Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32015D0443

    Decisão (UE, Euratom) 2015/443 da Comissão, de 13 de março de 2015 , relativa à segurança na Comissão

    JO L 72 de 17.3.2015, p. 41–52 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/dec/2015/443/oj

    Date of document:
    13/03/2015
    Date of effect:
    18/03/2015; entrada em vigor data de publicação +1 ver art. 25
    Date of end of validity:
    No end date
    Author:
    Comissão Europeia
    Form:
    Decisão
    Treaty:
    Tratado sobre o Funcionamento da União Europeia , Tratado que institui a Comunidade Europeia da Energia Atómica
    Legal basis:
    Link
    Select all documents based on this document
    Link
    Link
    Select all documents mentioning this document
    Instruments cited:
    Link

    17.3.2015   

    PT

    Jornal Oficial da União Europeia

    L 72/41

    DECISÃO (UE, Euratom) 2015/443 DA COMISSÃO

    de 13 de março de 2015

    relativa à segurança na Comissão

    A COMISSÃO EUROPEIA,

    Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 249.o,

    Tendo em conta o Tratado que institui a Comunidade Europeia da Energia Atómica,

    Tendo em conta o Protocolo n.o 7 relativo aos Privilégios e Imunidades da União Europeia anexo aos Tratados, nomeadamente o artigo 18.o,

    Considerando o seguinte:

    (1)

    O objetivo de segurança na Comissão é permitir a esta instituição funcionar num ambiente seguro e protegido através do estabelecimento de uma abordagem coerente e integrada no que diz respeito à sua segurança, oferecendo níveis adequados de proteção de pessoas, bens e informações que sejam proporcionais aos riscos identificados, e garantindo uma execução eficiente e atempada da segurança.

    (2)

    A Comissão, à semelhança de outros organismos internacionais, enfrenta ameaças e desafios importantes no domínio da segurança, em especial no que se refere ao terrorismo, aos ciberataques e à espionagem política e comercial.

    (3)

    A Comissão Europeia celebrou acordos em matéria de segurança para as suas localizações principais com os governos da Bélgica, do Luxemburgo e de Itália (1). Estes instrumentos confirmam que a Comissão é responsável pela sua segurança.

    (4)

    A fim de assegurar a segurança de pessoas, bens e informações, a Comissão pode precisar de tomar medidas em domínios protegidos pelos direitos fundamentais, conforme consagrados na Carta dos Direitos Fundamentais e na Convenção Europeia dos Direitos do Homem, tal como reconhecidos pelo Tribunal de Justiça da União Europeia.

    (5)

    Por conseguinte, importa que essas medidas sejam justificadas pela importância dos interesses que visam proteger, sejam proporcionadas e garantam o pleno respeito dos direitos fundamentais, em especial dos direitos à vida privada e à proteção de dados.

    (6)

    No âmbito de um sistema empenhado no Estado de direito e no respeito dos direitos fundamentais, a Comissão tem de envidar todos os esforços para obter um nível de segurança apropriado para o seu pessoal, bens e informações que assegure o bom desempenho das suas funções, sem limitar os direitos fundamentais além do estritamente necessário.

    (7)

    A segurança na Comissão baseia-se nos princípios da legalidade, da transparência, da proporcionalidade e da responsabilização.

    (8)

    O pessoal mandatado para tomar medidas de segurança não deve ser prejudicado pelas suas ações, a menos que tenha agido fora do âmbito do seu mandato ou em violação da lei; em consequência, a presente decisão será considerada a este respeito como uma ordem de serviço na aceção do Estatuto dos Funcionários.

    (9)

    A Comissão deve adotar medidas apropriadas que promovam e reforcem a sua cultura de segurança, garantindo uma execução mais eficiente da segurança, melhorando a governação da segurança, intensificando as redes e a cooperação com as autoridades competentes aos níveis internacional, europeu e nacional, e melhorando o acompanhamento e o controlo da aplicação de medidas de segurança.

    (10)

    A criação do Serviço Europeu para a Ação Externa (SEAE) enquanto órgão da União Europeia funcionalmente autónomo teve um impacto significativo nos interesses de segurança da Comissão, exigindo assim que as normas e os procedimentos de cooperação relativos à proteção e à segurança sejam estabelecidos pelo SEAE e pela Comissão, em especial no que respeita ao cumprimento do dever de diligência da Comissão para o seu pessoal nas delegações da União.

    (11)

    A execução da política de segurança da Comissão deve ser coerente com outros procedimentos internos que possam implicar elementos de segurança, em particular com a gestão da continuidade das atividades (que visa preservar as funções críticas da Comissão em caso de perturbação operacional) e o processo ARGUS para a coordenação de crises multissectoriais.

    (12)

    Não obstante as medidas em vigor no momento da adoção da presente decisão e notificadas à Autoridade Europeia para a Proteção de Dados (2), todas as medidas da mesma que impliquem o tratamento de dados pessoais ficam sujeitas a regras de execução nos termos do artigo 21.o, as quais devem estabelecer garantias adequadas aos titulares dos dados.

    (13)

    Por conseguinte, é necessário que a Comissão reveja, atualize e consolide a atual regulamentação relativa à segurança na Comissão.

