32021D0858

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Decisão de execução - 2021/858 - EN - EUR-Lex

Help

Search tips

Need more search options? Use the Advanced search

Document 32021D0858

Decisão de Execução (UE) 2021/858 da Comissão de 27 de maio de 2021 que altera a Decisão de Execução (UE) 2017/253 no que diz respeito aos alertas desencadeados por ameaças sanitárias transfronteiriças graves e ao rastreio dos contactos de passageiros identificados através de formulários de localização de passageiros (Texto relevante para efeitos do EEE)

C/2021/3921

JO L 188 de 28.5.2021, p. 106–118 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec_impl/2021/858/oj

HTML

PDF

Official Journal

28.5.2021

Jornal Oficial da União Europeia

L 188/106

DECISÃO DE EXECUÇÃO (UE) 2021/858 DA COMISSÃO

de 27 de maio de 2021

que altera a Decisão de Execução (UE) 2017/253 no que diz respeito aos alertas desencadeados por ameaças sanitárias transfronteiriças graves e ao rastreio dos contactos de passageiros identificados através de formulários de localização de passageiros

(Texto relevante para efeitos do EEE)

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta a Decisão n.o 1082/2013/UE do Parlamento Europeu e do Conselho, de 22 de outubro de 2013, relativa às ameaças sanitárias transfronteiriças graves e que revoga a Decisão n.o 2119/98/CE (1), nomeadamente o artigo 8.o, n.o 2,

Considerando o seguinte:

(1)

A identificação de um caso positivo de COVID-19 após uma viagem transfronteiriça preenche os critérios estabelecidos no artigo 9.o, n.o 1, da Decisão n.o 1082/2013/UE, uma vez que esse caso positivo pode ainda provocar uma mortalidade humana significativa e propagar-se rapidamente, afeta mais do que um Estado-Membro e pode exigir uma resposta coordenada a nível da União. Em conformidade com o ponto 23 da Recomendação (UE) 2020/1475, de 13 de outubro de 2020, sobre uma abordagem coordenada das restrições à liberdade de circulação em resposta à pandemia de COVID-19 (2), as informações sobre os casos de COVID-19 detetados à chegada de uma pessoa ao território de um Estado-Membro devem ser imediatamente partilhadas com as autoridades de saúde pública dos países em que a pessoa em causa permaneceu nos 14 dias anteriores para efeitos de rastreio de contactos, utilizando o Sistema de Alerta Rápido e de Resposta («SARR») criado pelo artigo 8.o da Decisão n.o 1082/2013/UE e gerido pelo Centro Europeu de Prevenção e Controlo das Doenças («ECDC»).

(2)	Nos termos da Recomendação (UE) 2020/1475, os Estados-Membros devem exigir às pessoas que entram no seu território o preenchimento de formulários de localização do passageiro («PLF») em conformidade com os requisitos em matéria de proteção de dados.

(3)

Ao imporem o preenchimento de PLF nacionais nos vários formatos, os Estados-Membros recolhem os dados PLF junto dos passageiros transfronteiriços que entram no seu território. Se uma pessoa que tenha preenchido o PLF for diagnosticada com Covid-19, os dados recolhidos através dos PLF são utilizados nomeadamente para reconstituir a viagem dessa pessoa e transmitir as informações relevantes aos Estados-Membros que necessitem de aplicar os procedimentos de rastreio de contactos em relação às pessoas que possam ter estado em contacto com o passageiro infetado.

(4)

As autoridades de saúde pública de alguns Estados-Membros já procedem ao intercâmbio de dados pessoais recolhidos pelos PLF nacionais, para efeitos de rastreio de contactos no contexto da pandemia de COVID-19. Esse intercâmbio tem sido efetuado, em especial, através da atual infraestrutura técnica disponibilizada no âmbito do SARR.

(5)

A referida infraestrutura não tem ainda capacidade para tratar o volume de dados PLF gerados pela utilização sistemática e em grande escala destes formulários. Por exemplo, não garante a interoperabilidade dos diferentes formatos nacionais e exige a introdução manual, afetando assim negativamente a rapidez e eficácia do rastreio de contactos. Tal verifica-se, em especial, quando é necessário efetuar o rastreio de contactos de passageiros transfronteiriços que viajam em meios de transporte coletivos com lugares previamente atribuídos, como os aviões, certos comboios, os ferries e cruzeiros, em que o número de passageiros expostos e a duração da exposição a um passageiro infetado podem ser significativos.

(6)

Por conseguinte, deve ser criada uma infraestrutura técnica — denominada «plataforma de intercâmbio de PLF» —, para permitir o intercâmbio seguro, rápido e eficaz de dados entre as autoridades competentes do SARR dos Estados-Membros, com capacidade para transmitir informações dos atuais sistemas digitais PLF nacionais para outras autoridades competentes do SARR de forma interoperável e automática. Essa infraestrutura deve basear-se na plataforma de intercâmbio já desenvolvida pela Agência da União Europeia para a Segurança da Aviação («AESA»), não desempenhando a AESA qualquer papel no contexto do tratamento de dados pessoais através da plataforma de intercâmbio de PLF tal como estabelecida na presente decisão de execução. A plataforma de intercâmbio de PLF deve igualmente permitir o intercâmbio de um número limitado de dados epidemiológicos, que sejam necessários para o rastreio de contactos, em conformidade com o artigo 9.o, n.o 3, da Decisão n.o 1082/2013/UE. A fim de evitar uma sobreposição de atividades ou ações contraditórias com estruturas e mecanismos existentes de monitorização, alerta precoce e combate de ameaças sanitárias transfronteiriças graves, a plataforma de intercâmbio de PLF deve ser desenvolvida no âmbito do SARR como complemento da funcionalidade de transmissão seletiva de mensagens existente nesse sistema.

