legislativa, a qual defina a natureza do tratamento e especifique as garantias adequadas;

(55) Considerando que, se o responsável pelo trata­mento não respeitar os direitos das pessoas em causa, as legislações nacionais devem prever a possibilidade de recurso judicial; que os danos de que podem ser vítimas as pessoas em virtude de um tratamento ilegal devem ser ressarcidos pelo rsponsável pelo tratamento, o qual só pode ser exonerado da sua responsabilidade se provar que o facto que causou o dano lhe não é imputável, nomeadamente quando provar existir responsabili­dade da pessoa em causa ou um caso de força maior; que devem ser aplicadas sanções a todas as pessoas, de direito privado ou de direito público, que não respeitem as disposições nacionais toma­das nos termos da presente directiva;

(56) Considerando que os fluxos transfronteiras de dados pessoais são necessários ao desenvolvimento do comércio internacional; que a protecção das pessoas garantida na Comunidade pela presente directiva não obsta às transferências de dados pessoais para países terceiros que assegurem um nível de protecção adequado; que o carácter ade­quado do nível de protecção oferecido por um país terceiro deve ser apreciado em função de todas as circunstâncias associadas à transferência ou a uma categoria de transferências;

(57) Considerando em contrapartida que, sempre que um país terceiro não ofereça um nível de protecção adequado, a transferência de dados pessoais para esse país; deve ser proibida;

(58) Considerando que devem poder ser previstas excepções a esta proibição em certas circunstân­cias, quando a pessoa em causa tiver dado o seu consentimento, quando a transferência for necessá­ria no âmbito de um contrato ou de um processo judicial, quando a protecção de um mteresse públi­co importante assim o exigir, por exemplo nos casos de transferências internacionais de dados entre as autoridades fiscais ou aduaneiras ou entre os serviços competentes em matéria de segurança social, ou quando a transferência for feita a partir de um registo instituído por lei e destinado a consulta pelo público ou por pessoas com um interesse legítimo; que nesse caso tal transferência não deve abranger a totalidade dos dados nem as categorias de dados contidos nesse registo; que, sempre que um registo se destine a ser consultado por pessoas com um interesse legítimo, a transfe­rência apenas deverá poder ser efectuada a pedido dessas pessoas ou caso sejam elas os seus destinatá­rios;

(59) Considerando que podem ser tomadas medidas especiais para sanar a insuficiência de proteção num país terceiro, se o responsável pelo tratamento apresentar garantias adequadas; que, além disso, devem ser previstos processos de negociação entre a Comunidade e os países terceiros em causa;

(60) Considerando que, em todo o caso, as transferên­cias para países terceiros só podem ser efectuadas no pleno respeito das disposições adoptadas pelos Estados-membros nos termos da presente directiva, nomeadamente do seu artigo 8º;

(61) Considerando que, no âmbito das respectivas com­petências, os Estados-membros e a Comissão devem incentivar as organizações sectoriais interes­sadas a elaborar códigos de conduta com vista a facilitar a aplicação da presente directiva, tendo em conta as características específicas do tratamento efectuado em certos sectores e respeitando as dis­posições nacionais tomadas para a sua execução;

(62) Considerando que a criação nos Estados-membros de autoridades de controlo que exerçam as suas funções com total independência constitui um ele­mento essencial da protecção das pessoas no que respeita ao tratamento de dados pessoais;

(63) Considerando que essas autoridades devem ser dotadas dos meios necessários para a realização das suas funções, incluindo poderes de inquérito ou de intervenção, especialmente em caso de recla­mações, e poderes para intervir em processos judi­ciais; que essas autoridades devem ajudar a garan­tir a transparência do tratamento de dados efec­tuado no Estado-membro sob cuja jurisdição se encontram;

(64) Considerando que as autoridades dos diferentes Estados-membros deverão prestar-se mutuamente assistência no desempenho das suas funções por forma a assegurar integralmente o respeito das regras de protecção em toda a União Europeia;

(65) Considerando que deve ser criado, a nível comuni­tário, um grupo de trabalho sobre a protecção das pessoas no que diz respeito ao tratamento de dados pessoais, o qual deve gozar de total indepen­dência no exercício das suas funções; que, aten­dendo à sua natureza específica, esse grupo deve aconselhar a Comissão e contribuir nomeadamente para a aplicação uniforme das normas nacionais adoptadas nos termos da presente directiva;

(66) Considerando que, no que se refere à transferência de dados para países terceiros, a aplicação da presente directiva requer a atribuição de competên­cias de execução à Comissão e a criação de um procedimento de acordo coro as normas estabeleci­das na Decisão 87/373/(:EE do Conselho (‘);

(67) Considerando que, em 20 de Dezembro de 1994, se chegou a acordo sobre uni modos vivendi entre o Parlamento Europeu, o Conselho e a Comissão quanto às medidas de execução de actos adoptados nos termos do procedimento previsto no artigo 189.º B do Tratado;

(68) Considerando que os princípios enunciados na presente directiva para a protecção dos direitos e liberdades das pessoas, nomeadamente do seu direito à vida privada, no que diz respeito ao tratamento de dados pessoais, poderão ser comple­tados ou especificados, nomeadamente em relação a certos sectores, através de regras específicas baseadas nesses princípios;