    (14)

    A Decisão(94) 2129 da Comissão (3) deve, assim, ser revogada,

    ADOTOU A PRESENTE DECISÃO:

    CAPÍTULO 1

    DISPOSIÇÕES GERAIS

    Artigo 1.o

    Definições

    Para efeitos da presente decisão, são aplicáveis as seguintes definições:

    1)

    «Bens», todos os bens móveis e imóveis e todos os haveres da Comissão;

    2)

    «Serviço da Comissão», uma direção-geral ou um serviço da Comissão, ou um gabinete de um membro da Comissão;

    3)

    «Sistema de comunicação e informação» ou «SCI», todos os sistemas que permitam o manuseamento de informações em formato eletrónico, incluindo todos os meios necessários ao seu funcionamento, bem como as infraestruturas, a organização, o pessoal e os recursos de informação;

    4)

    «Controlo dos riscos», todas as medidas de segurança razoavelmente suscetíveis de controlar efetivamente um risco de segurança através da sua prevenção, atenuação, anulação ou transferência;

    5)

    «Situação de crise», uma circunstância, acontecimento, incidente ou emergência (ou uma sucessão ou combinação deles) que represente uma ameaça grave ou imediata à segurança na Comissão, independentemente da sua origem;

    6)

    «Dados», informações em formato que permita a sua comunicação, registo ou tratamento;

    7)

    «Membro da Comissão responsável pela segurança», um membro da Comissão que detém autoridade sobre a Direção-Geral dos Recursos Humanos e da Segurança;

    8)

    «Dados pessoais», dados pessoais na aceção do artigo 2.o, alínea a), do Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (4);

    9)

    «Instalações», todos os imóveis ou bens e haveres equiparados da Comissão;

    10)

    «Prevenção de riscos», medidas de segurança suscetíveis de prevenir, atrasar ou impedir um risco de segurança;

    11)

    «Risco de segurança», a combinação do nível de ameaça, do nível de vulnerabilidade e do possível impacto de um dado evento;

    12)

    «Segurança na Comissão», a segurança de pessoas, bens e informações na Comissão, em particular a integridade física de pessoas e bens, a integridade, a confidencialidade e a disponibilidade das informações e dos sistemas de comunicação e informação, bem como o desempenho sem entraves das funções da Comissão;

    13)

    «Medida de segurança», todas as medidas tomadas em conformidade com a presente decisão para fins de controlo de riscos de segurança;

    14)

    «Estatuto», o Estatuto dos Funcionários da União Europeia, estabelecido pelo Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho (5) e respetivas alterações;

    15)

    «Ameaça à segurança», um acontecimento ou agente que, na ausência de reação ou controlo, seja razoavelmente suscetível de prejudicar a segurança;

    16)

    «Ameaça imediata à segurança», uma ameaça à segurança que ocorra sem aviso prévio ou com um aviso prévio extremamente curto;

    17)

    «Ameaça grave à segurança», uma ameaça à segurança razoavelmente suscetível de provocar mortes, ferimentos ou danos graves, prejuízos materiais importantes, comprometimentos de informações altamente sensíveis, bem como perturbações dos sistemas informáticos ou das capacidades operacionais essenciais da Comissão;

    18)

    «Vulnerabilidade», insuficiência de qualquer natureza razoavelmente suscetível de prejudicar a segurança na Comissão, quando potenciada por uma ou mais ameaças.

    Artigo 2.o

    Objeto

    1.   A presente decisão estabelece os objetivos, os princípios de base, a organização e as responsabilidades relativas à segurança na Comissão.

    2.   A presente decisão é aplicável a todos os serviços e em todas as instalações da Comissão. O pessoal da Comissão que trabalha nas delegações da União está sujeito às regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa (6).

    3.   Sem prejuízo de indicações específicas relativas a determinados grupos de pessoal, a presente decisão é aplicável aos membros da Comissão, ao pessoal da Comissão abrangido pelo âmbito de aplicação do Estatuto dos Funcionários da União Europeia e do Regime Aplicável aos Outros Agentes da União, aos peritos nacionais destacados na Comissão (PND), aos prestadores de serviços e seu pessoal, aos estagiários e a todas as pessoas que tenham acesso aos edifícios ou a outros bens da Comissão, ou a informações manuseadas pela Comissão.

    4.   As disposições da presente decisão não prejudicam a Decisão 2002/47/CE, CECA, Euratom, da Comissão (7), a Decisão 2004/563/CE, CECA, Euratom, da Comissão (8), a Decisão C (2006) 1623 (9) da Comissão e a Decisão C (2006) 3602 da Comissão (10).

    CAPÍTULO 2

    PRINCÍPIOS

    Artigo 3.o

    Princípios da segurança na Comissão

    1.   Ao executar a presente decisão, a Comissão deve respeitar os Tratados e, em especial, a Carta dos Direitos Fundamentais e o Protocolo n.o 7 relativo aos Privilégios e Imunidades da União Europeia, os instrumentos referidos no considerando 2, as regras de direito nacional aplicáveis, bem como os termos da presente decisão. Se necessário, devem ser emitidas indicações de segurança na aceção do artigo 21.o, n.o 2, fornecendo orientações a este respeito.

    2.   A segurança na Comissão baseia-se nos princípios da legalidade, da transparência, da proporcionalidade e da responsabilização.

    3.   O princípio da legalidade indica a necessidade de executar a presente decisão no estrito respeito do seu quadro jurídico, bem como a necessidade de respeitar os seus requisitos legais.

    4.   Todas as medidas de segurança devem ser tomadas abertamente, a menos que tal seja suscetível de comprometer o seu efeito. Os destinatários das medidas de segurança devem ser previamente informados da fundamentação e do impacto das mesmas, a menos que tal seja suscetível de comprometer o seu efeito. Nesse caso, os destinatários devem ser informados depois de cessar o risco de comprometer o efeito das medidas de segurança.

    5.   Os serviços da Comissão devem garantir que as questões de segurança são tidas em conta no início da elaboração e da execução de políticas, decisões, programas, projetos e atividades da Comissão pelos quais sejam responsáveis. Para o efeito, devem envolver na fase mais precoce da sua preparação a Direção-Geral dos Recursos Humanos e da Segurança em geral, e o Diretor da Segurança das Informações da Comissão no que respeita aos sistemas informáticos.

    6.   Quando apropriado, a Comissão procura cooperar com as autoridades competentes do Estado anfitrião ou de outros Estados-Membros e, quando tal for exequível, com outras instituições, agências ou organismos da UE, levando em consideração as medidas tomadas ou previstas pelas referidas autoridades para fazer face ao risco de segurança em causa.

