Autoridade em Hannah Arendt

Revista Internacional de Direito, Informática e Tecnologia
ISSN: 1360-0869 (Print) 1364-6885 (Online) Jornal homepage: http://www.tandfonline.com/loi/cirl20
A reforma do quadro de protecção de dados

da UE no contexto do sector da justiça
criminal da polícia e: harmonização, o escopo,
a supervisão ea execução
Mireille M. Caruana
Para citar este artigo: Mireille M. Caruana (2017): A reforma do quadro de protecção de
dados da UE no contexto do sector da justiça criminal da polícia e: harmonização, o escopo, a
supervisão e fiscalização, Revista Internacional de Direito, Informática e Tecnologia, DOI:
10,1080 / 13.600.869,2017. 1370224
Para conectar-se a este artigo: http://dx.doi.org/10.1080/13600869.2017.1370224
on-line Publicado: 05 de setembro de
2017. Envie seu artigo para a revista
As visualizações do artigo: 50
Veja artigos relacionados
Visualizar dados de
Crossmark
Os Termos e Condições de acesso e utilização pode ser encontrada em

http://www.tandfonline.com/action/journalInformation?journalCode=cirl20
Baixar por:[B-on: Biblioteca do Conhecimento IPBeja online] Encontro: 25 de setembro de 2017,

em: 01:14
REVISÃO Internacional de Direito, Computadores & tecnologia de 2017
https://doi.org/10.1080/13600869.2017.1370224
A reforma do quadro de protecção de dados da UE no

contexto do sector da justiça criminal da polícia e:
harmonização, o escopo, a supervisão ea execução
Mireille M. Caruana
Transferido por [b-on: Biblioteca do Conhecimento on-line IPBeja] em 01:14 25 de setembro
Departamento de Direito Europeu e Comparado, da Faculdade de Direito, Universidade de Malta, Msida, Malta
HISTORIA DO ARTIGO
Recebeu 30 de abril de 2017
do quadro de protecção de dados da UE, Aceito 18 de agosto de 2017
e como estes podem ter impacto sobre o processamento de
PALAVRAS-CHAVE
dados na aplicação da lei e da justiça criminal. Ele analisa esses Proteção de dados; polícia
aspectos da directiva recentemente promulgada 2016/680 sobre e justiça criminal; Directiva
protecção de dados nos setores da polícia e da justiça penal que 2016/680
será determinante para a sua aplicação efectiva e coerente na
prática. Ele considera a medida em que os princípios
estabelecidos no Conselho da Europa Recomendação R (87) 15
que regulamenta a utilização de dados pessoais no sector da
polícia, foram mantidos, adaptado, reforçado, enfraquecido ou
abandonados na Directiva 2016/680. Certos problemas
decorrentes da directiva, para não mencionar o próprio meio de
uma directiva, separado do regulamento geral, como o
instrumento de escolha, poderia ser dito ter sido 'escrita na
parede', como evidenciado pelas discussões em curso no grupo
de peritos da Comissão sobre o Regulamento 2016/679 e da
Directiva 2016/680 (E03461) em, por exemplo, a questão
complicada de delimitação entre a Directiva 2016/680 e do
Regulamento Geral de Protecção de Dados (2016 / 679),
supervisão e execução; em particular, assegurar o controlo
pelas autoridades de supervisão independentes e
transferências internacionais e transferências para festas
Há uma tensão inerente e inevitável entre a aplicação da lei e os poderes de

segurança pública e direitos humanos. poderes adequados são necessários para
permitir que os / as agências nacionais de segurança da aplicação da lei para cumprir
suas tarefas; mas o exercício de tais poderes necessariamente interferir com o direito
de respeito pela vida privada, bem como o direito à protecção dos dados Sonal per-,
de 2017
e deve, portanto, ser proporcionais ao objectivo a atingir.

A UE está empenhada em assegurar um elevado nível de protecção, evidenciado
pela inclusão do direito à protecção de dados no direito primário da UE,
particularmente Tratado Artigo 16 sobre o funcionamento da União Europeia (TFUE)
e no artigo 8º da Carta Europeia dos Direitos Fundamentais ( 'Carta'). A Carta
distingue o direito à protecção de dados a partir do direito à privacidade: o direito à
privacidade, um valor fundamental em sociedades democráticas europeias, que já
foi reconhecido na Convenção de 1950 Europeia dos Direitos Humanos (CEDH),
também está incluído como um separado direito consagrado no artigo 7 da Carta da
UE. O relacionamento
CONTATO Mireille M. Caruana mireille.caruana@um.edu.mt

© 2017 Informa UK Limited, negociando como Taylor & Francis Grupo
2 MM CARUANA
e distinção entre privacidade e protecção de dados (alternativamente denominado

'privacidade de dados') foram objecto de consideração acadêmica significativa (ver,
por exemplo Kokott e Sobotta2013; Lynskey2015e referências aí citadas); no
contexto de uma discussão focada no setor de aplicação da lei, esta distinção foi com
base na ponderação do interesse para corrigir desequilíbrios de poder com o objetivo
de salvaguardar as possibilidades de 'opacidade da individuais e transparência do
poder' (de Hert e Gutwirth2006). Lynskey (2015, 90) tem explorado a relação entre
estes dois direitos fundamentais: 'protecção de dados é um direito que serve uma
grande variedade de funções, incluindo, mas não limitado a, a protecção da
privacidade'. nomenclatura preferencial da Bygrave é 'lei de privacidade de dados',
que, embora considerado pelo autor para ser imperfeito, no entanto, 'comunica
relativamente bem - e muito melhor do que ‘a protecção de dados’ - um dos interesses
centrais em jogo' (2014, 29), uma vez que 'protecção de dados' aparece intimamente
relacionada com a segurança de dados e foi confundida com o último. Tendo em
mente a literatura sobre esse relacionamento e distinção, este artigo centra-se no
direito de protecção de dados, como o foco de análise é um exemplo de legislação
desenvolvido especificamente para defender o direito à protecção de dados no
contexto das atividades dos órgãos governamentais envolvidos na aplicação da lei. 1
Este artigo considera selecionar questões emergentes decorrentes da reforma do
quadro de Tection os dados da UE pró, e como estes podem ter impacto sobre o
processamento de dados na lei enforce- mento e do sector da justiça criminal. Ele
analisa esses aspectos da directiva recentemente promulgada 2016/680 sobre a
protecção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais pelas autoridades competentes para efeitos de prevenção, investigação,
detecção ou secution pro- de infracções penais ou a execução de sanções penais, e
à livre circulação desses dados ( «Directiva2016/680') Que será determinante para a
sua aplicação efectiva e coerente na prática. Este artigo não pretende realizar uma
análise dos princípios fundamentais da lei de protecção de dados, como concretizado
pela Directiva2016/680. Em vez disso, as questões foram selecionados a fim de obter
mais conhecimentos sobre as perspectivas de tiva Direc-2016/680em termos de
harmonização efectiva, aplicação e execução. O papelconsidera, assim, os pontos
fortes e fracos das disposições essenciais da directiva relativa ao nível de
harmonização, o escopo, supervisão e execução da lei de protecção de dados
relativos; em particular de controlo que garanta por autoridades independentes de
supervisão ( 'ISA'), e as transferências internacionais e transferências para festas
privadas. A conexão entre ment enforce- da legislação de protecção de dados e
de 2017
transferências internacionais foi feita explicitamente no Digital Irlanda Direitos

(processos apensos C-293/12 e C-594/12, 2014/08/04) em que o TJCE, no invalidat-
ing da directiva, manifestou a sua preocupação de que a Directiva relativa à
conservação de dados (2006/24 / CE)
não requer os dados em questão a ser retidos dentro da União Europeia, com o resultado
de que não se pode considerar que o controle, explicitamente exigida pelo artigo 8 (3)
da Carta, por uma autoridade independente da conformidade com as exigências de
protecção e segurança [...] está totalmente assegurada. Tal controle, realizada com base
na legislação da UE, é um componente essencial da protecção das pessoas no que diz
respeito ao tratamento de dados pessoais. (Para. 68)
O artigo considera a medida em que os Princípios originalmente previsto no

Conselho da Europa Recomendação R (87)15que regula a utilização de dados
pessoais no sector da polícia( 'R (87) 15'), que proporciona uma aplicação específica
REVISÃO Internacional de Direito, Computadores & tecnologia 3
do sector dos princípios da protecção de dados estabelecidos na Convenção do

Conselho da Europa para a protecção das pessoas no que diz respeito ao
processamento automático de dados pessoais ( 'Convenção No. 108'), têm foram
mantidas, adaptado,
4 MM CARUANA
fortalecido, enfraquecido ou abandonado; e identifica princípios ou regulamentos que

não foram ainda completamente desenvolvidos ou maduros o suficiente para ser
incorporado em um quadro jurídico em 1987, mas que agora apresentam na directiva
recentemente promulgada2016/680. Também avalia a força das disposições da
referida directiva em termos de privacidade de dados eficaz pro- tecção, a interação
com o Regulamento Geral de Protecção de Dados (2016/679) ( 'PIBR'), com a bem
como dificuldades antecipadas na medida em que a transposição e aplicação a nível
nacional estão em causa. R (87) 15 é utilizado como um ponto de referência, através
da qual a analisar Directiva2016/680 tendo em vista a importância deste instrumento
seminal que também constitui o padrão de proteção de dados referenciado em vários
Baixado por [b-on: Biblioteca do Conhecimento on-line IPBeja] em 01:14 25 de setembro de
espaço europeu de liberdade, segurança e justiça ( 'ELSJ') instrumentos (ver, por

exemplo Decisão Europol 2009/371 / JAI do Conselho, recentemente revogada e
substituída pelo Regulamento 2016/794 relativo à Agência Europeia União para Lei
de Cooperação Enforcement (Europol), os instrumentos de Schengen ea intervenção
Prüm Con- e Decisão 2008/615 / JAI; Boehm2012).
Ao considerar a consistência prospectados e eficácia na aplicação e cimento
enfor- da directiva na prática, o papel deve onde levar relevante em conta as versões
anteriores da directiva, nomeadamente: a proposta inicial da Comissão, o texto do
Parla- mento eo Conselho acordo geral, embora salientando as opiniões expressas
nela pela Protecção de dados ( 'AEPD') (2012, 2015a, 2015b) e o Artigo 29.º (
'A29WP') (2012,2015). Estes textos podem, nomeadamente, ser indicativos de casos
em que as disposições pertinentes foram intencionalmente enfraquecidos ou
reforçados, ao longo do processo legislativo. Esta análise também irá informar o foco
do documento sobre as dificuldades e incertezas encontradas pelos legisladores
nacionais a transposição da directiva. Certos problemas decorrentes da directiva,
para não mencionar o próprio meio de uma directiva, separado do regulamento geral,
como o instrumento de escolha, poderia ser dito ter sido 'escrita na parede', como
evidenciado pelas dis em curso - cussões no grupo de peritos da Comissão sobre o
Regulamento (UE) 2016/679 e da Directiva (UE) 2016/680 (E03461), por exemplo, a
questão complicada de delimitação entre a Directiva2016/680 eo PIBR.
Harmonização
Na pesquisa anterior, no contexto dos trabalhos preparatórios sobre uma
modernização futuro do R (87) 15, Cannataci e Caruana (2014) Destacou as
variações nas leis dos Estados membros do Conselho da Europa, e também de que
2017
sub-conjunto que também são membros da UE, implementar a R baseada em

princípios (87) 15. Um objectivo declarado da Directiva 2016/680 é assegurar um
nível elevado e uniforme de protecção das pessoas singulares em relação ao
tratamento de dados pessoais e de facilitar a livre circulação de dados pessoais entre
as autoridades competentes para os fins previstos na directiva ( ver considerandos
[4] e [7]). No entanto, em termos de consistência, a Directiva 2016/680 prevê apenas
o chamado harmonização mínima ((3) O artigo 1). Em outras palavras, é possível
que os Estados-Membros a prever salvaguardas de protecção de dados mais
elevadas ao abrigo da legislação nacional. Lá- tona, dentro dos limites estabelecidos
pelos Tratados, harmonização nesta área de actividade da UE ainda não está
completa ou 'cheio'. É importante ter em mente que é, no entanto, a responsabilidade
do legislador da UE, ao abrigo do TFUE (Art.16), para garantir elevados padrões de
protecção de dados e não deixar isso para os Estados-Membros individualmente