(69) Considerando que é conveniente conceder aos Estados-membros um prazo não superior a três anos a contar da data de entrada em vigor das medidas nacionais de transposição da presente directiva, durante o qual essas novas disposições nacionais serão aplicadas de forma progressiva a qualquer tratamento de dados já em curso; que, para facilitar uma aplicação rentável dessas dispo­sições, os Estados-membros poderão prever um prazo suplementar, que expirará doze anos a con­tar da data de adopção da presente directiva, para assegurar a conformidade dos ficheiros, manuais existentes com determinadas disposições da direc­tiva; que os dados contidos nesses ficheiros, que sejam objecto de um tratamento manual efectivo durante esse período de transição suplementar, deverão ser postos em conformidade com essas disposições aquando da realização desse trata­mento;

(70) Considerando que a pessoa em causa não é obri­gada a dar novamente o seu consentimento para que o responsável continue a efectuar, após a entrada em vigor das disposições nacionais toma­das nos termos da presente directiva, um tratamento de dados sensíveis necessário à execução de um contrato celebrado com base num consenti­mento livre e informado antes da entrada em vigor das disposições acima referidas;

(71) Considerando que a presente directiva não obsta a que um Estado-membro regulamente as actividades de mala directa junto dos consumidores residentes no seu território, desde que a referida regulamenta­ção não diga respeito à protecção das pessoas no que se refere ao tratamento de dados pessoais;

(72) Considerando que a presente directiva permite tomar em consideração o princípio do direito de acesso do público aos documentos oficiais aquando da implementação dos princípios nela estabeleci­dos,

ADOPTARAM A PRESENTE DIRECTIVA:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1º

Objecto da directiva

1. Os Estados-membros assegurarão, em conformidade com a presente directiva, a protecção das liberdades e dos direitos fundamentais das pessoas singulares, nomeada­mente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.
2. Os Estados-membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados­-membros por razões relativas à protecção assegurada por força do n.º 1.

Artigo 2º
Definições

Para efeitos da presente directiva, entende-se por:

a) «Dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser identificado, directa ou indirecta­mente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, econó­mica, cultural ou social;

b) «Tratamento de dados pessoais» («tratamento»), qualquer operação ou conjunto de operações efectua­das sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

c) «Ficheiro de dados pessoais» («ficheiro»), qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, que seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

d) «Responsável pelo tratamento», a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em con­junto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam deter­minadas por disposições legislativas ou regulamenta­res nacionais ou comunitárias, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser indicados pelo direito nacional ou comunitário;

e) «Subcontratante», a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro orga­nismo que trata os dados pessoais por conta do responsável pelo tratamento;

f) «Terceiro», a pessoa singular ou colectiva, a autori­dade pública, o serviço ou qualquer outro organismo que não a pessoa em causa, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade directa do responsável pelo tratamento ou do subcontratante, estão habilitadas a tratar dos dados;

g) «Destinatário», a pessoa singular ou colectiva, a auto­ridade pública, o serviço ou qualquer outro orga­nismo que receba comunicações de dados, indepen­dentemente de se tratar ou não de um terceiro; todavia, as autoridades susceptíveis de receberem comunicações de dados no âmbito duma missão de inquérito específica não são consideradas destinatá­rios;

h) «Consentimento da pessoa em causa», qualquer manifestação de vontade, livre, específica e infor­mada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objecto de tratamento.

Artigo 3º

Âmbito de aplicação

1. A presente directiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destina­dos.
2. A presente directiva não se aplica ao tratamento de dados pessoais:

— efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previs­tas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado (incluindo o bem-estar económi­co do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as actividades do Estado no domínio do direito penal,

— efectuado por uma pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas.

Artigo 4º

Direito nacional aplicável

1. Cada Estado-membro aplicará as suas disposições nacionais adoptadas por força da presente directiva ao tratamento de dados pessoais quando:

a) O tratamento for efectuado no contexto das activida­des de um estabelecimento do responsável pelo trata­mento situado no território desse Estado-membro; se o mesmo responsável pelo tratamento estiver estabele­cido no território de vários Estados-membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpra as obrigações estabelecidas no direito nacional que lhe for aplicá­vel;

b) O responsável pelo tratamento não estiver estabele­cido no território do Estado-membro, mas num local onde a sua legislação nacional seja aplicável por força do direito internacional público;

c) O responsável pelo tratamento não estiver estabele­cido no território da Comunidade e recorrer, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território desse Estado-membro, salvo se esses meios só forem utilizados para trânsito no território da Comunidade.

2. No caso referido na alínea c) do n.º 1, o responsável pelo tratamento deve designar um representante estabele­cido no território desse Estado-membro, sem prejuízo das acções que possam vir a ser intentadas contra o próprio responsável pelo tratamento.

CAPÍTULO 11

CONDIÇÕES GERAIS DE LICITUDE DO TRATAMENTO DE DADOS PESSOAIS

Artigo 5°

Os Estados-membros especificarão, dentro dos limites do disposto no presente capítulo, as condições em que é lícito o tratamento de dados pessoais.

