Bruxelas, 16 de abril – Na sua última sessão plenária, o CEPD adotou orientações sobre o tratamento de dados pessoais para fins de investigação científica. Além disso, o Conselho de Administração criou uma equipa para acelerar a finalização das orientações em matéria de anonimização. O CEPD adotou igualmente dois pareceres sobre os dois conjuntos de critérios de certificação Europrivacy para aprovação como selos europeus de proteção de dados, um dos quais deve ser utilizado como instrumento de transferência.
Muitos domínios da investigação científica dependem do tratamento de dados pessoais das pessoas, o que conduziu a descobertas científicas significativas que beneficiam a sociedade. O aumento das novas tecnologias, como a inteligência artificial, também contribui para o progresso científico ao permitir que os investigadores utilizem e analisem os dados de formas inovadoras.
O principal objetivo das orientações do CEPD em matéria de investigação científica é proporcionar maior clareza aos investigadores e facilitar o cumprimento do RGPD, assegurando simultaneamente a proteção dos direitos fundamentais das pessoas.
«A investigação científica pode impulsionar o progresso societal e melhorar a nossa vida quotidiana.
As nossas diretrizes facilitam a investigação inovadora, ajudando os investigadores a navegar no RGPD.
O CEPD está empenhado em apoiar a comunidade científica e em libertar todo o potencial da investigação científica na UE, respeitando simultaneamente os direitos em matéria de proteção de dados.»
Anu Talus, presidente do CEPD
Nas suas orientações, o Comité fornece esclarecimentos sobre o conceito de «investigação científica». Para determinar se o tratamento é efetuado para fins de investigação científica na aceção do RGPD, o Comité fornece seis fatores indicativos fundamentais que devem ser tidos em conta, para além da natureza, do âmbito, do contexto e das finalidades do tratamento. Estes são: 1) abordagem metódica e sistemática, 2) adesão a padrões éticos, 3) verificabilidade e transparência, 4) autonomia e independência, 5) objetivos da investigação e 6) potencial para contribuir para os conhecimentos científicos existentes ou aplicar os conhecimentos existentes de novas formas. Se as atividades de investigação satisfizerem estes seis fatores, pode presumir-se que constituem investigação científica. Caso contrário, o responsável pelo tratamento deve justificar e ser capaz de demonstrar por que razão as atividades devem ser consideradas investigação científica, na aceção do RGPD.
Presume-se que o tratamento posterior para fins de investigação científica é compatível com a finalidade inicial de recolha de dados pessoais das pessoas singulares. Por conseguinte, os responsáveis pelo tratamento não são obrigados a fazer o teste de compatibilidade da finalidade nos termos do RGPD para determinar se o novo tratamento é compatível com a finalidade original da recolha. No entanto, os responsáveis pelo tratamento devem ainda certificar-se de que a base jurídica do tratamento inicial também é adequada para o tratamento posterior de dados pessoais para fins de investigação científica.
Os responsáveis pelo tratamento podem basear-se no «consentimento geral» sempre que as finalidades da investigação não sejam plenamente conhecidas no momento da recolha dos dados pessoais. Neste caso, os investigadores devem respeitar as normas éticas para a investigação científica e estabelecer salvaguardas adicionais para compensar a falta de especificação da finalidade. Os responsáveis pelo tratamento podem também solicitar às pessoas que dêem o seu consentimento a diferentes projetos de investigação individuais separadamente, logo que os objetivos desses projetos sejam conhecidos (consentimento dinâmico). Também é possível uma combinação de consentimento amplo e dinâmico.
