Estado de Nova Iorque

O Estado de Nova Iorque, aprovou em 8 de Abril de 2015 o “Data Security Act”, ou “Lei de segurança de dados”. O ato altera a “General Business Law” e a “State Technology Law” para prover especificações em relação à proteção de dados pessoais.

Especificando o que se traduz na lei enquanto “informação privada”, o texto define que a informação pessoal não criptografada, combinada com “número da seguridade social”, “número da carteira de motorista”, dados bancários, dados de saúde, informação biométrica e informações de contas de e-mail é objeto de regulação, segurança e salvaguarda. A lei, ademais, obriga entidades a desenvolverem programas de segurança da informação que incluem slavaguardas administrativas, técnicas e físicas, significando treinamento de pessoal na direção de maior segurança com os dados, testes e monitoramento técnico para a garantia da segurança das informações e descarte físico das informações para que não sejam possíveis de serem recuperadas no caso de não serem mais objeto de tratamento. (S 899-BB)

Em relação ao poder público, a lei afirma que “qualquer entidade estatal que possua, mantenha, ou de alguma maneira retenha informação privada deve desenvolver, implementar e mantes salvaguardas razoáveis para proteger a segurança, confidencialidade e integridade da informação privada, incluindo seu descarte” (Sessão 208, subdivisão 9 da Lei de Tecnologia do Estado). Neste sentido, a legislação também reinforça medidas para incentivar as agências, empresas e entidades a tomarem medidas que visem proteger os dados pessoais, bem como acordar com as regulações e resoluções internacionais sobre o tema.

Definições:

A lei define Informação privada como “qualquer informação que em combinação com” número da seguridade social, documentos de identificação, dados bancários, informação biométrica ou qualquer identificação eletrônica, revele uma identidade individual.

THIS ARTICLE, the following terms shall have the following meanings:

(b) “Private information” shall mean EITHER: (I) personal information consisting of any information in combination with any one or more of the following data elements, when either the personal information or the data element is not encrypted, or encrypted with an encryption key that has also been acquired:

(1) social security number;

(2) driver’s license number or non-driver identification card number;

[or]

(3) account number, credit or debit card number, in combination with any required security code, access code, or password that would permit access to an individual’s financial account; OR

(4) biometric information, meaning data generated by automatic meas urements of an individual’s physical characteristics, which are used by the owner or licensee to authenticate the individual’s identity;

(ii) a user name or email address in combination with a password or security question and answer that would permit access to an online account; or

(iii) any unsecured protected health information as defined in the health insurance portability and accountability act of 1996 (45 c.f.r. pts. 160, 162, 164), as amended from time to time.

“Private information” does not include publicly available information which is lawfully made available to the general public from federal, state, or local government records.

O Act supracitado emenda a NYS Technology Law, a lei de tecnologia do Estado de Nova Iorque, que, sobre o tema dos dados pessoais, decreta que nenhuma agencia deve coletar dados pessoais sem o concentimento do titular e garante ao titular o acesso das informações em posse ou processadas pelas agências públicas:

§ 204. Collection and disclosure of personal information.

No state agency shall collect personal information concerning a user through a state agency website, or disclose personal information concerning a user to any person, firm, partnership, corporation, limited liability company or other entity, including internal staff who do not need the information in the performance of their official duties pursuant to a state agency purpose meeting the requirements of subdivision one of section two hundred six of this article, unless such user has consented to the collection or disclosure of such personal information. For the purposes of this section, the voluntary disclosure of personal information to a state agency by a user through a state agency website, whether solicited or unsolicited, shall constitute consent to the collection or disclosure of the information by the state agency for the purposes for which the user disclosed it to the state agency, as reasonably ascertainable from the nature and terms of the disclosure.

§ 205. Access to personal information.

Except as otherwise provided by law, a state agency shall provide users with access to all personal information pertaining to such user which has been collected through its state agency website. Access to such personal information and the opportunity to request correction or amendment of such personal information shall be provided to users in the manner provided for access to and correction or amendment of personal information under section ninety-five of the public officers law. A state agency shall provide a user access to such personal information via the internet when such access is feasible and only if that access can be provided in a secure manner.