(7)	A plataforma de intercâmbio de PLF deve ser gerida pelo ECDC, em conformidade com o artigo 8.o do Regulamento (CE) n.o 851/2004 do Parlamento Europeu e do Conselho (3).

(8)	A plataforma de intercâmbio de PLF não deve armazenar os dados PLF nem os dados epidemiológicos a trocar.

(9)

Se um Estado-Membro não dispuser de um sistema digital de PLF desenvolvido a nível nacional, poderá utilizar o sistema comum de formulário digital europeu de localização do passageiro («EUdPLF»), desenvolvido pela ação comum da UE «Healthy Gateways» a pedido da Comissão (subvenção n.o 801493) (4). O objetivo do EUdPLF é criar um ponto de acesso e uma base de dados únicos para a recolha dos PLF. No futuro, o EUdPLF deverá ser conectado à plataforma de intercâmbio de PLF exclusivamente com o objetivo de permitir o intercâmbio de dados entre os Estados-Membros que utilizam sistemas de PLF digitais nacionais, por um lado, e os Estados-Membros que utilizam o EUdPLF, por outro. A presente decisão não abrange a criação do EUdPLF nem regula o tratamento de dados pessoais relacionados com este sistema.

(10)

A presente decisão não regula a criação dos PLF nacionais, que é da competência dos Estados-Membros. Os Estados-Membros são livres de escolher se recolhem PLF junto de todos os passageiros que chegam ao seu território ou apenas dos passageiros de que sejam o destino final. Para que o rastreio de contactos transfronteiriço com base nos dados PLF seja eficaz, é necessário que os Estados-Membros recolham um conjunto mínimo comum de dados através dos seus PLF nacionais. Esses dados PLF mínimos devem, pois, ser estabelecidos. Além disso, por razões de eficiência dos custos, sustentabilidade e maior segurança da solução, os Estados-Membros devem ponderar a necessidade de adotarem uma abordagem comum no sentido de obter PLF de todos os passageiros, incluindo passageiros em trânsito, ou apenas dos passageiros de que sejam o destino final.

(11)	A plataforma de intercâmbio de PLF deve ser utilizada de forma voluntária e os Estados-Membros devem poder optar por notificar os alertas através da atual infraestrutura técnica do SARR, numa base temporária e desde que não comprometam a finalidade do rastreio de contactos.

(12)

As autoridades competentes do SARR só devem trocar conjuntos bem definidos de dados recolhidos através dos seus PLF e um número limitado de outros dados epidemiológicos que sejam necessários para o rastreio de contactos, em consonância com o princípio da minimização do tratamento de dados pessoais. Sempre que o Estado-Membro que notifica um alerta sobre um passageiro infetado possa identificar todos os Estados-Membros em causa, com base nos dados PLF de que dispõe, deve transmitir os dados apenas às autoridades competentes do SARR desses Estados-Membros. Tal sucede, por exemplo, quando o Estado-Membro que identifica o passageiro infetado recolhe PLF de todos os passageiros, incluindo os passageiros em trânsito, que chegam ao seu território com uma ligação direta a partir do local de partida inicial.

(13)

Sempre que seja detetada a infeção de um passageiro por SARS-CoV-2 num Estado-Membro, as autoridades competentes do SARR desse Estado-Membro devem poder partilhar com as autoridades competentes do SARR do Estado-Membro de partida um conjunto limitado de dados extraídos dos PLF, a definir rigorosamente quanto aos elementos que são necessários para efetuar o rastreio dos contactos das pessoas expostas no Estado-Membro de partida e de residência, se diferente do Estado-Membro de partida — nomeadamente, a identidade e os dados de contacto do passageiro infetado.

(14)

Além disso, sempre que se detete a infeção de um passageiro por SARS-CoV-2 num determinado Estado-Membro, as autoridades competentes do SARR desse Estado-Membro devem também poder partilhar um conjunto limitado de dados com as autoridades competentes do SARR de todos os Estados-Membros ou dos Estados-Membros em causa, se essas autoridades dispuserem de informações que lhes permitam identificar esses Estados-Membros. Os dados devem limitar-se ao local de partida, ao local de chegada, à data de partida, ao tipo de transporte utilizado (p. ex., avião, comboio, autocarro, ferry e navio), ao número de identificação do serviço de transporte — ou seja, o número do voo, o número do comboio, o número de matrícula do autocarro, o nome do ferry ou navio —, ao número do lugar ou da cabina do passageiro infetado e à hora de partida caso os dados acima referidos não sejam suficientes para identificar o transporte. Tal deverá permitir às autoridades competentes do SARR recetoras determinar se os passageiros expostos chegaram ao seu território e, em caso afirmativo, efetuar o respetivo rastreio de contactos.

(15)

Ao partilhar dados com outras autoridades competentes do SARR através da plataforma de intercâmbio de PLF, a autoridade competente do SARR relevante deve poder acrescentar informações epidemiológicas, limitadas aos dados necessários para efetuar o rastreio de contactos, ou seja, o tipo de teste COVID-19 realizado, a variante do vírus SARS-CoV-2, a data da amostra e a data de início dos sintomas.

