This document is an excerpt from the EUR-Lex website
Document 62004CJ0317
Judgment of the Court (Grand Chamber) of 30 May 2006.#European Parliament v Council of the European Union (C-317/04) and Commission of the European Communities (C-318/04).#Protection of individuals with regard to the processing of personal data - Air transport - Decision 2004/496/EC - Agreement between the European Community and the United States of America - Passenger Name Records of air passengers transferred to the United States Bureau of Customs and Border Protection - Directive 95/46/EC - Article 25 - Third countries - Decision 2004/535/EC - Adequate level of protection.#Joined cases C-317/04 and C-318/04.
Acórdão do Tribunal de Justiça (Grande Secção) de 30 de Maio de 2006.
Parlamento Europeu contra Conselho da União Europeia (C-317/04) e Comissão das Comunidades Europeias (C-318/04).
Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais - Transporte aéreo - Decisão 2004/496/CE - Acordo entre a Comunidade Europeia e os Estados Unidos da América - Registos de identificação dos passageiros de transporte aéreo transferidos para o Serviço das Alfândegas e de Protecção das Fronteiras dos Estados Unidos da América - Directiva 95/46/CE - Artigo 25.º - Estados terceiros - Decisão 2004/535/CE - Nível de protecção adequado.
Processos apensos C-317/04 e C-318/04.
Acórdão do Tribunal de Justiça (Grande Secção) de 30 de Maio de 2006.
Parlamento Europeu contra Conselho da União Europeia (C-317/04) e Comissão das Comunidades Europeias (C-318/04).
Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais - Transporte aéreo - Decisão 2004/496/CE - Acordo entre a Comunidade Europeia e os Estados Unidos da América - Registos de identificação dos passageiros de transporte aéreo transferidos para o Serviço das Alfândegas e de Protecção das Fronteiras dos Estados Unidos da América - Directiva 95/46/CE - Artigo 25.º - Estados terceiros - Decisão 2004/535/CE - Nível de protecção adequado.
Processos apensos C-317/04 e C-318/04.
Colectânea de Jurisprudência 2006 I-04721
ECLI identifier: ECLI:EU:C:2006:346
Processos apensos C‑317/04 e C‑318/04
Parlamento Europeu
contra
Conselho da União Europeia
e
Comissão das Comunidades Europeias
«Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Transporte aéreo – Decisão 2004/496/CE – Acordo entre a Comunidade Europeia e os Estados Unidos da América – Registos de identificação dos passageiros de transporte aéreo transferidos para o Serviço das Alfândegas e de Protecção das Fronteiras dos Estados Unidos da América – Directiva 95/46/CE – Artigo 25.° – Estados terceiros – Decisão 2004/535/CE – Nível de protecção adequado»
Conclusões do advogado‑geral P. Léger apresentadas em 22 de Novembro de 2005
Acórdão do Tribunal de Justiça (Grande Secção) de 30 de Maio de 2006
Sumário do acórdão
1. Aproximação das legislações – Directiva 95/46 – Âmbito de aplicação
(Directiva 95/46 do Parlamento Europeu e do Conselho, artigo 3.º, n.º 2; Decisão 2004/535 da Comissão)
2. Acordos internacionais – Celebração – Acordo entre a Comunidade Europeia e os Estados Unidos da América sobre registos de identificação dos passageiros de transporte aéreo transferidos para o Serviço das Alfândegas e de Protecção das Fronteiras dos Estados Unidos da América
(Artigo 95.º CE; Directiva 95/46 do Parlamento Europeu e do Conselho, artigo 3.º, n.º 2, e 25.º; Decisão 2004/496 do Conselho)
1. A Decisão 2004/535/CE da Comissão, de 14 de Maio de 2004, sobre o nível de protecção adequado dos dados pessoais contidos nos Passenger Name Record transferidos para o Bureau of Customs and Border Protection dos Estados Unidos, é relativa ao tratamento de dados pessoais que tem como objectivo a segurança pública e as actividades do Estado no domínio do direito penal, que é excluído do âmbito de aplicação da Directiva 95/46, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados por força do artigo 3.°, n.° 2, primeiro travessão, da referida directiva.