(AEPD2015a).
6 MM CARUANA
O facto de a UE aprovou um regulamento (PIBR) que estabelece as regras gerais

aplicáveis ao tratamento de dados pessoais, e uma directiva (2016/680) que
estabelece regras específicas aplicáveis ao tratamento de dados pessoais para fins
de aplicação da lei, significa que os dados uniforme regras de protecção não se
aplicam em todas as áreas do direito da UE. Além disso, um regulamento é mais
eficaz em alcançar uma harmonização que uma directiva (embora mesmo um
regulamento não pode ter sucesso em alcançar uma harmonização completa se as
regras são interpretadas e aplicadas de modo diferente em diferentes Estados-
Membros). A extensão da harmonização é menor quando levado a cabo por meio de
uma directiva (que só é vinculativa quanto ao resultado a alcançar, deixando às
autoridades nacionais a escolha da forma e dos meios (TFUE Art.288)),

especialmente quando a directiva apenas prevê uma harmonização mínima. No
âmbito do tiva Direc-, harmonização também depende de interpretação e aplicação
coerentes em todos os Estados Unidos; Assim, quaisquer ambiguidades, por
exemplo, relativamente ao âmbito da apli- cação de Directiva 2016/680, pode resultar
na interpretação divergente e mentação, consequentemente, ainda mais fragmen- do
quadro de protecção de dados em todo o ESLJ. As reuniões do grupo de peritos da
Comissão representam um esforço louvável para reunir peritos dos Estados-
Membros responsáveis pela coordenação da transposição da Directiva 2016/680
para a legislação nacional, em um esforço para assegurar a consistência na
compreensão e interpretação levando a uma abordagem comum, apesar o fundo de
diferentes sistemas jurídicos e judiciais nacionais e tradições em toda a UE.
harmonização também depende de interpretação e aplicação coerentes em todos os
Estados Unidos; Assim, quaisquer ambiguidades, por exemplo, relativamente ao
âmbito da apli- cação de Directiva 2016/680, pode resultar na interpretação
divergente e mentação, consequentemente, ainda mais fragmen- do quadro de
protecção de dados em todo o ESLJ. As reuniões do grupo de peritos da Comissão
representam um esforço louvável para reunir peritos dos Estados-Membros
responsáveis pela coordenação da transposição da Directiva 2016/680 para a
legislação nacional, em um esforço para assegurar a consistência na compreensão
e interpretação levando a uma abordagem comum, apesar o fundo de diferentes
sistemas jurídicos e judiciais nacionais e tradições em toda a UE. harmonização
também depende de interpretação e aplicação coerentes em todos os Estados
Unidos; Assim, quaisquer ambiguidades, por exemplo, relativamente ao âmbito da
apli- cação de Directiva 2016/680, pode resultar na interpretação divergente e
mentação, consequentemente, ainda mais fragmen- do quadro de protecção de
de 2017
dados em todo o ESLJ. As reuniões do grupo de peritos da Comissão representam

um esforço louvável para reunir peritos dos Estados-Membros responsáveis pela
coordenação da transposição da Directiva 2016/680 para a legislação nacional, em
um esforço para assegurar a consistência na compreensão e interpretação levando
a uma abordagem comum, apesar o fundo de diferentes sistemas jurídicos e judiciais
nacionais e tradições em toda a UE. relativamente ao âmbito da apli- cação de
Directiva 2016/680, pode resultar na interpretação divergente e mentação,
consequentemente, ainda mais fragmen- do quadro de protecção de dados em todo
o ESLJ. As reuniões do grupo de peritos da Comissão representam um esforço
louvável para reunir peritos dos Estados-Membros responsáveis pela coordenação
da transposição da Directiva 2016/680 para a legislação nacional, em um esforço
para assegurar a consistência na compreensão e interpretação levando a uma
abordagem comum, apesar o fundo de diferentes sistemas jurídicos e judiciais
nacionais e tradições em toda a UE. relativamente ao âmbito da apli- cação de

Directiva 2016/680, pode resultar na interpretação divergente e mentação,
consequentemente, ainda mais fragmen- do quadro de protecção de dados em todo
o ESLJ. As reuniões do grupo de peritos da Comissão representam um esforço
louvável para reunir peritos dos Estados-Membros responsáveis pela coordenação
da transposição da Directiva 2016/680 para a legislação nacional, em um esforço
para assegurar a consistência na compreensão e interpretação levando a uma
abordagem comum, apesar o fundo de diferentes sistemas jurídicos e judiciais
nacionais e tradições em toda a UE.
Escopo
Directiva 2016/680 é aplicável ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de prevenção, investigação, detecção e repressão de
infrações penais ou de execução de sanções penais, incluindo a salvaguarda contra
e a prevenção de ameaças à segurança pública (Art 0,2 (1) e Art.1 (1)). Decisão-
Quadro 2008/977 / JAI do Conselho relativa à protecção dos dados pessoais tratados
no âmbito da cooperação policial e judiciária em matéria penal ( "CFD2008/977/ JAI
'), que é revogadocom efeito desde 6 de Maio de 2018 e substituída pela Directiva
2016/680, é limitado no seu âmbito de processamento de dados cruzada fronteira
(excluindo as comunicações internas) (Art.1 (2)) e pós-Tratado Lisboa foi sem dúvida
devido redundantes com o desaparecimento do chamado 'pilar' da UE estrutura de
competências. Em outras palavras, ao contrário de CFD2008/977/ JAI do Conselho, a
Directiva2016/680 abrange também o processamento doméstico ou nacional. Em
termos de escopo, portanto, a directiva é uma melhoria sobre o instrumento da UE
que a precedeu. No entanto, também deve-se ter em mente que este alargamento
do âmbito só acrescenta valor na medida em que a directiva aumenta
substancialmente o nível de protecção de dados nesta área. Além disso, como já
mencionado, infelizmente, o processo de reforma não assegurou que as regras de
protecção de dados uniforme aplica em todas as áreas do direito da UE (como
observado por Lynskey2015, 93), e tem como resultado deu origem a problemas
relacionados com a delimitação entre a Directiva 2016/680 eo PIBR.
A questão da delimitação entre a Directiva 2016/680 ea PIBR está provando ser
complicado. Directiva 2016/680 é aplicável ao tratamento de dados pessoais pelas
autoridades competentes ( 'âmbito de aplicação pessoal'), para efeitos de prevenção,
investigação, detecção e repressão de infrações penais ou de execução de sanções
penais, incluindo a salvaguarda contra e a prevenção de ameaças à segurança
pública ( 'âmbito de aplicação material'). Ele define 'autoridades competentes' como
8 MM CARUANA
(a) qualquer autoridade pública competente para a prevenção, investigação,

detecção ou cution prose- de infracções penais ou de execução de sanções
penais, incluindo a salvaguarda contra e a prevenção de ameaças à segurança
pública; ou
(b) qualquer outro organismo ou entidade encarregada por lei Estado-Membro para
exercer a autoridade pública e os poderes públicos para efeitos de prevenção,
investigação, detecção ou secution pro- de infracções penais ou de execução de
sanções penais, incluindo o safe proteção contra ea prevenção de ameaças à
segurança pública.2
Esta definição estendida foi introduzida na abordagem geral do Conselho. Na vista

da AEPD (2015a, 2015b), A noção de 'autoridade competente' deveria ter
permanecido tão limitado quanto possível. autoridades policiais tradicionais (polícia
e justiça criminal) são certamente chamou pela alínea (a). Alfândega e guarda de
fronteira, bem como outras autoridades públicas, como as Unidades de Informação
Financeira (UIF), podem ser abrangidos pelo sub-parágrafo (a), enquanto sub-
parágrafo (b) traz dentro de entidades de âmbito privado e isations ganizações, tais
como , por exemplo, prestadores de serviços de segurança com poderes executivos
estendidos para eventos esportivos.
O âmbito alargado borra a delimitação de âmbito de aplicação da Directiva
2016/680 de ea do PIBR. As 'autoridades competentes' a quem se aplica a directiva
incluem autoridades policiais na acepção do Art.87 (1), do TFUE, isto é, 'polícia, das
alfândegas e outros serviços especializados de aplicação da lei em relação à
prevenção, detecção e gação investi- de infracções penais, e as autoridades judiciais.
No entanto, os Estados-Membros definir as atividades de suas autoridades, em
relação à aplicação da lei ou poses pur- meramente administrativas, de forma
diferente; Assim, como foi observado pelo A29WP (2012, 26-27), a mesma operação
de processamento de dados poderia ser coberto pela PIBR num Estado-Membro,
mas pelas leis nacionais com base na directiva em outro. Na verdade, ele foi
recentemente considerado que «[i] n alguns Estados-Membros da UIF criado no
âmbito da Directiva Anti-Lavagem de Dinheiro são autoridades administrativas,
enquanto em outros eles são considerados como das autoridades policiais (Ata da
terceira reunião do grupo de peritos da Comissão sobre o Regulamento
(UE)2016/679e da Directiva (UE)2016/680). Esta distinção é importante como o
processamento no contexto das contra-ordenações está abrangido pelo PIBR, enquanto
o processamento no contextode infracções penais é abrangido pela directiva. Na
de 2017
quinta reunião do grupo de peritos da Comissão, houve discussões sobre se uma

possível interpretação poderia ser para cobrir apenas as autoridades que têm a
acusação, detecção e investigação de infracções penais como sua tarefa principal. A
ata da reunião indicam que alguns Estados-Membros apoiou esta interpretação,
enquanto outros argumentaram que, em seus sistemas jurídicos nacionais, há uma
variedade de órgãos com competência do Ministério Público em uma variedade de
'ofensas inal crim-'. A ata também indicam que alguns Estados-Membros estão a
considerar a possibilidade de aplicar o PIBR aos órgãos administrativos até o
momento Ings proceed- acabar em um tribunal penal / contravenção, momento em
que a directiva seria aplicável. Por uma questão de harmonização,
Não está claro até que ponto, se em tudo, processamento de dados gerados pelas
companhias aéreas, operadores de telecomunicações e instituições financeiras cai a
ser regulada pela Directiva 2016/680. No que diz respeito ao tratamento de dados
por parte das empresas aéreas, o PIBR se aplica às companhias aéreas como o
registo de identificação de passageiros ( 'PNR') os dados sejam recolhidos para fins
comerciais e tratados posteriormente, a fim de cumprir uma obrigação legal à qual o
10 MM CARUANA
companhias aéreas estão sujeitas. Nos termos da Directiva2016/681sobre o uso de dados