    Artigo 4.o

    Obrigação de cumprimento

    1.   É obrigatório cumprir a presente decisão e as suas regras de execução, bem como as medidas de segurança e as instruções dadas pelo pessoal mandatado.

    2.   O incumprimento das regras de segurança está sujeito a sanções disciplinares nos termos dos Tratados e do Estatuto, bem como a sanções contratuais e/ou ação judicial ao abrigo da legislação e regulamentação nacionais.

    CAPÍTULO 3

    GARANTIR A SEGURANÇA

    Artigo 5.o

    Pessoal mandatado

    1.   Apenas podem ser atribuídas a pessoal autorizado, com base num mandato nominativo conferido pelo Diretor-Geral dos Recursos Humanos e da Segurança e tendo em conta as suas funções atuais, as competências para tomar uma ou várias das seguintes medidas:

    (1)

    Ser portador de armas pessoais;

    (2)

    Conduzir inquéritos de segurança, conforme referido no artigo 13.o;

    (3)

    Tomar as medidas de segurança indicadas no artigo 12.o, conforme especificado no mandato.

    2.   Os mandatos referidos no n.o 1 são conferidos por um período que não ultrapasse a duração do cargo ou função da pessoa em causa no âmbito do qual lhe foi conferido o mandato, e em conformidade com as disposições aplicáveis indicadas no artigo 3.o, n.o 1.

    3.   No que respeita ao pessoal mandatado, a presente decisão constitui uma ordem de serviço na aceção do artigo 21.o do Estatuto.

    Artigo 6.o

    Disposições gerais sobre as medidas de segurança

    1.   Ao tomar medidas de segurança, a Comissão deve, em especial, assegurar, tanto quanto for razoavelmente possível, que:

    a)

    Só procura apoio ou assistência do Estado em causa se esse Estado for um Estado-Membro da União Europeia ou, não sendo o caso, se for parte na Convenção Europeia dos Direitos do Homem, ou ainda se garantir direitos que sejam no mínimo equivalentes aos direitos garantidos nessa convenção.

    b)

    Só pode transferir informações sobre uma pessoa a destinatários, que não sejam das instituições e órgãos comunitários, que não estejam sujeitos à legislação nacional adotada nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (11), em conformidade com o artigo 9.o do Regulamento (CE) n.o 45/2001.

    c)

    Caso uma pessoa constitua uma ameaça à segurança, as medidas de segurança devem ser dirigidas contra essa pessoa, que pode estar sujeita a suportar os custos incorridos. Essas medidas de segurança só podem ser dirigidas contra outras pessoas se uma ameaça imediata ou grave à segurança tiver de ser controlada e se estiverem preenchidas as seguintes condições:

    a)

    As medidas previstas contra a pessoa que coloque uma ameaça à segurança não podem ser tomadas ou não é provável que sejam eficazes;

    b)

    A Comissão não pode controlar a ameaça à segurança com as suas próprias medidas, ou não pode fazê-lo atempadamente;

    c)

    A medida não constitui um perigo desproporcionado para a outra pessoa e os seus direitos.

    2.   A Direção da Segurança da Direção-Geral dos Recursos Humanos e da Segurança deve elaborar uma síntese das medidas de segurança passíveis de exigir uma decisão de um juiz, em conformidade com a legislação e regulamentação dos Estados-Membros que acolham instalações da Comissão.

    3.   A Direção da Segurança da Direção-Geral dos Recursos Humanos e da Segurança pode recorrer a contratantes para que desempenhem, sob a sua direção e supervisão, funções relacionadas com a segurança.

    Artigo 7.o

    Medidas de segurança relativas às pessoas

    1.   É prestado um nível adequado de proteção das pessoas nas instalações da Comissão, que tenha em conta os requisitos de segurança e proteção.

    2.   Em caso de risco grave de segurança, a Direção-Geral dos Recursos Humanos e da Segurança deve assegurar a proteção pessoal dos membros da Comissão ou de outros agentes, caso uma avaliação da ameaça tenha indicado que essa proteção é necessária para garantir a sua segurança.

    3.   Em caso de risco grave de segurança, a Comissão pode ordenar a evacuação das suas instalações.

    4.   As vítimas de acidentes ou de ataques ocorridos nas instalações da Comissão devem receber assistência.

    5.   Para fins de prevenção e controlo dos riscos de segurança, o pessoal mandatado pode proceder à verificação dos antecedentes das pessoas abrangidas pelo âmbito de aplicação da presente decisão, a fim de determinar se facultar a essas pessoas o acesso a instalações ou informações da Comissão coloca uma ameaça à segurança. Para o efeito, e em conformidade com o Regulamento (CE) n.o 45/2001 e as disposições a que se refere o artigo 3.o, n.o 1, o pessoal mandatado pode:

    a)

    Utilizar todas as fontes de informação de que dispõe a Comissão, tendo em conta a fiabilidade das mesmas;

    b)

    Ter acesso aos ficheiros ou aos dados do pessoal que a Comissão detém em relação às pessoas que emprega ou pretende empregar ou, quando devidamente justificado, ao pessoal contratado.

    Artigo 8.o

    Medidas de segurança relativas à segurança física e aos bens

    1.   A segurança dos bens é assegurada mediante a aplicação de medidas físicas e técnicas de proteção que sejam apropriadas e dos procedimentos correspondentes (a seguir designados por «segurança física»), criando um sistema com vários níveis.

    2.   A fim de proteger as pessoas, bens ou informações na Comissão, podem ser adotadas medidas nos termos do presente artigo.

    3.   A segurança física tem os seguintes objetivos:

    prevenir atos de violência contra os membros da Comissão ou as pessoas abrangidas pelo âmbito de aplicação da presente decisão;

    prevenir a espionagem e as escutas clandestinas de informações sensíveis ou classificadas;

    prevenir roubos, atos de vandalismo, sabotagem e outras ações violentas destinadas a danificar ou a destruir edifícios e bens da Comissão;

    permitir investigações e inquéritos de incidentes de segurança, verificando nomeadamente ficheiros de relatório de controlo de acesso e saída, gravações de TVCF (televisão em circuito fechado), gravações de chamadas telefónicas e dados semelhantes referidos no artigo 22.o, n.o 2, bem como outras fontes de informação.