A este respeito, o facto de os dados pessoais terem sido recolhidos por operadores privados para fins comerciais e de serem eles a organizar a sua transferência para um Estado terceiro não altera esta conclusão, na medida em que essa transferência integra‑se num quadro instituído pelos poderes públicos e que tem em vista a segurança pública e em que não é necessária à prestação de serviços dos referidos operadores.
(cf. n.os 56-59)
2. A Decisão 2004/496/CE do Conselho, de 17 de Maio de 2004, relativa à celebração de um acordo entre a Comunidade Europeia e os Estados Unidos da América sobre o tratamento e a transferência de dados contidos nos registos de identificação dos passageiros PNR (Passenger Name Records) por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos não pôde ser validamente adoptada com base no artigo 95.º CE, conjugado com o artigo 25.º da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Com efeito, o acordo visa tratamentos de dados que, na medida em que têm por objectivo a segurança pública e as actividades do Estado no domínio do direito penal estão excluídos do âmbito de aplicação da Directiva 95/46, por força do artigo 3.º, n.º 2, primeiro travessão, desta última.
(cf. n.os 67-69)
ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)
30 de Maio de 2006 (*)
«Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Transporte aéreo – Decisão 2004/496/CE – Acordo entre a Comunidade Europeia e os Estados Unidos da América – Registos de identificação dos passageiros de transporte aéreo transferidos para o Serviço das Alfândegas e de Protecção das Fronteiras dos Estados Unidos da América – Directiva 95/46/CE – Artigo 25.° – Estados terceiros – Decisão 2004/535/CE – Nível de protecção adequado»
Nos processos apensos C‑317/04 e C‑318/04,
que têm por objecto recursos de anulação nos termos do artigo 230.° CE, entrados em 27 de Julho de 2004,
Parlamento Europeu, representado por R. Passos, N. Lorenz, H. Duintjer Tebbens e A. Caiola, na qualidade de agentes, com domicílio escolhido no Luxemburgo,
recorrente,
apoiado por:
Autoridade Europeia para a Protecção de Dados (AEPD), representada por H. Hijmans e V. Perez Asinari, na qualidade de agentes,
interveniente,
contra
Conselho da União Europeia, representado por M. C. Giorgi Fort e M. Bishop, na qualidade de agentes,
recorrido no processo C‑317/04,
apoiado por:
Comissão das Comunidades Europeias, representada por P. J. Kuijper, A. van Solinge e C. Docksey, na qualidade de agentes, com domicílio escolhido no Luxemburgo,
Reino Unido da Grã‑Bretanha e da Irlanda do Norte, representado por M. Bethell, C. White e T. Harris, na qualidade de agentes, assistidos por T. Ward, barrister, com domicílio escolhido no Luxemburgo,
intervenientes,
e contra
Comissão das Comunidades Europeias, representada por P. J. Kuijper, A. van Solinge, C. Docksey e F. Benyon, na qualidade de agentes, com domicílio escolhido no Luxemburgo,
recorrida no processo C‑318/04,
apoiada por:
Reino Unido da Grã‑Bretanha e da Irlanda do Norte, representado por M. Bethell, C. White e T. Harris, na qualidade de agentes, assistidos por T. Ward, barrister, com domicílio escolhido no Luxemburgo,
interveniente,
O TRIBUNAL DE JUSTIÇA (Grande Secção),
composto por: V. Skouris, presidente, P. Jann, C. W. A. Timmermans, A. Rosas e J. Malenovský, presidentes de secção, N. Colneric (relatora), S. von Bahr, J. N. Cunha Rodrigues, R. Silva de Lapuerta, G. Arestis, A. Borg Barthet, M. Ilešič e J. Klučka, juízes,
advogado‑geral: P. Léger,
secretário: M. Ferreira, administradora principal,
vistos os autos e após a audiência de 18 de Outubro de 2005,
ouvidas as conclusões do advogado‑geral na audiência de 22 de Novembro de 2005,
profere o presente
Acórdão
1 Com a sua petição no processo C‑317/04, o Parlamento Europeu pede a anulação da Decisão 2004/496/CE do Conselho, de 17 de Maio de 2004, relativa à celebração de um acordo entre a Comunidade Europeia e os Estados Unidos da América sobre o tratamento e a transferência de dados contidos nos registos de identificação dos passageiros (PNR) por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos (JO L 183, p. 83, e rectificativo JO 2005, L 255, p. 168).