PNR para o pré-venção, detecção, investigação e repressão das infracções terroristas e
da criminalidade grave, os dadosprocessados por entidades privadas para seus
próprios fins comerciais são então transferidos ( 'push') a autoridade requerente; é o
tratamento de dados PNR pelas unidades de informação de passageiros a quem são
transferidos os dados, e pelas autoridades competentes, que é então submetido a
um padrão de protecção de dados pessoais ao abrigo da legislação nacional em linha
com CFD2008/977/ JAI (ou a legislação actualmente em vigor ou que venham a
substituí-lo, e, portanto, no futuro próximo, os requisitos específicos de protecção de
dados previsto na Directiva 2016/680).
Esta delimitação do âmbito de aplicação também deve aplicar-se ao tratamento

(retenção) de dados por tele-operadores de comunicações e instituições financeiras.
No entanto, a interpretação é Ren- rado menos clara quando se lê a definição de
'autoridade competente' no artigo 3º (7), em conjugação com o considerando (11) (na
verdade, isso é o que a AEPD [2015a] Fez) que é, possivelmente, pretende fornecer
alguma ajuda interpretativa. Considerando (11) fornece o seguinte:
[...] Um órgão ou entidade que trata os dados pessoais em nome de tais autoridades
[competentes nacionais] no âmbito da presente directiva deve ser vinculado por um
contrato ou acto jurídico e pelas disposições aplicáveis aos processadores nos termos
da presente directiva, enquanto o aplicação do Regulamento (UE) 2016/679 permanece
inalterada para o tratamento de dados pessoais pelo processador fora do âmbito da
presente directiva.
O que importa é o significado preciso 'em nome'. Pode uma obrigação legal ser
imposta para processar 'em nome', de modo que o processamento por parte do
sector privado para os efeitos da directiva (tendo em mente que 'armazenamento' ou
retenção por si só já constitui um 'tratamento') poderia ser interpretado como sendo
" em nome das autoridades responsáveis pela aplicação da lei? E, portanto, devem
essas entidades do sector privado estar vinculado por um 'contrato ou outro acto
jurídico' (considerando 11)? compreensão deste autor é que, neste caso, o
organismo privado ou entidade, por exemplo, um operador de telecomunicações ou
financeira instituição,3
De acordo com esta leitura, se uma UIF não é considerado uma autoridade pública
competente para efeitos da directiva, conforme descrito no artigo 3º (7), ele também
pode cair para ser considerado como um processador nos casos em que ele
processa pessoal dados 'em nome da' tenda compe- autoridades nacionais 'para
efeitos de prevenção, investigação, detecção e repressão de infrações penais ou de
de 2017
execução de sanções penais, incluindo a salvaguarda contra ea prevenção de

ameaças à segurança pública' no âmbito da directiva (por exemplo, monitorização de
transacções suspeitas), e as disposições aplicáveis aos processadores de acordo
com a presente directiva se aplica. No entanto, se uma UIF não é uma 'autoridade
competente', na acepção do (7) Art.3, ou um processador dentro do âmbito da
directiva, então as suas atividades de processamento fora do âmbito da directiva
seria regulada pelo PIBR. Este autor considera que se as atividades da queda FIU
dentro do âmbito da directiva dependerá em última análise, como exatamente a UIF
está configurado, como um administrativo ou como uma autoridade de aplicação da
lei.4
O âmbito de aplicação da Directiva 2016/680 que se estende para além do R (87)
15 para incluir a cooperação judicial em matéria penal. Enquanto R (87) 15 designado
'manutenção da ordem pública', como caindo dentro "fins de polícia para efeitos da
presente recomendação,
12 MM CARUANA
Directiva 2016/680 refere-se a 'a salvaguarda contra e a prevenção de ameaças à

segurança pública'. 'A salvaguarda contra e a prevenção de ameaças à segurança
pública' foi introduzido no acordo geral sobre a directiva no Conselho. O posal pro-
inicial da Comissão restringiu o âmbito da directiva para as atividades de aplicação
da lei penal por autoridades policiais e judiciárias e a AEPD (2015a,2015b) Tinha
empresas recomendam a manutenção desta posição. Há uma consequente falta de
clareza da definição das tarefas da polícia dentro do âmbito da directiva.
Considerando (12) expande-se como se segue:
[...] Tais atividades também pode incluir o exercício da autoridade, tomando medidas
coercivas, como as atividades da polícia em manifestações, grandes eventos desportivos e

motins. Eles também incluem man-tenção lei e da ordem como uma missão confiada à
polícia ou outras autoridades de aplicação da lei, sempre que necessário para
salvaguardar contra e prevenir ameaças à segurança pública e aos interesses
fundamentais da sociedade protegida por lei que pode levar a uma ofensa criminal. [...]
O que é mais notável é a falta de clareza de alguns termos que são usados
frequentemente permutáveis habilmente, como 'ordem pública' ou 'segurança
pública'.
No que diz respeito âmbito de aplicação material, os efeitos da transformação sob
a Lavagem de quarta Anti Money ( 'AML') directiva (2015/849) É um sub-conjunto de
(mais estreita do que) os efeitos da Directiva 2016/680. A Quarta Directiva AML,
art.41 (1) prevê que o tratamento de dados pessoais ao abrigo da directiva está
sujeita à Directiva de Protecção de Dados ( «Directiva95/46'), Tal como foi transposta
para o direito nacional. O sub-parágrafo seguinte (2) que proporciona ainda:
Os dados pessoais devem ser processados por entidades obrigadas com base na
presente directiva só para os efeitos de prevenção de branqueamento de capitais e
financiamento do terrorismo, tal como referido no artigo 1, não devendo ser
posteriormente tratados de forma incompatível com essas finalidades.
Assim, parece que o processamento pela entidade obrigada, mesmo para um sub-
conjunto das poses pur- da Directiva 2016/680, cai a ser regulada pela Directiva
95/46 - território PIBR - como o 'âmbito de aplicação pessoal' não é conheceu. No
entanto, isso não se aplica necessariamente à UIF.
O quadro de protecção de dados é apenas parcialmente coberto

As regras de protecção de dados para as instituições da UE, órgãos e agências,
de 2017
estabelecidas no Regulamento45/2001, Bem como todos os actos específicos no

domínio da cooperação judiciária em matéria penal, tais como as regras para a
Europol polícia e (Regulamento2016/794) E da Eurojust (Decisão2009/426/ JAI), ou
as regras de protecção de dados nos termos da Decisão Prüm (Decisão 2008/615 / JAI),
foram deixados intocados.5 O regulamento Europol foiadotada em 11 de maio de 2016,
menos de um mês após a adopção da Directiva 2016/680. O considerando quarenta
do regulamento prevê que as regras de protecção de dados 'da Europol deve ser
autônomo, enquanto ao mesmo tempo consistente com outra proteção de dados
relevantes instrumentos mentos aplicáveis na área da cooperação policial na União
[...], em particular, a Directiva (UE) 2016/680 [...]'. No entanto, existem discrepâncias
(ver Cocq2016). Há também parecemhaver regras previstas para a Política Externa e
de Segurança Comum e, com base no Art.39 TEU. Este é claramente insatisfatória
na medida em que as instituições da UE devem ser sujeitos às mesmas regras que
se aplicam ao nível dos Estados-Membros. Para o quadro de protecção de dados a

ser Abrangente, o enquadramento para a protecção de dados para as instituições da
UE, e para os dados proces- cantar no ex-segundo e terceiro pilares da UE, precisa
estar alinhado com o PIBR / Directiva 2016/680 . O A29WP observou as dificuldades
práticas que existem em
14 MM CARUANA
propondo uma revisão geral do acervo actual; no entanto, o mesmo nível de

protecção de dados deve finalmente ser aplicável a todos os tratamentos de dados
nesta área (A29WP2012, 5).
Art.62 (6) A Directiva 2016/680, que a Comissão deve analisar, dentro de um anoo
termo do prazo de transposição, outros actos da UE que regulam o tratamento de
dados pessoais pelas autoridades competentes para efeitos de prevenção,
investigação, detecção e repressão de infrações penais ou de execução de sanções
penais planejadas, tais como a salvaguarda contra ea prevenção de ameaças à
segurança pública, a fim de avaliar a necessidade de alinhá-los com a directiva e
'para fazer, se for o caso, as propostas necessárias para alterar estes atos para
garantir uma abordagem coerente relativo à protecção de dados pessoais no âmbito

da presente directiva'. Em última análise, isso significa que a data prevista para a
conclusão do (mínimo) projeto de harmonização neste sector não foi definido.
segurança nacional
A Directiva 2016/680 não se aplica ao tratamento de dados pessoais: 'no exercício
de actividades não sujeitas à aplicação do direito da União'.6 Art.2 (3) da Proposta de
Directiva relativa à protecção de dados nos setores de polícia e de justiça (COM
/2012/010final) (a seguir 'proposta') excluídos do seu âmbito do tratamento de dados
pessoais 'no exercício de actividades não sujeitas à aplicação do direito da União,
em particular a segurança nacional em matéria'. A refe- rência à segurança nacional
foi excluído do artigo 2º (3) no texto da directiva (2016/680), mas foi reinserido no
Considerando (14):
Uma vez que esta directiva não se aplica ao tratamento de dados pessoais no âmbito
de uma actividade que está fora do âmbito do direito da União, as actividades
relacionadas com a segurança nacional, as atividades de agências ou unidades que
tratam de questões de segurança nacional e ao tratamento de dados pessoais pelos
Estados-Membros no exercício de actividades que se inserem no âmbito do Capítulo 2
do Título V do Tratado da União Europeia (TUE) [disposições específicas relativas à
política externa e de segurança comum] não devem ser consideradas actividades
abrangidas pelo âmbito da presente directiva.
Enquanto R (87) refere-se a 15 'de segurança estado', a proposta e o considerando

da Directiva 2016/680 referem-se a 'segurança nacional', cujos termos são, contudo,
em geral, utilizados indiferentemente. De fi- definições ou interpretações dadas a
estes conceitos por Estados diferentes podem, e fazem, são diferentes, resultando
de 2017
em uma falta de clareza quanto ao âmbito de aplicação da directiva. Desde