SECÇÃO 1

PRINCÍPIOS RELATIVOS À QUALIDADE DOS DADOS

Artigo 6º

1. Os Estados-membros devem estabelecer que os dados pessoais serão:

a) Objecto de um tratamento leal e lícito;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O trata­mento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequa­das;

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;

d) Exactos e, se necessário, actualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou reetificados;

e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. Os Estados-membros estabelecerão garantias apro­priadas para os dados pessoais conservados durante periodos mais longos do que o referido, para fins históricos, estatísticos ou científicos.

2. Incumbe ao responsável pelo tratamento assegurar a observância do disposto no nº 1.

SECÇÃO II

PRINCÍPIOS RELATIVOS À LEGITIMIDADE DO TRATA­MENTO DE DADOS

Artigo 7º:

Os Estados-membros estabelecerão que o tratamento de dados pessoais só poderá ser efectuado se:

a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou

b) tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do eontrato deeididas a pedido da pessoa em causa; ou

c) O tratamento for necessário para cumprir uma obri­gação legal à qual o responsável pelo tratamento esteja sujeito; ou

d) O tratamento for necessário para a protecção de interesses vitais da pessoa em causa; ou

e) O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autori­dade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados; ou

f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do ter­ceiro ou terceiros a quem os dados sejam comunica­dos, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do nº 1 do artigo 19

SECÇÃO III

CATEGORIAS ESPECIFICAS DE TRATAMENTOS

Artigo 8º

Tratamento de certas categorias específicas de dados

1. Os Estados-membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem come o tratamento de dados relativos à saúde e à vida sexual.
2. O nº 1 não se aplica quando:

a) A pessoa em causa tiver dado o seu consentimento explícito para esse tratamento, salvo se a legislação do Estado-membro estabelecer que a proibição referida no nº 1 não pode ser retirada pelo consentimento da pessoa em causa; ou

b) O tratamento for necessário para o cumprimento das obrigações e dos direitos do responsável pelo trata­mento no domínio da legislação do trabalho, desde que o mesmo seja autorizado por legislação nacional que estabeleça garantias adequadas; ou

c) O tratamento for necessário para proteger interesses vitais da pessoa em causa ou de uma outra pessoa se a pessoa em causa estiver física ou legalmente incapaz de dar o seu consentimento; ou

d) O tratamento for efectuado, no âmbito das suas actividades legítimas e com as garantias adequadas, por uma fundação, urna associação ou qualquer outro organismo sem fins lucrativos de earácter político, filosófico, religioso ou sindical, na condição de o tratamento dizer unicamente respeito aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades, e de os dados não serem comunicados a terceiros sem consentimento das pessoas em causa; ou

e) O tratamento disser respeito a dados manifestamente tornados públicos pela pessoa em causa ou for neces­sário à declaração, ao exercício ou à defesa de um direito num processo judicial.

3. O n.º 1 não se aplica quando o tratamento dos dados for necessário para efeitos de medicina preventiva, diag­nóstieo médico, prestação de cuidados ou tratamentos médicos ou gestão de serviços da saúde e quando o tratamento desses dados for efectuado por um profissio­nal da saúde obrigado ao segredo profissional pelo direito nacional ou por regras estabelecidas pelos organis­mos nacionais competertes, ou por outra pessoa igual­mente sujeita a uma obrigação de segredo equivalente.
4. Sob reserva de serem prestadas as garantias adequa­das, os Estados-membros poderão estabelecer, por moti­vos de interesse público importante, outras derrogações para além das previstas no n° 2, quer através de disposi­ções legislativas nacionais, quer por decisão da autori­dade de controlo referida no artigo 28º.
5. O tratamento de dados relativos a infracções, conde­nações penais ou medidas de segurança só poderá ser efectuado sob o controlo das autoridades públicas ou se direito nacional estabelecer garantias adequadas e espe­cíficas, sob reserva das derrogações que poderão ser concedidas pelo Estado-membro com base em disposições nacionais que prevejam garantias específicas e adequadas. Contudo, o registo completo das condenações penais só pode ser mantido sob o controlo das autoridades públi­cas.

Os Estados-membros podem estabelecer que o trata­mento de dados relativos a sanções administrativas ou decisões cíveis fique igualmente sujeito ao controlo das autoridades públicas.

6. As derrogações ao n” 1 prevista nos n”` 4 e 5 serão notificadas à Comissão.
7. Cabe aos Estados-membros determinar as condições em que um número nacional de identificação ou qualquer outro elemento de identificação de aplicação geral poderá ser objecto de tratamento.

Artigo 9°

Tratamento de dados pessoais e liberdade de expressão

Os Estados-membros estabelecerão isenções ou derroga­ções ao disposto no presente capítulo e nos capítulos IV e VI para o tratamento de dados pessoais efectuado para fins exelusivamente jornalísticos ou de expressão artística ou literária, apenas na medida em que sejam necessárias para conciliar o direito à vida privada com as normas que regem a liberdade de expressão.

SECÇÃO IV

INFORMAÇÃO DA PESSOA EM CAUSA

Artigo 1Oº

Informação em caso de recolha de dados junto da pessoa em causa

Os Estados-membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolba dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

a) Identidade do responsável pelo tratamento e, even­tualmente, do seu representante;

b) Finalidades do tratamento a que os dados se desti­nam;

c) Outras informações, tais como:

___ os destinatários ou categorias de destinatários dos dados,

___ o carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não res­ponder,

___ a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar,

desde que sejam necessárias, tendo em conta as cir­cunstancias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

Artigo 11º.