(16)

O tratamento de dados pessoais dos passageiros infetados, trocados através da plataforma de intercâmbio de PLF, deve ser efetuado pelas autoridades competentes do SARR em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (5). O tratamento de dados pessoais sob a responsabilidade do ECDC, enquanto operador da plataforma de intercâmbio de PLF para efeitos de rastreio de contactos, e da Comissão, na qualidade de subcontratante, deve cumprir as disposições do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (6).

(17)

A base jurídica do intercâmbio de dados pessoais dos passageiros infetados, incluindo em matéria de saúde, entre as autoridades competentes do SARR para efeitos de rastreio de contactos está estabelecida no artigo 9.o, n.o 1 e n.o 3, alínea i), da Decisão n.o 1082/2013/UE, em conformidade com o artigo 6.o, n.o 1, alínea c), e o artigo 9.o, n.o 2, alínea i), do Regulamento (UE) 2016/679. A presente decisão deve estabelecer medidas adequadas e específicas para salvaguardar os direitos e liberdades do titular dos dados. Tal deve incluir medidas que permitam definir os conjuntos de dados necessários a intercambiar, as autoridades competentes do SARR com as quais devem ser trocados os dados nos vários casos, as medidas de segurança apropriadas, incluindo a encriptação, e as modalidades de tratamento dos dados entre as autoridades nacionais competentes através da plataforma de intercâmbio de PLF na União Europeia.

(18)

As autoridades competentes do SARR que participam na plataforma de intercâmbio de PLF determinam em conjunto a finalidade e os meios de tratamento dos dados pessoais nesta plataforma, sendo, por conseguinte, responsáveis conjuntos pelo tratamento dos dados. O artigo 26.o do Regulamento (UE) 2016/679 impõe aos responsáveis conjuntos pelo tratamento dos dados a obrigação de determinarem, de forma transparente, as respetivas responsabilidades pelo cumprimento das obrigações previstas nesse regulamento. O referido artigo prevê igualmente a possibilidade de essas responsabilidades serem determinadas pela legislação da União ou do Estado-Membro à qual os responsáveis pelo tratamento estão sujeitos. A presente decisão deve, por conseguinte, determinar as funções e responsabilidades respetivas dos responsáveis conjuntos pelo tratamento.

(19)

O ECDC, enquanto fornecedor de soluções técnicas e organizativas para a plataforma de intercâmbio de PLF, realiza o tratamento dos dados dos PLF e dos dados epidemiológicos em nome dos Estados-Membros que participam na referida plataforma como responsáveis conjuntos pelo tratamento, sendo, por conseguinte, um subcontratante na aceção do artigo 3.o, n.o 12, do Regulamento (UE) 2018/1725. Nos termos do artigo 28.o do Regulamento (UE) 2016/679 e do artigo 29.o do Regulamento (UE) 2018/1725, o tratamento por um subcontratante deve ser regulado por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros que vincule o subcontratante ao responsável pelo tratamento e especifique o tratamento. Por conseguinte, é necessário estabelecer regras sobre o tratamento pelo ECDC enquanto subcontratante.

(20)

O artigo 3.o, n.o 3, do Regulamento (CE) n.o 851/2004 estabelece que o ECDC, a Comissão e os Estados-Membros devem cooperar para promover a coerência efetiva entre as respetivas atividades. Por conseguinte, devem ser celebrados acordos a nível dos serviços entre a Comissão e o ECDC para assegurar a cooperação durante o desenvolvimento técnico e o funcionamento da plataforma de intercâmbio de PLF. Esses acordos devem especificar a repartição das responsabilidades (organizativas, financeiras e tecnológicas) entre as partes, para facilitar a implementação da plataforma de intercâmbio de PLF e das medidas técnicas relativas ao seu funcionamento, manutenção e desenvolvimento futuro.

(21)	A Decisão de Execução (UE) 2017/253 deve, pois, ser alterada em conformidade.

(22)

A plataforma de intercâmbio de PLF será financiada em 2021 pelo Instrumento de Apoio de Emergência, que foi criado para ajudar os Estados-Membros a responder às necessidades de uma forma estratégica e coordenada a nível europeu, e pelas «Atividades de apoio à política europeia dos transportes, segurança dos transportes e direitos dos passageiros, incluindo as atividades de comunicação». Será financiado em 2022 pelo Programa Europa Digital.

(23)

Tendo em conta a data prevista de funcionamento da plataforma de intercâmbio de PLF, a presente decisão deve ser aplicável a partir de 1 de junho de 2021. O intercâmbio de dados deve cessar após 12 meses ou quando o Diretor-Geral da Organização Mundial da Saúde tiver declarado, em conformidade com o Regulamento Sanitário internacional, que a emergência de saúde pública de âmbito internacional causada pelo SARS-CoV-2 cessou, se essa declaração for anterior.

(24)

O funcionamento da plataforma de intercâmbio de PLF deve limitar-se ao controlo da pandemia de COVID-19. No entanto, poderá ser alargado no futuro, através de uma decisão de execução de alteração, a outras epidemias que exijam aos Estados-Membros o intercâmbio de dados PLF para efeitos de rastreio de contactos, em conformidade com os critérios estabelecidos no artigo 9.o, n.o 1, e com as condições estabelecidas no artigo 9.o, n.o 3, da Decisão n.o 1082/2013/UE.

(25)	A Autoridade Europeia para a Proteção de Dados foi consultada por força do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 e emitiu um parecer em 6 de maio de 2021.