    4.   A segurança física inclui:

    uma política de acesso aplicável a todas as pessoas ou veículos que solicitem acesso às instalações da Comissão, incluindo aos parques de estacionamento;

    um sistema de controlo dos acessos que inclua guardas, equipamento técnico, medidas técnicas, sistemas de informação ou uma combinação de todos estes elementos.

    5.   Para assegurar a segurança física, podem ser tomadas as seguintes medidas:

    registar entradas e saídas dos edifícios da Comissão por parte de pessoas, veículos, mercadorias e equipamentos;

    efetuar controlos de identidade nas suas instalações;

    inspecionar veículos, mercadorias e equipamentos com meios visuais ou técnicos;

    impedir o acesso não autorizado às instalações da Comissão a pessoas, veículos e mercadorias.

    Artigo 9.o

    Medidas de segurança relativas às informações

    1.   A segurança das informações abrange todas as informações manuseadas pela Comissão.

    2.   A segurança das informações, independentemente do formato destas, deve equilibrar a transparência, a proporcionalidade, a responsabilização e a eficiência com a necessidade de proteger as informações de acessos, utilizações, divulgações, alterações ou destruições não autorizados.

    3.   A segurança das informações destina-se a proteger a sua confidencialidade, integridade e disponibilidade.

    4.   Por conseguinte, devem ser aplicados procedimentos de gestão de riscos para classificar os ativos de informação e desenvolver medidas, procedimentos e normas proporcionais no âmbito da segurança, incluindo medidas de atenuação.

    5.   Estes princípios gerais subjacentes à segurança das informações devem ser aplicados, em especial, no que se refere a:

    a)

    «Informações Classificadas da União Europeia» (a seguir designadas por «ICUE»), ou seja, todas as informações ou material designados por uma classificação de segurança da UE, cuja divulgação não autorizada é passível de causar prejuízos de diversos níveis aos interesses da União Europeia ou de um ou vários Estados-Membros;

    b)

    «Informações sensíveis não classificadas», ou seja, informações ou elementos que a Comissão tem de proteger por causa das obrigações jurídicas estabelecidas nos Tratados ou em atos adotados para a sua execução, e/ou por causa da sensibilidade dessas informações ou elementos. As informações sensíveis não classificadas incluem, entre outras, informações ou elementos abrangidos pelo segredo profissional a que se refere o artigo 339.o do TFUE, informações abrangidas pelos interesses protegidos pelo artigo 4.o do Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (12) lido em conjugação com a jurisprudência pertinente do Tribunal de Justiça da União Europeia, ou dados pessoais abrangidos pelo âmbito de aplicação do Regulamento (CE) n.o 45/2001.

    6.   As informações sensíveis não classificadas estão sujeitas a regras relativas ao seu manuseamento e armazenamento. Essas informações só são divulgadas às pessoas que têm uma «necessidade de conhecer». Quando necessário para a proteção eficaz da sua confidencialidade, essas informações devem ser identificadas por uma marca de segurança e as correspondentes instruções de manuseamento devem ser aprovadas pelo Diretor-Geral dos Recursos Humanos e da Segurança. Quando manuseadas ou armazenadas em sistemas de comunicação e informação, essas informações devem também ser protegidas em conformidade com a Decisão (2006) 3602, as suas regras de execução e as normas correspondentes.

    7.   As pessoas responsáveis por comprometer ou perder informações ICUE ou informações sensíveis não classificadas, que estejam identificadas como tal nas regras relativas ao seu manuseamento e armazenamento, estão sujeitas a sanções disciplinares nos termos do Estatuto, sem prejuízo de outras eventuais ações judiciais ou penais propostas pelas autoridades nacionais competentes dos Estados-Membros em conformidade com a legislação e regulamentação nacionais, e das vias de recurso contratuais.

    Artigo 10.o

    Medidas de segurança relativas aos sistemas de comunicação e informação

    1.   Todos os sistemas de comunicação e informação («SCI») utilizados pela Comissão devem respeitar a política de segurança dos sistemas de informação da Comissão definida na Decisão C(2006) 3602, nas suas regras de execução e nas normas de segurança correspondentes.

    2.   Os serviços da Comissão que detenham, giram ou operem SCI só autorizam o seu acesso a outras instituições, agências, organismos da União ou a outras organizações se estes puderem razoavelmente garantir que os seus sistemas informáticos estão protegidos a um nível equivalente ao da política de segurança dos sistemas de informação da Comissão definida na Decisão C(2006) 3602, nas suas regras de execução e nas normas de segurança correspondentes. A Comissão verifica esse cumprimento e, em caso de incumprimento grave ou continuado, tem o direito de proibir o acesso a esses SCI.

    Artigo 11.o

    Análise forense relativa à cibersegurança

    A Direção-Geral dos Recursos Humanos e da Segurança é particularmente responsável por efetuar análises técnicas forenses em cooperação com os serviços competentes da Comissão, em apoio dos inquéritos de segurança referidos no artigo 13.o, relacionados com contraespionagem, fuga de dados, ciberataques e segurança dos sistemas de informação.