A lei estadual Constitui o “Escritório de Serviços de Tecnologia da Informação”, responsável pelo cumprimento do disposto na lei. Ademais, o Estado conta com um conselho que, segundo a lei, tem como função:

1. To review and comment on all rules and regulations of the office;

2. To provide guidance and support to the office in the development of any statewide plan for the further development and improvement of the state’s technology acquisitions;

3. To recommend surveys and reports to be completed by the director to carry out all of the objectives and purposes of this article;  and

4. To perform such other acts as may be assigned by the chairperson of the council which are necessary or appropriate to carry out the functions of the council.

Em relação à coleta e oferecimento de dados, o Artigo2 da Lei de Tecnologia do Estado estabelece:

No state agency shall collect personal information concerning a user through a state agency website, or disclose personal information concerning a user to any person, firm, partnership, corporation, limited liability company or other entity, including internal staff who do not need the information in the performance of their official duties pursuant to a state agency purpose meeting the requirements of subdivision one of section two hundred six of this article, unless such user has consented to the collection or disclosure of such personal information.  For the purposes of this section, the voluntary disclosure of personal information to a state agency by a user through a state agency website, whether solicited or unsolicited, shall constitute consent to the collection or disclosure of the information by the state agency for the purposes for which the user disclosed it to the state agency, as reasonably ascertainable from the nature and terms of the disclosure.

Madri

A Espanha ja conta, desde 1992, com uma lei de proteção de dados pessoais (LORTAD), que atendia os requerimentos da resolução da União Europeira (Diretiva 95/46/EC). A Lei Orgânica 15/1999, aprovada pelo decreto real 17/20 de 20071, substituiu a Lei Orgânica 5/1992 sobre a regulação do tratamento automatizado de dados de caráter pessoal. Como se trata de uma lei generalista, a legislação considera também outras jurisprudências que complementam a Lei Orgânica, que, por sua vez, tratam de aprovação de uma agência de proteção de dados (Decreto real 428/1993), da manutenção de alguns aspectos da lei 5/1992 e de uma regulamentação para as medidas de segurança de pastas digitais que contenham dados pessoais.

A comunidade de Madri, amparada pela legislação nacional porém com a prerrogativa que garante o âmbito local (comunidades autônomas) de legislar, por meio da lei 8/2001, (13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid), cria a agencia de proteção de dados em âmbito local (que tem como função “velar pelo cumprimento da legislação de proteção de dados e controlar sua aplicação”) assim como regulamenta as “pastas de dados de caráter pessoal criado ou geridos pelos entes que integram a administração local” (Art.2, Ley 8/2001).

LEY 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid.

ÂMBITO:

A Lei atua em conjunto com a “agência de proteção de dados” quando dados pessoais são “criados ou gerenciados” pela comunidade autônoma ou administração local, inclusive universidades públicas.

Las funciones atribuidas por la Ley Orgánica a la Agencia de Protección de Datos serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad Autónoma, que tendrán, a igual que aquélla, la consideración de autoridades de control, a las que se garantizarán plena independencia y objetividad en el ejercicio de su cometido.

1. La Agencia de Protección de Datos de la Comunidad de Madrid ejerce sus funciones de control sobre los ficheros de datos de carácter personal creados o gestionados por las Instituciones de la Comunidad de Madrid y por los Órganos, Organismos, Entidades de Derecho público y demás Entes públicos integrantes de su Administración Pública, exceptuándose las sociedades mercantiles a que se refiere el artículo 2.2.c).1 de la Ley 1/1984, de 19 de enero, reguladora de la Administración Institucional de la Comunidad de Madrid.Asimismo, dichas funciones se ejercerán sobre los ficheros de datos de carácter personal creados o gestionados por los Entes que integran la Administración Local del ámbito territorial de la Comunidad de Madrid, de conformidad con lo previsto en el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, así como sobre los ficheros creados o gestionados por las Universidades públicas y por las Corporaciones de derecho público representativas de intereses económico y profesionales de la Comunidad de Madrid, en este último caso siempre y cuando dichos ficheros sean creados o gestionados para el ejercicio de potestades de derecho público.