(26)	As medidas previstas na presente decisão estão em conformidade com o parecer do comité das ameaças transfronteiriças graves para a saúde instituído pelo artigo 18.o da Decisão n.o 1082/2013/UE,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

A Decisão de Execução (UE) 2017/253 é alterada do seguinte modo:

É inserido o seguinte artigo 1.o-A:

«Artigo 1.o-A

Definições

Para efeitos da presente decisão, entende-se por:

“Formulário de localização do passageiro” (“PLF”), um formulário preenchido a pedido das autoridades de saúde pública, destinado a recolher, pelo menos, os dados dos passageiros especificados no anexo I, e a auxiliar essas autoridades a gerir ocorrências de saúde pública, permitindo-lhes localizar passageiros que atravessem as fronteiras que possam ter sido expostos a uma pessoa infetada por SARS-CoV-2;

b)	“Dados do formulário de localização do passageiro” (“dados PLF”), os dados pessoais recolhidos através de um PLF;

c)	“Ponto de entrada digital”, o local único digital que permite às autoridades competentes do SARR conectar de forma segura os seus sistemas digitais nacionais de PLF à plataforma de intercâmbio de PLF;

d)	“Viagem”, uma viagem transfronteiriça, constituída por um ou mais trajetos, efetuada por uma pessoa através de meio de transporte coletivo com lugares previamente atribuídos, tendo em conta o local de partida inicial e de destino final dessa pessoa;

e)	“Trajeto”, uma viagem transfronteiriça única efetuada por um passageiro, sem ligações ou mudanças de voo, comboio, embarcação ou veículo;

f)	“Passageiro infetado”, um passageiro que cumpre os critérios laboratoriais de infeção por SARS-CoV-2;

g)	“Pessoa exposta”, um passageiro ou outra pessoa que tenha estado em contacto próximo com um passageiro infetado;

h)	“Alerta”, uma notificação efetuada através do Sistema de Alerta Rápido e de Resposta (SARR), em conformidade com o artigo 9.o da Decisão n.o 1082/2013/CE.».

São inseridos os artigos 2.o-A, 2.o-B e 2.o-C seguintes:

«Artigo 2.o-A

Plataforma de intercâmbio de dados PLF

1. É instituída no âmbito do SARR uma plataforma para o intercâmbio seguro de dados PLF de passageiros infetados, exclusivamente para efeitos de rastreio de contactos SARS-CoV-2 de pessoas expostas pelas autoridades competentes do SARR (“plataforma de intercâmbio de PLF”), como complemento da funcionalidade de transmissão seletiva de mensagens existente neste sistema.

A plataforma de intercâmbio de PLF deve fornecer um ponto de entrada digital para as autoridades competentes do SARR conectarem de forma segura os seus sistemas digitais nacionais de PLF ou para se conectarem através do sistema digital comum de transporte de passageiros da União Europeia (“EUdPLF”), com vista ao intercâmbio de dados recolhidos através dos PLF.

As autoridades competentes do SARR devem poder utilizar a plataforma de intercâmbio de PLF para o intercâmbio de dados adicionais, ou seja, de dados epidemiológicos exclusivamente para efeitos de rastreio de contactos de pessoas expostas ao SARS-CoV-2, em conformidade com o artigo 2.o-B, n.o 5.

2. A plataforma de intercâmbio de PLF é gerida pelo ECDC.

3. Para cumprirem as obrigações que lhes incumbem por força do artigo 2.o no que diz respeito à notificação de ameaças sanitárias transfronteiriças graves identificadas no contexto da recolha de dados PLF, as autoridades competentes do SARR dos Estados-Membros que exigem a preenchimento destes formulários devem proceder ao intercâmbio de um conjunto de dados PLF, conforme especificado no artigo 2.o-B, através da plataforma de intercâmbio de PLF.

4. As autoridades competentes do SARR podem continuar a cumprir as obrigações que lhes incumbem por força do artigo 9.o, n.os 1 e 3, da Decisão n.o 1082/2013/UE no que respeita à notificação de ameaças sanitárias transfronteiriças graves identificadas no contexto da recolha de dados PLF através dos outros canais de comunicação existentes, referidos no artigo 1.o, n.o 2, da presente decisão, a título temporário e desde que essa escolha não comprometa o objetivo do rastreio de contactos.

5. A plataforma de intercâmbio de PLF não deve armazenar os dados PLF nem os dados epidemiológicos adicionais a trocar. Só deve permitir que as autoridades competentes do SARR recebam dados que lhes tenham sido enviados por outras autoridades competentes do SARR para efeitos exclusivos de rastreio de contactos SARS-CoV-2. O ECDC só pode aceder aos dados para assegurar o bom funcionamento da plataforma de intercâmbio de PLF.

6. As autoridades competentes do SARR não podem conservar os dados PLF nem os dados epidemiológicos recebidos através da plataforma de intercâmbio de PLF por tempo superior ao período de conservação aplicável no contexto das suas atividades nacionais de rastreio de contactos SARS-CoV-2.

7. A Comissão coopera com o ECDC no cumprimento das tarefas que lhe são confiadas ao abrigo da presente decisão, em especial no que diz respeito às medidas técnicas e organizativas relacionadas com a implantação, implementação, funcionamento, manutenção e desenvolvimento ulterior da plataforma de intercâmbio de PLF.

8. O tratamento de dados pessoais na plataforma de intercâmbio de PLF para efeitos exclusivos de rastreio de contactos SARS-CoV-2 deve ser efetuado até 31 de maio de 2022 ou até que o Diretor-Geral da Organização Mundial da Saúde declare, em conformidade com o Regulamento Sanitário Internacional, que a emergência de saúde pública de âmbito internacional causada pelo SARS-CoV-2 cessou, se essa declaração for anterior.