    Artigo 12.o

    Medidas de segurança relativas às pessoas e aos objetos

    1.   A fim de garantir a segurança na Comissão e para prevenir e controlar riscos, o pessoal mandatado nos termos do artigo 5.o pode, em conformidade com os princípios estabelecidos no artigo 3.o, tomar, entre outras, uma ou várias das seguintes medidas de segurança:

    a)

    Conservação de cenas e de provas, incluindo ficheiros de relatório de controlo de acesso e saída, imagens de TVCF, em caso de incidentes ou comportamentos suscetíveis de conduzir a processos administrativos, disciplinares, cíveis ou penais;

    b)

    Medidas limitadas respeitantes às pessoas que representem uma ameaça para a segurança, incluindo ordenar a pessoas que abandonem as instalações da Comissão, acompanhar pessoas à saída de instalações da Comissão e proibir pessoas de aceder às instalações da Comissão por um período determinado de acordo com os critérios a definir nas regras de execução;

    c)

    Medidas limitadas relativas aos objetos que representem uma ameaça para a segurança, incluindo a remoção, a apreensão e a eliminação de objetos;

    d)

    Buscas nas instalações da Comissão, incluindo em escritórios situados nessas instalações;

    e)

    Buscas em SCI e equipamentos, dados de tráfego de telefones e telecomunicações, ficheiros de registo, contas de utilizador, etc.;

    f)

    Outras medidas de segurança específicas com efeitos semelhantes, a fim de prevenir ou controlar riscos de segurança, em especial no âmbito dos direitos da Comissão enquanto locadora ou enquanto empregadora, em conformidade com a legislação nacional aplicável.

    2.   Em circunstâncias excecionais, o pessoal mandatado da Direção da Segurança da Direção-Geral dos Recursos Humanos e da Segurança, em conformidade com o artigo 5.o, pode tomar todas as medidas urgentes necessárias, no estrito cumprimento dos princípios estabelecidos no artigo 3.o. O mais depressa possível após tomar essas medidas, esse pessoal deve informar o diretor da Direção da Segurança (que deve obter o mandato adequado do Diretor-Geral dos Recursos Humanos e da Segurança confirmando essas medidas e autorizando eventuais medidas necessárias) e, quando apropriado, deve assegurar a ligação com as autoridades nacionais competentes.

    3.   As medidas de segurança nos termos do presente artigo são documentadas no momento em que são tomadas ou, em caso de risco imediato ou de situação de crise, num prazo razoável após serem tomadas. Neste caso, a documentação deve incluir também os elementos em se baseou a avaliação relativa à existência de um risco imediato ou de uma situação de crise. A documentação pode ser sucinta, mas deve ser constituída de modo a permitir à pessoa sujeita à medida de segurança exercer os seus direitos de defesa e de proteção de dados pessoais, em conformidade com o Regulamento (CE) n.o 45/2001, e um controlo da legalidade da medida. As informações sobre medidas de segurança específicas dirigidas a funcionários não devem constar do seu processo individual.

    4.   Ao tomar medidas de segurança nos termos da alínea b), a Comissão garante ainda que seja dada à pessoa em causa a possibilidade de contactar um advogado ou alguém da sua confiança, e que essa pessoa seja informada do direito de recorrer à Autoridade Europeia para a Proteção de Dados.

    Artigo 13.o

    Inquéritos

    1.   Sem prejuízo do artigo 86.o e do anexo IX do Estatuto, ou de eventuais convénios especiais entre a Comissão e o SEAE, como o convénio especial assinado em 28 de maio de 2014 entre a Direção-Geral dos Recursos Humanos e da Segurança da Comissão Europeia e o Serviço Europeu para a Ação Externa sobre o dever de solicitude para com o pessoal da Comissão em serviço nas delegações da União, os inquéritos de segurança podem ser conduzidos:

    a)

    Em caso de incidentes que afetem a segurança na Comissão, incluindo suspeitas de infrações penais;

    b)

    Em caso de potenciais fugas, manuseamentos indevidos ou comprometimentos de informações sensíveis não classificadas, de informações classificadas da UE ou de informações classificadas Euratom;

    c)

    No âmbito da contrainformação e do antiterrorismo;

    d)

    Em caso de incidentes informáticos graves.

    2.   A decisão de conduzir inquéritos de segurança é tomada pelo Diretor-Geral dos Recursos Humanos e da Segurança, que será igualmente o destinatário dos relatórios de inquérito.

    3.   Os inquéritos de segurança são conduzidos apenas pelos funcionários responsáveis da Direção-Geral dos Recursos Humanos e da Segurança, devidamente mandatados em conformidade com o artigo 5.o.

    4.   O pessoal mandatado exerce com independência a competência para conduzir inquéritos de segurança nos termos do mandato e dispõe das competências enumeradas no artigo 12.o.

    5.   O pessoal mandatado com competência para conduzir inquéritos de segurança pode recolher informações de todas as fontes disponíveis relacionadas com as infrações administrativas ou penais cometidas nas instalações da Comissão, ou que envolvam as pessoas referidas no artigo 2.o, n.o 3, na qualidade de vítimas ou de autores dessas infrações.

    6.   Quando apropriado, a Direção-Geral dos Recursos Humanos e da Segurança informa as autoridades competentes do Estado-Membro anfitrião ou de outro Estado-Membro em causa, sobretudo se o inquérito apurou indícios de que foi cometido um crime. Neste contexto, a referida direção-geral pode, quando apropriado ou exigido, prestar apoio às autoridades do Estado-Membro anfitrião ou de outro Estado-Membro em causa.

    7.   Em caso de incidente informático grave, a Direção-Geral da Informática deve colaborar estreitamente com a Direção-Geral dos Recursos Humanos e da Segurança para prestar apoio em todas as questões técnicas. A Direção-Geral dos Recursos Humanos e da Segurança decide, em colaboração com a Direção-Geral da Informática, qual o momento adequado para informar as autoridades competentes do país anfitrião ou de outro Estado-Membro em causa. No que se refere ao apoio a outras instituições e agências da UE que possam ser afetadas, serão utilizados os serviços de coordenação de incidentes da Equipa de Resposta a Emergências Informáticas para as instituições, organismos e agências da UE (CERT-UE).