Além disso, o CEPD clarifica os direitos das pessoas singulares quando os seus dados pessoais são tratados para fins científicos. Tal inclui os direitos de apagamento e de oposição aos quais podem aplicar-se limitações quando os dados pessoais são tratados para fins de investigação científica. O Comité fornece exemplos para explicar quando o direito ao apagamento pode ser considerado suscetível de tornar impossível ou prejudicar gravemente o objetivo da realização de investigação científica. O CEPD explica igualmente quando os responsáveis pelo tratamento podem rejeitar a objeção de uma pessoa ao tratamento dos seus dados pessoais para fins de investigação científica. Tal pode ser o caso quando o tratamento é necessário para o desempenho de uma tarefa realizada por razões de interesse público.
O Comité recorda que, quando várias entidades estão envolvidas no tratamento de dados pessoais para fins de investigação científica, é necessário avaliar e documentar a forma como as responsabilidades são repartidas entre as entidades. A este respeito, as orientações fornecem exemplos úteis para clarificar em que situações as entidades podem ser consideradas responsáveis pelo tratamento, responsáveis conjuntos pelo tratamento ou subcontratantes.
Por último, o Comité explica de que forma os responsáveis pelo tratamento podem avaliar as medidas técnicas e organizativas adequadas, como a anonimização ou a pseudonimização, aquando do tratamento de dados pessoais para fins de investigação científica. O CEPD apresenta exemplos de outras salvaguardas que podem ser aplicadas em função dos riscos colocados pelas atividades de investigação realizadas. Estes incluem supervisão independente ou ética, ambientes de tratamento seguros, tecnologias de reforço da privacidade, medidas de proteção para a publicação dos resultados da investigação, acordos de confidencialidade e condições para utilização posterior.
As orientações serão objeto de consulta pública até 25 de junho, dando às partes interessadas a oportunidade de apresentarem observações e comentários.
Uma «equipa de impressão» para finalizar o trabalho de anonimização
Para acelerar a finalização das próximas orientações sobre a anonimização, o Conselho de Administração criou uma «equipa de impressão» específica que concluirá os trabalhos até ao verão.
Pareceres Europrivacy
O CEPD adotou um parecer que aprova o conjunto atualizado de critérios de certificação Europrivacy como Selo Europeu de Proteção de Dados *nos termos do artigo 42.o, n.o 5, do RGPD. O Comité aprovou pela primeira vez os critérios de certificação Europrivacy em 10 de outubro de 2022 como o primeiro Selo Europeu de Proteção de Dados através do Parecer 28/2022 do CEPD. O âmbito de aplicação do sistema de certificação Europrivacy foi alargado de modo a incluir os responsáveis pelo tratamento e os subcontratantes estabelecidos fora da Europa que estão sujeitos ao artigo 3.o, n.o 2, do RGPD, quer porque fornecem bens ou prestam serviços a pessoas singulares na Europa, quer porque controlam o seu comportamento.
Além disso, pela primeira vez, o Comité adotou um parecer que reconhece os critérios de certificação Europrivacy como selo europeu de proteção de dados a utilizar como instrumento para transferências em conformidade com os artigos 42.o e 46.o do RGPD. Os importadores de dados fora da Europa que não estão sujeitos ao RGPD podem agora candidatar-se ao sistema de certificação Europrivacy para as transferências de dados que recebem. Esta certificação facilitará o cumprimento da obrigação dos responsáveis pelo tratamento e subcontratantes na Europa de demonstrar que fornecem garantias adequadas para as transferências de dados pessoais para países terceiros ou organizações internacionais.
Estas aprovações esclarecem melhor os mecanismos de certificação do RGPD, confirmando o seu papel fundamental como instrumento de conformidade com o RGPD.
Nota aos editores
*O Selo Europeu de Proteção de Dados é um mecanismo de certificação do RGPD reconhecido em toda a Europa. O selo deve satisfazer critérios específicos aprovados pelo CEPD e ser concedido por um organismo de certificação acreditado nos termos do artigo 43.o do RGPD para comprovar a conformidade com as normas do RGPD.
O comunicado de imprensa aqui publicado foi traduzido automaticamente do inglês. O CEPD não garante a exatidão da tradução. Queira consultar o texto oficial na sua versão inglesa em caso de dúvida.