12.1.2017

Jornal Oficial da União Europeia

C 9/3

Síntese do Parecer da Autoridade Europeia para a Proteção de Dados sobre o primeiro pacote de reformas do Sistema Europeu Comum de Asilo (Regulamentos Eurodac, EASO e Dublim)

(O texto integral do presente parecer encontra-se disponível em alemão, francês e inglês no sítio web da AEPD em www.edps.europa.eu)

(2017/C 9/04)

A Europa enfrenta, desde há diversos anos, uma crise premente de migração e de refugiados que se tornou ainda mais difícil em 2015. Por conseguinte, a Comissão propôs a reforma do Regulamento de Dublim para adaptá-lo à situação atual. Esta reforma é combinada com a Proposta de criação de uma Agência da União Europeia para o Asilo para assistir os Estados-Membros no exercício das suas funções em matéria de asilo.

Desde que foi criado, o Eurodac tem servido para fornecer dados de impressões digitais para determinar o Estado-Membro responsável pela análise do pedido de asilo apresentado na UE.

Também foi proposta pela Comissão a reformulação do Regulamento Eurodac. A principal alteração deste Regulamento consiste no alargamento do âmbito de aplicação do Eurodac para registar os nacionais de países terceiros encontrados em situação ilegal num Estado-Membro ou detidos por transposição ilegal da fronteira de um Estado-Membro com um país terceiro.

A AEPD reconhece a necessidade de uma gestão mais eficaz da migração e do asilo na UE. No entanto, recomenda a introdução de importantes medidas para melhor atender aos direitos e interesses legítimos dos indivíduos em causa, que podem ser afetados pelo tratamento de dados pessoais, em especial os grupos vulneráveis de pessoas que necessitam de proteção específica, como os migrantes e refugiados.

No seu Parecer, a AEPD recomenda, nomeadamente, os seguintes pontos principais:

—	Menção no Regulamento de Dublim que a introdução da utilização do identificador único na base de dados de Dublim não pode, em caso algum, ser utilizada para fins diferentes dos descritos no Regulamento de Dublim;

—	A execução de uma avaliação exaustiva do impacto na proteção de dados e privacidade da reformulação Eurodac 2016 para medir o impacto na privacidade do novo texto proposto e do alargamento do âmbito de aplicação da base de dados Eurodac;

—	A realização de uma avaliação sobre a necessidade de recolher e utilizar as imagens faciais das categorias de pessoas referidas na reformulação do Eurodac 2016 e sobre a proporcionalidade da sua recolha, com base num estudo consistente ou numa abordagem factual;

—	A realização de uma avaliação pormenorizada sobre a situação dos menores e o equilíbrio entre os riscos e os danos do procedimento de recolha de impressões digitais dos menores e as vantagens de que estes podem beneficiar, para além da Exposição de Motivos.

O Parecer define ainda outras lacunas das diferentes propostas e identifica recomendações adicionais em termos de proteção de dados e de privacidade que devem ser tomadas em consideração no processo legislativo.

I. INTRODUÇÃO E CONTEXTO

Em abril de 2016, a Comissão adotou uma comunicação intitulada «Reformar o sistema europeu comum de asilo e melhorar as vias de entrada legal na Europa» (1), que define prioridades para melhorar o Sistema Europeu Comum de Asilo (SECA). Neste contexto, em 4 de maio de 2016, a Comissão apresentou três propostas como parte de um primeiro pacote de reforma do SECA:

—

Proposta de Regulamento do Parlamento Europeu e do Conselho que estabelece os critérios e mecanismos de determinação do Estado-Membro responsável pela análise de um pedido de proteção internacional apresentado num dos Estados-Membros por um nacional de um país terceiro ou por um apátrida (a seguir «Proposta Dublim») (2);

—	Proposta de Regulamento do Parlamento Europeu e do Conselho que cria a Agência da União Europeia para o Asilo e revoga o Regulamento (UE) n.o 439/2010 (a seguir «Proposta de criação de uma Agência da União Europeia para o Asilo» ou «Proposta AUEA») (3); e

