DECISÃO DO CONSELHO ÚNICO DE RESOLUÇÃO de 18 de setembro de 2019 – Tratamento de dados pessoais no âmbito de investigações internas de incidentes de segurança realizadas pelo Conselho Único de Resolução
Relativa às regras internas em matéria de limitações de determinados direitos dos titulares de dados no que diz respeito ao tratamento de dados pessoais no âmbito de investigações internas de incidentes de segurança realizadas pelo Conselho Único de Resolução (SRB/ES/2019/34)
O CONSELHO ÚNICO DE RESOLUÇÃO,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) n.o 806/2014 do Parlamento Europeu e do Conselho, de 15 de julho de 2014, que estabelece regras e um procedimento uniformes para a resolução de instituições de crédito e de certas empresas de investimento no quadro de um Mecanismo Único de Resolução e de um Fundo Único de Resolução bancária e que altera o Regulamento (UE) n.o 1093/2010 (1), e, nomeadamente, os seus artigos 42.o, 43.°, n.o 5, 50.°, n.o 3, 56.°, n.o s 1-3, 61.°, 63.° e 64.°.
Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (2),
Tendo em conta a consulta da Autoridade Europeia para a Proteção de Dados,
Considerando o seguinte:
(1) | O Conselho Único de Resolução («CUR») desempenha as tarefas de uma autoridade de resolução enquanto parte do Mecanismo Único de Resolução («MUR») nos termos do Regulamento (UE) n.o 806/2014. A missão do CUR consiste em garantir uma resolução ordenada dos bancos em situação de falência com o mínimo impacto sobre a economia real, o sistema financeiro e as finanças públicas dos Estados-Membros participantes e de outros. |
(2) | O CUR pode tratar dados pessoais relativos a vários sistemas instalados nas instalações do CUR (videovigilância, controlo de acesso, livros de registo de visitantes).Estas informações são estritamente recolhidas por razões de proteção e segurança (por exemplo, para manter o rasto de quantas pessoas se encontram no edifício para efeitos de evacuação, ambas consentâneas com as decisões de segurança da CE), para prevenir, detetar e documentar qualquer incidente de segurança que ocorra no interior dos edifícios ou na zona envolvente. |
(3) | O CUR, representado aqui pelo chefe de Unidade de Serviços Empresariais e TIC, trata várias categorias de dados pessoais e, em particular, dados de identificação, dados de contacto, dados profissionais. Os dados pessoais são armazenados num ambiente eletrónico seguro, que impede a pessoas que não têm necessidade de os conhecer o acesso ilegal aos mesmos e a sua transferência ilegal. Os dados pessoais tratados são conservados de acordo com as regras da CE em matéria de conservação de dados. No fim do período de conservação, as informações recolhidas que incluam dados pessoais são eliminadas de acordo com o período máximo acordado: livros de registo de visitantes: seis meses, sistema de videovigilância: 30 dias, sistema controlo de acesso: dois meses. |
(4) | As regras internas aplicam-se a todas as operações de tratamento realizadas pelo CUR no exercício das suas atividades relativas a matérias de proteção e segurança, para a prevenção, deteção ou investigação de incidentes de segurança, proteção do pessoal, bens e informações da agência e dos visitantes do CUR. |
(5) | As regras internas aplicam-se às operações de tratamento realizadas durante investigações internas de incidentes de segurança, bem como durante o controlo do seguimento dos resultados dessas investigações. As regras internas aplicam-se às operações de tratamento que façam parte das atividades ligadas ao setor da Segurança/Instalações do CUR. Devem aplicar-se ainda à assistência e cooperação prestadas pelo setor da Segurança/Instalações do CUR às autoridades nacionais, às forças de aplicação da lei belgas, ao OLAF, aos serviços de emergência e às organizações internacionais fora dos seus inquéritos administrativos; |
(6) | O CUR tem de apresentar justificações em que explique a razão pela qual as limitações são estritamente necessárias e proporcionadas numa sociedade democrática, e a forma como respeitam a essência dos direitos e liberdades fundamentais; |
(7) | Neste âmbito, o CUR está obrigado a respeitar, tanto quanto possível, os direitos fundamentais dos titulares dos dados durante os procedimentos acima mencionados, sobretudo os direitos relacionados com o direito de acesso e retificação, o direito de apagamento, portabilidade dos dados, etc. conforme consagrados no Regulamento (UE) 2018/1725; |