2 Com a sua petição no processo C‑318/04, o Parlamento Europeu pede a anulação da Decisão 2004/535/CE da Comissão, de 14 de Maio de 2004, sobre o nível de protecção adequado dos dados pessoais contidos nos Passenger Name Record transferidos para o Bureau of Customs and Border Protection dos Estados Unidos (JO L 235, p. 11, a seguir «decisão de adequação»).
Quadro jurídico
3 O artigo 8.° da Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma em 4 de Novembro de 1950 (a seguir «CEDH») dispõe:
«1. Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência.
2. Não pode haver ingerência da autoridade pública no exercício deste direito senão quando esta ingerência estiver prevista na lei e constituir uma providência que, numa sociedade democrática, seja necessária para a segurança nacional, para a segurança pública, para o bem‑estar económico do país, a defesa da ordem e a prevenção das infracções penais, a protecção da saúde ou da moral, ou a protecção dos direitos e das liberdades de terceiros.»
4 O artigo 95.°, n.° 1, segunda frase, CE tem a seguinte redacção:
«O Conselho, deliberando de acordo com o procedimento previsto no artigo 251.°, e após consulta do Comité Económico e Social, adopta as medidas relativas à aproximação das disposições legislativas, regulamentares e administrativas dos Estados Membros, que tenham por objecto o estabelecimento e o funcionamento do mercado interno.»
5 A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31), com a redacção dada pelo Regulamento (CE) n.° 1882/2003 do Parlamento Europeu e do Conselho, de 29 de Setembro de 2003, que adapta à Decisão 1999/468/CE do Conselho, as disposições relativas aos comités que assistem a Comissão no exercício das suas competências de execução previstas em actos sujeitos ao artigo 251.° do Tratado (JO L 284, p. 1) (a seguir «directiva») foi adoptada com base no artigo 100.°‑A do Tratado CE (que passou, após alteração, a artigo 95.° CE).
6 O seu décimo primeiro considerando refere que «os princípios da protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, contidos na presente directiva, precisam e ampliam os princípios contidos na Convenção do Conselho da Europa, de 28 de Janeiro de 1981, relativa à protecção das pessoas no que diz respeito ao tratamento automatizado de dados pessoais».
7 Nos termos do décimo terceiro considerando da directiva:
«[A]s actividades referidas nos títulos V e VI do Tratado da União Europeia, relativas à segurança pública, à defesa, à segurança do Estado ou às actividades do Estado no domínio penal, não são abrangidas pelo âmbito de aplicação do direito comunitário, sem prejuízo das obrigações que incumbem aos Estados‑Membros nos termos do n.° 2 do artigo 56.° e dos artigos 57.° e 100.°‑A do Tratado [...]»
8 O considerando quinquagésimo sétimo da directiva refere:
«[...] sempre que um país terceiro não ofereça um nível de protecção adequado, a transferência de dados pessoais para esse país deve ser proibida.»
9 O artigo 2.° da directiva dispõe:
«Para efeitos da presente directiva, entende‑se por:
a) ‘Dados pessoais’, qualquer informação relativa a uma pessoa singular identificada ou identificável (‘pessoa em causa’); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
b) ‘Tratamento de dados pessoais’ (‘tratamento’), qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;
[...]»
10 Nos termos do artigo 3.° da directiva:
«Âmbito de aplicação
1. A presente directiva aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.
2. A presente directiva não se aplica ao tratamento de dados pessoais:
– efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as actividades do Estado no domínio do direito penal,
[...]»
11 O artigo 6.°, n.° 1, da directiva refere:
«Os Estados‑Membros devem estabelecer que os dados pessoais serão:
[...]
b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados‑Membros estabeleçam garantias adequadas;
c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;
[...]
e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. [...]»
