DECISÃO DO CONSELHO

COMISSÃO EUROPEIA

Bruxelas, 29.4.2016

COM(2016) 237 final 2016/0126 (NLE)

Proposta de

DECISÃO DO CONSELHO

relativa à celebração, em nome da União Europeia, de um acordo entre os Estados Unidos da América e a União Europeia sobre a proteção dos dados pessoais no âmbito da prevenção, investigação, deteção e repressão de infrações penais

EXPOSIÇÃO DE MOTIVOS

1. CONTEXTO DA PROPOSTA

• Fundamentação e objetivos da proposta

Em novembro de 2006, foi criado um Grupo de Contacto de Alto Nível (a seguir designado

«HLCG»), composto por altos funcionários da Comissão, de representantes da Presidência do Conselho e dos Departamentos da Justiça, da Segurança Interna e dos Negócios Estrangeiros dos EUA, com vista a estudar meios que permitam à UE e aos EUA cooperar de forma mais estreita e eficaz no domínio do intercâmbio de informações em matéria de aplicação da lei, garantindo, ao mesmo tempo, a proteção dos dados pessoais e a privacidade. A conclusão apresentada em outubro de 2009 pelo HLCG no seu relatório final1 foi de que a melhor opção seria a celebração de um acordo internacional vinculativo para a UE e para os EUA no sentido de se aplicarem princípios comuns em matéria de proteção de dados nas transferências transatlânticas de dados no domínio da aplicação da lei: um acordo deste tipo proporcionaria a vantagem de estabelecer os princípios fundamentais da proteção da privacidade e dos dados pessoais que regulariam o intercâmbio de informações em matéria de aplicação coerciva da lei e garantiria o nível mais elevado de segurança jurídica.

Em 3 de dezembro de 2010, o Conselho adotou uma decisão que autoriza a Comissão a encetar negociações relativas a um acordo entre a União Europeia e os Estados Unidos da América sobre a proteção dos dados pessoais transferidos e tratados para efeitos de prevenção, investigação, deteção e repressão de crimes, incluindo o terrorismo, no contexto da cooperação policial e judiciária em matéria penal (a seguir designado por «Acordo- Quadro»)2.

Em 28 de março de 2011, a Comissão encetou as negociações. Em 8 de setembro de 2015, as Partes rubricaram o texto.

O Acordo-Quadro estabelece (pela primeira vez) um acordo global de princípios e garantias em matéria de proteção de dados quando os dados pessoais3 são transferidos para efeitos da aplicação do direito penal entre os EUA, por um lado, e a União Europeia e os seus Estados- Membros, por outro. O duplo objetivo é garantir um elevado nível de proteção de dados e, deste modo, reforçar a cooperação entre as Partes. Embora não constituindo a base jurídica para a transferência de dados pessoais para os EUA, o Acordo-Quadro completa, quando necessário, as garantias em matéria de proteção de dados previstas nos acordos em matéria de

1 Reports by the High Level Contact Group (HLCG) on information sharing and privacy and personal data protection (Relatórios do Grupo de Contacto de Alto Nível (HLCG) sobre o intercâmbio de informações e a proteção da privacidade e dos dados pessoais), Bruxelas, 23 de novembro de 2009, 15851/09, JAI 822 DATAPROTECT 74 USA 102.

2 Juntamente com a adoção da reforma em matéria de proteção de dados da UE e do novo «Escudo de Proteção da Privacidade UE-EUA» sobre a transferência de dados no domínio comercial, a celebração de um Acordo-Quadro mais significativo e abrangente constitui um elemento central da estratégia definida na Comunicação da Comissão intitulada «Restabelecer a confiança nos fluxos de dados entre a UE e os EUA» (COM(2013) 846), de 27 de novembro de 2013, disponível em xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxxx/xxxxx/xxx_0000_000_xx.xxx, tal como reiterado nas orientações políticas do Presidente Juncker, e na Comunicação da Comissão ao Parlamento Europeu e ao Conselho intitulada «Transferência transatlântica de dados: restaurar a confiança através de garantias sólidas», COM(2016) 117 final, de 29 de fevereiro de 2016, disponível em: xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxxx/xxxxx/xxxxxxx-xxxxxx-xxxxxxxx-xxxxxxxxxxxxx_xx.xxx.

3 A expressão «informações pessoais», tal como utilizado no Acordo-Quadro é sinónimo do conceito utilizado na UE de «dados pessoais».

transferência de dados existentes ou futuros, ou as disposições nacionais que autorizam tais transferências.

Trata-se de uma melhoria significativa em relação à situação atual em que os dados pessoais são transferidos para o outro lado do Atlântico com base em instrumentos jurídicos (acordos internacionais ou legislações nacionais) cujas disposições em matéria de proteção de dados são geralmente limitadas, ou inexistentes.

• Coerência com as disposições em vigor no mesmo domínio de intervenção

O Acordo-Quadro reforçará a proteção proporcionada a todos os dados pessoais dos cidadãos da UE quando se procede ao seu intercâmbio com os EUA para efeitos de aplicação da lei penal. Ao estabelecer um quadro global de garantias em matéria de proteção de dados, o acordo irá complementar os acordos existentes (tanto os acordos bilaterais entre os Estados- Membros e os EUA, como os acordos entre a UE e os EUA) com base nos quais os dados pessoais são transferidos para os EUA para efeitos de aplicação coerciva da lei quando, e na medida em que, os referidos acordos não ofereçam o nível exigido de proteção e de garantias.

Além disso, o Acordo criará uma «rede de segurança» para os futuros acordos UE/Estados- Membros-EUA, correspondente ao nível mínimo de proteção exigido. Trata-se de uma garantia importante para o futuro e uma mudança radical em relação à situação atual em que as garantias, as proteções e os direitos têm sempre de ser negociados para cada novo acordo individual.