Artículo 5 (processo de aprovação de uso de dados por entidades)

Procedimiento para la aprobación de disposiciones de ficheros de datos de carácter personal de los Órganos, Organismos, Entidades de Derecho público y demás Entes públicos de la Comunidad de Madrid

1. La iniciativa en la tramitación del procedimiento de elaboración de las disposiciones de carácter general de creación, modificación o supresión de ficheros de datos de carácter personal corresponderá al órgano titular de la función específica en que se concrete la competencia sobre la materia a cuyo ejercicio sirva instrumentalmente el fichero.

2. Si la iniciativa fuera de un Organismo Autónomo, de una Entidad de Derecho público o de un Ente público la propuesta corresponderá a su Consejo de Administración.

3. El proyecto de disposición se acompañará de un informe sobre la necesidad y oportunidad del mismo, así como de una memoria económica que contenga la estimación del coste a que dará lugar.

4. A lo largo del proceso de elaboración se recabará, además de los informes y dictámenes previos preceptivos, cuantos estudios y consultas se estimen convenientes para garantizar la oportunidad y legalidad del texto del proyecto.

6. Con carácter previo a su aprobación el proyecto de disposición, junto con las alegaciones formuladas, se remitirá a la Agencia de Protección de Datos de la Comunidad de Madrid para informe preceptivo.

7. Con posterioridad al informe preceptivo de la Agencia, se enviará a la Secretaría General Técnica de la Consejería a la que corresponda la aprobación del proyecto para informe igualmente preceptivo. En el caso de los Entes públicos dotados de especial autonomía o independencia de la Administración de la Comunidad de Madrid dicho informe será emitido por la Dirección General de los Servicios Jurídicos.

Artículo 12 – Responsabilidad disciplinaria

1. Los responsables de ficheros y los encargados de los tratamientos de datos de carácter personal estarán sujetos al régimen de infracciones previsto en el Título VII de la Ley Orgánica 15/1999, de 13 de diciembre, excepto en lo que se refiere al procedimiento y al régimen de sanciones aplicable, que será el previsto en la legislación de régimen disciplinario de las Administraciones Públicas.

2. En caso de comisión de alguna de las infracciones previstas en el artículo 44 de la Ley Orgánica 15/1999, de 13 de diciembre, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid dictará resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Dicha resolución se comunicará al responsable del fichero, al órgano del que depende jerárquicamente y a los afectados, si los hubiese. Dicha atribución se entiende sin perjuicio de la competencia atribuida a la Agencia de Protección de Datos del Estado en el artículo 46 de la Ley Orgánica 15/1999, de 13 de diciembre.

3. El Director de la Agencia de Protección de Datos de la Comunidad de Madrid también podrá proponer, si procede, el inicio de las correspondientes actuaciones disciplinarias.

1http://www.boe.es/buscar/act.php?id=BOE-A-2008-979

Estado de Colima

O México conta com uma Lei Federal (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) aprovada e sancionada em Julho de 2010. No entanto, o Estado de Colima publica em seu diário oficial, em 21 de Junho de 2003, o decreto 356, Ley de proteccion de datos personales del Estado de Colima.

A Ley foi alterda pela última vez pelo DEC. 519 de Maio de 2012 e atualmente, considerando que entrou em vigor uma lei nacional, as regras do Estado foram forçadas a abarcar os dispositivos da norma da União. A Lei também estabelece uma Comissão (Capítulo 5) responsável por vigiar e cumprir a lei, emitir autorizações e instruções, atender reclamações e impor sanções e multas, informar os direitos garantidos pela lei, expedir os regulamentos e manter um registro de proteção de dados.

