This document is an excerpt from the EUR-Lex website
Document 52019DC0372
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the interconnection of national centralised automated mechanisms (central registries or central electronic data retrieval systems) of the Member States on bank accounts
RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO sobre a interconexão dos mecanismos nacionais centralizados automatizados (registos centrais ou sistemas eletrónicos centrais de extração de dados) dos Estados-Membros sobre contas bancárias.
RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO sobre a interconexão dos mecanismos nacionais centralizados automatizados (registos centrais ou sistemas eletrónicos centrais de extração de dados) dos Estados-Membros sobre contas bancárias.
COM/2019/372 final
COMISSÃO EUROPEIA
Bruxelas, 24.7.2019
COM(2019) 372 final
RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO
sobre a interconexão dos mecanismos nacionais centralizados automatizados (registos centrais ou sistemas eletrónicos centrais de extração de dados) dos Estados-Membros sobre contas bancárias.
RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO
sobre a interconexão dos mecanismos nacionais centralizados automatizados (registos centrais ou sistemas eletrónicos centrais de extração de dados) dos Estados-Membros sobre contas bancárias.
1.Introdução
O artigo 32.º-A da Diretiva (UE) 2015/849 Antibranqueamento de Capitais 1 exige que os Estados-Membros estabeleçam, até 10 de setembro de 2020, mecanismos nacionais centralizados automatizados, tais como registos centrais ou sistemas centrais eletrónicos de extração de dados que permitam a identificação de todas as pessoas singulares ou coletivas que sejam titulares ou que controlem contas de pagamento, contas bancárias e cofres. A Diretiva Antibranqueamento de Capitais define um conjunto mínimo de informações que devem ser incluídas nos referidos mecanismos centralizados. Estabelece igualmente que as Unidades de Informação Financeira devem ter acesso imediato e não filtrado aos mesmos, enquanto as demais autoridades competentes devem também ter acesso para efeitos do cumprimento das obrigações que lhes são atribuídas nos termos da Diretiva Antibranqueamento de Capitais. A Diretiva 2019/1153, que visa facilitar o acesso a informações financeiras e de outro tipo 2 , obriga os Estados-Membros a designar as autoridades nacionais competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais que tenham acesso direto, imediato e não filtrado ao conjunto mínimo de informações dos referidos mecanismos centralizados. Essas autoridades competentes devem incluir, pelo menos, os gabinetes de recuperação de bens.
O acesso das autoridades competentes aos registos de contas bancárias centrais ou aos sistemas de extração constituirá uma componente importante da luta contra o branqueamento de capitais; as infrações subjacentes associadas e o financiamento do terrorismo, bem como, de um modo mais geral, contra os crimes graves. Tendo em conta os objetivos da Diretiva Antibranqueamento de Capitais e da Diretiva que visa facilitar o acesso a informações financeiras e de outro tipo, uma futura interconexão a nível da UE de registos de contas bancárias e sistemas de extração de dados facilitaria a cooperação transfronteiriça das autoridades competentes envolvidas na luta contra o branqueamento de capitais, o financiamento do terrorismo e outros crimes graves.
O artigo 32.º-A, n.º 5, da Diretiva Antibranqueamento de Capitais exige que a Comissão avalie as condições e as especificações e os procedimentos técnicos para garantir a segurança e eficiência da interconexão dos mecanismos centralizados automatizados. Por conseguinte, o presente relatório avalia as várias soluções informáticas a nível da UE, já operacionais ou atualmente em fase de desenvolvimento, que poderão servir de modelos para uma possível interconexão dos mecanismos centralizados. Para que uma interconexão seja completada, será necessário prever um instrumento legislativo específico.
O presente relatório deve ser analisado em conjunto com o relatório da Comissão sobre a avaliação supranacional dos riscos 3 , o relatório da Comissão sobre as Unidades de Informação Financeira 4 e o relatório da Comissão sobre a avaliação dos alegados casos recentes de branqueamento de capitais envolvendo instituições de crédito da UE 5 , que são apresentados paralelamente.
2.Ponto da situação
2.1.Registos centralizados ou sistemas eletrónicos de extração de dados sobre contas bancárias nos Estados-Membros
Neste momento 6 , estão operacionais, em 15 Estados-Membros, mecanismos centralizados que contêm informações sobre contas bancárias 7 . As respostas recebidas dos EstadosMembros dão uma ligeira preferência à solução técnica do registo central, já que 17 EstadosMembros têm ou vão dispor de registos centrais e 9 Estados-Membros declararam ter ou prever sistemas centrais de extração de dados 8 . Também é dada preferência aos sistemas que contêm dados para além do conjunto mínimo de informações relativas ao perfil das contas, previsto no artigo 32.º-A, n.º 5, da Quinta Diretiva Antibranqueamento de Capitais (11 respostas ao ponto 6) 9 .
2.2.Sistemas da UE que ligam bases de dados eletrónicas nacionais descentralizadas
Existem vários projetos da UE que asseguram a interconexão descentralizada de bases de dados eletrónicas nacionais em toda a UE 10 . Os sistemas informáticos considerados relevantes para o presente relatório são os seguintes:
O Sistema Europeu de Informação sobre os Registos Criminais (ECRIS) tornou-se operacional em abril de 2012, a fim de melhorar o intercâmbio de informações sobre registos criminais em toda a UE 11 . Todos os Estados-Membros estão atualmente ligados ao ECRIS. O ECRIS garante que as informações sobre condenações são trocadas de forma uniforme, rápida e compatível entre os Estados-Membros e faculta aos juízes e procuradores um acesso fácil a informações completas sobre os antecedentes criminais das pessoas em causa 12 .
