Bruxelas, 3 de junho — Na sua 30.ª sessão plenária, o CEPD adotou uma declaração sobre os direitos dos titulares de dados relacionados com o estado de emergência nos Estados-Membros, bem como uma carta em resposta a uma carta que lhe foi enviada pelas organizações Civil Liberties Union for Europe, Access Now e União das Liberdades Cívicas da Hungria (HCLU) tendo por objeto o Decreto do Governo húngaro n.º 179/2020, de 4 de maio.
O CEPD recorda que, mesmo nestes tempos excecionais, a proteção dos dados pessoais deve ser mantida em todas as medidas de emergência, contribuindo assim para o respeito dos valores fundamentais da democracia, do Estado de direito e dos direitos fundamentais da União.
Tanto na declaração como na carta, o CEPD reitera que o RGPD continua a ser aplicável e permite uma resposta eficaz à pandemia, protegendo, ao mesmo tempo, os direitos e as liberdades fundamentais. A legislação em matéria de proteção de dados permite já as operações de tratamento de dados necessárias para contribuir para a luta contra a pandemia de COVID-19.
A declaração recorda os princípios fundamentais relacionados com as restrições aos direitos dos titulares de dados no âmbito do estado de emergência nos Estados-Membros:
- Não são justificáveis restrições gerais, extensas ou intrusivas na medida em que esvaziem um direito fundamental do seu conteúdo de base.
- O artigo 23.º do RGPD permite aos legisladores nacionais, em determinadas condições, restringir, por medida legislativa, o alcance das obrigações dos responsáveis pelo tratamento de dados e dos subcontratantes, assim como os direitos dos titulares de dados, quando tal restrição respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada, numa sociedade democrática, para salvaguardar objetivos importantes de interesse público geral da União ou de um Estado-Membro, como, por exemplo, a saúde pública.
- Os direitos dos titulares de dados estão no cerne do direito fundamental à proteção de dados e o artigo 23.º do RGPD deve ser interpretado e lido tendo presente que a sua aplicação deve ser a regra geral. As restrições constituem exceções à regra geral, devendo, por isso, ser aplicadas apenas em circunstâncias limitadas.
- As restrições devem ser previstas «por via legislativa» e a lei que as estabelece deve ser suficientemente clara de molde a permitir que os cidadãos compreendam as condições em que os responsáveis pelo tratamento de dados estão habilitados a impor tais restrições. Além disso, a aplicação das restrições deve ser previsível para os seus destinatários. As restrições impostas por uma duração não limitada no tempo, aplicáveis retroativamente ou sujeitas a condições indefinidas não cumprem o critério de previsibilidade.
- A mera existência de uma pandemia ou de qualquer outra situação de emergência não constitui, por si só, razão suficiente para prever qualquer tipo de restrição aos direitos dos titulares de dados; pelo contrário, qualquer restrição deve contribuir claramente para a salvaguarda de um objetivo importante de interesse público geral da UE ou de um Estado-Membro.
- O estado de emergência, decretado num contexto de pandemia, é uma condição jurídica suscetível de legitimar restrições aos direitos dos titulares de dados, desde que as mesmas se limitem ao estritamente necessário e sejam proporcionadas para salvaguardar o objetivo de saúde pública. Por conseguinte, as restrições devem ser estritamente limitadas no seu alcance e no tempo, uma vez que os direitos dos titulares de dados podem ser limitados mas não negados. Além disso, as garantias previstas no artigo 23.º, n.º 2, do RGPD devem ser aplicadas na íntegra.
- As restrições suspensivas ou interruptivas da aplicação dos direitos dos titulares de dados e das obrigações que incumbem aos responsáveis pelo tratamento de dados e aos subcontratantes adotadas no contexto de um estado de emergência sem uma limitação clara no tempo equivaleriam, de facto, a uma suspensão total desses direitos e seriam incompatíveis com a essência dos direitos e liberdades fundamentais.
Além disso, o CEPD anunciou que, nos próximos meses, irá emitir orientações sobre a aplicação do artigo 23.º do RGPD.
Nota aos editores
Todos os documentos adotados em sessão plenária pelo Comité Europeu para a Proteção de Dados estão sujeitos aos controlos jurídicos, linguísticos e de formatação necessários e serão publicados no sítio Web do CEPD uma vez concluídos esses controlos.