'segurança nacional' cai fora do âmbito das competências da UE e, portanto, também
do direito da UE, a exceção é, estritamente falando, além da crítica. No entanto, a
falta de clareza nitional de fi é problemático, e é necessário para garantir que a
exceção não é excessivamente utilizado para legiti- mise o tratamento de dados
pessoais fora do âmbito do PIBR e da Directiva 2016/680, por exemplo, no contexto
da luta contra o terrorismo.
Enquanto rejeita fortemente a noção de que todas as questões relacionadas com
a vigilância em massa progra- mas são puramente uma questão de segurança
nacional e, portanto, da exclusiva competência dos Estados-Membros, o Parlamento
Europeu, numa resolução de 12 de Março de 2014, reiterou que os Estados-Membros
devem respeitar plenamente legislação da UE e da CEDH enquanto age para garantir
a sua segurança nacional. Ele lembrou uma recente decisão do Tribunal de Justiça
da União Europeia (TJUE ") segundo o qual 'embora seja para os Estados-Membros
a tomarem as medidas adequadas para garantir a sua segurança interna e externa,
o simples facto de uma decisão
16 MM CARUANA
preocupações de segurança do Estado não pode resultar em direito da União Europeia

sendo inaplicável'(Processo C-300/11, ZZ v Secretário de Estado para o Departamento
de Início, 4 de junho de 2013). O Parlamento observou ainda que a proteção da
privacidade de todos os cidadãos da UE está em jogo, assim como a segurança e
confiabilidade de todas as redes de comunicação da UE; portanto, discussão e acção
a nível da UE não são apenas legítimo, mas também uma questão de autonomia da
UE.7
processo penal
Enquanto a directiva é aplicável ao tratamento de dados pessoais pelas autoridades

competentes para efeitos de repressão de infracções penais, em circunstâncias 'onde
os dados pessoais estão contidas em uma decisão judicial ou registro ou caso
arquivo processado no curso de investigações e processos penais', regras nacionais
podem trunfo regulamento da UE com mandato.8 O A29WP interpreta Art.17 (e
considerando 82) da proposta (equivalente a Directiva 2016/680 Art.18 (e
considerando 107)) no sentido dos Estados-Membros podem decidir não alinhar suas
regras nacionais de processo penal com os direitos de informação , acesso, ção
retificação, apagamento e restrição de processamento (fornecida sob Art.11-16
Proposta, Directiva 2016/680 Arts.13, 14 e 16), pelo menos nos casos em que os
processos judiciais são con- cerned. No entanto, casos práticos em que se aplicariam
essas regras nacionais não são claras, como as diferentes leis processuais penais
nacionais dos Estados-Membros torná-lo difícil de determinar em que fase de um
processo é referido. Também não está claro se o prefixo 'judicial' em 'decisão judicial'
também deve ser levado para anexar ao 'registro' ou 'autos' (como em 'registo
criminal' ou 'autos do processo judicial'?). No entanto, ao ler considerando (20) -
A presente directiva não impede os Estados-Membros especificando as operações de
processamento e procedimentos de processamento em regras nacionais em
procedimentos criminais em relação ao tratamento de dados pessoais por tribunais e
outras autoridades judiciais, nomeadamente no que respeita aos dados pessoais
contidos em uma decisão judicial ou em registros em relação ao processo penal.
- parece que deveria. Mais uma vez, o objetivo de regras harmonizadas é potencial-
mente prejudicada, eo A29WP considerou esta isenção do âmbito de sua aplicação
da directiva desaconselhável (2012, 27). Tal como acontece com a questão da
'segurança nacional', há um risco de que tais disposições podem criar 'buracos
negros', onde os Estados-Membros deixam de aplicar os direitos e obrigações de
de 2017
protecção de dados.
Além disso, a directiva prevê que os Estados-Membros devem impedir a sua ISA
a partir de operações de processamento vising super- de tribunais, quando agindo
na sua capacidade judicial (Directiva 2016/680 art.45 (2)). Novamente, não há
ambiguidade quanto ao quando os tribunais podem ser consideradas como 'exercício
da sua competência judicial', e, portanto, não sujeito a ISA escrutínio. É necessário
esclarecer que a relação entre o ISA e os tribunais deveriam ser, e em que cir-
cunstâncias tarefas de supervisão pode ser realizada (A29WP2012, 27).
Supervisão e repressão
Control - autoridades de supervisão
A supervisão é um componente essencial do direito fundamental à protecção de

dados (confirmado em Schrems, processo C-362/14, 2015/10/06). Diretriz95/46
Art.28 (1) e CFD 2008/977 / JAI Art.25, a Directiva 2016/680 art.41 obriga os Estados-
Membros a estabelecer
18 MM CARUANA
ISA, o que pode ser o ISA estabelecidos no âmbito do PIBR, ampliando a missão
dessas autoridades para contribuir para a aplicação coerente da directiva em toda a
UE (art.41 (3)). Um elemento essencial desta disposição é o caráter independente da
instituição exercer a supervisão das autoridades policiais. Esta exigência foi Reiter-
ated pelo TJUE (o primeiro caso era Comissão v Alemanha (C-518/07, 9.3.2010;. Cf.
Hüttl2012), Mais recentemente, no processo Comissão contra a Áustria (C-614/10,
2012/10/16), onde concluiu que, devido aos laços estreitos entre a Autoridade de
Protecção de Dados austríaca (Datenschutzkommisson) e da Chancelaria Federal, a
Autoridade não fez
cumprir os requisitos de independência definidos na Directiva 95/46.
As normas de auditoria de todos os Estados-Membros e a AEPD juntos compor o

Conselho Europeu de Protecção de Dados ( 'EDPB'), estabelecida pela PIBR, Art.68. No
entanto, de acordo com o art.41 (3) da Directiva 2016/680, a ISA não é necessariamente
o ISA designado sob o PIBR. Lá-tona, um membro da EDPB não é necessariamente
responsável pela supervisão no âmbito da directiva. A recomendação da AEPD para
esclarecer este ponto, por exemplo, por cifying espe- que as entidades diferentes são
designados nos termos da PIBR e da directiva, que deve coordenar a sua acção, a
fim de representar a voz de ambas as autoridades no EDPB, não foi tomada a bordo
(AEPD2015a, 8;2015b, 282).
No entanto, na maioria dos Estados-Membros, o mesmo ISA provavelmente será
atribuído a super-vise tanto a PIBR e as leis nacionais de transposição da directiva.
Isso enfatiza a problemática falta de coerência entre as disposições da directiva e as
do PIBR na supervisão pelas ISA, bem como os mecanismos de cooperação
propostos entre essas autoridades.
Competência (tribunais agem a título judicial)

Directiva 2016/680 art.45 (1) prevê que cada ISA deve ser competente para o ance
desem- das tarefas atribuídas a, e para o exercício dos poderes conferidos,-lo em
ance conformi- com a directiva no território de seu próprio Estado-Membro. Art.45 (2)
proporciona, em seguida, como se segue:
Cada Estado-Membro deve fornecer para cada autoridade de supervisão não ser
competente para a supervisão das operações de tratamento de tribunais, quando agindo
na sua capacidade judicial. Os Estados-Membros podem prever a sua autoridade de
supervisão não têm competência para supervisionar proces- cantar operações de outras
autoridades judiciais independentes, quando agindo na sua capacidade judicial.
de 2017
A justificativa para isso é descrito no considerando (80) da seguinte forma: 'a fim de
salvaguardar a independência dos juízes no exercício das suas funções judiciais'. No
entanto, isso levanta questões de interpretação e alcance, por exemplo,
especialmente considerando as diferenças importantes em sistemas judiciais entre
Estados-Membros, nem sempre é claro quando e se os promotores públicos são
'autoridades judiciais independentes', bem como, quando e que ponto suas
atividades constituem 'actividades judiciais' (AEPD2015a, 8). A AEPD teve
ommended reco- - com referência ao considerando 55 da proposta - manter
actividades judiciais 'genuínas' do termo, que foi suprimido pelo Conselho, mas esta
recomendação não fazê-lo com o texto da Directiva 2016/680.
Considerando 80 afirma ainda que 'Em qualquer caso, o cumprimento das regras
deste tiva Direc- pelos tribunais e outras autoridades judiciais independentes está
sempre sujeito a um controlo independente em conformidade com o artigo 8 (3) da
Carta.' Na quinta reunião do grupo de peritos da Comissão, embora a Comissão e

alguns Estados-Membros argumentaram que
20 MM CARUANA
a supervisão independente em tais casos, deve ser assegurada através de um órgão

judicial independente dentro do sistema judicial, outros Estados-Membros
argumentaram que a supervisão é assegurada através do sistema de revisão judicial
(tribunais de apelação), como um juiz não pode, por exemplo, decisões de controle
de outro julgar sobre a admissibilidade de provas contendo dados pessoais. Alguns
Estados-Membros observou que os titulares dos dados que não são partes no
processo, então não seria capaz de levantar queixas relacionadas com a protecção
de dados (acta da quinta reunião do grupo de peritos da Comissão2017).
Poderes das autoridades de supervisão

A supervisão é um componente essencial do direito fundamental à protecção de

dados, e o nível ea intensidade da fiscalização não deve ser dependente do setor em
que os dados pessoais são tratados (AEPD2015a). No entanto, os poderes das normas
de auditoria conferidopela Directiva 2016/680 Art.47 não estão alinhados com os
poderes enumerados no PIBR Art.58. Enquanto PIBR Art.58 enumera uma longa
lista de poderes, Art.47 da directiva é comparativamente mais limitada e não
consegue conceder vários poderes sem justificação óbvia: por exemplo, o poder de
impor 'sanções administrativas' ou penalidades está faltando (neste foi incluído pelo
Parlamento Europeu), enquanto o PIBR prevê essa possibilidade (Art.58 (2) (i)); o
poder de suspender os fluxos de dados para um destinatário num país terceiro ou a
uma organização internacional (PIBR Art.58 (2) (j)) também está ausente da
directiva; o poder de ordenar o controlador, ou o processador, para cumprir com os
pedidos relativos aos direitos das pessoas em causa (PIBR Art. 58 (2) (c)) é de forma
mais restritiva moldado como a potência de ordem 'da rectificação ou o apagamento
de dados pessoais ou restrição de processamento' em Art.47 (2) (b) da directiva. A
falta de especificação dos poderes de investigação das normas de auditoria, que
são, mas não deve ser, reduzido em comparação com os poderes de investigação
prestados pela PIBR, também é notável: por exemplo, enquanto em ambos os
instrumentos ISA deve ter 'o poder de obter do controlador e o acesso do
processador para todos os dados pessoais que estão sendo processados e todas as
informações necessárias para o desempenho das suas funções (Directiva 2016/680
Art.47 (1); PIBR Art.58 (1) (e)) , a possibilidade de obter a partir do controlador, ou o
processador, o acesso a 'a todas as instalações do controlador e o processador,
incluindo a qualquer equipamento de processamento de dados e meios de' (PIBR
arte.
Na medida em que estão em causa os 'poderes' de autoridades de supervisão, a
de 2017
abordagem geral do Conselho dominou. O texto da Directiva 2016/680 reflete a

abordagem geral do Conselho e não levar em conta a opinião expressa pela AEPD:
'Não há necessidade de diferenciar as competências atribuídas [ISA] ao abrigo do
regulamento e directiva' (2015a, 8). No entanto, após a AEPD2012 Opinião, a
provisão foi de fato reforçado em relação à versão da proposta (ver AEPD2012, Para.
430 e Pro-posal Art.46 (a) - (b)); por exemplo, as potências eficazes listados sob
Art.47 (2) (a) - (c) - por exemplo, 'para impor uma limitação temporária ou definitiva,
incluindo uma proibição, em processamento' (Art.47 (2) (c )) - são potencialmente
forte, e ao abrigo da Directiva 2016/680 todos os Estados-Membros devem fornecer
ISA em seus territórios com essas potências correctivas eficazes '.
Enquanto alguns exceção limitada pode ser justificada em relação aos tribunais
agindo na sua capacidade oficial judi- (embora o âmbito e propósito desta exceção
permanecem reflexão problemática e mais sobre o assunto é necessário), não há
razão aparente para limitar os poderes do ISA fora deste contexto específico. Pelo
contrário, forte supervisão da polícia é sem dúvida mais importante do que em outros
ramos do governo, como as atividades da polícia impacto significativo sobre os
direitos de protecção de dados individuais e da liberdade social. Embora os dados
22 MM CARUANA
Os indivíduos também precisam de proteção integral na área judicial, sob o Estado