O Sistema Europeu de Informação sobre Veículos e Cartas de Condução (EUCARIS) estabelece a ligação entre os países, para que estes possam partilhar informações sobre veículos e cartas de condução e outros dados relacionados com os transportes. O sistema EUCARIS é um mecanismo que liga as autoridades competentes de registo de veículos e cartas de condução da União, através do qual podem ser trocadas informações sobre os proprietários de veículos e os seguros de veículos entre os pontos de contacto nacionais dos Estados-Membros 13 .
A interconexão a nível da UE dos registos de insolvências (IRI), que inclui dois projetos diferentes. A primeira versão do sistema (IRI 1.0) está disponível no Portal Europeu da Justiça 14 desde julho de 2014. Foi desenvolvida como projeto-piloto 15 com a participação voluntária de alguns Estados-Membros 16 . A segunda versão (IRI 2.0) baseia-se no Regulamento (UE) 2015/848 relativo aos processos de insolvência e deverá ligar os registos nacionais de insolvência de todos os Estados-Membros (com exceção da Dinamarca). Todos os Estados-Membros devem estar conformes com o sistema de interconexão até junho de 2021. O IRI 1.0 baseia-se em mensagens normalizadas seguras de serviços em linha (SOAP via HTTPS), ao passo que o IRI 2.0 suporta também os intercâmbios de dados que potenciam o módulo eDelivery do Mecanismo Interligar a Europa (MIE) 17 .
O Sistema de Interconexão dos Registos das Empresas (Business Registers Interconnection System - BRIS), facilita a interconexão dos registos de empresas, permitindo o intercâmbio de mensagens transfronteiras sobre fusões e sucursais e que os utilizadores do Portal Europeu da Justiça obtenham informações multilíngues sobre empresas da UE. O sistema está operacional desde junho de 2017, em conformidade com a Diretiva 2012/17/UE no que respeita à interconexão dos registos centrais, dos registos comerciais e dos registos das sociedades 18 . O BRIS utiliza o módulo eDelivery do Mecanismo Interligar a Europa para o intercâmbio de mensagens normalizadas. O sistema é descentralizado e inclui uma componente central (a Plataforma Central Europeia) que facilita a armazenagem e a indexação de nomes e números de registo de empresas.
A interconexão dos registos prediais (LRI) é um projeto voluntário em curso 19 , que visa proporcionar um ponto de acesso único no Portal Europeu da Justiça aos registos prediais dos países participantes da UE. Prevê-se que esteja operacional no segundo trimestre de 2020.
As estruturas europeias de propriedade e de controlo das empresas (EBOCS) são um projeto realizado pela Associação Europeia de Registos de Empresas com o apoio financeiro do Fundo para a Segurança Interna (FSI)- Polícia (Programas de Trabalho Anuais de 2016 e 2018). A plataforma EBOCS proporciona um acesso simplificado e unificado aos dados do registo comercial sobre a propriedade das empresas e as estruturas de controlo para efeitos de análise financeira e de investigação. Prevê igualmente a agregação dos resultados das pesquisas num mapa de visualização. Note-se que a UE não detém os direitos de propriedade intelectual deste sistema.
O sistema e-CODEX (e-Justice Communication via Online Data Exchange - comunicação por troca de dados em linha no âmbito da justiça eletrónica) permite a comunicação segura em processos civis e penais, proporcionando um sistema descentralizado para o intercâmbio eletrónico transfronteiras de mensagens no domínio da justiça 20 . O e-CODEX permite atualmente a comunicação eletrónica entre os cidadãos e os tribunais, bem como entre as administrações dos Estados-Membros, no âmbito da orientação da injunção europeia de pagamento e do procedimento europeu para as ações de pequeno montante. No domínio da justiça penal, o e-CODEX é também a solução escolhida para o sistema de intercâmbio digital de provas eletrónicas 21 , para intercâmbios eletrónicos no contexto da decisão europeia de investigação (DEI) e dos tratados de auxílio judiciário mútuo.
3.Principais parâmetros
3.1.Condições de acesso dos utilizadores
Tendo em conta os sistemas existentes, afigura-se que o acesso dos utilizadores ao sistema em interação com o sistema informático interconectado é determinado pelo objetivo a que se destina. Nos casos em que a interconexão foi estabelecida com o objetivo de aumentar a transparência da informação para as empresas no mercado interno (BRIS, IRI), o sistema está acessível ao público. Sempre que o objetivo da interconexão seja melhorar a cooperação a nível transfronteiriço entre as autoridades competentes para efeitos de aplicação da lei ou dos fins visados de administração pública, como no caso do ECRIS ou do serviço Prüm do EUCARIS 22 , o acesso é limitado.
A funcionalidade «encontrar uma empresa» do BRIS está disponível para todos no Portal Europeu da Justiça, enquanto a infraestrutura de mensagens é atualmente limitada por lei para os registos nacionais de empresas. No que diz respeito à IRI, as informações através da interface de pesquisa são acessíveis ao público e a possibilidade de os Estados-Membros limitarem o acesso aos requerentes com um interesse legítimo só é dada no contexto de «processos de insolvência dos consumidores». O ECRIS está apenas acessível às autoridades centrais designadas dos Estados-Membros. Do mesmo modo, as autoridades públicas têm livre acesso aos serviços do EUCARIS através dos pontos de contacto nacionais designados. No caso da EBOCS, o acesso está limitado aos organismos participantes que combatem a criminalidade.