Informação em caso de dados não recolhidos junto da pessoa em causa

1. Se os dados não tiverem sido recolhidos junto da pessoa em causa, os Estados-membros estabelecerão que o responsável pelo tratamento, ou o seu representante, deve fornecer à pessoa em causa, no momento em que os dados forem registados ou, se estiver prevista a comuni­cação de dados a terceiros, o mais tardar aquando da primeira comunicação desses dados, pelo menos as seguintes informações, salvo se a referida pessoa já delas tiver conhecimento:

a) Identidade do responsável pelo tratamento e, even­tualmente, do seu representante;

b) Finalidades do tratamento;

c) Outras informações, tais como:

___ as categorias de dados envolvidos,

___ os destinatários ou categorias de destinatários dos dados,

___ a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar,

desde que sejam necessárias, tendo em conta as cir­cunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

2. O n.º 1 não se aplica quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação da pessoa em causa se revelar impossível ou implicar esfor­ços desproporcionados ou quando a lei dispuser expres­samente o registe dos dados ou a sua divulgação. Nestes casos, os Estados-membros estabelecerão as garantias adequadas.

SECÇÃO V

DIREITO DE ACESSO DA PESSOA EM CAUSA AOS DADOS

Artigo 12º

Direito de acesso

Os Estados-membros xos garantirão às pessoas em causa o direito de obterem do responsável pelo tratamento:

a) Livremente e sem restrições, com periodicidade razoá­vel e sem demora ou custos excessivos:

___ a confirmação de terem ou não sido tratados dados que lhes digam respeito, e informações pelo menos sobre os fins a que se destina esse trata­mento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados,

___ a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem dos dados,

___ o conhecimento da lógica subjacente ao trata­mento automatizado dos dados que lhe digam respeito, pelo menos no que se refere às decisões automatizadas referidas no n9 1 do artigo 159;

b) Consoante o caso, a rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente directiva, nomeadamente devido ao carácter incompleto ou inexacto desses dados;

c) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apaga­mento ou bloqueio efectuado nos termos da alínea b), salvo se isso for comprovadamente impossível ou implicar um esforço desproporcionado.

SECÇÃO VI

DERROGAÇÕES E RESTRIÇÕES

Artigo 13º

Derrogações e restrições

1. Os Estados-membros podem tomar medidas legislati­vas destinadas a restringir o alcance das obrigações e direitos referidos no nº 1 do artigo 6º, no artigo 109, no nº 1 do artigo 119 e nos artigos 12º e 21º, sempre que tal restrição constitua uma medida necessária à protecção:

a) Da segurança do Estado;

b) Da defesa;

c) Da segurança pública;

d) Da prevenção, investigação, detecção e repressão de infracções penais e de violações da deontologia das profissões regulamentadas;

e) De um interesse económico ou financeiro importante de um Estado-membro ou da União Europeia, incluindo nos domínios monetário, orçamental ou fiscal;

f) De missões de controlo, de inspecção ou de regula­mentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d) e e);

g) De pessoa em causa ou dos direitos e liberdades de outrem.

2. Sob reserva de garantias jurídicas adequadas, nomea­damente a de que os dados não serão utilizados para tomar medidas ou decisões em relação a pessoas determi­nadas, os Estados-membros poderão restringir através de uma medida legislativa os direitos referidos no artigo 129 nos casos em que manifestamente não exista qualquer perigo de violação do direito à vida privada da pessoa em causa e os dados forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.

SECÇÃO VII

DIREITO DE OPOSIÇÃO DA PESSOA EM CAUSA

Artigo 14º

Direito de oposição da pessoa em causa

Os Estados-membros reconbecerão à pessoa em causa o direito de:

1. a) Pelo menos nos casos referidos nas alíneas e) e f) do artigo 79, se opor em qualquer altura, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam

respeito sejam objecto de tratamento, salvo disposição em contrário do direito nacional. Em caso de oposi­ção justificada, o tratamento efectuado pelo responsá­vel deixa de poder incidir sobre esses dados;

1. b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de mala directa; ou ser informada antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de mala directa ou utilizados por conta de terceiros, e de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunicações ou utilizações.

Os Estados-membros tomarão as medidas neeessárias para garantir que as pessoas em causa tenham conheci­mento do direito referido no primeiro parágrafo da alínea b).

Artigo 15º

Decisões individuais automatizadas

1. Os Estados-membros reconhecerão a qualquer pessoa o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num trata­mento automatizado de dados destinado a avaliar deter­minados aspectos da sua personalidade, como por exem­plo a sua capacidade profissional, o seu crédito, confi­ança de que é merecedora, comportamento.

2. Os Estados-membros estabelecerão, sob reserva das restantes disposições da presente directiva, que uma pes­soa pode ficar sujeita a uma decisão do tipo referido no n.º 1 se a mesma:

a) For tomada no âmbito da celebração ou da execução de um contrato, na condição de o pedido de celebra­ção ou execução do contrato apresentado pela pessoa em causa ter sido satisfeito, ou de existirem medidas adequadas, tais como a possibilidade de apresentar o seu ponto de vista, que garantam a defesa dos seus interesses legítimos; ou

b) For autorizada por ema lei que estabeleça medidas que garantam a defesa dos interesses legítimos da pessoa em causa.

