This document is an excerpt from the EUR-Lex website
Document 32024R0868
Regulation (EU) 2024/868 of the European Parliament and of the Council of 13 March 2024 amending Council Decision 2009/917/JHA as regards its alignment with Union rules on the protection of personal data
Regulamento (UE) 2024/868 do Parlamento Europeu e do Conselho, de 13 de março de 2024, que altera a Decisão 2009/917/JAI do Conselho a fim de a harmonizar com as normas da União em matéria de proteção de dados pessoais
Regulamento (UE) 2024/868 do Parlamento Europeu e do Conselho, de 13 de março de 2024, que altera a Decisão 2009/917/JAI do Conselho a fim de a harmonizar com as normas da União em matéria de proteção de dados pessoais
PE/89/2023/REV/1
JO L, 2024/868, 19.3.2024, ELI: http://data.europa.eu/eli/reg/2024/868/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Jornal Oficial |
PT Série L |
|
2024/868 |
19.3.2024 |
REGULAMENTO (UE) 2024/868 DO PARLAMENTO EUROPEU E DO CONSELHO
de 13 de março de 2024
que altera a Decisão 2009/917/JAI do Conselho a fim de a harmonizar com as normas da União em matéria de proteção de dados pessoais
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.o, n.o 2,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Deliberando de acordo com o processo legislativo ordinário (1),
Considerando o seguinte:
|
(1) |
A Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (2) prevê normas harmonizadas para a proteção e a livre circulação de dados pessoais tratados para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças contra a segurança pública. A referida diretiva exige que a Comissão reexamine outros atos pertinentes adotados pela União, a fim de avaliar a necessidade de harmonizá-los com a referida diretiva e apresente, se for caso disso, as propostas necessárias à sua alteração, assegurando uma abordagem coerente da proteção de dados pessoais no âmbito da diretiva. |
|
(2) |
A Decisão 2009/917/JAI do Conselho (3) cria o Sistema de Informação Aduaneiro (SIA), cujo propósito consiste em ajudar a prevenir, investigar e reprimir infrações graves à legislação nacional, tornando os dados mais rapidamente disponíveis e reforçando assim a eficácia das administrações aduaneiras dos Estados-Membros. O SIA consiste numa base de dados central que armazena dados pessoais, como apelidos e nomes próprios, endereços, números de documentos de identificação relacionados com mercadorias, meios de transporte, empresas ou pessoas, bem como artigos e numerário retidos, apreendidos ou confiscados. A base de dados central é gerida pela Comissão, que não tem acesso aos dados pessoais aí armazenados. As autoridades designadas pelos Estados-Membros têm direito de acesso à base de dados central e podem inserir e consultar as informações aí armazenadas. A Agência da União Europeia para a Cooperação Policial (Europol) e a Agência da União Europeia para a Cooperação Judiciária Penal (Eurojust) têm, no âmbito dos respetivos mandatos e para o cumprimento das suas funções, o direito de aceder aos dados inseridos na base de dados central pelas autoridades designadas pelos Estados-Membros e de consultar esses dados. |
|
(3) |
A fim de assegurar uma abordagem coerente à proteção dos dados pessoais na União, a Decisão 2009/917/JAI deverá ser alterada para que seja alinhada com a Diretiva (UE) 2016/680. Em especial, as regras de proteção de dados pessoais previstas nessa decisão deverão respeitar o princípio da limitação da finalidade, limitar-se a categorias específicas de titulares de dados e categorias de dados pessoais, respeitar os requisitos de segurança dos dados, incluir uma proteção adicional para categorias especiais de dados pessoais e respeitar as condições para o tratamento subsequente. Além disso, deverá ser prevista a supervisão coordenada do funcionamento do SIA pela Autoridade Europeia para a Proteção de Dados e pelas autoridades nacionais de controlo, em conformidade com o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (4). |
|
(4) |