Ambito:

A lei do Estado de Tolima se aplica aos dados pessoais “em qualquer suporte físico que permita seu tratamento” e vale para os responsáveis pelo tratamento em qualquer órgão público. Ela também institui uma comissão que se encarrega de aplicar a lei.

Artículo 2o.- La presente Ley será aplicable a los datos de carácter personal que sean registrados en cualquier soporte físico que permita su tratamiento, por parte de las entidades del sector público.

Artigo 3 – Definições

(REF. DEC. 519, P.O. 26, 12 MAYO 2012)

VI – Encargado del tratamiento: el ente público que realice tratamiento de datos por cuenta y con autorización del responsable del archivo;

(REF. DEC. 519, P.O. 26, 12 MAYO 2012)

IX – Responsable del archivo: la persona física o moral, pública, encargada del tratamiento de los datos del archivo;

XII. Comisión: La Comisión Estatal para el Acceso a la información Pública, autoridad encargada de la aplicación del presente ordenamiento;

XIV. Organismo público: a los organismos autónomos, descentralizados, paramunicipales, fideicomisos y, en general, a todo organismo público.

Capítulo 2 – Artigo 4: Princípios para o tratamento

Os dados são protegidos legamente na medida em que só podem ser tratados se forem “adequados, pertinentes e não excessivos” e expressa e legitimamente relacionados a finalidade para a qual foram obtidos.Ademais, garante o direito de acesso dos titulares, e regulamenta as obrigações do poder público de posse de dados pessoais.

I. Sólo podrán obtenerse y ser sujetos de tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades expresas y legítimas para los que se hayan obtenido;

II. No podrán usarse para actividades incompatibles a los propósitos para los que fueron obtenidos. No se considerará un uso incompatible el tratamiento posterior para fines estadísticos, históricos o científicos;

III. Deberán ser correctos y actualizados, de modo que reflejen fielmente la situación del afectado;

IV. No podrán ser guardados de modo que se identifique al interesado una vez que dejen de ser necesarios o pertinentes para la finalidad que les dio origen o haya concluido el plazo de conservación a que obliguen las leyes. Los reglamentos correspondientes indicarán de manera expresa los casos de excepción en que se autorice la conservación íntegra de ciertos datos, en virtud del valor histórico, estadístico o científico que pudieran tener;

V. Deberá garantizarse el derecho de acceso por parte de los interesados para todos los archivos con datos que les correspondan;

VI. Los datos deberán obtenerse en todos los casos por medios lícitos que garanticen el respeto a las garantías individuales y, especialmente, de los derechos al honor y a la intimidad de la persona a la que conciernen. No deberán obtenerse por medios fraudulentos, desleales, ilícitos o engañosos;

VII. Previamente a su obtención, se deberá informar al interesado de manera completa y precisa sobre la existencia del archivo, su finalidad, el carácter obligatorio u optativo de la información que proporcione, las consecuencias del suministro de los datos o la negativa a hacerlo, la posibilidad de ejercer el derecho de acceso, rectificación, cancelación y oposición, así como la identidad y dirección del responsable del archivo;

A lei enforça a necessidade do concentimento “explícito e inequívoco”, garantindo excessões no caso de legislações, ao funcionamento da administração pública, contratos, finalidade pública e saúde. Ela prevê a revogação do concentimento e a necessidade de soluções técnicas garantidas para o sigilo, por parte do retentor dos dados.

IX. Será necesario el consentimiento explícito e inequívoco del interesado para cualquier tratamiento de los datos de carácter personal. Se exceptúan los siguientes casos:

a) Los previstos en la legislación;

b) Cuando impliquen datos obtenidos para la realización de las funciones propias de la  administración pública en su ámbito de competencia;

c) Cuando se trate de los datos de las partes en contratos civiles, laborales, comerciales o administrativos;

d) Cuando se trate de datos disponibles en fuentes de acceso público; y

e)Cuando sean necesarios para el tratamiento médico del interesado.