SECÇÃO VIII

SECÇÃO IX

CONFIDENCIALIDADE E SEGURANÇA DO TRATAMENTO

Artigo 16º

Confidencialidade do tratamento

Qualquer pessoa que, agindo sob a autoridade do respon­sável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais, não procederá ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de obriga­ções legais.

Artigo 17º

Segurança do tratamento

1. Os Estados-membros estabelecerão que o responsável pelo tratamento deve pôr em prática medidas téenicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomea­damente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.

Estas medidas devem assegurar, atendendo aos conheci­mentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em rela­ção aos riscos que o tratamento apresenta e à natureza dos dados a proteger.

2. Os Estados-membros estabelecerão que o responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efeetuar e deverá zelar pelo cumprimento dessas medidas.
3. A realização de operações de tratamento em subcon­tratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo trata­mento e que estipule, designadamente, que:

___ subcontratante apenas actuará mediante instruções do responsável pelo tratamento,

___ as obrigações referidas no n.º 1, tal como definidas pela legislação do Estado-membro onde o subcontratante está estabelecido, incumbem igualmente a este último.

4. Para efeitos de conservação de provas, os elementos do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no n? 1, deverão ficar consignados por escrito ou sob forma equivalente.

SECÇÃO IX

NOTIFICAÇÃO

Artigo 18º

Obrigação de notificação à autoridade de controlo

1. Os Estados-membros estabelecerão que o responsável pelo tratamento ou, eventualmente, o seu representante deve notificar a autoridade de controlo referida no artigo 28º antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, desti­nados à prossecução de uma ou mais finalidades interli­gadas.
2. Os Estados-membros apenas poderão estabelecer a simplificação ou a isenção da notificação nos seguintes casos e condições:

___ se, para as categorias de tratamentos que, atendendo aos dados a tratar, não são susceptíveis de prejudicar os direitos e liberdades das pessoas em causa, especifi­carem as finalidades do tratamento, os dados ou categorias de dados a tratar, a categoria ou categorias de pessoas em causa, os destinatários ou categorias de destinatários a quem serão comunicados os dados e o periodo de conservação dos dados; e/ou

___ se o responsável pelo tratamento nomear, nos termos do direito nacional a que está sujeito, um encarregado da protecção dos dados pessoais, responsável nomea­damente por

___ garantir, de modo independente, a aplicação, a nível interno, das disposições nacionais tomadas nos termos da presente directiva,

___ manter um registo dos tratamentos efectuados pelo responsável do tratamento, contendo as informações referidas no n.º 2 do artigo 21º,

assegurando assim que os tratamentos não são sus­ceptíveis de prejudicar os direitos e liberdades das pessoas em causa.

3. Os Estados-membros poderão estabelecer que o nº 1 não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo.
4. Os Estados-membros podem isentar da obrigação de notificação os tratamentos de dados referidos no n:’ 2, alínea d), do artigo 8º, ou prever uma simplificação dessa notificação.
5. Os Estados-membros podem determinar que todos ou alguns dos tratamentos não automatizados de dados pessoais sejam notificados, eventualmente de forma simplificada.

Artigo 19º

Conteúdo de notificação

1. Os Estados-membros especificarão as informações que devem constar da notificação. Essas informações devem incluir, pelo menos:

a) O nome e o endereço do responsável pelo tratamento e, eventualmente, do seu representante;

b) A ou as finalidades do tratamento;

c) Uma descrição da ou das categorias de pessoas em causa e dos dados ou categorias de dados que lhes respeitem;

d) Os destinatários ou categorias de destinatários a quem os dados poderão ser comunicados;

e) As transferências de dados previstas para países ter­ceiros;

f) Uma descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação do artigo 17º;

2. Os Estados-membros especificarão os procedimentos de notificação à autoridade de controlo das alterações que afectem as informações referidas no nº 1.

Artigo 20º
Controlo prévio

1. Os Estados-membros especificarão os tratamentos que possam representar riscos específicos para os direitos e liberdades das pessoas em causa e zelarão por que sejam controlados antes da sua aplicação.
2. Esse controlo prévio será efectuado pela autoridade de controlo referida no artigo 28`•’ após recepção de uma notificação do responsável pelo tratamento ou pelo encarregado da protecção de dados que, em caso de dúvida, deverá consultar a autoridade de controlo.
3. Os Estados-membros poderão igualmente efectuar este controlo durante os trabalhos de preparação de uma medida do parlamento nacional ou de uma medida baseada nessa medida legislativa, a qual defina a natureza do tratamento e estabeleça as garantias adequadas.

Artigo 21º

Publicidade dos tratamentos

1. Os Estados-membros tomarão as medidas necessárias para assegurar a publicidade dos tratamentos.
2. Os Estados-membros estabelecerão que a autoridade de controlo referida no artigo 28′: manterá um registo dos tratamentos notificados por força do artigo 18º.

Esse registo deverá conter, pelo menos, as informações enumeradas no nº 1, alíneas a) a e), do artigo 19º.

O registo poderá ser consultado por qualquer pessoa.