Globalmente, o Acordo-Quadro irá criar um importante valor acrescentado em termos de elevar o nível de proteção dos titulares de dados da UE, em consonância com as exigências do direito primário e secundário da UE. Pela primeira vez, irá introduzir um instrumento de proteção de dados que abrange de forma global e coerente todas as transferências de dados de um determinado domínio (ou seja, o intercâmbio transatlântico de dados no domínio da cooperação policial e da cooperação judiciária em matéria penal). Além disso, o Acordo- Quadro irá materializar, no contexto transatlântico, os requisitos gerais relativos às transferências internacionais de dados estabelecidos na futura Diretiva relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados (a seguir designada

«Diretiva Cooperação Policial»)4, adotada em 14 de abril de 2016. Tendo em conta o que precede, o Acordo-Quadro estabelece igualmente um importante precedente para eventuais acordos similares com outros parceiros internacionais.

• Coerência com outras políticas da União

O Acordo-Quadro deverá ter um impacto significativo em matéria de cooperação policial e judiciária com os Estados Unidos. Ao estabelecer um quadro comum e global de normas e garantias em matéria de proteção de dados, o acordo permitirá que a UE ou os seus Estados- Membros, por um lado, e as autoridades penais dos Estados Unidos, por outro, instaurem entre eles uma cooperação mais eficaz. Além disso, assegurará que os acordos existentes contenham todas as proteções necessárias. Deste modo, será possível prosseguir a cooperação

4 Proposta de Diretiva do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados, COM/2012/010 final - 2012/0010 (COD), disponível em: xxxx://xxx- xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXX/?xxxxXXXXX:00000XX0000&xxxxxxx

em matéria de aplicação coerciva da lei, garantindo simultaneamente maior segurança jurídica às transferências de dados. O acordo irá também facilitar a celebração de futuros acordos de transferência de dados com os EUA em matéria de aplicação coerciva da lei penal, dado que terão sido acordadas garantias em matéria de proteção de dados, não devendo, por conseguinte, ser negociadas de novo. Por último, a adoção de normas comuns nesta área, crucial mas complexa, de cooperação é um resultado importante que pode contribuir de forma significativa para restaurar a confiança no fluxo transatlântico de dados.

2. BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE

• Base jurídica

A base jurídica da presente proposta é o artigo 16.º do TFUE, em conjugação com o artigo 218.º, n.º 6, alínea a), do TFUE.

• Subsidiariedade

O Acordo-Quadro é da competência exclusiva da UE, por força do artigo 3.º, n.º 2, do TFUE. Por conseguinte, o princípio da subsidiariedade não se aplica.

• Proporcionalidade

O Acordo-Quadro estabelece as garantias de proteção de dados exigidas em virtude das diretrizes de negociação do Conselho. Tais garantias são consideradas elementos necessários para assegurar o nível de proteção exigido pela Carta dos Direitos Fundamentais e tendo em conta a evolução do acervo da UE, quando são transferidos dados pessoais para um país terceiro. Nem uma lista consideravelmente mais reduzida de tais garantias, nem um instrumento com menos força vinculativa podem ser considerados suficientes para assegurar o nível de proteção exigido. Por conseguinte, a proposta não vai além do necessário para alcançar o objetivo político de criar um quadro para a proteção de dados pessoais transferidos entre os Estados Unidos da América, por um lado, e a União Europeia ou os seus Estados- Membros, por outro, no contexto da aplicação coerciva da lei.

• Escolha do instrumento

A criação de um quadro vinculativo para a proteção de dados pessoais que completará os acordos em vigor e constituirá uma base de referência para os futuros acordos só pode ser assegurada por meio de um acordo internacional celebrado entre a UE e os Estados Unidos.

Além disso, tal como salientado no relatório do HLCG de outubro de 2009, um acordo internacional proporciona o mais elevado nível de segurança jurídica.

3. RESULTADOS DAS AVALIAÇÕES EX POST, DAS CONSULTAS DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO

• Avaliações ex post/balanços de qualidade da legislação existente

Não aplicável.

• Consulta das partes interessadas

A Comissão tem transmitido regularmente informações, tanto oralmente como por escrito, sobre o progresso das negociações, ao comité especial designado pelo Conselho. O Parlamento Europeu tem sido regularmente informado, por intermédio da Comissão das

Liberdades Cívicas, da Justiça e dos Assuntos Internos (LIBE), tanto oralmente como por escrito.

• Obtenção e utilização de competências especializadas

A iniciativa destina-se a aplicar as diretrizes de negociação do Conselho de 3 de dezembro de 2010.

• Avaliação de impacto

Não foi necessária avaliação de impacto. O projeto de acordo está em conformidade com as diretrizes de negociação do Conselho.

• Adequação e simplificação da legislação

Não aplicável.

• Direitos fundamentais

As disposições do Acordo-Quadro têm por objetivo a proteção do direito fundamental à proteção dos dados pessoais e o direito a um recurso eficaz e a um julgamento equitativo, tal como consagrados, respetivamente, no artigo 8.º no artigo 47.º da Carta dos Direitos Fundamentais da União Europeia.

4. INCIDÊNCIA ORÇAMENTAL

O acordo proposto não tem implicações orçamentais.

5. OUTROS ELEMENTOS

• Planos de execução e mecanismos de acompanhamento, de avaliação e de informação

A implementação pelos Estados-Membros será necessária, mas não se preveem grandes alterações nas disposições legislativas, na medida em que as disposições materiais do Acordo- Quadro refletem, em larga medida, as normas já aplicáveis à UE e às autoridades nacionais no âmbito do direito da UE e/ou do direito nacional.