|
Sistema |
Acesso do público |
Acesso restrito |
Observações |
|
BRIS |
Sim |
A funcionalidade «encontrar uma empresa» do BRIS está disponível para todos no Portal Europeu da Justiça, enquanto a infraestrutura de mensagens é atualmente limitada por lei para os registos nacionais de empresas. |
|
|
IRI |
Sim |
||
|
ECRIS |
Sim |
Para as autoridades centrais dos Estados-Membros, especialmente nomeadas para esta função |
|
|
EUCARIS |
Sim |
Para os pontos de contacto nacionais EUCARIS, através dos quais as autoridades públicas podem obter acesso, em função da base jurídica da cooperação |
|
|
EBOCS |
Sim |
Para os organismos que combatem a criminalidade que participam no projeto |
|
|
LRI |
Sim* |
23As características avançadas só estarão disponíveis para profissionais jurídicos reconhecidos |
Quadro 1: Acesso dos utilizadores ao sistema em interação com o sistema informático interconectado
Nos termos da Diretiva Antibranqueamento de Capitais, os mecanismos centralizados relativos a contas bancárias têm por objetivo melhorar a luta contra o branqueamento de capitais e o financiamento do terrorismo, e o seu acesso está limitado a determinadas autoridades públicas. A Diretiva que visa facilitar o acesso a informações financeiras e de outro tipo alarga o objetivo da utilização das informações nos mecanismos centrais à criminalidade grave e aos direitos de acesso às autoridades competentes designadas. Por último, a definição do âmbito das autoridades nacionais que têm acesso direto aos registos nacionais cabe aos Estados-Membros que operam os registos. Tal pode conduzir a uma discrepância, uma vez que determinados tipos de autoridades podem ter acesso num EstadoMembro mas não noutro. Num intercâmbio transfronteiras através do sistema de interconexão à escala da UE, tal poderá conduzir a uma situação em que uma autoridade solicite informações ao registo de outro Estado-Membro, sempre que essa pesquisa seja recusada a uma autoridade do mesmo tipo.
Uma opção seria que as mesmas autoridades, que terão acesso direto aos mecanismos centralizados, em conformidade com a Diretiva Antibranqueamento de Capitais e a Diretiva que visa facilitar o acesso às informações financeiras e de outro tipo, tivessem acesso à plataforma de interconexão. Outra opção seria que os direitos de acesso ao sistema de interconexão fossem atribuídos aos mesmos tipos de autoridades em todos os EstadosMembros, o que poderia ser alcançado através de uma lista harmonizada e fechada, a nível da UE, dos tipos de autoridades determinadas em conformidade com o objetivo do acesso à informação.
No caso de a interconexão ser alargada a todas as autoridades às quais é atualmente concedido acesso ao abrigo da legislação nacional, seriam necessárias disposições pormenorizadas sobre as condições de acesso e de consulta pelas autoridades nacionais competentes. A este respeito, é importante salientar que a Diretiva relativa à utilização de informações financeiras e outras informações estabelece condições rigorosas para o acesso e a pesquisa de informações sobre contas bancárias, contidas nos mecanismos centralizados automatizados por parte de autoridades competentes designadas a nível nacional. Essas condições incluem, por exemplo, a facilitação de acesso aos registos e aos sistemas de extração de dados apenas a pessoas especificamente designadas e autorizadas de cada autoridade competente. Outra medida para atenuar os riscos decorrentes dos direitos de acesso alargados pelas autoridades nacionais designadas poderá ser a restrição do âmbito das informações disponíveis no sistema de interconexão ao conjunto mínimo de informações relativas ao perfil de conta, tal como estabelecido no artigo 32.º-A, n.º 3, da Diretiva Antibranqueamento de Capitais.
No que se refere ao âmbito de aplicação, o artigo 32.º-A, n.º 3, da Diretiva Antibranqueamento de Capitais define as informações que todos os sistemas centralizados devem conter, como o titular da conta, as contas bancárias identificadas pelo número IBAN e os cofres detidos por uma instituição de crédito no território nacional. No entanto, o artigo 32.º-A, n.º 4, da diretiva prevê a possibilidade de os Estados-Membros incluírem outras informações nos registos consideradas essenciais para as unidades de informação financeira e as autoridades competentes responsáveis pelo cumprimento das obrigações que lhes incumbem por força da diretiva. Do ponto de vista da proteção dos dados pessoais, afigura-se necessário restringir o âmbito da informação acessível através da plataforma de interconexão ao conjunto mínimo obrigatório de informações definido no artigo 32.º-A, n.º 3, da Diretiva Antibranqueamento de Capitais. Em conformidade com as regras em matéria de proteção de dados, o acesso aos dados pessoais deve ser proporcional ao necessário para os objetivos definidos na Diretiva Antibranqueamento de Capitais. A Diretiva relativa à utilização de informações financeiras e outras informações adota uma abordagem semelhante. O artigo 4.º, n.º 2, da referida diretiva esclarece que as informações adicionais que os Estados-Membros incluem nos mecanismos centralizados não devem ser acessíveis nem poder ser pesquisadas pelas autoridades competentes.
3.2.Funções de pesquisa
Os critérios de pesquisa aplicáveis são fundamentais para assegurar que a interconexão dos mecanismos centralizados automatizados constitua uma mais-valia para os utilizadores. Os critérios de pesquisa devem ser concebidos de forma a reforçar a capacidade das autoridades competentes para desempenhar as suas funções e realizar investigações de forma mais eficaz, assegurando, ao mesmo tempo, a proporcionalidade e respeitando os requisitos aplicáveis em matéria de proteção de dados.