3. Os Estado-membros estabelecerão que, no que res­peita aos tratamentos não sujeitos a notificação, o res­ponsável pelo tratamento, ou outra entidade designada pelos Estados-membros, comunicará de forma adequada, a qualquer pessoa que o solicite, pelo menos as informa­ções referidas no n? 1, alíneas a) a e), do artigo 19º

Os Estados-membros poderão estabeleeer que a presente disposição não se aplica a tratamentos euja única finali­dade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo.

CAPÍTULO III

RECURSOS JUDICIAIS, RESPONSABILIDADE E SANÇÕES

Artigo 22º
Recursos

Sem prejuízo de quaisquer garantias graciosas, nomeadamente por parte da autoridade de controlo referida no artigo 28º, previamente a um recurso contencioso, os Estados-membros estabelecerão que qualquer pessoa poderá recorrer judicialmente em caso de violação dos direitos garantidos pelas disposições nacionais aplicáveis ao tratamento em questão.

Artigo 23º

Responsabilidade

1. Os Estados-membros estabelecerão que qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto incompatível com as disposições nacionais de execução da presente directiva tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido.
2. O responsável pelo tratamento poderá ser parcial ou totalmente exonerado desta responsa­bilidade se provar que o facto que causou o dano lhe não é imputável.

Artigo 24º
Sanções

Os Estados-membros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente directiva a determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adoptadas nos termos da presente directiva.

CAPITULO IV

TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS

Artigo 25º
Princípios

1. Os Estados-membros estabelecerão que a transferên­cia para um país terceiro de dados pessoais objecto de tratamento, ou que se destinem a ser objecto de trata­mento após a sua transferência, só pode realizar-se se, sob reserva da observância das disposições nacionais adoptadas nos termos das outras disposições da presente directiva, o país terceiro em questão assegurar um nível de protecção adequado.
2. A adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, serão tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país terceiro em causa, bem como as regras profissionais e as medidas de segu­rança que são respeitadas nesse país.
3. Os Estados-membros e a Comissão informar-se-ão mutuamente dos casos em que consideram que um país terceira não assegura um nível de protecção adequado na acepção do n.º2.
4. Sempre que a Comissão verificar, nos termos do procedimento previsto no n9 2 do artigo 31º, que um país terceiro não assegura um nível de protecção ade­quado na acepção do nº 2 do presente artigo, os Estados­-membros tomarão as medidas necessárias para impedir qualquer transferência de dados de natureza idêntica para o país :terceiro em causa.
5. Em momento oportuno, a Comissão encetará nego­ciações com vista a obviar à situação resultante da constatação feita em aplicação do n.º 4.
6. A Comissão pode constatar, nos termos do procedi­mento previsto no nº 2 do artigo 319, que um país terceiro assegura um nível de protecção adequado na acepção do nº 2 do presente artigo em virtude da sua legislação interna ou dos seus compromissos internacio­nais, subscritos nomeadamente na sequência das negocia­ções referidas no nº 5, com vista à protecção do direito à vida privada e das liberdades e direitos fundamentais das pessoas.

Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.

Artigo 26º
Derrogações

1. Em derrogação ao disposto no artigo 25º e sob reserva de disposções em contrário do seu direito nacio­nal em casos específicos, os Estados-membros estabelece­rão que a transferência de dados pessoais para um país terceira que não assegure um nível de protecção ade­quado na acepção do nº 2 do artigo 25º poderá ter lugar desde que:

a) A pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência; ou

b) A transferência seja necessária para a execução de um contrato entre a pessoa em causa e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou

c) A transferência seja necessária à execução ou celebra­ção de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o responsável pelo tratamento e um terceiro; ou

d) A transferência seja necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial; ou

e) A transferência seja necessária para proteger os inte­resses vitais da pessoa em causa; ou

f) A transferência seja realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destme à informação do públieo e se encontre aberto à consulta pelo público em geral ou por qualquer pessoa que possa provar um inte­resse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso con­creto.

2. Sem prejuízo do nº 1, um Estado-membro pode autorizar uma transferência ou um conjunto de transfe­rências de dados pessoais para um país terceiro que não assegura um nível de protecção adequado na acepção do n:’ 2 do artigo 25º, desde que o responsável pelo trata­mento apresente garantias suficientes de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exereício dos respectivos direitos; essas garantias podem, designadamente, resultar de cláu­sulas contratuais adequadas.
3. O Estado-membro informará a Comissão e os restan­tes Estados-membros das autorizações que conceder nos termos do nº 2.

Em caso de oposição, por um Estado-membro ou pela Comissão devidamente justificada no que se refere à protecção da privacidade e dos direitos e liberdades fundamentais das pessoas, a Comissão adoptará as medi­das adequadas, nos termos do procedimento previsto no n9 2 do artigo 319

Os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.

4. Sempre que a Comissão decidir, nos termos do proce­dimento previsto no nº 2 do artigo 319, que certas cláusulas contratuais-tipo oferecem as garantias suficien­tes referidas no n9 2, os Estados-membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.

CAPITULO V

CÓDIGOS DE CONDUTA

Artigo 27º

1. Os Estados-membros e a Comissão promoverão a elaboração de códigos de conduta destinados a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições nacionais tomadas pelos Estados-membros nos termos da presente directiva.
2. Os Estados-membros estabelecerão que as associações profissionais e as outras organizações representativas de outras categorias de responsáveis pelo tratamento que tenham elaborado projectos de códigos nacionais ou que tencionem alterar ou prorrogar códigos nacionais existentes, podem submetê-los à apreciação das autoridades nacionais.