• Explicação pormenorizada das disposições específicas da proposta

Em conformidade com as diretrizes de negociação do Conselho, o Acordo-Quadro contém cinco categorias de disposições: i) Disposições horizontais; ii) Princípios e garantias em matéria de proteção de dados; iii) Direitos individuais; iv) Aspetos relacionados com a aplicação do acordo e com a sua supervisão; e v) Disposições finais.

i) Disposições horizontais

i) Objeto do Acordo (artigo 1.º)

A fim de cumprir o objetivo do acordo (ou seja, assegurar um elevado nível de proteção dos dados pessoais e reforçar a cooperação no domínio da aplicação coerciva da lei), o Acordo- Quadro estabelece o enquadramento para a proteção dos dados pessoais transferidos entre os EUA, por um lado, e a UE ou os seus Estados-Membros, por outro, para efeitos de prevenção, investigação, deteção ou repressão de infrações penais, incluindo o terrorismo. A referência às noções de «prevenção, deteção, investigação e repressão de infrações penais» (a seguir

designadas conjuntamente «aplicação coerciva da lei») assegura que o presente acordo será compatível com a arquitetura do atual e futuro acervo em matéria de proteção de dados da UE [em particular, a delimitação entre o Regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados («Regulamento geral sobre a proteção de dados»5) e a «Diretiva Cooperação Policial», no que diz respeito ao respetivo âmbito de aplicação].

Ao especificar que o Acordo-Quadro não irá constituir, em si, a base jurídica para qualquer transferência de dados pessoais e que deve ser sempre exigida uma base jurídica (separada), o artigo 1.º também torna claro que o Acordo-Quadro constitui um verdadeiro acordo em matéria de direitos fundamentais que institui um conjunto de proteções e garantias aplicáveis a tais transferências.

ii) Definições (artigo 2.º)

Os principais conceitos do Acordo-Quadro são definidos no artigo 2.º. As definições de

«dados pessoais», «tratamento de dados pessoais», «Partes», «Estado-Membro» e a

«autoridade competente» são, no essencial, em consonância com a forma como estes conceitos são definidos noutros acordos UE-EUA e/ou no acervo da UE em matéria de proteção de dados.

iii) Âmbito de aplicação do Acordo (artigo 3.º)

O artigo 3.º do Acordo-Quadro define o seu âmbito de aplicação. Assegurará que as proteções e garantias previstas pelo Acordo-Quadro aplicar-se-ão a todos os intercâmbios de dados efetuados no contexto da cooperação transatlântica para efeitos de aplicação coerciva da legislação penal. Incluem-se neste âmbito as transferências com base na legislação nacional, em acordos UE-EUA (por exemplo, o Acordo de Assistência Judiciária Mútua UE-EUA), em acordos Estados-Membros-EUA (por exemplo, tratados de auxílio judiciário mútuo, acordos sobre o reforço da cooperação com vista a impedir e combater a criminalidade grave ou acordos ou convénios sobre os dados de deteção de terroristas), bem como acordos específicos que preveem a transferência de dados pessoais por entidades privadas para fins repressivos (por exemplo, a título do acordo UE-EUA relativo aos registos de identificação dos passageiros6 («PNR») e o Acordo sobre o Programa de Deteção do Financiamento do Terrorismo7 («TFTP»). O âmbito de aplicação é definido com base na transferência de dados, ou seja, abrange, em princípio, todas as transferências de dados para efeitos de aplicação coerciva da lei penal entre a UE e os EUA, independentemente da nacionalidade ou do local de residência do titular de dados em causa.

O Acordo-Quadro não irá abranger as transferências de dados pessoais (ou outras formas de cooperação) entre os EUA e as autoridades dos Estados-Membros responsáveis pela garantia da segurança nacional.

5 Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento geral sobre a proteção de dados), [COM(2012)11 final 2012/0011(COD)], disponível em: xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxxx/xxxxxxxx/xxxxxx0000/xxx_0000_00_xx.xxx

6 Acordo entre os Estados Unidos da América e a União Europeia sobre a utilização e a transferência dos registos de identificação dos passageiros para o Departamento da Segurança Interna dos Estados Unidos, JO L 215, de 11.8.2012, p. 5.

7 Acordo entre a União Europeia e os Estados Unidos da América sobre o tratamento de dados de mensagens de pagamentos financeiros e a sua transferência da União Europeia para os Estados Unidos para efeitos do Programa de Deteção do Financiamento do Terrorismo, JO L 195, de 27.7.2010, p. 5.

iv) Não discriminação (artigo 4.º)

O artigo 4.º prevê que cada Parte implementará o Acordo-Quadro sem qualquer discriminação arbitrária ou injustificada entre os seus nacionais e os da outra Parte.

Este artigo completa e reforça outras disposições do acordo (nomeadamente, os artigos que fornecem garantias às pessoas singulares, tais como o acesso, a retificação e recurso administrativo, ver infra), e assegura que os cidadãos europeus beneficiarão, em princípio, de igualdade de tratamento em relação aos cidadãos dos EUA no que diz respeito à implementação prática das referidas disposições pelas autoridades dos EUA.

(v) Efeito do Acordo (artigo 5.º)

Relativamente aos acordos em vigor entre a UE/Estados-Membros e os EUA, o Acordo- Quadro complementá-los-á, na medida do necessário, ou seja, quando e na medida em que estes não forneçam as garantias necessárias em matéria de proteção de dados8.