Artigo 2.o-B

Dados objeto de intercâmbio

1. Ao notificar um alerta na plataforma de intercâmbio de PLF, as autoridades competentes do SARR do Estado-Membro em que o passageiro infetado é identificado devem transmitir os seguintes dados PLF às autoridades competentes do SARR do Estado-Membro de partida inicial ou de residência do passageiro infetado, se o local de residência for diferente do local de partida inicial:

a)	Nome próprio;

Apelido;

c)	Data de nascimento;

d)	Número de telefone (fixo e/ou móvel);

e)	Endereço de correio eletrónico;

f)	Endereço de residência.

2. As autoridades competentes do SARR do Estado-Membro de partida inicial do passageiro infetado podem transmitir os dados PLF recebidos a um Estado-Membro de partida diferente do declarado no PLF como Estado-Membro de partida inicial, sempre que disponham de informações adicionais que indiciem qual o Estado-Membro que deve efetuar o rastreio dos contactos.

3. Ao notificar um alerta na plataforma de intercâmbio de PLF, as autoridades competentes do SARR do Estado-Membro em que o passageiro infetado é identificado devem transmitir os seguintes dados PLF, em relação a cada trajeto da viagem, às autoridades competentes do SARR de todos os Estados-Membros:

a)	Local de partida de cada transporte em causa;

b)	Local de chegada de cada transporte em causa;

c)	Data de partida de cada transporte em causa;

d)	Tipo de cada transporte em causa (p. ex, avião, comboio, autocarro, ferry ou navio);

e)	Número de identificação de cada transporte em causa (p. ex., número do voo, número do comboio, matrícula do autocarro, nome do ferry ou navio);

f)	Número do lugar/cabina em cada transporte em causa;

g)	Se necessário, hora de partida de cada transporte em causa.

4. Sempre que as autoridades competentes do SARR do Estado-Membro que notifica o alerta possam identificar os Estados-Membros em causa com base nas informações de que disponham, devem transmitir os dados referidos no n.o 3 apenas às autoridades competentes do SARR desses Estados-Membros.

5. As autoridades competentes do SARR devem poder fornecer os seguintes dados epidemiológicos, sempre que tal seja necessário para efetuar um rastreio de contactos eficaz:

a)	Tipo de teste efetuado;

b)	Variante do vírus SARS-CoV-2;

c)	Data de amostragem;

d)	Data de início dos sintomas.

Artigo 2.o-C

Responsabilidades das autoridades competentes do SARR e do ECDC no tratamento de dados PLF

1. As autoridades competentes do SARR que trocam dados PLF e os dados referidos no artigo 2.o-B, n.o 5, são responsáveis conjuntos pela introdução e transmissão desses dados, até à sua receção, através da plataforma de intercâmbio de PLF. As responsabilidades respetivas dos responsáveis conjuntos pelo tratamento são atribuídas em conformidade com o anexo II. Cada Estado-Membro que pretenda participar no intercâmbio transfronteiriço de dados PLF através da plataforma de intercâmbio de PLF deve notificar ao ECDC, antes de aderir, a sua intenção e indicar a respetiva autoridade competente do SARR que tenha sido designada responsável pelo tratamento.

2. O ECDC é o subcontratante dos dados trocados através da plataforma de intercâmbio de PLF. É responsável por disponibilizar a plataforma de intercâmbio de PLF e garantir a segurança do tratamento e transmissão dos dados trocados através da plataforma, e deve cumprir as obrigações aplicáveis aos subcontratantes estabelecidas no anexo III.

3. A eficácia das medidas técnicas e organizativas no sentido de assegurar a segurança do tratamento dos dados PLF trocados através da plataforma de intercâmbio de PLF deve ser testada, examinada e avaliada regularmente pelo ECDC e pelas autoridades competentes do SARR autorizadas a aceder à plataforma.

4. O ECDC recorre à Comissão enquanto subcontratante ulterior e deve assegurar que lhe são aplicáveis as mesmas obrigações em matéria de proteção de dados estabelecidas na presente decisão.».

3)	No artigo 3.o, n.o 3, a expressão «no anexo» é substituída por «no anexo IV».

4)	No anexo, o título «ANEXO» é substituído por «ANEXO IV».

5)	São aditados os anexos I, II e III, em conformidade com o anexo da presente decisão.

Artigo 2.o

A presente decisão entra em vigor no terceiro dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

A presente decisão é aplicável a partir de 1 de junho de 2021.

Feito em Bruxelas, em 27 de maio de 2021.

Pela Comissão

A Presidente

Ursula VON DER LEYEN

(1) JO L 293 de 5.11.2013, p. 1.

(2) JO L 337 de 14.10.2020, p. 3.

(3) Regulamento (CE) n.o 851/2004 do Parlamento Europeu e do Conselho, de 21 de abril de 2004, que cria um Centro Europeu de prevenção e controlo das doenças (JO L 142 de 30.4.2004, p. 1).

(4) A ação comum de preparação e ação nos pontos de entrada (portos, aeroportos e passagens terrestres) HEALTHY GATEWAYS reúne 28 países europeus e é financiada a título do Terceiro Programa de Saúde (2014-2020).

(5) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (JO L 119 de 4.5.2016, p. 1).