Há que dar atenção às entidades que estão habilitadas a efetuar a pesquisa (entidades privadas ou públicas) e aos dados que poderão ser ou não do conhecimento da pessoa que efetua a pesquisa. Impor que a pesquisa contenha dados que provavelmente não serão do conhecimento da pessoa que realiza a consulta pode dificultar ou impossibilitar a execução de pesquisas eficazes. Importa igualmente referir que há casos em que uma unidade de informação financeira ou uma autoridade de aplicação da lei de um Estado-Membro não tenha conhecimento da data de nascimento ou do número de identificação nacional de um cidadão de outro Estado-Membro. Se a interconexão permitir disponibilizar essas informações adicionais nos sistemas centralizados, importará determinar se será igualmente possível efetuar pesquisas com base nessas informações adicionais.
Os tipos de informações que constituem o conjunto mínimo harmonizado de informações previstas no artigo 32.º-A, n.º 3, da Diretiva Antibranqueamento de Capitais podem ser considerados como critérios de pesquisa. Tal tornaria o sistema de interconexão adequado às finalidades originais dos mecanismos centralizados. Serão necessárias salvaguardas adicionais para permitir verificar as respostas positivas (em especial nos casos em que os resultados da pesquisa produzem várias respostas).
As condições relativas às modalidades de pesquisa aplicáveis são determinantes para a eficácia da utilização das bases de dados interconectadas. A opção de executar «pesquisas difusas» (fuzzy searches), ou seja, pesquisas que produzirão resultados mais amplos, mesmo que uma palavra esteja incorreta ou incompleta, irá alargar o âmbito dos resultados obtidos, aumentando assim a possibilidade de acesso às informações solicitadas através da pesquisa; no entanto, poderá suscitar preocupações em matéria de proteção de dados, uma vez que poderá expor dados pessoais que, na realidade, não diziam respeito à pesquisa. Pelo contrário, um requisito de «correspondência exata» atenua os riscos de exposição desnecessária de dados pessoais, mas aumentará a possibilidade de as informações solicitadas serem ignoradas pelo motor de pesquisa (em caso de diferença na ortografia da entrada ou de utilização de regras de transliteração diferentes).
A possibilidade de efetuar «pesquisas difusas» reduziria a utilização de procedimentos de validação automática e, por conseguinte, evitaria ou reduziria o volume de resultados positivos incorretos, mas diminuiria também o valor operacional do sistema. No caso de utilização de «pesquisas difusas», devem ser consideradas outras ferramentas para atenuar o risco de se ser vítima de fishing (acesso de caráter exploratório), por exemplo, como na IRI, onde existe um limite máximo do número de resultados apresentados.
3.3.Estrutura de governação, responsabilidade pela manutenção
No caso do BRIS, da IRI, da LRI e do ECRIS, os vários serviços da Comissão Europeia são responsáveis pela manutenção do sistema informático, ou seja, têm de garantir a disponibilidade da componente de interconexão e suportar os custos da sua criação e manutenção. Neste momento, o e-CODEX é mantido por um consórcio de Estados-Membros (o módulo eDelivery do MIE é da competência da Comissão Europeia). No sistema EUCARIS, a responsabilidade cabe aos 28 Estados-Membros e aos Estados terceiros participantes, enquanto na EBOCS, o sistema é propriedade da Associação Europeia de Registos de Empresas (EBRA). Uma vez que estes sistemas informáticos estabelecem a ligação entre bases de dados nacionais, cabe aos Estados-Membros a responsabilidade de as manter e de assegurar a sua disponibilidade.
Relativamente à estrutura de governação de um sistema que estabelece a ligação entre bases de dados, as competências em matéria de tomada de decisões em questões políticas e operacionais devem ser concebidas de forma a servir os interesses das componentes nacionais.
No que respeita ao BRIS, o seu Comité Diretor atua como fórum interno da Comissão para as decisões políticas, a supervisão e a gestão do sistema, enquanto o Grupo de Peritos em Direito das Sociedades - Registos de Empresas (CLEG-BRIS) atua como fórum para a colaboração a nível político entre os intervenientes envolvidos. Verifica-se uma distinção idêntica entre elaboração de políticas e estruturas operacionais no que diz respeito ao EUCARIS, em que a Assembleia Geral, constituída por altos representantes das instâncias governamentais, determina a política a seguir, aprova o orçamento e as contribuições anuais e define as modalidades de gestão do sistema.
3.4.Responsabilidade pelo tratamento de dados
A responsabilidade pela manutenção do sistema informático é diferente da questão da responsabilidade na perspetiva da proteção de dados. De acordo com o Regulamento Geral sobre a Proteção de Dados 24 , o responsável pelo tratamento dos dados é a pessoa singular ou coletiva que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais e assume a responsabilidade pelo tratamento de dados pessoais. A questão da responsabilidade pelo tratamento de dados é complexa e muitos fatores são relevantes para a avaliação do responsável pelo tratamento, incluindo, mas não exclusivamente, a questão de saber quem armazena os dados e onde.
No que diz respeito à IRI, a plataforma da UE estabelece apenas a interconexão entre as bases de dados nacionais descentralizadas e todos os dados apresentados na plataforma central são simplesmente «dados transitórios», não são armazenados na componente da UE, nem são entradas das pesquisas efetuadas pelos utilizadores através do serviço Web registado ou mantido no centro. A situação é um pouco diferente no que se refere ao BRIS, que introduziu um modo especial de armazenamento dos principais dados do perfil das empresas numa componente central a nível da Comissão, que os registos nacionais vão atualizando regularmente. A consulta inicial é efetuada mediante comparação com as informações contidas nessa base de dados central, resultando numa lista de correspondências positivas com os nomes das entidades. O requerente pode obter dados pormenorizados sobre uma determinada entidade, escolhendo o nome dessa entidade a partir da lista de correspondências, cuja ação gera uma interconexão direta com as informações constantes da base de dados nacional.