A implementação efetiva do Acordo-Quadro (e em especial dos artigos sobre os direitos individuais) implica uma presunção de compatibilidade com as normas aplicáveis em matéria de transferências internacionais de dados. Essa presunção não é automática nem geral e, como todas as presunções, pode ser ilidida. Não se trata de uma presunção automática, uma vez que a sua aplicação depende expressamente da implementação efetiva do Acordo-Quadro pelos EUA e, mais especificamente, tal como o artigo 5., n.º 2, clarifica expressamente, da implementação efetiva dos artigos sobre os direitos das pessoas singulares (designadamente, acesso, retificação e recurso administrativo e judicial). Também não se trata de uma presunção geral: dado que o Acordo-Quadro não é um instrumento «autónomo» para a realização de transferências, tal presunção funciona necessariamente numa base casuística, ou seja, avaliando se a conjugação do Acordo-Quadro com a base jurídica específica para a transferência oferece um nível de proteção em conformidade com as normas de proteção de dados da UE. . Por outras palavras, contrariamente a uma decisão de adequação, esta cláusula não prevê o reconhecimento «em bloco» do nível de proteção proporcionado aos Estados Unidos nem uma autorização geral das transferências.

ii) Princípios e garantias em matéria de proteção de dados

Os artigos a seguir descritos enunciam princípios importantes que regem o tratamento de dados pessoais, bem como garantias e limitações fundamentais.

i) Limitação das finalidades e da utilização (artigo 6.º)

Em consonância com a Carta dos Direitos Fundamentais da UE e o acervo da UE, o artigo 6.º aplica o princípio da limitação da finalidade a todas as transferências de dados pessoais abrangidas pelo Acordo-Quadro, tanto no caso das transferências relacionadas com casos específicos, como aquando da celebração, entre os EUA e a UE ou os seus Estados -Membros de um acordo que autoriza a transferência indiscriminada de dados pessoais. O tratamento (que inclui a transferência) só pode ter lugar para finalidades explícitas e legítimas no âmbito

8 O quarto considerando do Preâmbulo indica que o Acordo-Quadro não altera, condiciona ou, de outra forma, derroga acordos que estabelecem que oferecem um nível adequado de proteção de dados, com exceção do recurso judicial previsto no artigo 19.º, que também será aplicável a esses acordos. Tal diz respeito aos acordos PNR e TFTP.

do Acordo-Quadro, ou seja, a prevenção, investigação, deteção ou repressão de infrações penais, incluindo o terrorismo.

Além disso, o tratamento ulterior de dados pessoais por outras autoridades (autoridades com poderes coercivos, autoridades regulamentares ou administrativas) diferentes da primeira autoridade destinatária da Parte em causa é autorizado desde que seja compatível com a finalidade para a qual foram originalmente transferidos e que as referidas autoridades respeitem as outras disposições do Acordo-Quadro.

A autoridade competente que procede à transferência pode também impor condições adicionais (por exemplo, relativamente à utilização dos dados) em casos específicos.

Por último, os dados pessoais só podem ser tratados de uma forma que seja «diretamente relevante e não excessiva ou demasiado geral tendo em conta as finalidades do tratamento».

O artigo 6.º é uma disposição fundamental do acordo: assegura a aplicação das garantias no que diz respeito ao «ciclo de vida» completo de um determinado conjunto de dados, desde a sua transferência inicial da UE até ao seu tratamento por uma autoridade competente dos EUA e vice-versa, bem como à sua eventual partilha ou transformação por outra autoridade dos EUA ou, no caso de uma transferência de dados a partir dos Estados Unidos para uma autoridade competente da UE ou de um dos seus Estados-Membros, à sua eventual partilha ou transformação por outra autoridade da UE ou de um Estado-Membro.

ii) Transferência ulterior (artigo 7.º)

As limitações impostas à transferência ulterior enunciadas no artigo 7.º implicam que, caso uma autoridade norte-americana pretenda transferir por sua vez os dados que recebeu da UE ou de um dos seus Estados-Membros para um país terceiro ou organização internacional não vinculados pelo Acordo, deve obter previamente o acordo da autoridade com poderes coercivos da UE que tenha inicialmente transferido esses dados para os Estados Unidos. Esta regra aplica-se igualmente no caso de uma instituição da UE ou de um dos seus Estados- Membros pretender transferir os dados que recebeu dos Estados Unidos para um país terceiro ou uma organização internacional.

Ao decidir conceder a autorização, a autoridade que procedeu à transferência inicial deve ter devidamente em conta todos os fatores relevantes, nomeadamente a finalidade para a qual os dados foram inicialmente transferidos e o facto de o país terceiro ou organização internacional em causa oferecerem um nível adequado de proteção dos dados pessoais. Pode igualmente sujeitar essa transferência a condições específicas.

Além disso, tal como acontece para os artigos sobre a limitação das finalidades (artigo 6.º), sobre os períodos de conservação de registos (artigo 12.º) e sobre os dados sensíveis (artigo 13.º), o artigo 7.º tem expressamente em conta a sensibilidade especial da transferência indiscriminada de dados de pessoas não suspeitas (por exemplo, os dados PNR de todos os passageiros que efetuem um voo, independentemente de existirem suspeitas específicas), na medida em que exige que qualquer transferência subsequente de dados pessoais «diferentes dos dados relacionados com casos ... concretos» seja subordinada a condições específicas definidas no acordo que justificam devidamente a transferência ulterior.

A situação específica das transferências ulteriores para outro Estado da UE (por exemplo, quando a polícia francesa partilhe com a polícia alemã informações recebidas do FBI dos EUA) também é abordada no artigo 7.º (no n.º 4), que estabelece que, se por força das regras

aplicáveis, tais transferências estão sujeitas a uma autorização prévia, a autoridade que transferiu inicialmente as informações (por exemplo, o FBI americano) não poderá recusar a autorização ou impor condições por motivos de proteção de dados (dado que todas as entidades envolvidas estão vinculadas pelo Acordo-Quadro).

iii) Manutenção da qualidade e da integridade dos dados (artigo 8.º)

As Partes tomarão as medidas razoáveis para assegurar que os dados pessoais transferidos são mantidos com a exatidão, pertinência, atualidade e exaustividade necessárias e adequadas para o seu tratamento lícito. Se a autoridade destinatária ou a autoridade que procedeu à transferência tiverem conhecimento da existência de dúvidas significativas quanto à pertinência, atualidade, exaustividade ou exatidão dos dados pessoais recebidos ou transferidos deve, sempre que possível, informar a autoridade que procedeu à transferência ou a autoridade destinatária em conformidade.

iv) Segurança dos dados (artigo 9.º) e notificação de incidentes relativos à segurança dos dados (artigo 10.º)

Estes artigos contribuem para assegurar um elevado nível de segurança dos dados pessoais intercambiados pelas Partes no Acordo-Quadro.