(6) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

ANEXO

«ANEXO I

CONJUNTO MÍNIMO DE DADOS PLF A RECOLHER ATRAVÉS DO PLF NACIONAL

O PLF deve conter, pelo menos, os seguintes dados PLF:

(1)	Nome próprio;

(2)

Apelido;

(3)	Data de nascimento;

(4)	Número de telefone (fixo e/ou móvel);

(5)	Endereço de correio eletrónico;

(6)	Endereço de residência;

(7)	Destino final ou último destino na UE de toda a viagem;

(8)

As seguintes informações para cada trajeto da viagem até ao Estado-Membro que exige o PLF:

(a)	Local de partida;

(b)	Local de chegada;

(c)	Data de partida;

(d)	Tipo de transporte (p. ex, avião, comboio, autocarro, ferry, navio);

(e)	Hora da partida;

(f)	Número de identificação do transporte (p. ex., número do voo, número do comboio, matrícula do autocarro, nome do ferry ou navio);

(g)	Número do lugar/cabina.

ANEXO II

RESPONSABILIDADES DOS ESTADOS-MEMBROS PARTICIPANTES ENQUANTO RESPONSÁVEIS CONJUNTOS PELO TRATAMENTO NA PLATAFORMA DE INTERCÂMBIO DE PLF

SECÇÃO 1

Repartição de responsabilidades

(1)

Cada autoridade competente do SARR deve assegurar que o tratamento dos dados PLF e dos dados epidemiológicos adicionais trocados através da plataforma de intercâmbio de PLF é efetuado em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (*) Em especial, deve assegurar que os dados que regista e transmite através da plataforma de intercâmbio de PLF são exatos e limitados aos dados previstos no artigo 2.o-B da presente decisão.

(2)

Cada autoridade competente do SARR continua a ser o único responsável pela recolha, utilização, divulgação e qualquer outro tratamento dos dados PLF e dos dados epidemiológicos adicionais realizados fora da plataforma de intercâmbio de PLF. Cada autoridade competente do SARR deve assegurar que a transmissão dos dados é efetuada em conformidade com as especificações técnicas estabelecidas para a plataforma de intercâmbio de PLF.

(3)

As instruções ao subcontratante devem ser enviadas pelo ponto de contacto de qualquer responsável conjunto pelo tratamento, com o acordo dos outros responsáveis conjuntos pelo tratamento.

(4)

Apenas as pessoas autorizadas pelas autoridades competentes do SARR podem aceder aos dados PLF e aos dados epidemiológicos adicionais trocados através da plataforma de intercâmbio de PLF.

(5)

Cada autoridade competente do SARR deve criar um ponto de contacto com uma caixa de correio funcional que servirá para a comunicação entre os responsáveis conjuntos pelo tratamento e entre estes e o subcontratante. O processo de tomada de decisão dos responsáveis conjuntos pelo tratamento é dirigido pelo Grupo de Trabalho SARR do Comité de Segurança da Saúde.

(6)

Uma autoridade competente do SARR deixa de ser responsável conjunto pelo tratamento a partir da data de retirada da sua participação na plataforma de intercâmbio de PLF. Permanece, contudo, responsável pela recolha e transmissão dos dados PLF e dos dados epidemiológicos adicionais através da plataforma de intercâmbio de PLF que sejam anteriores a essa retirada.

(7)

Cada autoridade competente do SARR tem de manter um registo das atividades de tratamento sob a sua responsabilidade. A responsabilidade conjunta pode ser indicada no registo.

SECÇÃO 2

Responsabilidades e funções para tramitação de pedidos e informação dos titulares dos dados

(1)

Cada autoridade competente do SARR que exija um PLF deve fornecer aos passageiros transfronteiriços («titulares dos dados») informações sobre as circunstâncias do intercâmbio dos seus dados PLF e dados epidemiológicos através da plataforma de intercâmbio de PLF para efeitos de rastreio de contactos, em conformidade com os artigos 13.o e 14.o do Regulamento (UE) 2016/679.

(2)

Cada autoridade competente do SARR serve de ponto de contacto para os titulares dos dados e assegura o tratamento dos pedidos relacionados com o exercício dos seus direitos em conformidade com o Regulamento (UE) 2016/679, apresentados por esses titulares ou pelos seus representantes. Cada autoridade competente do SARR designa um ponto de contacto específico dedicado aos pedidos recebidos dos titulares dos dados. Caso uma autoridade competente do SARR receba um pedido de um titular de dados que não seja da sua responsabilidade, deve de imediato remetê-lo para a autoridade competente do SARR responsável e informar o ECDC. Se tal for solicitado, as autoridades competentes do SARR devem prestar-se assistência mútua na tramitação dos pedidos dos titulares dos dados relativos à responsabilidade conjunta e responder mutuamente sem atrasos indevidos e, o mais tardar, no prazo de 15 dias a contar da receção de um pedido de assistência.

(3)

Cada autoridade competente do SARR disponibiliza aos titulares dos dados o conteúdo do presente anexo, incluindo as disposições previstas nos pontos 1 e 2.

SECÇÃO 3

Gestão de incidentes de segurança, incluindo violações de dados pessoais

(1)

Enquanto responsáveis conjuntos pelo tratamento, as autoridades competentes do SARR devem prestar-se assistência mútua na identificação e tratamento de quaisquer incidentes de segurança, incluindo violações de dados pessoais, relacionados com o tratamento de dados PLF e de dados epidemiológicos trocados através da plataforma de intercâmbio de PLF.