(8) | Contudo, o CUR pode ser obrigado a adiar a comunicação de informações ao titular dos dados e outros direitos do titular dos dados para proteger, em especial, as suas próprias investigações de incidentes de segurança que envolvam dados de sistemas de videovigilância e de controlo de acesso. |
(9) | O CUR pode, portanto, adiar a comunicação de informações para efeitos de proteger as investigações de incidentes de segurança; |
(10) | O CUR deverá anular a limitação logo que e na medida em que as condições que justificam a limitação deixem de ser aplicáveis; |
(11) | O CUR deverá monitorizar as condições de restrição regularmente, a cada seis meses e revê-las quando necessário; |
(12) | O CUR deverá consultar o EPD durante as revisões, |
ADOTOU A PRESENTE DECISÃO:
Artigo 1.o
Objeto e âmbito de aplicação
1. A presente decisão estabelece as normas internas relativas às condições em que o CUR, no âmbito das suas investigações internas de incidentes de segurança, pode limitar a aplicação dos direitos consagrados nos artigos 14.o a 21.o, 35.o, do Regulamento (UE) 2018/1725, bem como no artigo 4.o, conforme previsto no artigo 25.o do mesmo regulamento.
2. A presente decisão aplica-se às operações de tratamento de dados pessoais pelo CUR para efeitos de realizar investigações internas de incidentes de segurança, bem como durante o controlo do acompanhamento dos resultados dessas investigações.
3. As categorias de dados em causa são dados tangíveis (dados administrativos, número de telefone, endereço privado, comunicações eletrónicas) e dados relativos ao tráfego e/ou dados intangíveis (avaliações, abertura de inquéritos, relatórios relativos a investigações preliminares) etc.
4. Sujeito às condições estabelecidas na presente decisão, as limitações podem aplicar-se aos seguintes direitos: acesso, retificação, apagamento e direitos de portabilidade, direitos de informação, confidencialidade das comunicações e princípios da operação de tratamento de dados, contanto que digam respeito a um direito.
Artigo 2.o
Especificação do responsável pelo tratamento e salvaguardas
1. As salvaguardas criadas para evitar as violações, fugas ou divulgações não autorizadas de dados são as seguintes: limitação de direitos de acesso a pastas eletrónicas e à caixa de correio funcional para apresentação de queixas, armários protegidos com chaves e formação específica das pessoas que tratam das informações sobre confidencialidade.
2. O responsável por essas operações de tratamento é o CUR, representado aqui pelo chefe da Unidade de Serviços Empresariais e TIC do CUR.
3. Os dados pessoais recolhidos são armazenados e conservados de acordo com as normas da CE em matéria de conservação de dados e em conformidade com a Lei belga de 21 de março de 2007 (que rege a instalação e utilização de câmaras de vigilância). O período de conservação respeita o princípio de conservação não superior ao necessário para cumprir a finalidade da operação de tratamento e, por último, para permitir litígios judiciais ou administrativos.
Artigo 3.o
Limitações
1. Nos termos do artigo 25.o, n.o 1, do Regulamento (UE) 2018/1725, qualquer limitação apenas é aplicada para salvaguardar:
— | a prevenção, investigação, deteção e repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública; |
— | a segurança interna das instituições e órgãos da União, incluindo a das suas redes de comunicações eletrónicas; |
— | a proteção de processos judiciais; |
— | a prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas; |
— | a defesa do titular dos dados ou dos direitos e liberdades de outrem; |
2. Todas as limitações devem ser necessárias e proporcionadas numa sociedade democrática e respeitar a essência dos direitos e liberdades fundamentais.
3. Deve ser realizado um teste de necessidade e de proporcionalidade baseado nas presentes regras internas. O mesmo deve ser documentado, caso a caso, mediante uma nota de avaliação interna, para efeitos de responsabilização.
4. As limitações devem ser devidamente monitorizadas e deve ser realizada uma revisão periódica a cada seis meses.
5. As limitações devem ser anuladas assim que cessarem as circunstâncias que as justificam.
6. O risco para os direitos e as liberdades do titular dos dados constitui a limitação temporária do exercício efetivo dos direitos do titular de dados, nomeadamente, a informação, apagamento ou defesa, conforme garantido pelo Regulamento (UE) 2018/1725. Estes riscos devem ser tidos em conta no âmbito do teste da necessidade e proporcionalidade referido no n.o 3 deste artigo.