X. El interesado podrá revocar el consentimiento mencionado en la fracción anterior, cuando exista una causa justificada y no tendrá efectos retroactivos;

XI. Los servidores públicos, profesionales, trabajadores y otras personas que por razón de sus actividades tengan acceso a archivos o datos de carácter personal, estarán obligados a mantener la confidencialidad de los mismos y a no darlos a conocer a terceros. Esta obligación subsistirá aun después de finalizar las relaciones que les dieron acceso a los datos. La contravención a esta disposición será sancionada de conformidad con la legislación penal; y

XII. Los datos personales relativos a la salud podrán ser operados por los profesionales e instituciones de acuerdo con la legislación sanitaria, pero conservando la confidencialidad de los mismos de acuerdo con la presente Ley.

Artículo 5o.- El responsable del archivo deberá establecer los mecanismos de seguridad que garanticen la confiabilidad y confidencialidad de los datos. El reglamento correspondiente establecerá las características mínimas de seguridad que deban tenerse en las instalaciones que manejen datos de carácter personal.

Artículo 6o.- La cesión de los datos de carácter personal o su comunicación a terceros, se regirá por lo siguiente:

I. Toda cesión o comunicación a terceros deberá contar con el consentimiento expreso del interesado, excepto cuando:

a) La cesión haya sido autorizada en una ley;

b) Se trate de datos disponibles en fuentes de acceso público;

c) Sea necesario y esté previsto como parte de una relación jurídica;

d) Esté dirigida a las autoridades de seguridad pública o penales y cuente con autorización judicial;

e) Se trate de transferencias entre administraciones públicas;

f) Sea transferida para fines históricos, estadísticos o científicos; y

g) Se trate de datos sobre la salud y sean necesarios para atender una urgencia o para realizar estudios epidemiológicos;

II. El receptor de datos de carácter personal se obliga a acatar las disposiciones de la presente Ley;

III. Cuando la comunicación a terceros resulte de la prestación por parte de un tercero de servicios al responsable del archivo, el tercero en cuestión se considerará obligado a los términos de la presente Ley en las mismas condiciones que el responsable del archivo; y

IV. También queda obligado a acatar las disposiciones de la presente Ley, quien obtenga los datos en virtud de liquidación, fusión, escisión u otro cambio en el caso de que los datos provengan de personas morales, o por herencia en el caso de provenir de personas físicas.

Na década de 60 do século XX, a crescente automatização de processos de produção levou à preocupação sobre a regulação de dados pessoais, particularmente no continente Europeu. O estado de Hesse, na região central da Alemanha foi o primeiro a introduzir uma legislação de proteção de dados pessoais em âmbito local, em 1970. O estado de Rhineland-Palatine seguiria em 1974.

Em 1990 a administração de Berlin introduziu o Data Protection Act – BlnDSG, que abrange “todas as autoridades e instituições públicas (..), pessoas físicas, empresas e outras associações de pessoas de direito privado que cumprem qualquer função da administração pública” (Sessão2) da administração do Estado de Berlin, no sentido da responsabilidade para proteger os dados pessoais.

O caso alemão é paradigmático pois a adoção da Lei no Estado de Hesse precede a discussão e formulação de casos legais acerca da proteção de dados e, posteriormente, a adoção de uma lei federal. Foi uma decisão da corte constitucional que, em 1983, garantiu que a proteção de dados pessoais era constitucional, e assim, após debates e formulações, a lei nacional foi aprovada em 1990. Ademais, na República Alemã, os responsáveis pelo cumprimento da lei em relação aos órgãos públicos, são as legislações locais, enquanto a legislação federal prevê regulação no âmbito das autoridades federais e órgãos privados.