de Direito algumas atividades do judiciário pode ser (parcialmente) isentos de
supervisão por outros organismos públicos, como ISA. Isto é reconhecido por ambos
Art.55 (3) e PIBR art.45 (2) directiva 2016/680.
Na Comissão / Alemanha decisão (C-518/07, 9.3.2010), o TJUE mencionado
explicitamenteapresentação de relatórios pela ISA para o parlamento nacional como
uma ferramenta para respeitar o princípio da democracia. O requisito para o ISA a
elaborar um relatório anual sobre suas atividades está previsto na Directiva 2016/680
Art.49. A recomendação da AEPD (primeiro pro- colocados pelo Parlamento
Europeu) que o relatório de actividades deve 'incluir informações sobre a medida em
que as autoridades competentes de sua jurisdição acessaram dados mantidos por

particulares para investigar ou processar crimes' não foi tomada a bordo
(AEPD2015b, 313).
consulta prévia
Uma primeira expressão de 'consulta antes' é encontrado em R (87) 15, o qual
proporciona que o organismo responsável deve consultar o ISA previamente em
qualquer caso em que a introdução de métodos de processamento automatizado
levanta questões sobre a aplicação do dação Reco- ( princípio 1.3). Directiva
2016/680 Art.28 (1) introduz a obrigação para a legislação nacional Europeia para o
controlador / processador para realizar tal consulta prévia ao tratamento de dados
pessoais que fazem parte de um novo sistema de arquivamento criado em que:
(a) uma avaliação de impacto de protecção de dados, tal como previsto no artigo 27
indica que o processamento resultaria em um risco elevado na ausência de
medidas tomadas pelo troller con- para mitigar o risco; ou
(b) o tipo de processamento, em particular, onde a utilização de novas tecnologias,
mecanismos ou procedimentos, envolve um risco elevado para os direitos e
liberdades das pessoas em causa.
Directiva 2016/680 Art.28 (2) prevê que o ISA também devem ser consultados
durante a preparação de uma proposta de medida legislativa a ser adotada por um
parlamento nacional ou de uma medida reguladora com base em uma medida
legislativa, que se refere a em processamento.
Directiva 2016/680 Art.28 (3) prevê ainda que os Estados-Membros devem prever
que o ISA pode estabelecer uma lista das operações de tratamento que estão sujeitos
de 2017
a consulta prévia em conformidade com o Art.28 (1). Isso é interessante na medida

em que é a ISA, em vez do Estado-Membro (como no âmbito da Directiva 95/46,
Art.20, e, por exemplo, o Reino Unido DPA 1998, S.22), que iria decidir o conteúdo
da lista.
Cooperação e consistência
O crescimento exponencial da troca de informações entre a aplicação da lei nacional
e autoridades judiciais requer abordagens harmonizadas, bem como garantias de
que as medidas de aplicação de um ISA num Estado-Membro não seja contornada
se os dados são processados em outro Estado-Membro. Além disso, uma estreita
cooperação das ISA poderia facilitar a utilização de dados pessoais no âmbito de
processos judiciais com um elemento transfronteiriço. Por estas razões, a
cooperação entre as ISA nacionais, e entre estes ea Comissão, para garantir a
consistência da aplicação das regras de protecção de dados em toda a UE, é

desejável.
Enquanto o PIBR prevê um regime elaborado para a cooperação entre as ISA, e
tambémincentiva as operações conjuntas (art.60 e Art.62), as disposições da
Directiva 2016/680 de são
24 MM CARUANA
mais limitado. A directiva reconhece que a cooperação entre as ISA faz sentido, mesmona
área da cooperação judiciária (considerando (83) e Art.50) e policial. Directiva
2016/680 Art.50 à assistência mútua é trazida em linha com Art.61 ( 'assistência
mútua') PIBR, Comparada com a disposição equivalente da proposta que não foi tão
alinhados. Art.50 (8) prevê que a Comissão pode, por meio de actos de execução,
especifique o formato e as modalidades de assistência mútua e as modalidades de
troca de informa- ções por meios electrónicos entre ISA e entre ISA e o EDPB. Isso
reflete a posição da abordagem geral do Conselho, e não assumir a recomendação
da AEPD ter a EDPB ser responsável por isso, em vez da Comissão (AEPD2015b,
318).
No entanto, a Directiva 2016/680 contém nenhum equivalente para o fornecimento

nas operações combinadas (PIBR Art.62), mecanismo de consistência (PIBR Arts.63,
64, 65) ou medidas provisórias em procedimentos de urgência (Art.66) encontrados
no PIBR. A versão da proposta vazou em 2011, antes da publicação da proposta
oficial em 2012 ( 'versão vazada', Art.52), bem como a posição do Parlamento
Europeu (Art.48a), que incluem uma disposição sobre a joint operações - o
equivalente a Art.56 / Art.62 proposta / PIBR - fornecendo:
1. Os Estados-Membros devem prever que, a fim de intensificar a cooperação e assistência
mútua, aautoridades de supervisão possam proceder às medidas de execução conjuntas
e outras operações conjuntas nas quais designados membros ou funcionários das
autoridades de outros Estados-Membros de supervisão participar em operações no
território de um Estado-Membro. [...]
Omissão desta disposição a partir da Proposta foi provavelmente justificada, como

autoridades policiais provavelmente não concordaria ao escrutínio, incluindo o
acesso a todos os dados pessoais ou a qualquer de suas instalações, por um ISA de
outro Estado-Membro; isso seria visto como uma intromissão na soberania nacional.
O chamado mecanismo de consistência9 visa garantir que a legislação de
protecção de dados da UE é interpretada de maneira uniforme em toda a UE, a fim
de dar a todos os residentes na União Europeia igual protecção dos seus direitos
fundamentais, especialmente nos casos com elementos transfronteiriços. Este
raciocínio certamente se aplica à área da cooperação judiciária em matéria penal e
policial. A inclusão de um tal mecanismo consistência na Directiva 2016/680 teria
consistência garantida para as operações de processamento para fins policiais
considerados em toda a UE a exigir consulta prévia do ISA. No entanto, a Directiva
2016/680 não inclui disposições equivalentes às encontradas em PIBR Arts.63-65. A
AEPD não estava convencido de que um mecanismo específico de cooperação
de 2017
reforçada inspirado no mecanismo de consistência do PIBR não poderia ser incluído

na directiva, embora possivelmente com tarefas mais limitadas (AEPD2012, Para.
436).
Soluções e sanções
Directiva 2016/680 prevê recursos disponíveis para a pessoa em causa: é possível
recorrer ao ISA, ou ao tribunal competente nacional ( 'recurso judicial eficaz'). O
primeiro é exercido sem prejuízo do último, ou de qualquer outro recurso
administrativo (Art.52); o último é exercido sem prejuízo do 'qualquer outro recurso
administrativo ou não judicial' (Art.53 e Art.54). Ele também prevê um recurso judicial
dis- poníveis para o controlador / processador contra uma decisão juridicamente
vinculativa da ISA. Finalmente, o próprio ISA tem posição legal junto dos tribunais
nacionais competentes.
26 MM CARUANA
Onde o controlador nega a dados sujeitos o seu direito à informação, acesso ou

rectificação ou apagamento dos dados pessoais, ou restrição de processamento (sob
Arts.12-18), a directiva prevê a pessoa em causa ter o direito de solicitar que a ISA
nacional verificar a legalidade do tratamento. A pessoa em causa deve ser informado
desse direito (Art.15 (3), Art.16 (4)). No entanto, o ISA não está habilitado pela
directiva para a ordem do controlador para conceder tais informações / acesso /
rectificação / apagamento / restrição de proces- cantar. Isso é diferente das
disposições do PIBR que fornecem a ISA com o poder 'corretiva' para 'a ordem do
controlador ou do processador para cumprir com os pedidos da pessoa em causa
exercer os seus direitos em conformidade com [o] regulamento' e 'a ordenar a ficação
recti- ou o apagamento de dados pessoais ou restrição de processamento [...] e a

notificação dessas medidas a receptores para os quais os dados pessoais têm sido
divulgadas [...]'(Art.58 (2) (c) e (g )). Quando o ISA age em nome do titular dos dados,
a pessoa em causa deve ser informada pelo ISA, pelo menos, que todas as
verificações necessárias ou uma revisão por parte do ISA ter ocorrido. O ISA também
deve informar a pessoa em causa do direito de procurar uma solução judicial (Art.17
(3) e considerando (48)).
Directiva 2016/680 prevê qualquer pessoa em causa ter o direito de apresentar
uma queixa com- com um único ISA (sem prejuízo de qualquer outro recurso
administrativo ou judicial), onde a pessoa em causa considera que o tratamento de
dados pessoais relativos a ele ou ela viole disposições adoptadas em conformidade
com a Directiva (Art.52 (1)). O ISA deve informar a pessoa em causa do progresso e
do resultado da queixa, incluindo a possibilidade de um recurso judicial, nos termos
do Art.53 (Art.52 (4)).
Directiva 2016/680 prevê ainda todos os dados sujeitos a ter o direito a uma acção
judicial tiva efi- de acordo com o Art.47 da Carta. A directiva prevê 'para o direito de
uma pessoa singular ou colectiva a um efectivo recurso judicial contra uma decisão
juridicamente vinculativa de uma autoridade de supervisão que lhes dizem respeito'
(Art.53 (1)). Quando o ISA não lidar com uma queixa ou não informar a pessoa em
causa num prazo de três meses do progresso ou resultado da queixa apresentada
ao abrigo do Art.52, a pessoa em causa tem o direito a uma tutela jurisdicional efetiva
(Art.53 ( 2), e considerando (85)).
Directiva 2016/680 também prevê o direito de uma pessoa em causa a um
efectivo recurso judicial contra um controlador ou processador ', onde ele ou ela
considera que os seus direitos previstos em disposições adoptadas nos termos da
presente directiva foram infringidas como resultado de o tratamento dos seus dados
de 2017
pessoais em não-conformidade com essas disposições (Art.54). Quando uma

pessoa em causa considera que os seus direitos decorrentes da presente directiva
são violados, ele ou ela deve ter o direito de impor um 'não-for-profit corpo,
organização ou ção asso- que [...] é ativo no domínio da protecção dos direitos e
liberdades da pessoa em causa no que diz respeito à protecção dos seus dados
pessoais' para apresentar a queixa em seu nome com um ISA e para exercer os
direitos a um recurso judicial referido no Arts.52, 53
e 54 em seu nome (Art.55, e considerando (87)).
O exercício dos poderes conferidos à ISA em conformidade com o Art.47 estarão
sujeitas a salvaguardas apropriadas, incluindo reparação judicial efectiva e devido
processo legal, tal como estabelecido na legislação da UE e nacional, em
conformidade com a Carta (Directiva 2016/680, Art 0,47 (4)). Como se observa, no
Art.53 a directiva prevê o direito a um efectivo recurso judicial perante o tribunal
nacional competente da decisão de um ISA que produz efeitos jurídicos em matéria