    8.   Os inquéritos de segurança devem ser documentados.

    Artigo 14.o

    Delimitação de competências no que respeita aos inquéritos de segurança e a outros tipos de investigação

    1.   Quando a Direção da Segurança da Direção-Geral dos Recursos Humanos e da Segurança conduz os inquéritos de segurança a que se refere o artigo 13.o, e esses inquéritos caiam no âmbito de competências do Organismo Europeu de Luta Antifraude (OLAF) ou do Serviço de Averiguação e Disciplina da Comissão (IDOC), assegura imediatamente a ligação com esses organismos, tendo em vista, sobretudo, não comprometer medidas tomadas posteriormente pelo OLAF ou o IDOC. Quando apropriado, a Direção da Segurança da Direção-Geral dos Recursos Humanos e da Segurança convida o OLAF ou o IDOC a participar nas investigações.

    2.   Os inquéritos de segurança referidos no artigo 13.o não prejudicam as competências do OLAF ou do IDOC estabelecidas nas regras que regem esses organismos. A Direção da Segurança da Direção-Geral dos Recursos Humanos e da Segurança pode ser solicitada a prestar assistência técnica aos inquéritos abertos pelo OLAF ou o IDOC.

    3.   A Direção da Segurança da Direção-Geral dos Recursos Humanos e da Segurança pode ser solicitada a prestar assistência aos agentes do OLAF quando estes acedam a instalações da Comissão em conformidade com os artigos 3.o, n.o 5, e 4.o, n.o 4, do Regulamento (UE, Euratom) n.o 883/2013 do Parlamento Europeu e do Conselho (13), a fim de facilitar o desempenho das suas funções. A Direção da Segurança informa de tais pedidos de assistência o Secretário-Geral e o Diretor-Geral da Direção-Geral dos Recursos Humanos e da Segurança ou, caso a investigação se efetue em instalações da Comissão ocupadas pelos seus membros ou pelo Secretário-Geral, o Presidente da Comissão e o Comissário responsável pelos Recursos Humanos.

    4.   Sem prejuízo do artigo 22.o-A do Estatuto, quando um processo caia no âmbito de competências da Direção de Segurança da Direção-Geral dos Recursos Humanos e da Segurança e também do IDOC, a Direção de Segurança, no relatório ao Diretor-Geral dos Recursos Humanos em conformidade com o artigo 13.o, pronuncia-se o mais cedo possível sobre a existência ou não de motivos que justifiquem submeter a questão ao IDOC. Em particular, considera-se esta fase atingida quando a ameaça imediata à segurança tenha cessado. Cabe ao Diretor-Geral dos Recursos Humanos e da Segurança decidir sobre a questão.

    5.   Quando um processo caia no âmbito de competências da Direção de Segurança da Direção-Geral dos Recursos Humanos e da Segurança e do OLAF, a Direção de Segurança deve comunicar imediatamente tal facto ao Diretor-Geral dos Recursos Humanos e da Segurança e informar o Diretor-Geral do OLAF o mais brevemente possível. Em particular, considera-se esta fase atingida quando a ameaça imediata à segurança tenha cessado.

    Artigo 15.o

    Inspeções de segurança

    1.   A Direção-Geral dos Recursos Humanos e da Segurança efetua inspeções de segurança a fim de verificar o cumprimento da presente decisão e das suas regras de execução pelos serviços da Comissão e por particulares, e de formular recomendações quando necessário.

    2.   Quando apropriado, a Direção-Geral dos Recursos Humanos e da Segurança procede a inspeções de segurança, ao acompanhamento da segurança ou a visitas de avaliação para verificar se a segurança do pessoal, dos bens e das informações da Comissão da responsabilidade de outras instituições, agências ou organismos da União, de Estados-Membros, de Estados terceiros ou de organizações internacionais, é devidamente protegida em conformidade com regras, regulamentações e normas de segurança pelo menos equivalentes às da Comissão. Quando apropriado e num espírito de boa cooperação entre administrações, essas inspeções de segurança incluem também inspeções efetuadas no contexto do intercâmbio de informações classificadas com outras instituições, organismos e agências da União, com Estados-Membros ou com Estados terceiros ou organizações internacionais.

    3.   Este artigo é aplicado, com as devidas adaptações, ao pessoal da Comissão nas delegações da União, sem prejuízo de eventuais convénios especiais entre a Comissão e o SEAE, como o convénio especial assinado em 28 de maio de 2014 entre a Direção-Geral dos Recursos Humanos e da Segurança da Comissão Europeia e o Serviço Europeu para a Ação Externa sobre o dever de solicitude para com o pessoal da Comissão em serviço nas delegações da União.

    Artigo 16.o

    Estados de alerta e gestão de situações de crise

    1.   A Direção-Geral dos Recursos Humanos e da Segurança é responsável por aplicar medidas apropriadas para estados de alerta, em antecipação ou em reação a ameaças e incidentes que afetem a segurança na Comissão, e pelas medidas necessárias à gestão de situações de crise.

    2.   As medidas de estados de alerta referidas no n.o 1 devem ser proporcionais ao nível da ameaça à segurança. Os níveis de estados de alerta são definidos em estreita cooperação com os serviços competentes de outras instituições, agências e organismos da União, e do Estado-Membro ou Estados-Membros que acolhem instalações da Comissão.

    3.   A Direção-Geral dos Recursos Humanos e da Segurança é o ponto de contacto para os estados de alerta e a gestão de situações de crise.

    CAPÍTULO 4

    ORGANIZAÇÃO

    Artigo 17.o

    Responsabilidades gerais dos serviços da Comissão

    1.   As responsabilidades da Comissão referidas na presente decisão são exercidas pela Direção-Geral dos Recursos Humanos e da Segurança, sob a autoridade e a responsabilidade do membro da Comissão responsável pela segurança.

    2.   As disposições específicas no que respeita à cibersegurança estão definidas na Decisão (2006) 3602.

    3.   As responsabilidades pela execução da presente decisão e das suas regras de execução, bem como pelo seu cumprimento diário, podem ser delegadas a outros serviços da Comissão sempre que uma execução descentralizada da segurança ofereça ganhos significativos em termos de eficiência, recursos ou poupança de tempo, por exemplo devido à localização geográfica dos serviços em causa.