Em primeiro lugar, nos termos do artigo 9.º, as Partes adotarão medidas técnicas, de segurança e organizativas para proteger os dados pessoais contra o risco de destruição acidental ou ilícita, perda acidental e divulgação, alteração, acesso ou qualquer outro tipo de tratamento não autorizado. Essas medidas deverão prever igualmente que o acesso aos dados pessoais só seja concedido ao pessoal autorizado.

Em segundo lugar, nos termos do artigo 10.º, em caso de um incidente que envolva um risco significativo de danos, devem ser adotadas rapidamente medidas para os reduzir, incluindo a notificação do incidente à autoridade que procede à transferência e, sempre que as circunstâncias do incidente o justifiquem, à pessoa em causa. Esta disposição enumera de forma exaustiva as exceções à obrigação de notificação, as quais correspondem a limitações razoáveis (p. ex. a segurança nacional).

v) Conservação de registos (artigo 11.º)

As Partes devem estabelecer métodos eficazes (tais como registos cronológicos) para demonstrar a licitude do tratamento e da utilização dos dados pessoais.

Este requisito representa uma importante salvaguarda para as pessoas singulares, uma vez que coloca o ónus sobre as autoridades com poderes coercivos de demonstrar que uma determinada operação de tratamento de dados foi efetuada em conformidade com a lei. A obrigação de documentar as operações de tratamento de dados implica, em especial, que haverá um «rasto» em caso de tratamento ilegal. Tal rasto deverá facilitar o tratamento de queixas e a introdução de reclamações relativas à licitude das operações de tratamento de dados.

iv) Período de conservação de registos (artigo 12.º);

O tratamento de dados será objeto de períodos específicos de conservação de registos, a fim de assegurar que os dados não serão conservados por mais tempo do que o necessário e adequado. Para determinar a duração desses períodos de conservação de registos, deve ser

tido em conta um certo número de elementos, em especial, a finalidade ou a utilização do tratamento, a natureza dos dados e o impacto sobre os direitos e interesses dos titulares de dados em causa.

É igualmente especificado que, quando as partes celebrem um acordo sobre a transferência de

«dados indiscriminados», tal acordo deve prever uma disposição específica sobre o período de conservação aplicável. Com esta disposição, as Partes aceitam o princípio de que os acordos de transferência de dados indiscriminados devem prever um período específico de conservação de registos, que, por conseguinte, não tem de ser negociado de novo.

Os períodos de conservação de registos serão revistos periodicamente, a fim de determinar se a alteração de algumas circunstâncias exige a alteração do período de conservação de registos.

A fim de assegurar a transparência, os períodos de conservação dos dados devem ser publicados ou tornados públicos de outra forma.

vii) Categorias especiais de dados (artigo 13.º)

O tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas e ou as convicções religiosas ou de outro tipo, a filiação sindical ou informações relativas à saúde ou à vida sexual, só pode ter lugar se forem estabelecidas garantias adequadas, em conformidade com a lei (por exemplo, ocultando a informação após a finalidade para a qual foram tratados ter sido alcançada ou subordinando o acesso a essa informação à autorização de uma autoridade de controlo).

Os acordos que permitem a «transferência indiscriminada» de dados pessoais devem especificar as normas e condições em que certas categorias de dados podem ser objeto de tratamento.

As disposições relativas a categorias especiais de dados devem respeitar a exigência de que o tratamento seja diretamente pertinente e não excessivo ao abrigo do artigo 6.º relativo à limitação das finalidades e da utilização.

viii) Decisões automatizadas (artigo 15.º)

O tratamento de dados que possa implicar decisões com consequências negativas para uma pessoa singular (por exemplo, no contexto da definição de perfis) não pode basear-se exclusivamente no tratamento automatizado dos dados pessoais, salvo se tal for autorizado pelo direito nacional, e desde que existam garantias adequadas, incluindo a possibilidade de obter uma intervenção humana.

ix) Transparência (artigo 20.º)

As pessoas têm o direito de receber informações (por meio de notificações gerais ou individuais e sujeitas a «restrições razoáveis») sobre a finalidade do tratamento e a eventual utilização posterior dos seus dados pessoais, a legislação ou as normas segundo as quais tal tratamento é efetuado, a identidade de terceiros a quem os seus dados pessoais podem ser comunicados, bem como o acesso, retificação e vias de recurso disponíveis.

O facto de aumentar a sensibilização das pessoas quanto à razão pela qual e por quem os seus dados são tratados contribui para que as pessoas singulares possam exercer os seus direitos de acesso, de retificação ou de recurso (ver artigos 16.º a 19.º).

iii) Direitos individuais

Estes direitos são de particular relevância para a proteção dos titulares de dados que poderão, pela primeira vez, invocar direitos de aplicação geral para as transferências transatlânticas de dados pessoais no domínio da aplicação coerciva da lei penal.

i) Acesso e retificação (artigo 16.º e artigo 17.º)

O direito de acesso permite a qualquer pessoa pedir e obter acesso aos seus dados pessoais. Os motivos para limitar o acesso são enumerados taxativamente e correspondem a restrições razoáveis (por exemplo, proteção da segurança nacional, evitar prejudicar a investigação ou repressão de infrações penais, proteção dos direitos e liberdades de outras pessoas). O acesso de uma pessoa singular aos seus dados pessoais não deve implicar encargos excessivos.

O direito de retificação autoriza qualquer pessoa a pedir a correção ou a retificação dos seus dados pessoais, nos casos em que esses dados são inexatos ou foram indevidamente tratados. A referida correção ou retificação pode consistir no aditamento, supressão, bloqueio ou quaisquer outras medidas ou métodos destinados a remediar imprecisões ou um tratamento inadequado.