—

Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à criação do sistema «Eurodac» de comparação de impressões digitais para efeitos da aplicação efetiva do [Regulamento (UE) n.o 604/2013, que estabelece os critérios e mecanismos de determinação do Estado-Membro responsável pela análise de pedidos de proteção internacional apresentados num dos Estados-Membros por nacionais de países terceiros ou apátridas], da identificação de nacionais de países terceiros ou apátridas em situação irregular, e de pedidos de comparação com os dados Eurodac apresentados pelas autoridades responsáveis dos Estados-Membros e pela Europol para fins de aplicação da lei e que altera o Regulamento (UE) n.o 1077/2011 que cria uma Agência europeia para a gestão operacional de sistemas informáticos de grande escala no espaço de liberdade, segurança e justiça (reformulação 2016) (a seguir «Proposta Reformulação Eurodac 2016») (4).

A AEPD foi consultada a título informal antes da publicação da Reformulação Eurodac e da Proposta do Gabinete Europeu de Apoio em matéria de Asilo (GEAA) e comunicou à Comissão observações informais sobre ambos os textos.

A AEPD compreende a necessidade de a UE responder aos desafios da crise de migração e de refugiados desde 2015, assim como a necessidade de ter uma política da UE eficaz e harmonizada para combater a imigração ilegal que ocorre dentro da UE e para a UE. Em pleno respeito do papel do legislador na avaliação da necessidade e da proporcionalidade das medidas propostas, a AEPD, na sua função consultiva, formula neste Parecer algumas recomendações em termos de proteção de dados e privacidade para ajudar o legislador as exigências dos artigos 7.o e 8.o da Carta de Direitos Fundamentais relativamente aos direitos à privacidade e à proteção de dados e do artigo 16.o do Tratado sobre o Funcionamento da UE.

A AEPD começará por abordar as principais recomendações relativas às três propostas. Estas referem-se aos principais problemas observados pela AEPD e que devem, em todo o caso, ser analisados no processo legislativo. As recomendações adicionais referem-se a pontos identificados pela AEPD que necessitam de clarificação, informações adicionais ou alterações mínimas. Esta distinção deverá permitir ao legislador dar prioridade aos principais problemas tratados neste Parecer.

IV. CONCLUSÃO

68.

A AEPD congratula-se com os esforços realizados em termos de proteção de dados nos diferentes textos. Constata que a cultura da proteção de dados começa a fazer parte do processo legislativo e também está presente na elaboração das propostas.

69.

Em pleno respeito do papel do legislador na avaliação da necessidade e da proporcionalidade das medidas propostas, a AEPD, na sua função consultiva, formula neste Parecer algumas recomendações em termos de proteção de dados e privacidade relativamente às três propostas analisadas.

70.

Quanto à Proposta do Regulamento de Dublim, a AEPD mostra-se preocupada com o facto de o identificador único poder ser utilizado para outros fins, por exemplo para identificação de indivíduos noutras bases de dados, tornando a comparação de bases de dados simples e fácil. A AEPD recomenda que se especifique que deve ser proibida qualquer outra utilização do identificador.

71.

Quanto à Proposta de reformulação do Eurodac, a AEPD considera que o alargamento do âmbito de aplicação de Eurodac suscita preocupação relativamente ao respeito do princípio da limitação da finalidade consagrado no artigo 7.o da Carta dos Direitos Fundamentais da UE. A AEPD também recomenda que se especifique mais pormenorizadamente os tipos de medidas diferentes do afastamento e repatriamento que podem ser adotadas pelos Estados-Membros com base nos dados Eurodac. A AEPD recomenda que a Comissão disponibilize uma avaliação exaustiva do impacto na proteção de dados e na privacidade da reformulação do Eurodac 2016 para medir o impacto na privacidade do texto proposto.

72.

A AEPD também está preocupada com a inclusão de imagens faciais: o Regulamento não menciona qualquer avaliação da necessidade de recolher e utilizar imagens faciais das categorias de pessoas referidas na Proposta de reformulação do Eurodac. Além disso, a AEPD considera que Proposta deve esclarecer em que casos teria lugar uma comparação das impressões digitais e/ou imagens faciais, uma vez que a redação da Proposta de formulação parece sugerir que tal comparação se faria sistematicamente.

73.