12 O artigo 7.° da directiva dispõe:
«Os Estados-Membros estabelecerão que o tratamento de dados pessoais só poderá ser efectuado se:
[...]
c) O tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito;
[...], ou
e) O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados; ou
f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do n.° 1 do artigo 1°»
13 Nos termos do artigo 8.°, n.° 5, primeiro parágrafo, da directiva:
«O tratamento de dados relativos a infracções, condenações penais ou medidas de segurança só poderá ser efectuado sob o controlo das autoridades públicas ou se o direito nacional estabelecer garantias adequadas e específicas, sob reserva das derrogações que poderão ser concedidas pelo Estado‑Membro com base em disposições nacionais que prevejam garantias específicas e adequadas. Contudo, o registo completo das condenações penais só pode ser mantido sob o controlo das autoridades públicas.»
14 O artigo 12.° da directiva dispõe:
«Os Estados‑Membros garantirão às pessoas em causa o direito de obterem do responsável pelo tratamento:
a) Livremente e sem restrições, com periodicidade razoável e sem demora ou custos excessivos:
– a confirmação de terem ou não sido tratados dados que lhes digam respeito, e informações pelo menos sobre os fins a que se destina esse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados,
– a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem dos dados,
– o conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito, pelo menos no que se refere às decisões automatizadas referidas no n.° 1 do artigo 15.°;
b) Consoante o caso, a rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente directiva, nomeadamente devido ao carácter incompleto ou inexacto desses dados;
c) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea b), salvo se isso for comprovadamente impossível ou implicar um esforço desproporcionado.»
15 O artigo 13.°, n.° 1, da directiva tem a seguinte redacção:
«Os Estados‑Membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.° 1 do artigo 6.°, no artigo 10.°, no n.° 1 do artigo 11.° e nos artigos 12.° e 21.°, sempre que tal restrição constitua uma medida necessária à protecção:
a) Da segurança do Estado;
b) Da defesa;
c) Da segurança pública;
d) Da prevenção, investigação, detecção e repressão de infracções penais e de violações da deontologia das profissões regulamentadas;
e) De um interesse económico ou financeiro importante de um Estado‑Membro ou da União Europeia, incluindo nos domínios monetário, orçamental ou fiscal;
f) De missões de controlo, de inspecção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d) e e);
g) De pessoa em causa ou dos direitos e liberdades de outrem.»
16 O artigo 22.° da directiva dispõe:
«Recursos
Sem prejuízo de quaisquer garantias graciosas, nomeadamente por parte da autoridade de controlo referida no artigo 28.°, previamente a um recurso contencioso, os Estados‑Membros estabelecerão que qualquer pessoa poderá recorrer judicialmente em caso de violação dos direitos garantidos pelas disposições nacionais aplicáveis ao tratamento em questão».
17 Os artigos 25.° e 26.° da directiva constituem o capítulo IV relativo à transferência de dados pessoais para países terceiros.
18 O artigo 25.° da directiva, com a epígrafe «Princípios», dispõe:
«1. Os Estados‑Membros estabelecerão que a transferência para um país terceiro de dados pessoais objecto de tratamento, ou que se destinem a ser objecto de tratamento após a sua transferência, só pode realizar‑se se, sob reserva da observância das disposições nacionais adoptadas nos termos das outras disposições da presente directiva, o país terceiro em questão assegurar um nível de protecção adequado.
2. A adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, serão tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país terceiro em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse país.
3. Os Estados‑Membros e a Comissão informar‑se‑ão mutuamente dos casos em que consideram que um país terceiro não assegura um nível de protecção adequado na acepção do n.° 2.
4. Sempre que a Comissão verificar, nos termos do procedimento previsto no n.° 2 do artigo 31.°, que um país terceiro não assegura um nível de protecção adequado na acepção do n.° 2 do presente artigo, os Estados‑Membros tomarão as medidas necessárias para impedir qualquer transferência de dados de natureza idêntica para o país terceiro em causa.
5. Em momento oportuno, a Comissão encetará negociações com vista a obviar à situação resultante da constatação feita em aplicação do n.° 4.
6. A Comissão pode constatar, nos termos do procedimento previsto no n.° 2 do artigo 31.°, que um país terceiro assegura um nível de protecção adequado na acepção do n.° 2 do presente artigo em virtude da sua legislação interna ou dos seus compromissos internacionais, subscritos nomeadamente na sequência das negociações referidas no n.° 5, com vista à protecção do direito à vida privada e das liberdades e direitos fundamentais das pessoas.