No caso de a autoridade competente do país destinatário concluir, na sequência de um pedido apresentado por um particular, de uma notificação pelo prestador da informação pessoal ou de uma investigação própria, que as informações são inexatas ou foram tratadas de forma inadequada, deve tomar medidas de aditamento, supressão, bloqueio ou outras medidas de correção ou retificação.

Se a legislação nacional o permitir, qualquer pessoa pode autorizar uma autoridade de supervisão (por exemplo, relativamente a um titular de dados da UE, uma autoridade nacional responsável pela proteção de dados) a solicitar em seu nome o acesso ou retificação. Esta possibilidade de exercício indireto de direitos, através de uma autoridade e dentro de um sistema jurídico que lhe é familiar deverá contribuir para facilitar o exercício dos respetivos direitos pelos titulares de dados.

Se a correção ou retificação for recusada ou limitada, a autoridade competente requerida deve comunicar à pessoa singular (ou ao seu representante devidamente autorizado) os motivos da recusa ou da limitação do acesso ou da retificação. A obrigação de fornecer ao interessado uma resposta fundamentada visa facilitar o exercício do seu direito de recurso administrativo ou judicial em caso de recusa ou restrição de acesso ou retificação por parte das autoridades com poderes coercivos.

ii) Recurso administrativo (artigo 18.º)

Se uma pessoa não concordar com o resultado do seu pedido de acesso ou retificação de dados pessoais, pode interpor recurso administrativo. Tal como previsto em matéria de acesso e retificação, para facilitar o exercício desse direito, o titular de dados pode mandatar uma autoridade de supervisão (por exemplo, relativamente a um titular de dados da UE, uma autoridade nacional responsável pela proteção de dados) ou outro representante, sempre que a legislação nacional o permita.

A autoridade competente junto da qual o recurso for interposto deve dar uma resposta por escrito, indicando, se aplicável, as eventuais medidas de melhoria ou correção adotadas.

iii) Recurso judicial (artigo 19.º)

Os cidadãos de cada uma das Partes devem poder recorrer aos tribunais em caso de i) recusa de acesso, ii) recusa de retificação, ou iii) divulgação ilegal pelas autoridades da outra Parte.

Do lado dos EUA, este direito ficou consagrado no Judicial Redress Act, assinado pelo Presidente Xxxxx em 24 de fevereiro de 2016. Este ato irá alargar aos cidadãos de «países abrangidos»9 estes três motivos de recurso judicial previstos pelo Privacy Act dos EUA de 1974, mas que atualmente estavam reservados aos cidadãos dos EUA e aos residentes permanentes. O quarto considerando do Preâmbulo do Acordo-Quadro esclarece que este alargamento abrangerá igualmente o intercâmbio de dados ao abrigo de acordos como o PNR e TFTP. Juntamente com a adoção do Judicial Redress Act, o artigo 19.º irá assim melhorar significativamente a proteção judicial dos cidadãos da UE.

Embora o Judicial Redress Act contenha uma série de limitações (em especial, só é aplicável aos dados de cidadãos de «países abrangidos» cujos dados tenham sido transferidos pelas autoridades com poderes coercivos da UE, em especial, mas não apenas os cidadãos da UE), o artigo 19.º do Acordo-Quadro responde a uma exigência de longa data da UE.

Esta disposição corresponde às orientações políticas formulada pelo Presidente Xxxxxxx, segundo as quais, «os EUA têm [...] de garantir que todos os cidadãos da UE, residentes ou não nos Estados Unidos, têm o direito de fazer valer os seus direitos à proteção de dados junto dos tribunais americanos. Eliminar esta discriminação será essencial para restabelecer a confiança nas relações transatlânticas». Responde igualmente à Resolução do Parlamento Europeu, de 12 de março de 2014, sobre o programa de vigilância da NSA dos EUA, na qual o Parlamento solicitou que fossem imediatamente reatadas as negociações com os EUA sobre

o «Acordo-Quadro», a fim de «pôr os direitos dos cidadãos da UE em pé de igualdade com os direitos dos cidadãos dos Estados Unidos (...)» e de prever «vias de recurso (...) judicial eficazes e exequíveis para todos os cidadãos da UE nos Estados Unidos sem qualquer discriminação»10.

O artigo 19.º, n.º 3, esclarece que a extensão dos referidos três motivos de recurso judicial é aplicável sem prejuízo de qualquer outro recurso judicial previsto a outro título relativo ao tratamento de dados pessoais (por exemplo, ao abrigo do Administrative Procedure Act, do Electronics Communication Privacy Act ou do Freedom of Information Act). Estas outras bases jurídicas em matéria de recurso judicial estão à disposição de qualquer titular de dados

9 Um «país abrangido», de acordo com o Judicial Redress Act dos EUA é um país i) que tenha celebrado com os Estados Unidos da América um acordo que prevê a proteção adequada da privacidade em matéria de partilha de informações para fins de aplicação coerciva da lei (ou que tenha efetivamente partilhado informações para efeitos de aplicação coerciva da lei e que se tenha dotado de medidas adequadas de proteção da privacidade para efeitos desse intercâmbio de informações); ii) que autorize a transferência de dados pessoais para fins comerciais através de um acordo celebrado com os EUA ou através de outro mecanismo; iii) cujas políticas em matéria de transferência de dados pessoais para fins comerciais não prejudiquem gravemente os interesses no domínio da segurança nacional dos Estados Unidos. A designação de um «país abrangido» é da competência do Ministro da Justiça (Attorney General) dos EUA

10 Ver ponto 57 e ponto BJ da Resolução, de 12 de março de 2014, sobre o programa de vigilância da Agência Nacional de Segurança dos EUA (NSA), os organismos de vigilância em diversos Estados- Membros e o seu impacto nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no domínio da justiça e dos assuntos internos (2013/2188(INI)), disponível em: xxxx://xxx.xxxxxxxx.xxxxxx.xx/xxxxx/xxxXxx.xx?xxxXxxx-//XX//XXXXxXXxX0-XX-0000- 0230+0+DOC+XML+V0//EN

afetado pela transferência de dados para efeitos de aplicação coerciva da lei, independentemente da sua nacionalidade ou local de residência.