A AEPD também recomenda que seja disponibilizada uma avaliação detalhada sobre a situação dos menores, o equilíbrio entre os riscos e os danos de tal procedimento para os menores e as vantagens de que estes podem beneficiar, para além da Exposição de Motivos. Neste contexto, o Regulamento deve ainda definir (por exemplo, num considerando) o que se deve entender pela «recolha de impressões digitais dos menores de uma forma agradável para a criança».

74.

Quanto ao período de retenção, que será, em princípio, de cinco anos, a AEPD recomenda que sejam dadas mais informações e esclarecimentos sobre a necessidade, neste contexto, de um período de retenção de dados de cinco anos para alcançar as novas finalidades da base de dados Eurodac. Além disso, a AEPD recomenda que o período de retenção seja reduzido para a duração efetiva da proibição de entrada que vigora para um indivíduo específico. Por último, a AEPD recomenda a especificação na Proposta de que o ponto de partida do período de retenção será a data da primeira impressão digital processada por um Estado-Membro.

75.

Finalmente, a AEPD recomenda o bloqueio de todos os dados para fins de aplicação da lei ao fim de três anos, e que cesse a distinção a este respeito entre as diferentes categorias de indivíduos nacionais de países fora da UE.

76.

Para além das lacunas essenciais da Proposta acima identificadas, as recomendações da AEPD no presente Parecer respeitam aos seguintes aspetos:

—

Quanto à Proposta de reformulação do Eurodac,

—	A AEPD recomenda a especificação no texto da Proposta que a responsabilidade final pelo tratamento dos dados pessoais pertencerá aos Estados-Membros que serão considerados «responsáveis pelo tratamento» na aceção da Diretiva 95/46/CE.

—	O artigo 37.o deve ser reformulado para clarificar em que casos é permitida ou proibida uma transferência internacional e, em especial, quando se trate da transferência para o país de origem do requerente.

—	O artigo 38.o, n.o 1, deve especificar que só podem ser transferidos pelos Estados-Membros os dados estritamente necessários para a finalidade do regresso.

—	Não deve ser permitida a coerção para obter impressões digitais de indivíduos. Esta regra deve ser especificada no Regulamento Eurodac.

—	Neste contexto, a AEPD recomenda a clarificação de que a detenção não deve ser considerada uma sanção por incumprimento da obrigação de fornecer impressões digitais.

—

A utilização de dados reais pela Agência Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA) para fins de teste suscita preocupações sérias e não deve ser permitida no Regulamento Eurodac. Deve ser considerada e avaliada pelo legislador a alternativa de utilizar dados não reais, tendo em conta o risco para a privacidade dos indivíduos em questão. Em todo o caso, o texto não deve prever que os dados biométricos podem ser tornados anónimos, uma vez que dirão sempre respeito a um indivíduo e, portanto, serão sempre considerados dados pessoais.

—	Quanto ao tratamento da informação pela eu-LISA, a AEPD recomenda que se especifique que devem ser adotadas salvaguardas adequadas relativamente ao acesso aos dados por prestadores de serviços.

—

Por último, a AEPD congratula-se com os esforços envidados para assegurar que o acesso pelas autoridades responsáveis pela aplicação da lei seja avaliado por um organismo independente. Porém, as autoridades designadas e as autoridades de controlo não devem fazer parte da mesma organização, para preservar a independência da autoridade de controlo.

—

Quanto à Proposta da AUEA,

—	A AEPD recomenda que se especifique que o acesso às bases de dados pelos peritos da Agência só deve ser permitido em conformidade com os atos jurídicos que regem estas bases de dados e as regras de proteção dos dados.

—	A AEPD recomenda ainda que se especifique o que se entende por «fins administrativos» no artigo 30.o, n.o 3, uma vez que o termo poderia abranger qualquer fim prosseguido por uma administração.

—	A AEPD recomenda a clarificação das responsabilidades de assegurar a segurança do equipamento utilizado pela Agência que devem ser definidas em todas as etapas do ciclo de vida do equipamento, ou seja desde a sua aquisição, durante o seu armazenamento e utilização, até à sua eliminação.

Bruxelas, 21 de setembro de 2016.

Giovanni BUTTARELLI

Autoridade Europeia para a Proteção de Dados

(1) COM(2016) 197 final.

(2) COM(2016) 270 final.

(3) COM(2016) 271 final.

(4) COM(2016) 272 final.