Os Estados-membros estabelecerão que essas autoridades se certificarão, nomeadamente, da conformidade dos projectos que lhe são apresentados com as disposições nacionais tomadas nos termos da presente directiva. Se o considerarem oportuno. as autoridades solicitarão a opinião das pessoas em causa ou dos seus representantes.

3. Os projectos de códigos comunitários, assim como as alterações ou prorrogações de códigos comunitários existentes, poderão ser submetidos ao grupo referido no artigo 29º O grupo pronunicar-se-á, nomeadamente, quanto à conformidade dos projectos submetidos à sua apreciação com as disposições nacionais adoptadas em aplicação da presente directiva. Se o considerar oportuno, solicitará a opinião das pessoas em causa ou dos seus representantes. A Comissão pode garantir uma publicidade adequada dos códigos aprovados pelo grupo.

CAPÍTULO VI

AUTORIDADE DE CONTROLO E GRUPO I)E PROTECÇÃO DAS PESSOAS NO QUE DIZ
RESPEITO AO TRATAMENTO DE DADOS PESSOAIS

Artigo 28º

Autoridade de controlo

1. Cada Estado-membro estabeleeerá que uma ou mais autoridades públicas serão responsáveis pela fiscalização da aplicação no seu território das disposições adoptadas pelos Estados-membros nos termos da presente direc­tiva.

Essas autoridades exercerão com total independência as funções que lhes forem atribuídas.

2. Cada Estado-membro estabelecerá que as autoridades de controlo serão consultadas aquando da elaboração de medidas regulamentares ou administrativas relativas à protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais.
3. Cada autoridade do controlo disporá, nomeada­mente:

___ de poderes de inquérito, tais como o poder de aceder aos dados objecto de tratamento e de recolher todas as informações necessárias ao desempenho das suas funções de controlo,

___ de poderes efectivos de intervenção, tais como, por exemplo, o de emitir pareceres previamente à execu­ção adequada desses pareceres, o de ordenar o blo­queio, o apagamento ou a destruição dos dados, o de proibir temporária ou definitivamente o tratamento, o de dirigir uma advertência ou uma censura ao respon­sável pelo tratamento ou o de remeter a questão para os parlamentos nacionais ou para outras instituições políticas.

___ do poder de intervir em processos judiciais no caso de violação das disposições nacionais adoptadas nos ter­mos da presente directiva ou de levar essas infracções ao conhecimento das autoridades judiciais.

As decisões da autoridade de controlo que lesem interes­ses são passíveis de recurso jurisdicional.

4. Qualquer pessoa ou associação que a represente pode apresentar à autoridade de controlo um pedido para protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais. A pessoa em causa será informada do seguimento dado ao seu pedido.

Em particular, qualquer pessoa pode apresentar à autori­dade de controlo um pedido de verificação da licitude de qualquer tratamento de dados, sempre que sejam aplicá­veis as disposições nacionais adoptadas por força do artigo 13º O requerente será pelo menos informado da realização da verificação.

5. Cada autoridade de controlo elaborará periodica­mente um relatório sobre a sua actividade. O relatório será publicado.
6. Cada autoridade de controlo é competente, indepen­dentemente do direito nacional aplicável ao tratamento em causa, para o exercício no território do seu Estado­-membro dos poderes que lhe foram atribuídos em con­formidade com o nº 3. Cada autoridade de controlo pode ser solicitada a exercer os seus poderes por uma autori­dade de outro Estado-membro.

As autoridades de controlo cooperarão entre si na medida do necessário ao desempenho das suas funções, em especial através do intercâmbio de quaisquer informa­ções úteis.

7. Os Estados-membros determinarão que os membros e agentes das autoridades de controlo fiquem sujeitos, mesmo após a cessação das suas actividades, à obrigação de segredo profissional em relação às informações confi­denciais a que tenham acesso.

Artigo 29º

Grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais

1. É criado um Grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais, a seguir designado «grupo».

O grupo tem carácter consultivo e é independente.

2. O grupo é composto por um representante da autori­dade ou autoridades de controlo designadas por cada Estado-membro, por um representante da autoridade ou autoridades criadas para as instituições e organismos comunitários, bem como por um representante da Comis­são.

Cada membro do grupo será designado pela instituição, autoridade ou autoridades que representa. Sempre que um Estado-membro tiver designado várias autoridades de controlo, estas nomearão um representante comum. O mesmo aconteee em relação às autoridades criadas para as instituições e organismos comunitários.

3. O grupo tomará as suas decisões por maioria simples dos representantes das autoridades de controlo.
4. O grupo elegerá o seu presidente. O mandato do presidente tem uma duração de dois anos e é renovável.
5. O secretariado do grupo será assegurado pela Comis­são.
6. O grupo elaborará o seu regulamento interno.
7. O grupo analisará as questões inscritas na ordem de trabalhos pelo seu presidente, que por iniciativa deste, quer a pedido de um representante das autoridades de controlo, quer ainda a pedido da Comissão.