iv) Aspetos relacionados com a aplicação do Acordo-Quadro e com a sua supervisão

i) Responsabilização (artigo 14.º)

Deverão ser estabelecidas medidas para promover a responsabilização das autoridades de tratamento de dados pessoais abrangidos pelo Acordo-Quadro. Em especial, quando a autoridade destinatária transfere dados pessoais para outras autoridades, estas devem ser notificadas das garantias que são aplicáveis por força do Acordo-Quadro, bem como de eventuais condições adicionais (restritivas) ligadas à transferência nos termos do artigo 6.º, n.º 3, (sobre a limitação das finalidades e da utilização). As faltas graves devem ser objeto de sanções penais, civis ou administrativas adequadas e dissuasivas.

As medidas destinadas a promover a responsabilização incluem igualmente, se for caso disso, a interrupção das transferências de dados pessoais para entidades das Partes não abrangidas pelo Acordo-Quadro, se estas não assegurarem uma proteção efetiva dos dados pessoais, à luz da finalidade do acordo (e, em especial, as disposições relativas à limitação das finalidades e às transferências ulteriores). Esta disposição diz respeito à situação em que os dados pessoais são transmitidos por uma autoridade da União Europeia para uma autoridade federal dos EUA (ou seja, uma entidade abrangida pelo acordo) e, em seguida, novamente transferidos para uma autoridade com poderes coercivos a nível de um Estado federado. As regras constitucionais dos EUA limitam a capacidade do Estado federal de vincular os Estados federados a nível internacional11. Assim, a fim de assegurar a continuidade da proteção dos dados transferidos para as agências federais dos EUA e a seguir partilhados com autoridades com poderes coercivos dos Estados federados, o artigo 14.º: i) inclui, no seu âmbito de aplicação, «qualquer outra autoridade» das Partes (isto é, as autoridades não abrangidas pelo acordo, como as dos Estados federados dos Estados Unidos; ii) precisa que as garantias previstas no Acordo-Quadro devem ser-lhes notificadas; e iii) prevê que, se for caso disso, as transferências para essas autoridades devem ser interrompidas se estas não protegerem de forma eficaz os dados pessoais, tendo em conta o objeto do Acordo-Quadro, nomeadamente as disposições relativas à limitação das finalidades e à transferência ulterior.

Com o objetivo de garantir que as autoridades com poderes coercivos competentes serão responsabilizadas pelo cumprimento do Acordo-Quadro, este artigo é um elemento importante para a eficácia do sistema de aplicação e de supervisão estabelecido no âmbito do acordo. Facilitará igualmente a introdução de reclamações em caso de execução inadequada (com a consequente responsabilização das autoridades públicas).

Por último, as autoridades da UE poderão manifestar as suas preocupações e receber informações por parte dos seus homólogos dos EUA sobre a forma como são cumpridas as suas obrigações por força do artigo 14.º (incluindo as medidas tomadas a este respeito). Além disso, no contexto dos reexames conjuntos (artigo 23.º), será prestada especial atenção à aplicação eficaz do disposto neste presente artigo.

(ii) Supervisão eficaz (artigo 21.º)

11 Sendo uma república federal, existe uma partilha de competências entre o Governo Federal e o Governo de cada um dos Estados federados (ver igualmente o artigo 5.º, n.º 2, do Acordo-Quadro a este respeito).

As Partes devem dispor de uma ou mais autoridades públicas que exercem funções e competências de supervisão de forma independente, nomeadamente em matéria de revisão, investigação e intervenção. Estas autoridades devem ser competentes para receber e intervir em caso de queixas apresentadas por pessoas singulares relativas às medidas de aplicação do Acordo-Quadro e para assinalar violações da legislação relacionada com o acordo para efeitos de ação penal ou disciplinar. Tendo em conta as particularidades do sistema americano, uma combinação de autoridades de supervisão [incluindo diretores gerais responsáveis pela proteção da vida privada (Chief Privacy Officers) Inspetores gerais (Inspectors Generals), o organismo de auditoria do Congresso (Government Accountability Office), etc] exercerão de forma cumulativa as funções de supervisão que as autoridades de proteção de dados realizam na UE.

Este artigo completa as garantias proporcionadas pelas disposições em matéria de acesso, retificação e recurso administrativo, permitindo, em especial, que as pessoas possam apresentar queixas junto de autoridades independentes sobre a forma como a outra Parte aplicou o Acordo-Quadro.

iii) Cooperação entre as autoridades de supervisão (artigo 22.º)

As autoridades de supervisão cooperarão com vista a assegurar a aplicação eficaz do acordo, nomeadamente no que se refere ao regime de exercício indireto de direitos individuais de acesso, retificação e recurso administrativo (ver artigos 16.º a 18.º).

Além disso, serão criados pontos de contacto nacionais para facilitar a identificação da autoridade de supervisão competente para resolver os casos concretos. Tendo em conta que existem diferentes autoridades de supervisão nos EUA, a criação de um «ponto de entrada» central para os pedidos de assistência e cooperação visa contribuir para o tratamento eficaz dos pedidos.

iv) Reexame conjunto (artigo 23.º)

As Partes procederão periodicamente a um reexame conjunto da implementação do Acordo- Quadro e da sua eficácia, prestando especial atenção à aplicação efetiva dos artigos relativos aos direitos individuais (acesso, retificação e recursos administrativo e judicial), bem como à questão das transferências de dados para entidades territoriais não abrangidas pelo acordo (ou seja, os Estados federados dos EUA). O primeiro reexame conjunto terá lugar no prazo de três anos após a data de entrada em vigor do acordo e, a partir de aí, a intervalos regulares.