    4.   Nos casos em que se aplique o n.o 3, a Direção-Geral dos Recursos Humanos e da Segurança, e, quando apropriado, o Diretor-Geral da Informática, devem celebrar acordos com serviços específicos da Comissão que definam claramente as funções e as responsabilidades pela execução e o acompanhamento das políticas de segurança.

    Artigo 18.o

    Direção-Geral dos Recursos Humanos e da Segurança

    1.   A Direção-Geral dos Recursos Humanos e da Segurança é particularmente responsável por:

    (1)

    desenvolver a política de segurança, as regras de execução e as indicações de segurança da Comissão;

    (2)

    recolher informações, tendo em vista avaliar ameaças e riscos de segurança e sobre todas as questões que possam afetar a segurança na Comissão;

    (3)

    fornecer contravigilância eletrónica e proteção a todas as localizações da Comissão, tendo na devida conta avaliações de ameaças e provas de atividades não autorizadas contra os interesses da Comissão;

    (4)

    oferecer serviços de emergência 24 horas por dia, sete dias por semana, aos serviços e pessoal da Comissão, para todas as questões relacionadas com proteção e segurança;

    (5)

    aplicar medidas de segurança destinadas a atenuar riscos de segurança e a desenvolver e manter SCI apropriados para cobrir as suas necessidades operacionais, em especial nos domínios do controlo do acesso físico, da gestão das autorizações de segurança e do manuseamento das informações sensíveis e classificadas da UE;

    (6)

    sensibilizar, organizar treinos e simulações, e dar formações e aconselhamento sobre todas as questões relacionadas com a segurança na Comissão, tendo em vista promover uma cultura de segurança e criar uma reserva de pessoal devidamente treinado em questões de segurança.

    2.   Sem prejuízo das competências e responsabilidades de outros serviços da Comissão, a Direção-Geral dos Recursos Humanos e da Segurança assegura a ligação externa relativamente:

    (1)

    aos serviços de segurança das outras instituições, agências e organismos da União, sobre questões relacionadas com a segurança de pessoas, bens e informações na Comissão;

    (2)

    aos serviços de segurança, de informações e de avaliação de ameaças, incluindo autoridades nacionais de segurança, dos Estados-Membros, de países terceiros e de organizações e organismos internacionais, sobre questões que afetem a segurança de pessoas, bens e informações na Comissão;

    (3)

    à polícia e outros serviços de emergência, sobre todas as questões de rotina e de emergência que afetem a segurança da Comissão;

    (4)

    às autoridades de segurança de outras instituições, agências e organismos da UE, dos Estados-Membros e de países terceiros no domínio da resposta a ciberataques com potencial impacto ao nível da segurança na Comissão;

    (5)

    à receção, avaliação e distribuição de informações sobre as ameaças colocadas por atividades terroristas e de espionagem que afetem a segurança na Comissão;

    (6)

    às questões relacionadas com informações classificadas, conforme especificadas na Decisão (UE, Euratom) 2015/444 da Comissão (14).

    3.   A Direção-Geral dos Recursos Humanos e da Segurança é responsável pela transmissão segura de informações, incluindo a transmissão de dados pessoais, realizada nos termos do presente artigo.

    Artigo 19.o

    Grupo de peritos de segurança da Comissão (ComSEG)

    É criado um grupo de peritos de segurança da Comissão com o mandato de, quando apropriado, aconselhar a Comissão sobre questões relacionadas com a sua política de segurança interna e, mais especificamente, sobre a proteção de informações classificadas da UE.

    Artigo 20.o

    Responsáveis locais de segurança (LSO)

    1.   Cada serviço da Comissão ou gabinete nomeia um responsável local de segurança (LSO), que será o principal ponto de contacto entre esse serviço e a Direção-Geral dos Recursos Humanos e da Segurança para todas as questões relacionadas com a segurança na Comissão. Quando apropriado, podem ser nomeados um ou mais LSO adjuntos. Os LSO são funcionários ou agentes temporários.

    2.   Na qualidade de principal ponto de contacto para as questões de segurança nos diferentes serviços da Comissão ou gabinetes, o LSO deve, a intervalos regulares, comunicar à Direção-Geral dos Recursos Humanos e da Segurança e aos seus superiores hierárquicos as questões de segurança que envolvam o seu serviço da Comissão, e sobre eventuais incidentes de segurança sem demora, incluindo aqueles em que as ICUE ou as informações sensíveis não classificadas possam ter sido comprometidas.

    3.   Nas questões relacionadas com a segurança dos sistemas de comunicação e informação, o LSO assegura a ligação com o responsável local da segurança informática (LISO) do seu serviço da Comissão, cujas funções e responsabilidades estão estabelecidas na Decisão C(2006) 3602.

    4.   Devem contribuir para o desenvolvimento de atividades de formação e de sensibilização no âmbito da segurança, respondendo às necessidades específicas do pessoal, dos contratantes e de outras pessoas que trabalhem sob a autoridade do seu serviço da Comissão.

    5.   Em caso de risco grave ou imediato de segurança ou em caso de emergência, podem ser atribuídas funções específicas aos LSO mediante pedido da Direção-Geral dos Recursos Humanos e da Segurança. O Diretor-Geral ou o Diretor dos Recursos Humanos da Direção-Geral de cada LSO deve ser informado dessas funções específicas pela Direção-Geral dos Recursos Humanos e da Segurança.

    6.   As responsabilidades dos LSO são exercidas sem prejuízo das funções e responsabilidades atribuídas aos responsáveis locais da segurança informática (LISO), aos gestores da saúde e segurança, aos responsáveis do controlo do registo (RCO), ou de outras funções que impliquem responsabilidades relacionadas com a segurança ou a proteção. Os LSO devem estabelecer uma ligação com esses responsáveis, a fim de garantir uma abordagem coerente de segurança e um fluxo de informações eficiente sobre matérias relacionadas com a segurança na Comissão.