No que diz respeito a uma possível interconexão de mecanismos centralizados, deverá considerar-se a possibilidade de desenvolver um sistema informático, em que a componente central de encaminhamento não armazene dados pessoais e em que todas as decisões sobre os meios e as finalidades do tratamento sejam tomadas a nível nacional. O objetivo do serviço de interconexão será apenas facilitar o tratamento de dados em benefício dos mecanismos centralizados que continuarão a ser os responsáveis pelo tratamento dos respetivos conjuntos de dados.
3.5.Custos de estabelecimento e de manutenção
A criação de um sistema de interconexão dos mecanismos centrais nacionais gerará custos tanto em termos de estabelecimento como de manutenção do sistema, os quais terão de ser partilhados entre a UE e os seus Estados-Membros. Ao analisar a partilha de custos nos exemplos de referência, regra geral, os custos relacionados com a componente da UE (componente central de encaminhamento, plataforma da UE) foram financiados pelo orçamento geral da UE, ao passo que os Estados-Membros suportaram os custos necessários para o ajustamento dos seus sistemas nacionais, tornando-os interoperáveis com o sistema de interconexão da UE. No caso do BRIS, o desenvolvimento da primeira versão, que entrou em funcionamento em junho de 2017, e que incluía a Plataforma Central Europeia, exigiu cerca de 1,7 milhões de euros. Relativamente à IRI, que apresenta uma arquitetura mais simples, os custos de desenvolvimento do sistema-piloto de pesquisa central (IRI 1.0) foram de cerca de 280 000 EUR, ao passo que a adaptação da aplicação de consulta central para o estabelecimento da IRI 2.0 custará cerca de 170 000 EUR. No que diz respeito ao ECRIS, o custo total da implantação da «Aplicação de Referência», que é o software para o intercâmbio de dados relativos ao registo criminal entre os Estados-Membros, atingiu 2 050 000 EUR. O custo anual de manutenção do sistema ascendeu a 150 000 EUR. Relativamente ao EUCARIS, é solicitada a cada país participante uma taxa geral de cerca de 20 000 EUR para fins de manutenção.
Dos valores acima indicados, afigura-se que os custos de estabelecimento e de manutenção de um sistema de interconexão à escala da UE são relativamente baixos, em comparação com os benefícios que um projeto dessa dimensão traz para a UE. A eficiência em termos de custos poderá ser melhorada através da reutilização das capacidades existentes (como os pontos de acesso eDelivery, os módulos do Mecanismo Interligar a Europa, os vocabulários básicos da Direção-Geral da Informática da Comissão Europeia, etc.).
4.Especificações técnicas dos sistemas, incluindo a segurança dos dados
4.1.Rede utilizada e segurança dos dados
O serviço Prüm do EUCARIS e do ECRIS utiliza os Serviços Transeuropeus de Telemática entre as Administrações (TESTA), que é uma rede privada totalmente separada da Internet pública. Os pontos de contacto nacionais designados têm acesso a esta rede privada. O serviço de rede do TESTA é gerido pela Comissão e assegura um desempenho garantido e um elevado nível de segurança. Quanto ao EUCARIS, é possível utilizar a Internet através da rede pública, mas atualmente não é utilizada. O sistema permite conexões com todas as instituições da UE e as redes nacionais e é privilegiado no contexto da cooperação em matéria de aplicação da lei, o que envolve informações sensíveis. Foram também desenvolvidas outras redes seguras pelas instituições da UE como, por exemplo, a Rede Comum de Comunicações e a Interface Comum de Sistemas (CCN/CSI) que é utilizada no domínio da política aduaneira e da política fiscal.
O BRIS, a IRI, a LRI e a EBOCS utilizam a Internet pública (com tecnologias de encriptação adequadas para fluxos de dados transmitidos através da Web). No que diz respeito ao intercâmbio seguro de informações via Internet pública, o módulo eDelivery permite que as empresas e as administrações públicas procedam ao intercâmbio de dados e documentos em formato digital de forma interoperável, segura, fiável e de confiança com outras organizações. Tal está em conformidade com a definição de Serviço de envio registado eletrónico (conhecido por «ERDS») prevista no artigo 3.º, n.º 36, do Regulamento eIDAS 25 .
Para uma possível interconexão de sistemas centralizados, que provavelmente inclui informações sensíveis, poderá prever-se a utilização do TESTA. No entanto, poderão também ser consideradas soluções através da Internet pública. Quase todos os sistemas centralizados nacionais utilizam a rede de Internet pública. Do ponto de vista da segurança e da integridade dos dados, o facto de o sistema ser constituído por bases de dados descentralizadas permitirá atenuar eventuais riscos, uma vez que a descentralização e as tecnologias distribuídas são, por si só, mais resilientes aos ciberataques, dado que é muito mais difícil destruir dados em grande escala e muito mais fácil recuperar dados após incidentes.
4.2.Componente central de encaminhamento
Existem dois grandes tipos de arquiteturas de sistemas informáticos, ou seja, os sistemas meramente descentralizados e os que dispõem de uma plataforma central ou de uma componente de encaminhamento utilizada a nível da UE, que funciona como «conector» entre as bases de dados nacionais descentralizadas.
Em «sistemas exclusivamente distribuídos», não existe uma plataforma nem uma componente da UE, mas todos os países comunicam diretamente entre si, por intermédio de normas acordadas em comum, que permitem intercâmbios diretos entre pares dos pontos ligados dos Estados-Membros. Por conseguinte, quando é iniciada uma consulta, esta é enviada individualmente para todos os outros sistemas nacionais, e as respostas recebidas são recolhidas e apresentadas através do ambiente de trabalho de cliente Web do requerente. Os sistemas EUCARIS, ECRIS e e-CODEX implementam esta tecnologia (com base numa aplicação desenvolvida em conjunto).
