Bruxelas, 19 de janeiro - Durante a sua última sessão plenária, o CEPD adotou um relatório para apoiar a avaliação da Diretiva Proteção de Dados na Aplicação da Lei pela Comissão Europeia.

A Comissão tem de apresentar o seu relatório público* sobre a avaliação e revisão da presente diretiva ao Parlamento Europeu e ao Conselho até 6 de maio de 2026. Antes disso, a Comissão recolheu os pontos de vista das Autoridades Europeias de Proteção de Dados (APD) sobre a aplicação e o funcionamento da Diretiva Proteção de Dados na Aplicação da Lei durante o período compreendido entre janeiro de 2022 e 31 de agosto de 2025**.

 «Congratulamo-nos com as avaliações regulares da Comissão Europeia sobre a aplicação da Diretiva Proteção de Dados na Aplicação da Lei e estamos empenhados em disponibilizar os nossos conhecimentos especializados para estas avaliações, a fim de assegurar que a Diretiva Proteção de Dados na Aplicação da Lei continua a respeitar elevadas normas de proteção de dados no contexto da aplicação da lei.»  

Anu Talus, presidente do CEPD

O CEPD facilita a cooperação e a coordenação entre as APD na supervisão do tratamento de dados para fins de aplicação da lei. O secretariado do CEPD assegura igualmente o secretariado do Comité de Supervisão Coordenada (CSC), que assegura a supervisão coordenada dos sistemas informáticos de grande escala e dos organismos e agências da UE nos domínios da aplicação da lei e da justiça penal. 

No seu relatório, o CEPD salienta o papel fundamental da Diretiva Proteção de Dados na Proteção de Dados na Aplicação da Lei na proteção de dados pessoais no contexto da aplicação da lei. As APD têm aconselhado cada vez mais as autoridades nacionais competentes sobre a atenuação das violações de dados, ao passo que muitas APD também realizaram atividades de sensibilização e emitiram orientações.

O CEPD toma nota do pedido das APD no sentido de obter mais clareza sobre o âmbito de aplicação da Diretiva Proteção de Dados na Aplicação da Lei, nomeadamente a sua fronteira com o RGPD, e de dar uma resposta mais exaustiva aos desafios colocados pela crescente utilização de novas tecnologias, como a IA, no contexto da aplicação da lei. O CEPD salienta a necessidade de as autoridades responsáveis pela aplicação da lei utilizarem estes instrumentos em estrita conformidade com a Diretiva Proteção de Dados na Aplicação da Lei, assegurando que a sua utilização é necessária, proporcionada e sujeita a salvaguardas adequadas. 

De acordo com o CEPD, no contexto da jurisprudência desenvolvida desde a última avaliação da diretiva, é essencial continuar a reforçar a aplicação nacional da Diretiva Proteção de Dados na Aplicação da Lei em toda a União Europeia. Além disso, o papel dos responsáveis pela proteção de dados (RPD) deve ser reforçado, a fim de assegurar a aplicação eficaz e coerente das regras em matéria de proteção de dados nas atividades de aplicação da lei.

O relatório aponta igualmente para a necessidade de melhorar a cooperação, tanto entre as autoridades competentes responsáveis pela Diretiva Proteção de Dados na Aplicação da Lei como entre as autoridades responsáveis pela aplicação da lei de um modo mais geral.

Por último, o CEPD sublinha que tanto as APD como o CEPD necessitam de recursos financeiros e humanos adicionais para desempenhar novas funções decorrentes de atos jurídicos recentes, incluindo responsabilidades relacionadas com o CSC, cujas atividades incluem agora também a supervisão de sistemas como o Sistema de Informação sobre Vistos (VIS), o Prüm II e o Sistema de Entrada/Saída (SES). 

Em seguida, o CEPD adotou recomendações sobre o pedido de aprovação e sobre os elementos e princípios constantes das regras vinculativas para empresas aplicáveis aos subcontratantes (BCR-P).

Estas recomendações constituem uma atualização do referencial BCR-P existente, que contém os critérios para a aprovação das BCR-P, e fundem-no com o formulário de pedido normalizado para as BCR-P. 

As BCR-P são um instrumento de transferência que pode ser utilizado por um grupo de empresas ou empresas para transferir dados pessoais para fora do Espaço Económico Europeu para subcontratantes dentro do mesmo grupo. As BCR criam direitos oponíveis e estabelecem compromissos para estabelecer um nível de proteção de dados essencialmente equivalente ao previsto no RGPD. 

As novas recomendações baseiam-se nos acordos alcançados e na experiência adquirida pelas APD no decurso dos procedimentos de aprovação de pedidos concretos de BCR-P desde a entrada em vigor do RGPD, bem como no trabalho realizado no contexto das recomendações atualizadas sobre as regras vinculativas para empresas aplicáveis aos responsáveis pelo tratamento (BCR-C). 

As recomendações fornecem critérios e explicações claros para assegurar que as BCR-P elaboradas por grupos de empresas ou empresas estão em conformidade com o RGPD. As recomendações clarificam quando as BCR-P podem ser utilizadas, nomeadamente apenas para transferências intragrupo entre subcontratantes, quando o responsável pelo tratamento não faz parte do grupo. 

Além disso, as recomendações clarificam que as BCR-P foram concebidas para cumprir os requisitos do artigo 28.o, n.o 4, do RGPD. Isto significa que qualquer subcontratante dentro do Grupo que utilize BCR-P não necessita de assinar um acordo de subcontratação ulterior separado com cada subcontratante ulterior do Grupo.  

As recomendações estarão abertas a consulta pública até 2 de março de 2026. 

Os membros do CEPD procederam igualmente a uma troca de pontos de vista sobre o próximo parecer conjunto sobre o Omnibus Digital, cuja adoção está prevista para a reunião plenária de fevereiro.

Nota aos editores

*A base jurídica da ação da Comissão é o artigo 62.o da Diretiva (UE) 2016/680 (Diretiva Proteção de Dados na Aplicação da Lei), que exige que a Comissão avalie e apresente um relatório sobre a aplicação da diretiva.

**Ver também o relatório da Comissão Europeia sobre a aplicação da Diretiva Proteção de Dados na Aplicação da Lei, COM(2022) 364 final, para o qual o CEPD contribuiu.