de uma pessoa (singular ou colectiva). Tal remédio também pode ser exercido pelo
controller / processador se é válido em particular para o exercício dos poderes de
investigação, corretivas e de autorização pela autoridade de supervisão
»(considerando (86)).
28 MM CARUANA
Por sua vez, cada ISA deve ter o poder de trazer violações das disposições
adoptadas nos termos da Directiva 2016/680 à atenção das autoridades judiciais e,
quando apropriado, para iniciar ou participar em processos judiciais, a fim de fazer
cumprir as disposições adoptadas nos termos da directiva (Directiva 2016/680, Art.47
(5)).
Directiva 2016/680 prevê que qualquer pessoa que tenha sofrido danos materiais
ou não materiais, como resultado de um tratamento ilícito ou de qualquer ato infringir
disposições nacionais adoptadas nos termos da directiva deve ter o direito de receber
uma compensação para o dano sofrido com a controlador ou qualquer outra
autoridade competente de acordo com a lei do Estado-Membro (Directiva 2016/680,
Art.56).
A directiva prevê também que os Estados-Membros devem 'estabelecer as regras
relativas às sanções aplicáveis às violações das disposições adoptadas nos termos
da directiva' e tomar todas as medidas necessárias para assegurar a sua aplicação;
as sanções previstas devem ser eficazes, proporcionadas e dissuasivas (Directiva
2016/680, Art.57). A ISA tem nenhum poder específico no âmbito da Directiva
2016/680 de aplicar sanções. Sob o PIBR o ISA é fornecido com o poder 'corretiva'
para impor uma 'multa administrativa' (em conformidade com o Art.83), dependendo
das circunstâncias de cada caso concreto (Art.58 (2) (i)). Sob o PIBR, os Estados-
Membros devem também estabelecer as regras de outras sanções aplicáveis em
caso de infracção do regulamento, nomeadamente em caso de infracções que não
são sujeitos a admi- multas mentares em conformidade com o Art.83, e tomar todas
as medidas necessárias para assegurar a sua aplicação (PIBR, Art.84 (1)). Este é
um caso de fraqueza relativa do ISA no que diz respeito a operações de
processamento realizadas sob a directiva, quando comparado com a posição sob o
PIBR.
transferências internacionais
Esta seção lida com um aspecto da Directiva 2016/680 que envolve as leis em
jurisdições diferentes, como resultado da necessidade de fluxos transfronteiriços de
dados pessoais para a cooperação a nível internacional e aplicação da lei. O
julgamento em Schrems (C-362/14, 2015/10/06) confirma as condições rigorosas
para a transferência de dados pessoais a terceiros países. Directiva 2016/680 Art.35
fornece os princípios gerais relativas às transferências de dades Auth- competentes
de dados pessoais para países terceiros ou organizações internacionais - eles são
de 2017
permitidos somente se: necessário para efeitos de prevenção, investigação,

detecção ou ção prosecu- de infracções penais ou a execução de sanções penais,
incluindo a salvaguarda contra e a prevenção de ameaças à segurança pública; feita
para uma autoridade competente para os fins previstos no art. 1 (1) (em regra, as
autoridades policiais de um país terceiro ou uma organização internacional); a
Comissão adoptou uma decisão de adequação, nos termos do Art.36, ou, na
ausência de tal decisão, as salvaguardas apropriadas tenham sido fornecidos ou
existe ao abrigo do artigo 37.º, ou, na ausência de uma decisão de adequação e de
salvaguardas adequadas, derrogações para situações específicas aplicados nos
termos do Art.38; e assegura-se que o nível de protecção das pessoas singulares
garantidos pela directiva não seja prejudicada. Directiva 2016/680 Art.35 fornece
condições mais fracas de transferência quando comparado com R (87) 15 5.4
Princípio: as condições mais rigorosas de R (87) 15 requer o pré-requisito de uma
disposição legal clara e, na ausência de tal, a necessidade para a prevenção de um

perigo grave e iminente,
30 MM CARUANA
A restrição de transferências internacionais para órgãos de polícia, previsto no R

(87) 15 Princípio 5.4, estava faltando na Proposta de 2012. A versão vazada da
proposta, desde que os Estados-Membros devem assegurar que qualquer
transferência de dados pessoais pelas autoridades competentes só se realizará se
(inter alia) o controlador no país terceiro, ou ção organi- internacional, é uma
autoridade competente para efeitos de a prevenção, investigação, ção detec- ou
repressão de infracções penais ou de execução de sanções penais. Esta exigência
foi reinserido no texto da Directiva 2016/680 (Art.35 (1) (b)). No entanto, Art.35 (1) (b)
ainda é um pouco vago ao se referir a 'uma autoridade competente para a pur- poses
referido no artigo 1 (1)' (tendo em conta a definição de 'autoridade competente' na
arte.2015b, 256)). Em qualquer caso, um novo Art.39 também foi intro-duzido (pela
abordagem do Conselho geral, como Art.36aa) que trouxe uma 'derrogação' a esta
regra (discutido abaixo), apesar do fato de que a AEPD opôs fortemente qualquer
possibilidade de transferência e processamento de dados pessoais por países
terceiros ou internacional isations ganizações além do quadro já estabelecido pela
directiva proposta.
Art.36 da versão vazada previsto outras condições para a transferência de dados
pessoais para países terceiros ou de organizações internacionais, posteriormente
omitidos da Proposta cido pub-. A condição estabelecida pelo Art.36 (1) (a) que 'o
nível de protecção das pessoas singulares para a protecção de dados pessoais
garantidos na União pela presente directiva não seja prejudicada' reflete a condição
de R (87) 15 , Princípio 5.4 - 'desde que regulamentares internas para a proteção da
pessoa não sejam prejudicados'. Ele foi reintegrado no texto final da Directiva
2016/680, Art.35 (3): 'Todas as disposições do presente capítulo devem ser aplicadas
a fim de garantir que o nível de protecção das pessoas singulares assegurada pela
presente directiva não seja prejudicada.'
Quando comparado com a disposição equivalente da proposta e da Directiva
2016/680, Art.36 (1) (b) da versão vazada colocado ênfase no requisito da
necessidade para um propósito a aplicação da lei para cada transferência específica.
Em relação ao artigo 36 (2) da versão vazada, é importante notar que não seria
permitido ao abrigo deste instrumento para as autoridades policiais ou judiciais para
transferir dados a nível internacional, na ausência de uma decisão quacy ade-, ou no
ausência de salvaguardas adequadas onde tal foram aduzidos em um instrumento
juridicamente vinculativo. Estas disposições foram significativamente enfraquecida.
Não só a Directiva 2016/680 alterar a primeira base sobre a qual as transferências
internacionais são permitidas sob R (87) 15, isto é, uma disposição legal clara, mas
de 2017
também permite que tais transferências para ocorrer na ausência de qualquer

instrumento juridicamente vinculativo. A directiva centra-se, no Art.36, sobre as
transferências para países terceiros ou organizações internacionais quando a
Comissão adoptou uma decisão de adequação, e em art.37 em transferências por
meio de garantias adequadas.
Uma decisão de adequação é adotada pela Comissão nos termos do Art.36 (3) após
asses-cantar a adequação do nível de protecção. Ao fazê-lo, a Comissão deve, no
lar particular-, ter em conta os seguintes elementos:
(a) o Estado de Direito, o respeito pelos direitos humanos e liberdades fundamentais,

lamento le- relevante, [...] jurisprudência, bem como os direitos do sujeito dos
dados eficazes e exequíveis e recurso administrativo e judicial eficaz para as
pessoas cujos dados pessoais são transferidos;
(b) a existência e funcionamento eficaz de um ou mais independentes dades Auth-

de supervisão no país terceiro ou para o qual uma organização internacional está
sujeito [...]; e
(c) os compromissos internacionais do país terceiro ou organização internacional
con- cerned firmou, ou outras obrigações decorrentes de convenções ou
instrumentos juridicamente vinculativos, bem como da sua participação em
sistemas multilaterais ou regionais, em particular em relação à protecção dos
dados pessoais.10
É digno de nota que Art.36 (2) (a) não é orientada para 'a transferência de dados
destina-se'. É também digno de nota que uma decisão de adequação emitido sob a
PIBR não será aplicável a transferências no contexto da directiva, e vice-versa (a
referência à PIBR foi removido).
No que diz respeito transferências por meio de salvaguardas adequadas, na ausência
de uma Comissãodecisão de adequação, a Directiva 2016/680 art.37 estabelece que
as salvaguardas apropriadas necessárias antes de transferências internacionais
pode ser feita através de um instrumento juridicamente vinculativo, por exemplo, um
acordo internacional. Em alternativa, o controlador de dados pode, com base numa
avaliação das circunstâncias que envolvem a transferência, concluir da existência de
tais garantias. A directiva prevê que o controlador deve informar o ISA sobre
'categorias de transferências' sob a segunda alternativa (art.37 (2)). Quando uma
transferência baseia-se esta disposição, essa transferência deve ser documentado
ea documentação disponibilizada ao ISA, a pedido, incluindo a data ea hora da
transferência, informa- ções sobre a autoridade competente receber, a justificação
para a transferência e os dados pessoais transferidos (art.37 (3)). Estes representam
salvaguardas adicionais, mas são sem dúvida insuficientes em si mesmos. Uma
avaliação pelo controlador por si só não deve ser considerada como uma salvaguarda
adequada e suficiente para permitir transferências para um país terceiro, ou uma
organização internacional, numa base sistemática ou estrutural, pois proporciona
proteção insuficiente para as pessoas em causa. Esta é também a opinião da AEPD
(2012, Para. 413-414). Em contraste, em tais casos PIBR Art.46 (3) fornece de
autorização prévia de ISA. Os AEPD (2012, Para. 415) tinha fortemente
recomendado exclusão de propostas Art.35 (1) (b) (Directiva 2016/680 art.37 (1) (b))
ou, no mínimo, o que requer a ização autori- antes do AHI. A AEPD tinha
recomendado assegurar que a transferência de dados pessoais sem uma decisão de
adequação será limitada a situações em que existe um instrumento juridicamente
de 2017
vinculativo, ou onde há uma necessidade de proteger o interesse vital da pessoa em

causa ou em caso de grave e imediata ameaça à segurança pública (AEPD2012, III.7;
AEPD2015a, 9).Isso não foi levado a bordo.
Sob a provisão para 'derrogações para situações específicas' (Art.38), na ausência
de uma decisão de adequação ou de salvaguardas adequadas, os Estados-Membros
devem prever que uma fer trans ou uma categoria de transferências de dados
pessoais para um país terceiro ou um zação orga- internacional só pode ter lugar
com a condição de que a transferência seja necessária [...]'. É notável que ao abrigo
desta disposição derrogações para situações específicas, 'a categoria de
transferências' também pode ter lugar.
Em comparação com R (87) 15, a lista de excepções ao abrigo da Directiva
2016/680 é mais longa e mais amplo. Ao abrigo da directiva, as transferências de
dados pessoais para um país terceiro, ou uma organização internacional, pode
32 MM CARUANA
ocorrer por derrogação do Art.36 (transferências com uma decisão quacy ade-) e
art.37 (transferências por meio de salvaguardas apropriadas ) com a condição de que
a transferência é necessário:
(a) a fim de proteger os interesses vitais da pessoa em causa ou de outra pessoa;