(2)

Em especial, devem notificar-se mutuamente e notificar ao ECDC os seguintes elementos:

(a)	Quaisquer riscos potenciais ou reais para a disponibilidade, confidencialidade e/ou integridade dos dados PLF e dados epidemiológicos em fase de tratamento na plataforma de intercâmbio de PLF;

(b)

Qualquer violação de dados pessoais, as consequências prováveis da violação de dados pessoais e a avaliação dos riscos para os direitos e liberdades das pessoas singulares, e eventuais medidas adotadas para reparar a violação de dados pessoais e atenuar os riscos para os direitos e liberdades das pessoas singulares;

(c)	Qualquer violação de salvaguardas técnicas e/ou organizativas das operações de tratamento na plataforma de intercâmbio de PLF.

(3)

As autoridades competentes do SARR devem comunicar eventuais violações relacionadas com operações de tratamento na plataforma de intercâmbio de PLF ao ECDC, às autoridades competentes de supervisão e, se assim for requerido, aos titulares dos dados, em conformidade com os artigos 33.o e 34.o do Regulamento (UE) 2016/679 ou após notificação pelo ECDC.

(4)

Cada autoridade competente do SARR deve aplicar medidas técnicas e organizativas adequadas, a fim de:

(a)	Assegurar e proteger a segurança, a integridade e a confidencialidade dos dados pessoais tratados conjuntamente;

(b)	Proteger todos os dados pessoais na sua posse contra qualquer tratamento, perda, utilização, divulgação, aquisição ou acesso não autorizados ou ilegais;

(c)	Assegurar que o acesso aos dados pessoais não seja divulgado ou autorizado a outra pessoa além dos destinatários ou subcontratantes.

SECÇÃO 4

Avaliação de impacto sobre a proteção de dados

Caso um responsável pelo tratamento precise de informações de outro responsável pelo tratamento para cumprir as obrigações especificadas nos artigos 35.o e 36.o do Regulamento (UE) 2016/679, deve enviar um pedido específico para a caixa de correio funcional referida no ponto 5 da secção 1. Este último deve envidar todos os esforços para prestar as informações solicitadas.

ANEXO III

RESPONSABILIDADES DO ECDC ENQUANTO SUBCONTRATANTE DA PLATAFORMA DE INTERCÂMBIO DE PLF

(1)

O ECDC deve criar e assegurar uma infraestrutura de comunicação segura e fiável que permita interconectar as autoridades competentes do SARR dos Estados-Membros que participam na plataforma de intercâmbio de PLF.

O tratamento pelo ECDC da plataforma de intercâmbio de PLF inclui as seguintes funções:

(a)	Definir o conjunto mínimo de requisitos técnicos necessários para assegurar uma conexão e desconexão de forma fácil e segura das bases de dados PLF nacionais;

(b)	Assegurar a interoperabilidade das bases de dados PLF nacionais de forma segura e automatizada.

(2)

Para cumprir as suas obrigações enquanto subcontratante da plataforma de intercâmbio de PLF, o ECDC recorre à Comissão na qualidade de subcontratante ulterior e deve assegurar que lhe são aplicáveis as mesmas obrigações em matéria de proteção de dados, tal como estabelecidas na presente decisão.

O ECDC pode autorizar a Comissão a contratar terceiros como subcontratantes ulteriores adicionais.

Se a Comissão contratar subcontratantes ulteriores, compete ao ECDC:

(a)	Assegurar que são aplicadas a esses subcontratantes ulteriores as mesmas obrigações em matéria de proteção de dados como estabelecidas na presente decisão;

(b)	Informar os responsáveis pelo tratamento de quaisquer alterações previstas relativas ao aditamento ou substituição de outros subcontratantes ulteriores, dando assim aos responsáveis pelo tratamento a oportunidade de se oporem por maioria simples a tais alterações.

(3)

O ECDC deve:

(a)	Criar e assegurar uma infraestrutura de comunicação segura e fiável que permita interconectar as autoridades competentes do SARR dos Estados-Membros que participam na plataforma de intercâmbio de PLF;

(b)

Tratar os dados PLF e os dados epidemiológicos adicionais, apenas com base em instruções documentadas dos responsáveis pelo tratamento, a menos que esse tratamento seja exigido pelo direito da União. Nesse caso, o ECDC informa os responsáveis pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

(c)	Pôr em prática um plano de segurança, um plano de continuidade operacional e um plano de recuperação em caso de catástrofe;

(d)	Tomar as medidas necessárias para preservar a integridade dos dados PLF e dos dados epidemiológicos adicionais tratados;

(e)

Tomar as medidas de segurança mais avançadas a nível organizacional, físico e eletrónico para manter a plataforma de intercâmbio de PLF. Para esse efeito, o ECDC:

i)	designa uma entidade responsável pela gestão da segurança ao nível da plataforma de intercâmbio de PLF, comunica aos responsáveis pelo tratamento os seus dados de contacto e assegura a sua disponibilidade para reagir a ameaças à segurança,

ii)	assume a responsabilidade pela segurança da plataforma de intercâmbio de PLF,

iii)	assegura que todas as pessoas a quem é concedido acesso à plataforma de intercâmbio de PLF estão sujeitas a obrigações contratuais, profissionais ou legais de confidencialidade;

(f)