Em «sistemas distribuídos com uma componente de encaminhamento central», existe uma plataforma centralizada a nível da UE: um serviço Web central, único, mantido e operado a nível da UE, ligado a todos os sistemas nacionais. Os utilizadores efetuam consultas através do serviço Web central, que recolhe as informações a partir das bases de dados nacionais. O BRIS, a EBOCS e a IRI utilizam esta tecnologia 26 .
Uma solução com uma componente de encaminhamento central poderá ser mais fácil de implementar do ponto de vista da conectividade. Nos casos em que exista uma plataforma única, cada Estado-Membro deve estabelecer e manter apenas uma ligação entre o sistema nacional e essa plataforma centralizada. No entanto, na ausência de uma plataforma centralizada «real», cada Estado-Membro terá de estabelecer, testar e manter ligações com todos os outros sistemas nacionais dos Estados-Membros (por exemplo, o serviço Prüm do EUCARIS conta atualmente com quase 756 ligações). Um sistema exclusivamente distribuído tem de lidar com o desafio do número múltiplo de ligações, o que pode aumentar os problemas em termos de gestão, controlo e auditoria. No entanto, existem soluções tecnológicas para o desafio de gerir um grande número de ligações possíveis. Ao mesmo tempo, merece a devida consideração o facto de, num sistema central de encaminhamento, a componente central poder tornar-se um ponto único de falha de todo o sistema.
4.3.Protocolo de intercâmbio de dados
O BRIS e o e-CODEX utilizam a solução eDelivery do MIE, ao passo que a IRI 2.0 utilizará tanto a comunicação eDelivery do MIE como a comunicação SOAP 27 . O serviço Prüm do EUCARIS e a EBOCS utilizam interfaces de base SOAP. A LRI aplica serviços Web RESTful 28 .
O módulo eDelivery do MIE ajuda os utilizadores no intercâmbio entre si de dados eletrónicos de forma segura, fiável e de confiança. A solução eDelivery do MIE baseia-se num modelo distribuído denominado «four corner», em que os sistemas de retaguarda dos utilizadores não procedem ao intercâmbio direto de dados entre si, mas através de pontos de acesso. Estes pontos de acesso estão em conformidade com as mesmas especificações técnicas, pelo que podem comunicar entre si. Outro benefício da solução eDelivery é o facto de ter em conta a segurança dos dados trocados entre os diferentes pontos de acesso, sem necessidade de desenvolvimento específico. Em consequência disso, os utilizadores que adotam o eDelivery do MIE podem trocar dados com facilidade e segurança, mesmo que os seus sistemas informáticos tenham sido desenvolvidos independentemente uns dos outros. As várias funcionalidades do modelo eDelivery, extremamente útil para procedimentos de interface com múltiplos sistemas de retaguarda, podem em alternativa ser centralizadas. Ao utilizar esta solução tecnológica, os Estados-Membros (e, eventualmente, a Comissão no caso de uma componente de encaminhamento central) teriam de utilizar uma plataforma eDelivery ao seu nível respetivo. Podem reutilizar as respetivas plataformas existentes desenvolvidas para outros serviços (o que contribui para uma melhor relação custo/eficácia da solução). Existe uma solução de software compatível desenvolvida pela Direção-Geral da Informática da Comissão Europeia e fornecida a título gratuito ao abrigo de uma licença pública da União Europeia (EUPL). No entanto, geralmente é necessária uma certa personalização e desenvolvimento. O modelo eDelivery segue uma comunicação assíncrona, que gera implicitamente certos períodos de dilação a nível de desempenho (geralmente de 3 a 10 segundos). Existe uma política geral da UE relativa aos módulos do MIE que visa a convergência dos vários sistemas desenvolvidos no âmbito dos diferentes domínios de intervenção da UE.
Nos casos em que seja utilizado o SOAP síncrono, permitindo a comunicação através de uma camada segura, a maior parte das vezes é escolhida uma arquitetura mais simples, com vista a conseguir um melhor desempenho. O estilo de arquitetura RESTful constitui uma solução mais recente comparativamente ao SOAP, verificando-se uma tendência no sentido de o SOAP ser substituído por tecnologia REST. Tanto nas abordagens eDelivery, como no SOAP ou na REST, a confiança assenta geralmente na certificação digital e no facto de serem efetuados vários controlos.
No que diz respeito à futura interconexão dos mecanismos centralizados, é de notar que o eDelivery do MIE é utilizado quando ocorrem intercâmbios bilaterais entre as bases de dados nacionais descentralizadas, ao passo que nos sistemas em que a comunicação se realiza apenas face a uma base de dados nacional e a uma plataforma central, é suficiente a interface baseada no protocolo SOAP (ou RESTful).
4.4.Trabalhar num ambiente multilíngue e com interoperabilidade semântica
Todos os sistemas avaliados funcionam em ambiente multilíngue, com exceção do EBOSC, que atualmente opera em três línguas, esperando-se que venha a trabalhar em todas as línguas a longo prazo. No BRIS, a transliteração é realizada a nível da UE, enquanto nos sistemas IRI, LRI e EUCARIS é realizada a nível nacional. No que diz respeito à interoperabilidade semântica (glossários), uma futura interconexão dos mecanismos centralizados não exige um vocabulário específico, uma vez que o conjunto mínimo de informações não consiste em conceitos nacionais, mas em dados pessoais, como o nome, o identificador único (por exemplo, números de identificação nacionais) e o número IBAN. É essencial um entendimento comum a todos os sistemas nacionais, em especial porque os mecanismos centralizados nacionais não dão informações sobre a UE nem sobre entidades de países terceiros. As regras de transliteração do Sistema de Informação de Schengen (SIS) poderão constituir um exemplo útil neste contexto.