(b) para salvaguardar os interesses legítimos da pessoa em causa, em que a lei do
Estado-Membro transferir os dados pessoais previr;
(c) para a prevenção de uma ameaça imediata e grave à segurança pública de um
Estado-Membro ou um país terceiro;
(d) em casos individuais para os fins previstos no artigo 1 (1); ou
(e) num caso individual para a declaração, o exercício ou a defesa de
reivindicações legais relacionadas com os fins estabelecidos no artigo 1 (1). 11
Art.38 da versão vazada - o equivalente a Art.36 da proposta e da Directiva

2016/680 Art.38 - não continha os motivos enumerados no Art.38 (d) e (e), que
prevêem as derrogações mais amplas. A débil tentativa de compensar é feita no
Art.38 (2) que pro- vides: 'Os dados pessoais não serão transferidos se a autoridade
competente a transferência deter- minas que os direitos e liberdades fundamentais
da pessoa em causa em questão sobrepor o interesse público na transferência
estabelecido nas alíneas (d) e (e) do n.º 1.'
No que diz respeito derrogações Comissão art.34 proposta e Art.35 (equivalente
a Directiva 2016/680 Art.36 e art.37), a AEPD havia enfatizado que qualquer
derrogação usada para justificar uma transferência deve ser interpretado
restritivamente e não devem permitir que o Quent fre-, transferência maciça e
estrutural dos dados pessoais. Deve ficar claro que um caso individual não deve
permitir transferências por atacado de dados e deve ser limitado a dados estritamente
necessários. Isto aplica-se igualmente a qualquer transferência justificada por uma
ameaça imediata e grave à segurança pública, conforme mencionado na Proposta
Art.36 (c), o equivalente a Directiva 2016/680 Art.38 (c). Este foi esclarecido na
Directiva 2016/680 considerando (72), que dispõe que: '[...] Essas derrogações
devem ser interpretadas restritivamente e não devem permitir que quent fre-,
transferências maciças e estruturais de dados pessoais, ou transferências em larga
escala de dados, mas deve ser limitado a dados estritamente necessários. [...]' A
título de salvaguardas adicionais, a Directiva 2016/680 Art.38 (3) prevê que, se uma
transferência é baseada em uma derrogação, tal deve ser documentado ea
documentação disponibilizada ao ISA, a pedido, incluindo a data e momento da
transferência, as informações sobre a autoridade petente com- receber, a justificação
para a transferência e os dados pessoais transferidos.
As transferências para entidades privadas nos termos do artigo 39

de 2017
Directiva 2016/680 Art.39 derrogação à regra geral encontrada no Art.35 (1) (b) que
fers trans são feitas para uma autoridade ( 'controller') num país terceiro ou
organização internacional que é competente para efeitos da directiva. Em casos
individuais e específicos, fers trans podem ser feitas pelas autoridades competentes
referidas no artigo 3º (7) (a) (autoridades públicas) para festas privadas. Este é
fornecido como uma opção ( 'direito da União ou Estado-Membro pode fornecer ...') e
não cria uma obrigação para os Estados-Membros. O artigo não derroga os acordos
internacionais existentes (por exemplo mútuos laços assistência Tratados que legais
( 'MLAT')), e todas as outras disposições da directiva precisam ser cumpridas para
que uma transferência seja lícita. As condições para as transferências previstas no
presente artigo incluem os requisitos documen- tação e a obrigação de informar o
ISA (autorização não é necessária). O grupo de peritos da Comissão observou que,
34 MM CARUANA
embora presente artigo deve ser uma exceção, ele pode se tornar uma regra em
determinadas situações, como em situações de urgência no combate ao crime
cibernético, onde há uma necessidade de preservação de dados, ou na luta contra a
fraude de cartão de crédito .
Também, mas mais excepcionalmente, este artigo pode ser usado para entrar em
contato com as companhias aéreas durante uma transferência de um prisioneiro.
Não havia equivalente do presente artigo na proposta. Foi introduzido pelo
Conselho (como Art.36 (aa)), e as suas disposições foram feitas de forma incremental
mais rigorosa da sua primeira para a sua encarnação final ( 'somente se as outras
disposições da presente directiva sejam cumpridos e todas as seguintes condições
são cumprida'(dos quais existem cinco - Art.39 (1) (a) - (e))). No entanto, a
recomendação específica da AEPD (2015a, 9;2015b, 274 (recomendação para uma
Art.36aa (2) (c))) requerendo
uma obrigação clara legal ou autorização, ou com a autorização da autoridade de

supervisão, onde - a comunicação é, sem dúvida, no interesse da pessoa em causa e,
ou a pessoa em causa tenha consentido ou as circunstâncias são tais que permitam
presumir claramente essa autorização; ou - a comunicação é necessária, de modo a
evitar um perigo grave e iminente
não foi levado a bordo. As condições mais rigorosas previstas pela AEPD qual
transferênciaspara uma festa privada só pode ter lugar sem prejuízo das condições
que estão actualmente previstas no R (87) 15 princípio 5.3 sobre 'Comunicação a
particulares' não foram cumpridas. Com relação ao Art.40, que prevê que, em
relação a países terceiros e organizações internacionais, a Comissão e os Estados-
Membros devem 'tomar medidas adequadas' para cooperar internacionalmente, a
AEPD recomendou que o EDPB e, eventualmente, as normas de auditoria tomar tal
medidas adequadas. Esta recomendação também foi
não tidas em conta.
Relação com acordos internacionais anteriormente celebrados

Directiva 2016/680 Art.61 prevê que os acordos internacionais que envolvem a
transferência de dados pessoais para países terceiros ou de organizações
internacionais, celebrados pelos Estados-Membros antes de 6 de maio de 2016 e
que respeitem o direito da União, conforme aplicável antes dessa data,
permanecerão em vigor até alterada, substituída ou revogada. Em outras palavras,
os Estados-Membros não são obrigados a procurar activamente a alterarem os
acordos bilaterais no futuro próximo para que, como de Hert e Papakonstantinou
(2016) Nota, 'a existência prolongada desses [acordos internacionais] que aplicam
normas mais baixos do que a directiva poderia minar todo internacional
de 2017
transferências de dados edifício'. A proposta original da Comissão previsto que tais

acordos internacionais tiveram de ser alterada, onde ary neces-, dentro de cinco anos
após a entrada em vigor da directiva, mas esta foi completamente abandonada no
texto final.
Conclusão
Este trabalho tem incidido sobre os aspectos de harmonização, o escopo, supervisão
e ment enforce- da Directiva 2016/680, sendo áreas de pista, em termos de coerência
e eficácia da aplicação da directiva, ainda gerando notável incerteza e debate no
contexto do processo de de transposição da directiva e eventual aplicação a nível
nacional. No geral, a directiva recentemente promulgada parece bem posicionada
para alcançar uma melhoria significativa sobre o que se passou antes, apesar das
36 MM CARUANA
limitações observadas. Como um instrumento legislativo atualizada da UE, que será

aplicada a todo o sector de justiça criminal da polícia e, a Directiva 2016/680
representa uma melhoria em relação ao regime anterior em termos
de consistência e âmbito. Com relação ao primeiro, 'harmonização mínima' significa

que a realização nesta área é limitada; enquanto em relação a escopo, ambiguidades
no que respeita à delimitação precisa com a PIBR, juntamente com as exceções dos
mesmos, também representam o progresso só limitado. Além disso, o processo de
reforma, infelizmente, não assegurou que as regras uniformes de protecção de dados
aplicam-se em todas as áreas do direito da UE (PIBR / directiva). No entanto, em
termos de âmbito, a directiva representa a melhoria mais clara sobre o regime
anterior, como antigamente CFD2008/977/ JAI só é aplicado a transferências
internacionais, enquanto vários instrumentos ELSJ referidos a não vinculativa R (87)
15.
Em geral, a essência de R (87) 15 é na maior parte preservada. Directiva 2016/680

prevê supervisão (com exceção dos tribunais no exercício das respectivas funções
judiciais) e aplicação dentro da jurisdição das ISA criados nos Estados-Membros; ele
faz isso por meio de regras que restringem as transferências de dados internacionais
fora da referida jurisdição. Notavelmente, no entanto, a Directiva 2016/680 Art.35
(transferências internacionais) fornece condições mais fracas de transferência
quando comparado com R (87) 15 Princípios 5,3 e 5,4.
Uma crítica recorrente neste artigo diz respeito aos casos de incompatibilidade
entre a Directiva 2016/680 ea PIBR - para exampl, E a diferenciação dos poderes
con- ferred sobre normas de auditoria, ou a ausência na directiva de um 'mecanismo
de consistência'. No entanto, em comparação com R (87) 15, mais ênfase é colocada
sobre a importância de consistência de aplicação de regras de protecção de dados,
por exemplo, através da cooperação ( 'ance ASSIST mútuo') entre as ISA.
Uma avaliação sobre se um equilíbrio justo e eficaz dos interesses por vezes
conflitantes em altos níveis de protecção de dados pessoais, por um lado, e os
requisitos de aplicação da lei para garantir a segurança pública, por outro, vai
depender da aplicação da legislação de transposição em praticar em todos os
Estados-Membros da UE, bem como sobre novas reformas a instrumentos
específicos. Isto é assim especialmente em vista das dificuldades e incertezas
encontradas na transposição da directiva a nível nacional, que foram descritos neste
documento. O veredicto final será no entanto precisam ser suspensa até que os
Estados-Membros ganhar alguma experiência com a interpretação e aplicação da
sua legislação nacional promulgada para transpor a directiva.
Notas
de 2017
1. Para uma análise abrangente (se datada) da protecção de dados no contexto de

atividades que integra normalmente caem dentro do Espaço de Liberdade, Segurança
e Justiça, ver Boehm (2012).
2. A Directiva 2016/680, artigo 3º (7).
3. cf. Considerando (55) 'A realização de processamento por um processador deve ser regida
por um acto jurídicoincluindo uma ligação do processador ao controlador contrato e
estipulando, em particular, que o processador deve apenas actuará mediante instruções
do controlador [...]'
4. cf. Quarta Directiva AML (2015/849) Art.40 (1):
Os Estados-Membros exigem às entidades obrigadas a conservar [...] documentos

e informações, em conformidade com a legislação nacional, para efeitos de
prevenção, detecção e pelos inquéritos, pela UIF ou por outras autoridades
competentes, lavagem de dinheiro possível ou ter- financiamento rorist [... ]. (Grifo
do autor)
38 MM CARUANA
5. Ver nota 4 Art.2 (3) (b) e art.60.