Hesse

A primeira legislação local de proteção de dados foi adotada em Hesse, na Alemanha. Em 1974 o estado da Renânia-Palatinado seguiu. Em 1977, a lei federal de proteção de dados passou em âmbito nacional. Originalmente, estas legislações tinham como objetivo proteger dados pessoais “contra o abuso em seu armazenamento, transmissão, modificação e eliminação”. A Lei de Hesse tem sido revisada e atualizada, mas segue baseada em 7 princípios:

  • Proibir a não ser por permissão: O recolhimento, armazenamento e utilização de dados pessoais é, em princípio, proibida, a menos que seja permitida por uma disposição legal ou o consentimento do titular dos dados.
  • Coleta direta: os dados podem ser coletados apenas do próprio titular. A lei prevê exceções, por exemplo, se essa coleta for muito complicada ou se outra lei permitir a coleta.
  • Economia de dados: os dados não devem ser mantidos por muito tempo e devem ser excluídos após um período apropriado.
  • Minimização de dados: o mínimo de dados possível deve ser coletado e processado.
  • Limitação de finalidade: o processamento de dados é permitido somente para um propósito específico, previamente definido, a menos que o titular consente em outro arranjo.
  • Transparência: o indivíduo afetado (titular dos dados) deve saber que os dados estão sendo coletados, que tipo de dados são, por que está sendo gravado e por quanto tempo ele será armazenado.
  • Necessidade: a coleta dos dados deve ser necessária; só é permitida se não houver outros meios disponíveis.

Berlin

Berlin Data Protection Act (BlnDSG) – 1990.

O propósito e objeto da lei Berlinense é a regulação do processamento de dados pessoais por autoridades, agencias e órgãos públicos, mas também associações de direito provado que cumprem tarefas da administração pública:

Section 1 – Propósito e Objeto da proteção de dados

(1) The purpose of this Act is to regulate the processing of personal data by public authorities and other public agencies in order to

1. protect the right of each individual to self-determine the disclosure and use of his or her data, unless any restrictions are permitted by this Act or by other legislation (informational self-determination),

2. to protect the constitutional order based on the principle of the separation of powers against any risk caused by automated data processing.

(2) This law protects personal data collected, stored, modified, transferred, blocked, deleted or otherwise used by public authorities or other public bodies.

Section 2 – Escopo de aplicação

(1) All authorities and other public bodies (particularly institutions without legal capacity, hospital companies, municipal utilities and courts) of the State of Berlin and the state bodies, institutions and foundations under public law (section 28 of the General Jurisdiction Act) have the obligation to protect personal data under this Act. This shall also apply to natural and legal persons, companies and other associations of persons under private law, who fulfil any tasks of public administration.

(4) To the extent personal data are processed within the scope of the law on the procedure of the Berlin administration, the provisions of the Berlin Data Protection Act shall apply.

(5) This law comprehensively regulates the protection of personal data for authorities and other public bodies. Other state laws may provide individual necessary deviations from this act for certain authorities and other public bodies; in all other respects data protection shall be subject to the provisions of this Act in those cases as well.

Section 3 – Processamento de dados pessoais em nome de terceiros

(caso de empresas terceirizadas, concessionadas, outorgadas por autoridades públicas)

Em sua sessão 3, a lei versa sobre o caso de empresas terceirizadas ou contratadas (que processam dados em nome de outros órgãos). Neste caso a autoridade responsável é aquela que concede o serviço para terceiros, fazendo com que haja cuidado e consideração sobre a maneira com que terceiros cuidarão destes dados:

(1) The provisions of this Act shall also apply to the authorities and other public bodies to the extent that personal data are processed on their behalf by other persons or entities. In those cases the processor shall be chosen with care, taking especially under consideration the appropriateness of the technical and organizational measures taken by him (section 5 paragraph 1).

Neste sentido, a lei prevê condições para a contração de terceiros que devem se atentar para alguns pontos sobre segurança de dados:

1. the subject and duration of the order,

2. the extent, nature and purpose of the proposed collection, processing or use of data, the type of data and the scope of persons affected,

3. the technical and organizational measures to be taken under section 5, 

4. the correction, deletion and blocking of data,

5. the checks to be carried out by the processor,

6. any entitlement to establish subcontract relationships

7. the control rights of the client and the corresponding toleration and cooperation obligations of the processor,

8. required reporting of any breach by the processor or persons employed by him of any regulations adopted to protect personal data or against the provisions made,

9. the scope of ordering powers, the client reserves versus the processor,

10. the obligation to return the data media provided to the processor and to delete the stored data after completion of the job.