De acordo com o Quadro Europeu de Interoperabilidade (QEI), o aspeto semântico referese ao significado dos elementos dos dados e das relações entre si. Inclui o desenvolvimento de vocabulários e esquemas de metadados para descrever os intercâmbios de dados e assegura que os elementos dos dados são compreendidos da mesma forma por todas as partes envolvidas na comunicação.
O sistema de interconexão dos registos bancários terá de proceder ao intercâmbio de dados entre diferentes bases de dados, cada uma das quais com os seus próprios modelos de dados e normas semânticas. Terão de ser estabelecidas normas semânticas comuns, quer nativamente nos sistemas quer como um nível de correspondência entre as diferentes normas nos EstadosMembros. No entanto, antes de criar uma nova norma semântica, há que considerar a reutilização de normas já existentes.
Os vocabulários de base (Business, Location, Person e outros) criados pelo programa ISA2 são modelos de dados simplificados, reutilizáveis e extensíveis que podem ser utilizados para este fim. As diferentes soluções para as interconexões dos registos de base, como o BRIS, já reutilizam algumas das normas (por exemplo, o Vocabulário de base comercial).
5.Próximas etapas
O presente relatório estabelece uma série de elementos a considerar para uma possível interconexão de registos de contas bancárias e de sistemas de extração de dados e demonstra que a interconexão desses mecanismos centralizados é tecnicamente viável. Um sistema deste tipo poderá eventualmente ser um sistema descentralizado com uma plataforma comum a nível da UE. Poderá ser utilizada tecnologia já desenvolvida pela Comissão Europeia no contexto dos vários modelos analisados.
Nos últimos anos, diferentes sistemas seguiram a reutilização de módulos comuns. Estes módulos são essencialmente um conjunto de normas e especificações técnicas conhecidas que podem ser aplicadas a desafios recorrentes, tais como o intercâmbio seguro de informações. O recurso sistemático a estes módulos é uma abordagem preconizada pela atual política digital da Comissão, à qual os Estados-Membros se comprometeram na Declaração de Taline sobre a administração pública em linha 29 . Uma futura interconexão dos mecanismos nacionais centralizados automatizados poderá potenciar a utilização dos mesmos módulos para acelerar a sua criação e o seu alinhamento pelos regulamentos pertinentes da UE, como o eIDAS.
Atendendo a que uma futura interconexão a nível da UE dos mecanismos centralizados viria acelerar o acesso à informação financeira e facilitar a cooperação das autoridades competentes a nível transfronteiriço, a Comissão tenciona proceder a novas consultas às partes interessadas, aos governos, bem como às Unidades de Informação Financeira, às autoridades responsáveis pela aplicação da lei e aos serviços de recuperação de bens, enquanto potenciais «utilizadores finais» de um possível sistema de interconexão.
Diretiva (UE) 2015/849 do Parlamento Europeu e do Conselho, de 20 de maio de 2015, relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais ou de financiamento do terrorismo, que altera o Regulamento (UE) n.º 648/2012 do Parlamento Europeu e do Conselho, e que revoga a Diretiva 2005/60/CE do Parlamento Europeu e do Conselho e a Diretiva 2006/70/CE da Comissão, JO L 141 de 5.6.2015, p. 73).
Diretiva (UE) 2019/1153 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, que estabelece normas destinadas a facilitar a utilização de informações financeiras e de outro tipo para efeitos de prevenção, deteção, investigação ou repressão de determinadas infrações penais, JO L 186 de 11.7.2019, p. 122-137.
Relatório da Comissão ao Parlamento Europeu e ao Conselho sobre a avaliação dos riscos de branqueamento de capitais e de financiamento do terrorismo relacionados com atividades transnacionais a que está exposto o mercado interno - COM(2019) 370.
Relatório da Comissão ao Parlamento Europeu e ao Conselho que avalia o quadro de cooperação entre as Unidades de Informação Financeira - COM (2019) 371.
Relatório da Comissão ao Parlamento Europeu e ao Conselho sobre a avaliação dos alegados (2019) 373.
As informações constantes da presente secção baseiam-se nas respostas dos Estados-Membros a um questionário específico que lhes foi enviado em março de 2019, nas informações recebidas no seminário de transposição, de 1 de abril de 2019, realizado pela Comissão e no anexo 7 da avaliação de impacto que acompanha a proposta de diretiva do Parlamento Europeu e do Conselho relativa ao estabelecimento de regras destinadas a facilitar a utilização de informações financeiras e de outro tipo para efeitos de prevenção, deteção, investigação ou repressão de determinadas infrações penais e que revoga a Decisão 2000/642/JAI do Conselho (SWD (2018) 114 final).
Alemanha, Áustria, Bélgica, Bulgária, República Checa, Croácia, Eslovénia, Espanha, França, Grécia, Itália, Letónia, Lituânia, Portugal, e Roménia. A Eslováquia dispõe de um sistema eletrónico centralizado de extração de dados que, no entanto, se encontra atualmente apenas acessível aos oficiais de justiça.
A Finlândia contribui para os dois indicadores, uma vez que está prestes a implantar um sistema que utiliza ambas as soluções. Um registo central recolhe e contém as informações pertinentes numa base de dados central, ao passo que um sistema eletrónico central de extração de dados consiste num portal informático central que recolhe informações provenientes de diferentes bases de dados subjacentes (mantidas, por exemplo, pelas instituições financeiras).