6. Ver nota 4 Art.2 (3) (a).
7. Resolução do Parlamento Europeu de 12 de Março de 2014 com os EUA NSA vigilância

progra- ma, os órgãos de vigilância em diversos Estados-membros e seu impacto sobre
os direitos fundamentais dos cidadãos da UE e na cooperação transatlântica em matéria
de Justiça e Assuntos Internos.
8. Directiva 2016/680, Art.18.
9. O PIBR prevê a cooperação obrigatória entre as APD, e estabelece um mecanismo de
consistência a nível da UE para assegurar a aplicação coerente das regras, que combina
um papel sory advi- para o EDPB e um papel para a Comissão.
10. Directiva 2016/680, Art.36 (2) (a) - (c).
11. Directiva 2016/680, Art.38.
declaração de divulgação
Nenhum potencial conflito de interesse foi relatado pelo autor.
ORCID
Mireille M. Caruana http://orcid.org/0000-0002-1943-5413
Referências
Artigo 29.º Protecção de Dados.2012. “Parecer 01/2012 sobre as propostas de reforma de
Protecção de Dados.” Adoptada em 23 de Março de 2012. 00530/12 / PT WP 191.
Artigo 29.º Protecção de Dados. 2015. “Parecer 03/2015 sobre o projecto de directiva relativa
à protecção das pessoas no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de prevenção, investigação, detecção e repressão de
infracções penais ou de execução de sanções penais, e à livre circulação de tais
dados.”adoptada em 1 de Dezembro de 2015. 3211/15 / PT WP 233.
Boehm, Franziska.2012. Partilha de Informação e Proteção de Dados no Espaço de Liberdade,
Segurança eJustiça. Berlin: Springer.
Bygrave, Lee A.2014. Lei de Privacidade de Dados: Uma Perspectiva Internacional. Oxford:
Oxford University Press. Cannataci, Joseph A., e Mireille M. Caruana.2014. T-PD (2013) 11
Recomendação R (87) 15 -
Vinte e cinco anos para baixo da linha. Estrasburgo, 18 de Fevereiro.
Cocq, Céline C.2016. “Regras de proteção de dados da UE que aplicam a Aplicação da Lei
Atividades: Rumo a umaHarmonizada Quadro Legal “New Journal of European Criminal Law
7 (3):? 263-276.
Decisão-Quadro 2008/977 / JAI do Conselho, de 27 de Novembro de 2008 sobre a protecção dos
dados pessoaistratados no âmbito da cooperação judiciária em matéria penal, JO L 350/60
de polícia e, 30 de Dezembro de 2008.
de 2017
Recomendação do Conselho da Europa 87 (15) regula a utilização de dados pessoais no sector da polícia.
Adoptada pelo Comité de Ministros em 17 de Setembro de 1987.
de Hert, Paul, e Serge Gutwirth.2006. “A privacidade, protecção de dados e da aplicação da lei.
Opacidade do indivíduo e Transparência do Poder.”Em Privacidade e Direito Penal, editado por
E. Claes, A.Duff, e S. Gutwirth, 61-104. Antuérpia: Intersentia.
de Hert, Paul, e Vagelis Papakonstantinou.2016. “The New Policial e Criminal Directiva de
Protecção de Dados Justiça: uma primeira análise.” New Journal of European Criminal Law
7 (1): 7-19.
Directiva 95/46 / CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa
à protecção das pessoas no que respeita ao tratamento de dados pessoais e à livre
circulação desses dados, JO L 281/31, 23.11. 1995.
Directiva (UE) 2015/849 do Parlamento Europeu e do Conselho, de 20 de maio de 2015 sobre
a intervenção pré-da utilização do sistema financeiro para efeitos de branqueamento de
capitais e cing finan- terrorista, que altera o Regulamento (UE) n.º 648 / 2012 do Parlamento
Europeu e do Conselho, e que revoga a Directiva 2005/60 / CE do Parlamento Europeu e
40 MM CARUANA
da Directiva do Conselho e da Comissão 2006/70 / CE, JO L141 / 73, 2015/06/05.

Directiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016 a

Tection pro- das pessoas singulares no que diz respeito ao tratamento de dados pessoais
pelas autoridades competentes para efeitos de prevenção, investigação, detecção e
repressão de infracções penais ou a execução de sanções penais, e à livre circulação
desses dados, e que revoga a Decisão-Quadro 2008/977 / JAI do Conselho, JO L 119/89,
2016/05/04.
Directiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016 o uso
de dados dos registos de passageiros (PNR) para a prevenção, detecção, investigação e
repressão das infracções terroristas e da criminalidade grave, JO L 119 / 132, 2016/05/04.
Autoridade Europeia para a Protecção de Dados.2012. “Parecer sobre a reforma do pacote de
Protecção de Dados.” 7 de março.
Autoridade Europeia para a Protecção de Dados.2015a. “Mais um passo para proteção de

dados abrangente da UE.” AEPD recomendações sobre a directiva para a protecção de
dados nos setores de polícia e da justiça. Parecer 6/2015, 28 de outubro.
Autoridade Europeia para a Protecção de Dados.2015b. “Anexo ao Parecer 6/2015: Tabela
comparativa da Directiva Textos com as recomendações da AEPD.”
Hüttl, Tivadar.2012. “O conteúdo de 'total independência' Contido na Proteção Directiva Data.”
Data International Law Privacy 2 (3): 137-148.
Kokott, Juliane, e Christoph Sobotta.2013. “A distinção entre privacidade e proteção de dadosna
jurisprudência do TJUE e do TEDH “Data International Lei de Privacidade. 3: 222-228.
Lynskey, Orla.2015. Os Fundamentos da Lei de Proteção de Dados da UE. Oxford: Oxford
University Press.Ata da quinta reunião do grupo de peritos da Comissão sobre o Regulamento
(UE) 2016/679 e
Directiva (UE) 2016/680, 18 de janeiro de 2017.
Ata da terceira reunião do grupo de peritos da Comissão sobre o Regulamento (UE) 2016/679
e da Directiva (UE) 2016/680, 07 de novembro de 2016.
Proposta de Directiva do Parlamento Europeu e do Conselho relativa à protecção dos UALs
INDIVIDU- que diz respeito ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de prevenção, investigação, detecção e repressão de infracções
penais ou a execução de crim- penalidades inal, e a livre circulação de tais COM dados /
2012/010 final - 2012/0010 (COD).
Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à Agência Europeia
dos Criminal Cooperação Justiça (Eurojust), COM (2013) 535 final. Ele irá substituir a
Decisão do Conselho 2009/426 / JAI.
Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de
2000, relativa à protecção das pessoas no que diz respeito ao tratamento de dados pessoais
pelas instituições e pelos órgãos comunitários e à livre circulação desses dados, JO L 8/1,
12 de Janeiro de 2001.
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016 a
Tection pro- das pessoas singulares no que diz respeito ao tratamento de dados pessoais
e à livre circulação desses dados, e que revoga a Directiva 95 / 46 / CE (Regulamento Geral
de Proteção de dados).
de 2017
Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de Maio de 2016

da Agência da União Europeia para a Lei de Cooperação Enforcement (Europol) e substituir
e que revoga as Decisões do Conselho 2009/371 / JAI do Conselho, 2009/934 / JAI do
Conselho de 2009 / 935 / JAI de 2009/936 / JAI e 2009/968 / JAI, JO L135 / 53 de 24 de
Maio de 2016.

Autoridade em Hannah Arendt

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Autoridade em Hannah Arendt

Caricato da

Copyright:

Formati disponibili

Revista Internacional de Direito, Informática e Tecnologia

ISSN: 1360-0869 (Print) 1364-6885 (Online) Jornal homepage: http://www.tandfonline.com/loi/cirl20

A reforma do quadro de protecção de dados

on-line Publicado: 05 de setembro de

2017. Envie seu artigo para a revista

Veja artigos relacionados

Os Termos e Condições de acesso e utilização pode ser encontrada em

Baixar por:[B-on: Biblioteca do Conhecimento IPBeja online] Encontro: 25 de setembro de 2017,

A reforma do quadro de protecção de dados da UE no

Há uma tensão inerente e inevitável entre a aplicação da lei e os poderes de

e deve, portanto, ser proporcionais ao objectivo a atingir.

CONTATO Mireille M. Caruana mireille.caruana@um.edu.mt

e distinção entre privacidade e protecção de dados (alternativamente denominado

transferências internacionais foi feita explicitamente no Digital Irlanda Direitos

O artigo considera a medida em que os Princípios originalmente previsto no

do sector dos princípios da protecção de dados estabelecidos na Convenção do

fortalecido, enfraquecido ou abandonado; e identifica princípios ou regulamentos que

espaço europeu de liberdade, segurança e justiça ( 'ELSJ') instrumentos (ver, por

sub-conjunto que também são membros da UE, implementar a R baseada em

protecção de dados e não deixar isso para os Estados-Membros individualmente

O facto de a UE aprovou um regulamento (PIBR) que estabelece as regras gerais

autoridades nacionais a escolha da forma e dos meios (TFUE Art.288)),

dados em todo o ESLJ. As reuniões do grupo de peritos da Comissão representam

nacionais e tradições em toda a UE. relativamente ao âmbito da apli- cação de

(a) qualquer autoridade pública competente para a prevenção, investigação,

Esta definição estendida foi introduzida na abordagem geral do Conselho. Na vista

quinta reunião do grupo de peritos da Comissão, houve discussões sobre se uma

companhias aéreas estão sujeitas. Nos termos da Directiva2016/681sobre o uso de dados

Esta delimitação do âmbito de aplicação também deve aplicar-se ao tratamento

execução de sanções penais, incluindo a salvaguarda contra ea prevenção de

Directiva 2016/680 refere-se a 'a salvaguarda contra e a prevenção de ameaças à

coercivas, como as atividades da polícia em manifestações, grandes eventos desportivos e

O quadro de protecção de dados é apenas parcialmente coberto

estabelecidas no Regulamento45/2001, Bem como todos os actos específicos no

se aplicam ao nível dos Estados-Membros. Para o quadro de protecção de dados a

propondo uma revisão geral do acervo actual; no entanto, o mesmo nível de

garantir uma abordagem coerente relativo à protecção de dados pessoais no âmbito

Enquanto R (87) refere-se a 15 'de segurança estado', a proposta e o considerando

em uma falta de clareza quanto ao âmbito de aplicação da directiva. Desde

preocupações de segurança do Estado não pode resultar em direito da União Europeia

Enquanto a directiva é aplicável ao tratamento de dados pessoais pelas autoridades

A supervisão é um componente essencial do direito fundamental à protecção de

As normas de auditoria de todos os Estados-Membros e a AEPD juntos compor o

Competência (tribunais agem a título judicial)

Carta.' Na quinta reunião do grupo de peritos da Comissão, embora a Comissão e

a supervisão independente em tais casos, deve ser assegurada através de um órgão

Poderes das autoridades de supervisão

A supervisão é um componente essencial do direito fundamental à protecção de

abordagem geral do Conselho dominou. O texto da Directiva 2016/680 reflete a

Os indivíduos também precisam de proteção integral na área judicial, sob o Estado

que as autoridades competentes de sua jurisdição acessaram dados mantidos por

a consulta prévia em conformidade com o Art.28 (1). Isso é interessante na medida

consistência da aplicação das regras de protecção de dados em toda a UE, é

No entanto, a Directiva 2016/680 contém nenhum equivalente para o fornecimento

Omissão desta disposição a partir da Proposta foi provavelmente justificada, como

reforçada inspirado no mecanismo de consistência do PIBR não poderia ser incluído

Onde o controlador nega a dados sujeitos o seu direito à informação, acesso ou

recti- ou o apagamento de dados pessoais ou restrição de processamento [...] e a

pessoais em não-conformidade com essas disposições (Art.54). Quando uma

nacional competente da decisão de um ISA que produz efeitos jurídicos em matéria

permitidos somente se: necessário para efeitos de prevenção, investigação,

disposição legal clara e, na ausência de tal, a necessidade para a prevenção de um

A restrição de transferências internacionais para órgãos de polícia, previsto no R