Artigo 30º

1. O grupo tem por atribuições:

a) Analisar quaisquer questões relativas à aplicação das disposições nacionais tomadas nos termos da presente directiva, com vista a contribuir para a sua aplicação uniforme;

b) Dar parecer à Comissão sobre o nível de protecção na Comunidade e nos países terceiros;

c) Aconselhar a Comissão sobre quaisquer projectos de alteração da presente directiva ou sobre quaisquer projectos de medidas adicionais ou específicas a tomar para proteger os direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como sobre quaisquer outros projectos de medidas comunitárias com incidência sobre esses direitos e liberdades;

d) Dar parecer sobre os códigos de conduta elaborados a nível comunitário.

2. Se o grupo verificar que surgem divergências susceptí­veis de prejudicar a equivalência da protecção das pessoas no que diz respeito ao tratamento de dados pessoais na Comunidade entre a legislação ou a prática dos Estados­-membros, informará desse facto a Comissão.
3. O grupo pode, por sua própria iniciativa, formular recomendações sobre quaisquer questões relativas à pro­tecção das pessoas no que diz respeito ao tratamento de dados pessoais na Comunidade.
4. Os pareceres e recomendações do grupo serão trans­mitidos à Comissão e ao comité referido no artigo 31º
5. A Comissão informará o grupo do seguimento que deu aos seus pareceres e recomendações. Para o efeito, elaborará um relatório que será igualmente enviado ao Parlamento Europeu e ao Conselho. O relatório será publicado.
6. O grupo elaborará um relatório anual sobre a situa­ção da protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na Comunidade e nos países terceiros, que será comunicado à Comissão, ao Parlamento Europeu e ao Conselho. O relatório será publicado.

CAPITULO VII

MEDIDAS DE EXECUÇÃO COMUNITÁRIAS

Artigo 31º
Comitologia

1. A Comissão será assistida por um comité composto por representantes dos Estados­-membros e presidido pelo representante da Comissão.
2. O representante da Comissão submeterá à apreciação do comité um projecto das medidas a tomar. O comité emitirá o seu parecer sobre esse projecto num prazo que o presidente pode fixar em função da urgência da questão em causa.

O parecer será emitido por maioria, nos termos previstos no nº 2 do artigo 148`.’ do Tratado. Nas votações no comité, os votos dos representantes dos Estados-membros estão sujeitos à ponderação definida no artigo atrás referido. O presidente não participa na votação.

A Comissão adoptará medidas que são imediatamente aplicáveis. Todavia, se não forem conformes com o parecer emitido pelo comité, essas medidas serão imediatamente comunicadas pela Comissão ao Conselho. Nesse caso:

___ a Comissão diferirá a aplicação das medidas que aprovou por um prazo de três meses a contar da data da comunicação,

___ o Conselho, deliberando por maioria qualificada, pode tomar uma decisão diferente no prazo previsto no travessão anterior.

DISPOSIÇÕES FINAIS

Artigo 32º

1. Os Estados-membros porão em vigor as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente directiva o mais tardar três anos a contar da data da sua adopção.

Quando os Estados-membros adoptarem essas disposi­ções, estas devem incluir uma referência à presente direc­tiva ou ser acompanhadas dessa referência na publicação oficial. As modalidades dessa referência serão adoptadas pelos Estados-membros.

2. Os Estados-membros assegurarão que os tratamentos já em curso à data da entrada em vigor das disposições nacionais tomadas nos termos da presente directiva cum­prirão essas disposições o mais tardar três anos a contar da referida data.

Em derrogação ao parágrafo anterior, os Estados-mem­bros poderão estabelecer que o tratamento de dados já existente em ficheiros manuais à data de entrada em vigor das disposições nacionais tomadas nos termos da presente directiva cumprirá o disposto nos artigos 6?, 7″ e 8º no prazo de doze anos a contar da data de adopção da presente directiva. Os Estados-membros possibilitarão, no entanto, à pessoa em causa obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.

3. Em derrogação ao nº 2, os Estados-membros poderão estabelecer que, sob reserva das garantias adequadas, os dados conservados unicamente com finalidades de investigação histórica não terão que cumprir os artigos 6″, 7`.’ e 8″ da presente directiva.

4. Os Estados-membros comunicarão à Comissão o texto das disposições de direito interno que adoptem no domínio regido pela presente directiva.

imagem relativos às pessoas singulares e apresentará as propostas adequadas que se revelem necessárias, tendo em conta o desenvolvimento das tecnologias da informa­ção, e à luz da situação quanto aos trabalhos sobre a sociedade de informação.

Artigo 33º

A Comissão apresentará periodicamente ao Parlamento Europeu e ao Conselho, e pela primeira vez o mais tardar três anos após a data referida no _n? 1 do artigo 32′!’, um relatório sobre a aplicação da presente directiva, even­tualmente acompanhado de propostas de alteração ade­quadas. O relatório será publicado.

A Comissão analisará, nomeadamente, a aplicação da presente directiva ao tratamento de dados de som e de

imagem relativos às pessoas singulares e apresentará as propostas adequadas que se revelem necessárias, tendo em conta o desenvolvimento das tecnologias da informação, e à luz da situação quanto aos trabalhos sobre a sociedade de informação.

Artigo 34º

Os Estados-membros são os destinatários da presente directiva.

Feito no Luxemburgo, em 24 de Outubro de 1995.