A composição de cada delegação incluirá representantes das autoridades responsáveis pela proteção de dados e autoridades com poderes coercivos/judiciárias; as conclusões dos reexames conjuntos serão tornadas públicas.

v) Disposições finais

O Acordo-Quadro contém uma série de cláusulas finais relativas:

• à notificação à outra Parte de quaisquer atos que afetem materialmente a execução do acordo. Os EUA notificarão designadamente à UE qualquer medida relacionada com a aplicação das disposições do Judicial Redress Act (artigo 24.º);

• à realização de consultas em caso de litígios sobre a forma como o acordo é interpretado ou aplicado (artigo 25.º);

• à possibilidade de suspender o acordo por uma Parte, no caso de violação substancial do acordo pela outra Parte (artigo 26.º);

• à aplicação territorial do acordo, a fim de ter em conta a situação específica do Reino Unido, da Irlanda e da Dinamarca (artigo 27.º);

• à duração ilimitada do acordo (que é justificada pela natureza do acordo, como um quadro que oferece proteção e garantias, e, por outro lado, pela possibilidade de suspender e denunciar o acordo (artigo 28.º);

• à possibilidade de cada Parte de denunciar o acordo, mediante notificação à outra Parte, sendo especificado que os dados pessoais transferidos antes do termo da sua vigência continuarão a ser tratados em conformidade com as disposições do Acordo- Quadro (artigo 29.º, n.os 2 e 3);

• à entrada em vigor do acordo no primeiro dia do mês seguinte à data em que as Partes tiverem trocado notificações em que indiquem ter cumprido as respetivas formalidades internas de aprovação (artigo 29.º, n. 1);

• à cláusula linguística (que precede imediatamente a linha de assinatura), que prevê: i) que o acordo será assinado em inglês e que a UE redigirá as versões nas outras 23 línguas oficiais da União; ii) a possibilidade, após a assinatura, de autenticar a versão do acordo em cada uma das outra línguas oficias da UE por meio de uma troca de notas diplomáticas com os Estados Unidos; iii) que em caso de divergência entre versões linguísticas que façam fé, o texto em língua inglesa prevalece sobre os textos noutras línguas.

2016/0126 (NLE)

Proposta de

DECISÃO DO CONSELHO

relativa à celebração, em nome da União Europeia, de um acordo entre os Estados Unidos da América e a União Europeia sobre a proteção dos dados pessoais no âmbito da prevenção, investigação, deteção e repressão de infrações penais

O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente, o artigo 16.º, em conjugação com o artigo 218.º, n.º 6, alínea a),

Tendo em conta a proposta da Comissão Europeia, Tendo em conta a aprovação do Parlamento Europeu,12

Após consulta da Autoridade Europeia para a Proteção de Xxxxx, Considerando o seguinte:

(1) Em conformidade com a Decisão [...] de [...] do Conselho13, o acordo entre os Estados Unidos da América e a União Europeia sobre a proteção dos dados pessoais no âmbito da prevenção, investigação, deteção e repressão de infrações penais (a seguir designado por «acordo») foi assinado em XX de XXXX de 2016, sob reserva da sua celebração em data posterior.

(2) O acordo tem por objetivo instituir um quadro global de princípios e garantias em matéria de proteção dos dados pessoais transferidos para efeitos da aplicação do direito penal entre os EUA, por um lado, e a União Europeia e os seus Estados- Membros, por outro. O objetivo é garantir um elevado nível de proteção desses dados e, deste modo, reforçar a cooperação entre as Partes. Embora não constituindo a base jurídica para a transferência de dados pessoais para os EUA, o acordo-quadro completa, quando necessário, as garantias em matéria de proteção de dados previstas nos acordos, existentes ou futuros, em matéria de transferência de dados ou nas disposições nacionais que autorizam tais transferências.

(3) As competências da União abrangem todas as disposições do acordo. Em especial, a União adotou a Diretiva 2016/XXX/UE14 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e de repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados.

(4) A União Europeia tem competência exclusiva na medida em que o acordo é suscetível de afetar as regras comuns da União ou de alterar o seu âmbito de aplicação.

12 Aprovação de [data], JO C […] de […], p. […].

13 JO …

14 Diretiva do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados, que revoga a Decisão-Quadro 2008/977/JAI.

(5) Nos termos do artigo 6.º-A do Protocolo n.º 21 relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao TUE e ao TFUE, o Reino Unido e a Irlanda não ficam vinculados pelas normas estabelecidas no acordo, respeitantes ao tratamento de dados pessoais no exercício de atividades abrangidas pelo âmbito de aplicação do Capítulo 4 (Cooperação judiciária em matéria penal) e do Capítulo 5 (Cooperação policial) da Parte III, Título V do TFUE, sempre que estes países não estejam vinculados por normas que imponham o respeito do acordo.

(6) Em conformidade com os artigos 1.º e 2.º do Protocolo n.º 22 relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, a Dinamarca não participa na adoção da presente decisão, não sendo vinculada pelo acordo nem sujeita à sua aplicação,

(7) O acordo deve ser aprovado em nome da União,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.º

O acordo entre os Estados Unidos da América e a União Europeia sobre a proteção dos dados pessoais no âmbito da prevenção, investigação, deteção e repressão de infrações penais é aprovado em nome da União Europeia.

O texto do acordo acompanha a presente decisão.

Artigo 2.º

O Presidente do Conselho designa a pessoa com poderes para proceder, em nome da União, à notificação prevista no artigo 29.º, n.º 1, do acordo, a fim de expressar o consentimento da União Europeia em ficar vinculada pelo acordo.

Artigo 3.º

A presente decisão entra em vigor no dia da sua publicação no Jornal Oficial da União Europeia15.

Feito em Bruxelas, em

Pelo Conselho O Presidente

15 O Secretariado-Geral do Conselho publicará a data de entrada em vigor do acordo para a União Europeia no Jornal Oficial da União Europeia.