Os Estados‑Membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.»
19 Nos termos do artigo 26.°, n.° 1, da directiva, sob a epígrafe «Derrogações»:
«Em derrogação ao disposto no artigo 25.° e sob reserva de disposições em contrário do seu direito nacional em casos específicos, os Estados‑Membros estabelecerão que a transferência de dados pessoais para um país terceiro que não assegure um nível de protecção adequado na acepção do n.° 2 do artigo 25.° poderá ter lugar desde que:
a) A pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência; ou
b) A transferência seja necessária para a execução de um contrato entre a pessoa em causa e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou
c) A transferência seja necessária à execução ou celebração de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o responsável pelo tratamento e um terceiro; ou
d) A transferência seja necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial; ou
e) A transferência seja necessária para proteger os interesses vitais da pessoa em causa; ou
f) A transferência seja realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destine à informação do público e se encontre aberto à consulta pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.»
20 Com base na directiva, nomeadamente no seu artigo 25.°, n.° 6, a Comissão das Comunidades Europeias adoptou a decisão de adequação.
21 O décimo primeiro considerando da decisão refere:
«O tratamento, pelo CBP [United States Bureau of Customs and Border Protection (Serviço das Alfândegas e Protecção das Fronteiras dos Estados Unidos)], de dados pessoais contidos nos PNR [‘Passenger Name Records’ (registos de identificação dos passageiros)] de passageiros aéreos transferidos para esta entidade é regido pelos termos da declaração de compromisso do Bureau of Customs and Border Protection (CBP) do Department of Homeland Security de 11 de Maio de 2004 (doravante ‘a declaração de compromisso’) e na legislação nacional norte‑americana, tal como indicado na declaração.»
22 Nos termos do décimo quinto considerando da mesma decisão, os dados dos PNR serão utilizados estritamente para impedir e combater o terrorismo e crimes conexos; outros crimes graves, incluindo o crime organizado, que são, por natureza, transnacionais; e a fuga a mandados judiciais ou à detenção pelos crimes atrás descritos.
23 Nos termos dos artigos 1.° a 4.° da decisão de adequação:
«Artigo 1.°
Para efeitos do n.° 2 do artigo 25.° da Directiva 95/46/CE, considera‑se que o Bureau of Customs and Border Protection (CBP) dos Estados Unidos assegura um nível adequado de protecção dos dados dos PNR transferidos a partir da Comunidade no que diz respeito a voos com destino a ou provenientes dos Estados Unidos, em conformidade com a declaração de compromisso que figura no anexo I.
Artigo 2.°
A presente decisão diz respeito ao nível adequado de protecção assegurado pelo CBP, a fim de dar cumprimento ao disposto no n.° 1 do artigo 25.° da Directiva 95/46/CE, e não afecta outras condições ou restrições à aplicação de outras disposições da referida directiva relativas ao tratamento de dados pessoais nos Estados‑Membros.
Artigo 3.°
1. Sem prejuízo dos poderes das autoridades competentes dos Estados‑Membros no que se refere à adopção de medidas para garantir o respeito das disposições nacionais adoptadas por força de outras disposições para além das previstas no artigo 25.° da Directiva 95/46/CE, as referidas autoridades podem exercer os poderes de que dispõem para suspender a transferência de dados para o CBP, a fim de proteger as pessoas no que respeita ao tratamento dos seus dados pessoais, sempre que:
a) A autoridade norte‑americana competente verificar que o CBP desrespeita as normas de protecção aplicáveis; ou
b) Seja altamente provável que as normas de protecção constantes do anexo I não estão a ser cumpridas, existam motivos suficientes para crer que o CBP não toma ou não tomará as decisões adequadas na altura devida para resolver o caso em questão, a continuação da transferência dos dados implique o risco iminente de causar graves prejuízos às pessoas em causa e as autoridades competentes dos Estados‑Membros tenham envidado esforços razoáveis, dadas as circunstâncias, para facultar ao CBP informação e oportunidade para responder.
2. A suspensão cessará assim que o respeito das normas de protecção estiver assegurado e a autoridade competente do Estado‑Membro em questão seja disso informada.