A fim de assegurar uma abordagem clara e coerente para a proteção adequada dos dados pessoais, a expressão «infrações graves» utilizada na Decisão 2009/917/JAI deverá ser substituída por «infrações penais», conforme referido na Diretiva (UE) 2016/680, tendo em conta que o facto de um comportamento específico ser proibido pelo direito penal de um Estado-Membro implica, por si só, um certo grau de gravidade da infração. Além disso, a finalidade do SIA deverá continuar a limitar-se à prestação de assistência na prevenção, investigação, deteção ou repressão de infrações penais ao abrigo da legislação nacional, como definida na Decisão 2009/917/JAI, ou seja, das legislações nacionais em relação às quais as administrações aduaneiras dos Estados-Membros são competentes e, por conseguinte, especialmente relevantes no contexto aduaneiro. Assim, embora a qualificação como infração penal seja um requisito necessário, nem todas as infrações penais ao abrigo das legislações nacionais são abrangidas pela Decisão 2009/917/JAI. Por exemplo, as infrações penais relativas ao tráfico de droga, tráfico de armas e branqueamento de capitais são abrangidas pela Decisão 2009/917/JAI. Além disso, a substituição do termo «infrações graves» pelo termo «infrações penais» não deverá ser entendida como afetando os requisitos específicos previstos na Decisão 2009/917/JAI para a criação e o envio por parte de cada Estado-Membro de uma lista de infrações penais ao abrigo da respetiva legislação nacional que satisfazem determinadas condições para efeitos do ficheiro de identificação dos processos de inquérito aduaneiro. |
|
(5) |
No tratamento de dados pessoais no âmbito da Decisão 2009/917/JAI, sem prejuízo das regras específicas constantes dessa decisão, os Estados-Membros estão sujeitos às respetivas disposições nacionais adotadas ao abrigo da Diretiva (UE) 2016/680, a Comissão está sujeita às regras previstas no Regulamento (UE) 2018/1725, a Europol está sujeita às regras previstas no Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho (5) e a Eurojust está sujeita às regras previstas no Regulamento (UE) 2018/1727 do Parlamento Europeu e do Conselho (6). Estes atos regem, nomeadamente, as obrigações e as responsabilidades dos responsáveis e dos responsáveis conjuntos pelo tratamento dos dados, dos subcontratantes e da relação entre eles no que respeita à proteção dos dados pessoais. As autoridades nacionais de controlo responsáveis por acompanhar e garantir a aplicação da Diretiva (UE) 2016/680 em cada Estado-Membro deverão ser competentes para acompanhar e garantir a aplicação das disposições relativas à proteção de dados pessoais previstas na Decisão 2009/917/JAI pelas autoridades competentes de cada Estado-Membro. A Autoridade Europeia para a Proteção de Dados deverá ser responsável pelo acompanhamento e pela aplicação das disposições relativas à proteção de dados pessoais previstas na Decisão 2009/917/JAI por parte da Comissão, da Europol e da Eurojust. |
|
(6) |
A fim de assegurar a preservação ótima dos dados no SIA, reduzindo simultaneamente os encargos administrativos para as autoridades competentes, e em conformidade com o Regulamento (CE) n.o 515/97 do Conselho (7), o procedimento que rege a conservação de dados pessoais no SIA deverá ser simplificado, suprimindo a obrigação de rever anualmente a necessidade de conservação dos dados pessoais e fixando um período máximo de conservação de cinco anos, que pode ser prorrogado por um período adicional de dois anos desde que tal prorrogação seja justificada. Este período de conservação é necessário e proporcionado tendo em conta a duração típica dos processos penais e a necessidade dos dados para a condução das operações aduaneiras conjuntas e dos inquéritos. |
|
(7) |
O tratamento de dados pessoais nos termos da Decisão 2009/917/JAI envolve o tratamento, o intercâmbio e a subsequente utilização de informações pertinentes para os fins previstos no artigo 87.o do Tratado sobre o Funcionamento da União Europeia (TFUE). Por razões de coerência e da proteção efetiva de dados pessoais, o tratamento de dados pessoais ao abrigo da Decisão 2009/917/JAI deverá respeitar a legislação nacional e da União relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública. |