Artigo 4.o
Participação do encarregado da proteção de dados
1. O CUR deve, durante o procedimento de limitação e sem demora injustificada, informar o encarregado da proteção de dados do CUR (o «EPD») sempre que limitar a aplicação dos direitos dos titulares de dados de acordo com a presente decisão. Deverá prestar acesso ao registo e à avaliação da necessidade e proporcionalidade da limitação.
2. O EPD pode pedir por escrito, ao responsável pelo tratamento, o reexame da aplicação das limitações. O CUR deverá informar o EPD por escrito sobre o resultado do reexame pedido e quando a limitação é anulada.
Artigo 5.o
Comunicação de informações ao titular dos dados
1. O CUR deve incluir nos avisos sobre a proteção de dados publicados na sua Intranet e no sítio Web, esclarecendo os titulares dos dados acerca dos seus direitos no âmbito de um determinado procedimento, informações relacionadas com a eventual limitação desses direitos. As informações devem abranger os direitos passíveis de serem limitados, bem como os motivos e a duração da eventual limitação.
2. Além disso, o CUR deve informar individualmente os titulares dos dados acerca dos seus direitos no atinente a limitações atuais ou futuras, sem demora injustificada e por escrito, e sem prejuízo do número que se segue.
3. Os titulares dos dados devem ser informados sobre as razões principais nas quais se baseia a aplicação de uma limitação e sobre o seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados.
Artigo 6.o
Direito de acesso do titular dos dados
1. Sempre que os titulares dos dados solicitarem o acesso aos seus dados pessoais tratados no contexto de um ou mais casos específicos ou de uma determinada operação de tratamento, em conformidade com o artigo 17.o do Regulamento (UE) 2018/1725, o CUR deve restringir a sua apreciação do pedido a esses dados pessoais.
2. Se o CUR limitar, no todo ou em parte, o direito de acesso previsto no artigo 17.o do Regulamento (UE) 2018/1725, deve adotar as seguintes medidas:
a) | Informar o titular dos dados em causa, na sua resposta ao pedido, da limitação aplicada e dos principais motivos para tal, bem como da possibilidade de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia; |
b) | Documentar os motivos da limitação, incluindo uma avaliação da necessidade e da proporcionalidade dessa limitação; para o efeito, a documentação deve indicar de que forma a concessão de acesso comprometeria a finalidade das atividades de inquérito do CUR ou das limitações aplicadas nos termos do artigo 2.o, n.o 3, ou prejudicaria os direitos e as liberdades de outros titulares de dados.A comunicação das informações a que se refere a alínea a) pode ser adiada, omitida ou recusada em conformidade com o artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725. |
3. A documentação a que se refere a alínea b) do n.o 2 e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos devem ser disponibilizados à Autoridade Europeia para a Proteção de Dados mediante pedido. É aplicável o artigo 25.o, n.o 7, do Regulamento (UE) 2018/1725.
Artigo 7.o
Direito de retificação, apagamento e limitação do tratamento
Se o CUR limitar, no todo ou em parte, a aplicação do direito de retificação, apagamento ou limitação do tratamento a que se referem os artigos 18.o, 19.o, n.o 1, e 20.o, n.o 1, do Regulamento (UE) 2018/1725, deve tomar as medidas indicadas no artigo 6.o, n.o 2, da presente decisão e proceder à inscrição do registo em conformidade com o artigo 6.o, n.o 3.
Artigo 8.o
Comunicação de uma violação de dados pessoais ao titular dos dados
Sempre que limitar a comunicação de uma violação de dados pessoais ao titular dos dados, nos termos do artigo 35.o do Regulamento (UE) 2018/1725, o CUR deve documentar e registar os motivos da limitação, em conformidade com o artigo 3.o, n.o 3, da presente decisão. Aplica-se o artigo 3.o, n.o 4, da presente decisão.
Artigo 9.o
Entrada em vigor
A presente decisão entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Feito em Bruxelas, em 18 de setembro de 2019.
Pelo Conselho Único de Resolução
Elke KÖNIG
Presidente