Tomar todas as medidas de segurança necessárias para evitar comprometer o bom funcionamento da plataforma de intercâmbio de PLF. Para o efeito, o ECDC deve estabelecer procedimentos específicos para o funcionamento da plataforma de intercâmbio de PLF e a conexão dos servidores de apoio à plataforma de intercâmbio de PLF. Tal inclui:

i)	um procedimento de avaliação dos riscos, a fim de identificar e estimar potenciais ameaças ao sistema,

ii)

um procedimento de auditoria e revisão para:

1)	verificar a correspondência entre as medidas de segurança implementadas e a política de segurança aplicável,

2)	controlar regularmente a integridade dos ficheiros de sistema, dos parâmetros de segurança e das autorizações concedidas,

3)	detetar e monitorizar violações de segurança e intrusões,

4)	implementar alterações para corrigir vulnerabilidades de segurança existentes,

permitir, incluindo a pedido dos responsáveis pelo tratamento, e contribuir para a realização de auditorias independentes, incluindo inspeções, e revisões de medidas de segurança, sob reserva de condições que respeitem o Protocolo (n.o 7) do TFUE relativo aos Privilégios e Imunidades da União Europeia (2),

iii)	alterar o procedimento de controlo para documentar e medir o impacto das alterações antes da sua implementação, mantendo os responsáveis pelo tratamento informados de quaisquer alterações que possam afetar a comunicação com e/ou a segurança das suas infraestruturas,

iv)	estabelecer um procedimento de manutenção e reparação que especifique as regras e condições a seguir caso seja necessária a manutenção e/ou reparação de equipamentos,

estabelecer um procedimento para incidentes de segurança com vista a definir o sistema de notificação e escalada de incidentes, informar sem demora os responsáveis pelo tratamento para que notifiquem as autoridades nacionais de proteção de dados sobre qualquer violação de dados pessoais, e definir um processo disciplinar para lidar com essas violações;

(g)

Tomar as medidas mais avançadas de segurança física e/ou eletrónica para as instalações que alojam o equipamento da plataforma de intercâmbio de PLF e para os controlos dos dados e de segurança. Para esse efeito, o ECDC:

i)	vela pela segurança física de modo a estabelecer perímetros de segurança demarcados e permitir a deteção de violações da segurança,

ii)	controla o acesso às instalações e mantém um registo de visitantes para fins de rastreio,

iii)	assegura que as pessoas externas a quem é concedido acesso às instalações são escoltadas por pessoal devidamente autorizado,

iv)	impede a introdução, substituição ou remoção de equipamentos sem a autorização prévia dos organismos competentes designados,

v)	controla o acesso dos sistemas nacionais PLF à plataforma de intercâmbio de PLF e o acesso a esses sistemas nacionais,

vi)	garante a identificação e autenticação das pessoas que têm acesso à plataforma de intercâmbio de PLF,

vii)	revê os direitos de autorização relacionados com o acesso à plataforma de intercâmbio de PLF em caso de violação da segurança que afete esta infraestrutura,

viii)

aplica medidas de segurança técnicas e organizativas para impedir o acesso não autorizado aos dados PLF e aos dados epidemiológicos,

ix)	aplica, sempre que necessário, medidas para bloquear o acesso não autorizado à plataforma de intercâmbio de PLF a partir do domínio das autoridades nacionais (ou seja, bloquear uma localização ou um endereço IP);

(h)	Tomar medidas para proteger o seu domínio, incluindo o corte de ligações, em caso de desvio substancial em relação aos princípios e conceitos de qualidade ou segurança;

(i)	Manter um plano de gestão dos riscos relacionado com a sua área de responsabilidade;

(j)	Acompanhar – em tempo real – o desempenho de todas as componentes dos serviços da plataforma de intercâmbio de PLF, elaborar estatísticas regulares e manter registos;

(k)	Certificar-se de que o serviço está disponível 24/7, com períodos de interrupção aceitáveis para fins de manutenção;

(l)

Prestar assistência a todos os serviços da plataforma de intercâmbio de PLF, em inglês, por telefone, correio eletrónico ou portal Web, e responder a telefonemas de utilizadores autorizados: os coordenadores da plataforma de intercâmbio de PLF e respetivos serviços de assistência (helpdesk), os responsáveis de projeto e as pessoas designadas do ECDC;

(m)	Apoiar os responsáveis pelo tratamento através de medidas técnicas e organizativas adequadas, na medida do possível, para o cumprimento da sua obrigação de resposta a pedidos relativos ao exercício dos direitos dos titulares de dados estabelecidos no capítulo III do Regulamento (UE) 2016/679;

(n)	Apoiar os responsáveis pelo tratamento fornecendo informações sobre a plataforma de intercâmbio de PLF, a fim de cumprir as obrigações previstas nos artigos 32.o, 35.o e 36.o do Regulamento (UE) 2016/679;

(o)	Assegurar que os dados PLF e os dados epidemiológicos transmitidos através da plataforma de intercâmbio de PLF são ininteligíveis para pessoas não autorizadas a aceder aos mesmos, nomeadamente através de uma encriptação forte;

(p)	Tomar todas as medidas pertinentes para impedir que os operadores da plataforma de intercâmbio de PLF tenham um acesso não autorizado aos dados PLF e dados epidemiológicos transmitidos;

(q)	Tomar medidas para facilitar a interoperabilidade e a comunicação entre os responsáveis pelo tratamento designados da plataforma de intercâmbio de PLF;

(r)	Manter um registo das atividades de tratamento realizadas em nome dos responsáveis pelo tratamento em conformidade com o artigo 31.o, n.o 2, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho.

(*) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (JO L 119 de 4.5.2016, p. 1).

Top

Choose the experimental features you want to try