|
(8) |
Nos termos do artigo 6.o-A do Protocolo n.o 21 relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao Tratado da União Europeia (TUE) e ao TFUE, a Irlanda está vinculada pela Decisão 2009/917/JAI e, por conseguinte, participa na adoção do presente regulamento. |
|
(9) |
Nos termos dos artigos 1.o, 2.o e 2.o-A do Protocolo n.o 22 relativo à posição da Dinamarca, anexo ao TUE e ao TFUE, a Dinamarca está vinculada pela Decisão 2009/917/JAI e, por conseguinte, participa na adoção do presente regulamento. |
|
(10) |
A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 tendo emitido parecer em 4 de julho de 2023. |
|
(11) |
A Decisão 2009/917/JAI deverá, por conseguinte, ser alterada em conformidade, |
ADOTARAM O PRESENTE REGULAMENTO:
Artigo 1.o
A Decisão 2009/917/JAI é alterada do seguinte modo:
|
1) |
No artigo 1.o, o n.o 2 passa a ter a seguinte redação: «2. Nos termos da presente decisão, o Sistema de Informação Aduaneiro terá por finalidade ajudar as autoridades competentes dos Estados-Membros a prevenir, investigar, detetar e reprimir infrações penais previstas no direito nacional, tornando os dados mais rapidamente disponíveis e reforçando, assim, a eficácia dos procedimentos de cooperação e controlo das administrações aduaneiras dos Estados-Membros.» |
|
2) |
O artigo 2.o é alterado do seguinte modo:
|
|
3) |
No artigo 3.o, n.o 1, o proémio passa a ter a seguinte redação: «O Sistema de Informação Aduaneiro é composto por uma base de dados central acessível através de terminais instalados em cada Estado-Membro. Contém exclusivamente os dados necessários ao cumprimento da finalidade prevista no artigo 1.o, n.o 2, incluindo dados pessoais, que digam respeito às seguintes categorias:»; |
|
4) |
O artigo 4.o é alterado do seguinte modo:
|
|
5) |
No artigo 5.o, o n.o 2 passa a ter a seguinte redação: «2. Para efeitos das ações a que se refere o n.o 1, os dados pessoais abrangidos por qualquer uma das categorias enumeradas no artigo 3.o, n.o 1 só podem ser inseridos no Sistema de Informação Aduaneiro se existirem motivos razoáveis, especialmente com base em antecedentes de atividades ilegais, que levem a crer que a pessoa em causa cometeu, está a cometer ou irá cometer infrações penais previstas no direito nacional.» |
|
6) |
O artigo 7.o é alterado do seguinte modo:
|
|
7) |
O artigo 8.o é alterado do seguinte modo:
|
|
8) |
No artigo 13.o, o n.o 5 passa a ter a seguinte redação: «5. Sem prejuízo do disposto na presente decisão, quando num Estado-Membro um tribunal ou outra autoridade competente tomar uma decisão final sobre a alteração, aditamento, retificação ou apagamento de dados do Sistema de Informação Aduaneiro, os Estados-Membros comprometem-se mutuamente a executar essa decisão. Em caso de conflito entre essas decisões de tribunais ou de outras autoridades competentes em diferentes Estados-Membros, incluindo das autoridades nacionais de controlo, que digam respeito à retificação ou apagamento de dados, o Estado-Membro que inseriu os dados em causa apagá-los-á desse sistema.» |
|
9) |
O artigo 14.o passa a ter a seguinte redação: «Artigo 14.o Os dados pessoais inseridos no Sistema de Informação Aduaneiro são conservados apenas durante o tempo necessário para alcançar a finalidade referida no artigo 1.o, n.o 2, e não podem ser conservados para além de um prazo de cinco anos. No entanto, excecionalmente, esses dados podem ser conservados por um período adicional extensível até dois anos, se e na medida em que tal seja estritamente necessário para alcançar essa finalidade num caso concreto.» |
|
10) |
O artigo 15.o é alterado do seguinte modo:
|
|
11) |
O artigo 20.o passa a ter a seguinte redação: «Artigo 20.o Salvo disposição em contrário da presente decisão:
(*2) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39)." (*3) Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO L 135 de 24.5.2016, p. 53)." (*4) Regulamento (UE) 2018/1727 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, que cria a Agência da União Europeia para a Cooperação Judiciária Penal (Eurojust), e que substitui e revoga a Decisão 2002/187/JAI do Conselho (JO L 295 de 21.11.2018, p. 138).»;" |
|
12) |
São suprimidos os artigos 22.o, 23.o, 24.o e 25.o; |
|
13) |
O artigo 26.o passa a ter a seguinte redação: «Artigo 26.o 1. A Autoridade Europeia para a Proteção de Dados é responsável pelo controlo do tratamento de dados pessoais pela Comissão ao abrigo da presente decisão e por assegurar que esse tratamento é realizado em consonância com a presente decisão. São aplicáveis, em conformidade, as atribuições e os poderes a que se referem os artigos 57.o e 58.o do Regulamento (UE) 2018/1725. 2. A Autoridade Europeia para a Proteção de Dados efetua, no mínimo de cinco em cinco anos, uma auditoria do tratamento de dados pessoais por parte da Comissão ao abrigo da presente decisão, em conformidade com as normas internacionais de auditoria. O relatório relativo a essa auditoria é enviado ao Parlamento Europeu, ao Conselho, à Comissão e às autoridades nacionais de controlo. 3. A Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo, atuando no âmbito das respetivas competências, cooperam ativamente no âmbito das suas responsabilidades de modo a assegurar uma supervisão coordenada do funcionamento do Sistema de Informação Aduaneiro, em conformidade com o artigo 62.o do Regulamento (UE) 2018/1725.» |
|
14) |
No artigo 27.o, n.o 2, a alínea a) passa a ter a seguinte redação:
|
|
15) |
O artigo 28.o é alterado do seguinte modo:
|
|
16) |
O artigo 29.o passa a ter a seguinte redação: «Artigo 29.o A administração aduaneira competente a que se refere o artigo 10.o, n.o 1, é responsável pelas medidas de segurança previstas no artigo 28.o, em relação aos terminais situados no território do Estado-Membro em questão, pelas funções de exame definidas nos artigos 14.o e 19.o e ainda, na medida do necessário, nos termos das disposições legislativas, regulamentares e processuais desse Estado-Membro, pela correta execução da presente decisão.» |
|
17) |
No artigo 30.o, é suprimido o n.o 1. |
Artigo 2.o
Até 9 de outubro de 2025, sem prejuízo da aplicação do presente regulamento, os dados pessoais inseridos no Sistema de Informação Aduaneiro antes de 8 de abril de 2024 são revistos pelos Estados-Membros que inseriram esses dados e, se necessário, atualizados ou eliminados, para assegurar que o seu tratamento cumpre o disposto na Decisão 2009/917/JAI, com a redação que lhe é dada pelo presente regulamento.
Artigo 3.o
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável nos Estados-Membros, em conformidade com os Tratados.
Feito em Estrasburgo, em 13 de março de 2024.
Pelo Parlamento Europeu
A Presidente
R. METSOLA
Pelo Conselho
A Presidente
H. LAHBIB
(1) Posição do Parlamento Europeu de 6 de fevereiro de 2024 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 26 de fevereiro de 2024.
(2) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).
(3) Decisão 2009/917/JAI do Conselho, de 30 de novembro de 2009, relativa à utilização da informática no domínio aduaneiro (JO L 323 de 10.12.2009, p. 20).
(4) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).
(5) Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO L 135 de 24.5.2016, p. 53).
(6) Regulamento (UE) 2018/1727 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, que cria a Agência da União Europeia para a Cooperação Judiciária Penal (Eurojust), e que substitui e revoga a Decisão 2002/187/JAI do Conselho (JO L 295 de 21.11.2018, p. 138).
(7) Regulamento (CE) n.o 515/97 do Conselho, de 13 de março de 1997, relativo à assistência mútua entre as autoridades administrativas dos Estados-Membros e à colaboração entre estas e a Comissão, tendo em vista assegurar a correta aplicação das regulamentações aduaneira e agrícola (JO L 82 de 22.3.1997, p. 1).
ELI: http://data.europa.eu/eli/reg/2024/868/oj
ISSN 1977-0774 (electronic edition)