Das respostas recebidas dos Estados-Membros, verifica-se que essas informações adicionais podem incluir informações sobre contratos financeiros celebrados pelo titular da conta, ou sobre transações efetuadas em relação à conta.
Os sistemas informáticos centralizados com bases de dados individuais a nível da UE, como o Sistema de Informação de Schengen ou o Sistema de Informação sobre Vistos, são excluídos da avaliação, uma vez que esses sistemas são inconciliáveis com a preexistência de bases de dados centralizadas a nível nacional.
Decisão-quadro 2009/315/JAI do Conselho, de 26 de fevereiro de 2009, relativa à organização e ao conteúdo do intercâmbio de informações extraídas do registo criminal entre os EstadosMembros e a Decisão 2009/316/JAI do Conselho, de 6 de abril de 2009, relativa à criação do sistema europeu de informação sobre os registos criminais (ECRIS) em aplicação do artigo 11.º da Decisão-Quadro 2009/315/JAI, atualmente alterada pela Diretiva (UE) 2019/884 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, no que diz respeito ao intercâmbio de informações sobre nacionais de países terceiros e ao sistema europeu de informação sobre os registos criminais (ECRIS).
Em abril de 2019, foi adotado um novo quadro legislativo a fim de complementar o ECRIS com um mecanismo que permite o intercâmbio eficiente de informações sobre registos criminais de nacionais de países terceiros condenados no território da UE. O Sistema Europeu de Informação sobre os Registos Criminais de Nacionais de Países Terceiros (ECRIS-TCN) será um sistema centralizado de respostas positivas/negativas que contenha apenas informações sobre a identidade de TCN condenados e indicação do Estado-Membro em que tenham sido anteriormente condenados. Após a resposta positiva, o Estado-Membro requerente terá de solicitar as informações sobre a condenação através do ECRIS existente do(s) Estado(sMembro(s) indicado(s) pelo ECRIS-TCN.
As bases legais do serviço Prüm são as seguintes: Decisão 2008/615/JAI do Conselho, de 23 de Junho de 2008, relativa ao aprofundamento da cooperação transfronteiras, em particular no domínio da luta contra o terrorismo e a criminalidade transfronteiras, e Decisão 2008/616/JAI do Conselho, referente à execução da Decisão 2008/615/JAI.
O projeto-piloto foi implementado, e posteriormente executado, com base no plano de ação plurianual 2009-2013 sobre justiça eletrónica europeia, JO C 75 de 31.3.2009, p. 1-12 e no plano de ação plurianual 2014-2018 sobre justiça eletrónica europeia, JO C 182 de 14.6.2014, p. 2-13.
Participam atualmente a Alemanha, a Áustria, a República Checa, a Eslovénia, a Estónia, a Itália, a Letónia, os Países Baixos e a Roménia.
https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eDelivery
Diretiva 2012/17/UE do Parlamento Europeu e do Conselho, de 13 de junho de 2012, que altera a Diretiva 89/89/CEE do Conselho e a Diretiva 2005/56/CE e a Diretiva 2009/101/CE do Parlamento Europeu e do Conselho no que respeita à interconexão dos registos centrais, dos registos comerciais e dos registos das sociedades, JO L 156 de 16.6.2012.
A interconexão não tem uma base jurídica, mas funciona como um sistema voluntário em que os Estados-Membros podem participar.
O sistema e-CODEX consiste num pacote de produtos de software (o módulo eDelivery do MIE e o sistema de conexão e-CODEX), que podem ser utilizados para criar um ponto de acesso a nível nacional para efeitos dessa comunicação segura. Não se trata de um sistema de interconexão de bases de dados ou de registos nacionais, mas de uma infraestrutura de comunicação que garante a comunicação segura e o intercâmbio de informações entre os sistemas informáticos nacionais e, como tal, é considerado relevante para a avaliação do presente relatório. O e-CODEX foi desenvolvido entre 2010 e 2016 por 21 Estados-Membros com a participação de outros países/territórios e organizações.
Estabelecido na sequência das conclusões do Conselho sobre a melhoria da justiça penal no ciberespaço a partir de 9 de junho de 2016.
Embora várias autoridades possam aceder ao EUCARIS, o serviço Prüm do EUCARIS regula o acesso das autoridades responsáveis pela aplicação da lei.
* Ainda não está operacional
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), JO L 119 de 4.5.2016.
Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE, JO L 257 de 28.8.2014, p.p. 73-114.
Existem alternativas a uma componente central. Por exemplo, o editor de metadados de serviços eDelivery do MIE (eDelivery Service Metadata Publisher) ajuda os participantes de uma infraestrutura de transmissão de mensagens a descobrir de forma dinâmica as capacidades uns dos outros (a nível jurídico, organizacional e técnico). Devido a esta arquitetura distribuída, cada um dos participantes deve ter obrigatoriamente uma ID exclusiva. Uma componente central, denominada «Service Metadata Locator» (SML) (localizador de metadados de serviços), utiliza essas ID para criar URL que, quando ativados, dirigem os pontos de acesso eDelivery para informações específicas sobre o participante.
Protocolo simples de acesso a objetos - Protocolo SOAP.
«Representational State Transfer» (Transferência Representacional de Estado) é um estilo de arquitetura de software que define um conjunto de restrições a utilizar para a criação de serviços Web.
Todos os Estados-Membros da União Europeia e os países da EFTA assinaram a «declaração sobre a administração pública em linha», em Taline, em 6 de outubro de 2017. O texto da declaração está disponível em http://ec.europa.eu/newsroom/document.cfm?doc_id=47559