The client shall check compliance with the requirements specified in Clause 3 above.

Section 4 – Definições.

Dados pessoais, para a legislação Berlinense, significa “detalhes sobre circunstâncias pessoais ou materiais de uma pessoa natual identificada ou identificável”:

(1) For the purposes of this Act, personal data shall mean details about personal or material circumstances of an identified or identifiable natural person (data subject). The same applies to data on deceased persons, unless the legitimate concerns of the data subject can no more be affected.

Section 7 – Direitos dos titulares de dados

1. information, notification and inspection (section 16),

2. rectification, blocking, erasure and objection (section 17);

3. indemnification and injunctive relief (section 18),

4. access to descriptions and registers (section 19 a),

5. appeal to the Berlin Commissioner for Data Protection and Freedom of Information

(section 27).

Section 19a – Escritório de proteção de dados

A lei berlinense cria um escritório, com estatus legal de público que aje com “estado de autoridade suprema” que é independente e responde perante o presidente da assembléia legislativa de Berlim. Um comissário para a proteção de dados não pode receber nenhum outro salário e não pode pertencer a nenhuma empresa privada ou ser memebro de nenhum corpo político, executivo ou legislativo. O escritório tem o papel de verificar as medidas técnicas para processamento de dados, monitorar o uso dos dados, tomar medidas para o garantimento da lei e colaborar com autoridade públicas no sentido de assegurar a proteção dos dados do cidadão:

(1) The authorities and other public bodies shall appoint in writing data protection officers (of the authority) and one deputy each. Several authorities or other public bodies may appoint a joint data protection officer. The Data Protection Officers shall in particular

1.in the cases of data processing involving special risks for the rights and freedoms of data subjects, check the effectiveness of technical and organizational measures according to section 5 before processing (preliminary check),

2. monitor the proper use of data processing programs used to process personal data,

3.take appropriate measures in order to make the staff processing personal data familiar with the provisions of this Act and other regulations concerning data protection, in regard of the particular conditions in this area of accountability andthe resulting special data protection requirements and

4.support the authority or other public body in ensuring data protection, they shall also support the staff representatives in ensuring data protection, to the extent they process personal data.

Section 22 – Legal Status

(1) According to this Act the Berlin Commissioner for Data Protection and Freedom of Information is a public office.

(2) The Berlin Commissioner for Data Protection and Freedom of Information shall be established as supreme state authority; he shall be independent in performing his duties and shall only be subject to law. He shall be under the supervision of the Speaker of the Berlin Parliament to the extent his independence is not compromised.

(3) The Berlin Commissioner for Data Protection and Freedom of Information must not exercise any other salaried office or trade in addition to his duties and must not belong neither to the management or the supervisory board or board of directors of any profit-oriented company nor to a government or legislative body of the Federal government or a state. He must not issue out-of-court expert opinions for a consideration. In all other aspects his status shall be determined by contract.

Section 24 – Funções e Poderes do Comissário para proteção de dados

(1) The Berlin Commissioner for Data Protection and Freedom of Information shall monitor compliance with the provisions of this Act and other regulations concerning data protection by the authorities and other public bodies. To this end, he may make recommendations to improve data protection, in particular he may advise the Berlin government (Senate) and individual members of the Senate as well as the other authorities and public bodies in matters of data protection. He must be heard before adopting laws, regulations and administrative provisions, if they refer to the processing of personal data.

The Berlin Commissioner for Data Protection and Freedom of Information must be involved in the preliminary checks contemplated in section 5 paragraph 3, if they refer to the intended use of cross-administrative procedures. He shall also have the powers international or European law has assigned to supervisory authorities and control bodies responsible for data protection.