    7.   Os LSO têm acesso direto ao seu diretor-geral ou ao seu chefe de serviço e, simultaneamente, informam a sua hierarquia direta. Devem ser titulares de uma autorização de segurança para acesso a ICUE, pelo menos até ao nível SECRET UE/EU SECRET.

    8.   A fim de promover o intercâmbio de informações e boas práticas, a Direção-Geral dos Recursos Humanos e da Segurança, deve organizar, pelo menos duas vezes por ano, uma conferência de LSO. A presença dos LSO nestas conferências é obrigatória.

    CAPÍTULO 5

    EXECUÇÃO

    Artigo 21.o

    Regras de execução e indicações de segurança

    1.   Conforme for necessário, a adoção das regras de execução da presente decisão será objeto de uma outra decisão de delegação de poderes da Comissão a favor do membro da Comissão responsável pelas questões de segurança, no pleno respeito do regulamento interno.

    2.   Após a delegação de poderes na sequência dessa decisão da Comissão, o membro da Comissão responsável pelas questões de segurança pode elaborar indicações de segurança que definam orientações e boas práticas, no âmbito de aplicação da presente decisão e das suas regras de execução.

    3.   A Comissão pode, através de uma decisão de delegação separada, delegar as funções referidas no n.o 1 e no n.o 2 do presente artigo ao Diretor-Geral dos Recursos Humanos e da Segurança, em plena conformidade com o regulamento interno.

    CAPÍTULO 6

    DISPOSIÇÕES DIVERSAS E FINAIS

    Artigo 22.o

    Tratamento de dados pessoais

    1.   A Comissão efetua o tratamento de dados pessoais necessário para executar a presente decisão em conformidade com o Regulamento (CE) n.o 45/2001.

    2.   Não obstante as medidas em vigor no momento da adoção da presente decisão e notificadas à Autoridade Europeia para a Proteção de Dados (15), todas as medidas da presente decisão que impliquem o tratamento de dados pessoais (como os dados relacionados com relatórios de controlo de acesso e saída, gravações de TVCF, gravações de chamadas telefónicas para serviços de permanência ou centrais telefónicas e dados semelhantes), necessário por razões de segurança ou em reação a crises, estão sujeitas a regras de execução em conformidade com o artigo 21.o, que devem estabelecer garantias adequadas aos titulares dos dados.

    3.   O Diretor-Geral da Direção-Geral dos Recursos Humanos e da Segurança é responsável pela segurança dos tratamentos de dados pessoais efetuados no âmbito da presente decisão.

    4.   Essas regras de execução e procedimentos são adotados após consulta ao responsável pela proteção de dados e à Autoridade Europeia para a Proteção de Dados, em conformidade com o Regulamento (CE) n.o 45/2001.

    Artigo 23.o

    Transparência

    A presente decisão e as suas regras de execução devem ser levadas ao conhecimento do pessoal da Comissão e de todas as pessoas a quem se aplicam.

    Artigo 24.o

    Revogação de decisões anteriores

    É revogada a Decisão (94) 2129.

    Artigo 25.o

    Entrada em vigor

    A presente decisão entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

    Feito em Bruxelas, em 13 de março de 2015.

    Pela Comissão

    O Presidente

    Jean-Claude JUNCKER

    (1)  Cf. os seguintes acordos: Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité, de 31 de dezembro de 2004, Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois, de 20 de janeiro de 2007, e Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale, de 22 de julho de 1959.

    (2)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

    (3)  Decisão C(94) 2129 da Comissão, de 8 de setembro de 1994, sobre as funções do Serviço de Segurança.

    (4)  Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

    (5)  Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, de 29 de fevereiro de 1968, que fixa o Estatuto dos Funcionários das Comunidades Europeias assim como o Regime aplicável aos outros agentes destas Comunidades, e institui medidas especiais temporariamente aplicáveis aos funcionários da Comissão (Regime aplicável aos outros agentes) (JO L 56 de 4.3.1968, p. 1).

    (6)  Decisão da Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança (2013/C 190/01), de 19 de abril de 2013, relativa às regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa (JO C 190 de 29.6.2013, p. 1).

    (7)  Decisão 2002/47/CE, CECA, Euratom, da Comissão, de 23 de janeiro de 2002, que altera o seu regulamento interno (JO L 21 de 24.1.2002, p. 23), anexando-lhe as disposições sobre gestão de documentos.

    (8)  Decisão 2004/563/CE, Euratom da Comissão, de 7 de julho de 2004, que altera o seu Regulamento Interno (JO L 251 de 27.7.2004, p. 9), anexando-lhe as disposições relativas aos documentos eletrónicos e digitalizados.

    (9)  C (2006) 1623, de 21 de abril de 2006, que estabelece uma política harmonizada em matéria de saúde e segurança no trabalho para todo o pessoal da Comissão Europeia.

    (10)  C (2006) 3602, de 16 de agosto de 2006, relativa à segurança dos sistemas de informação utilizados pelos serviços da Comissão.

    (11)  Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

    (12)  Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145 de 31.5.2001, p. 43).

    (13)  Regulamento (UE, Euratom) n.o 883/2013 do Parlamento Europeu e do Conselho, de 11 de setembro de 2013, relativo aos inquéritos efetuados pelo Organismo Europeu de Luta Antifraude (OLAF) e que revoga o Regulamento (CE) n.o 1073/1999 do Parlamento Europeu e do Conselho e o Regulamento (Euratom) n.o 1074/1999 do Conselho (JO L 248 de 18.9.2013, p. 1).

    (14)  Decisão (UE, Euratom) 2015/444 da Comissão, de 13 de março de 2015, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE (ver página 53 do presente Jornal Oficial).

    (15)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

    Top