Artigo 4.°
1. Os Estados‑Membros devem informar imediatamente a Comissão da adopção de medidas ao abrigo do artigo 3.°
2. Os Estados‑Membros e a Comissão devem ainda manter‑se mutuamente informados de qualquer alteração nas normas de protecção e dos casos em que os organismos responsáveis por assegurar o cumprimento das normas de protecção constantes do anexo I pelo CBP não assegurem convenientemente esse mesmo cumprimento.
3. Se a informação recolhida nos termos do artigo 3.° e dos n.os 1 e 2 do presente artigo demonstrar que os princípios básicos necessários a um nível adequado de protecção das pessoas singulares não estão a ser respeitados, ou que os organismos responsáveis por assegurar o cumprimento das normas de protecção pelo CBP não desempenham eficazmente as suas funções, o CBP deverá ser informado e, se necessário, o procedimento referido no n.° 2 do artigo 31.° da Directiva 95/46/CE será aplicado, com vista a revogar ou suspender a presente decisão.»
24 A «Declaração de compromisso do Department of Homeland Security Bureau of Customs and Border Protection», anexa à decisão de adequação, refere:
«Em apoio da intenção da Comissão Europeia (Comissão) de exercer os poderes que lhe são conferidos pelo n.° 6 do artigo 25.° da Directiva 95/46/CE [...] e de aprovar uma decisão reconhecendo que o [CBP] do Department of Homeland Security (DHS: Ministério norte‑americano da Segurança Interna) fornece um nível de protecção adequado para efeitos de transferência, pelas companhias aéreas, de dados dos [PNR] abrangidos pelo âmbito de aplicação da directiva, o CBP assume os seguintes compromissos [...]»
25 Esses compromissos incluem 48 pontos, agrupados nos títulos seguintes: «Fundamentos jurídicos para a obtenção de PNR», «Utilização dos dados dos PNR pelo CBP», «Exigências relativas aos dados», «Tratamento de dados ‘sensíveis’», «Método de acesso aos dados dos PNR», «Armazenamento de dados dos PNR», «Segurança do sistema informático do CBP», «Tratamento e protecção dos dados dos PNR pelo CBP», «Transferência de dados dos PNR para outras autoridades estatais», «Informação, acesso aos dados e vias de recurso para os titulares dos dados dos PNR», «Cumprimento das disposições», «Reciprocidade», «Revisão e expiração da declaração de compromisso», e «Não criação de direito privado ou de precedente».
26 Entre esses compromissos figuram, nomeadamente, os seguintes:
«1) Nos termos da lei [título 49, United States Code, secção 44909(c)(3)] e dos seus regulamentos de aplicação (provisórios) (título 19, Code of Federal Regulations, secção 122.49b), todas as companhias aéreas que efectuem voos internacionais de passageiros com destino a ou provenientes dos Estados Unidos devem possibilitar ao CBP (antigo Customs Service – serviço norte‑americano das alfândegas) o acesso electrónico aos dados dos PNR que estejam compilados e armazenados nos sistemas automatizados de reserva/controlo das partidas da companhia aérea ( ‘sistemas de reserva’ ).
[...]
3) Os dados dos PNR são utilizados pelo CBP estritamente para impedir e combater: 1) o terrorismo e crimes conexos; 2) outros crimes graves, incluindo o crime organizado, que são, por natureza, transnacionais; e 3) a fuga a mandados judiciais ou à detenção pelos crimes atrás descritos. A utilização de dados dos PNR para estes efeitos permite ao CBP concentrar os seus recursos nas situações de elevado risco, facilitando e salvaguardando assim as viagens de boa fé.
4) Os dados requeridos pelo CBP estão listados no anexo A [...]
[...]
27) No quadro de qualquer procedimento administrativo ou judicial decorrente de um pedido, apresentado ao abrigo da lei FOIA [Freedom of Information Act (lei da liberdade de informação)], de informações dos PNR obtidas a partir das companhias aéreas, o CBP invocará que, ao abrigo desta mesma lei, tais registos estão protegidos da divulgação.
[...]
29) O CBP apenas transmitirá, se assim o decidir e numa base casuística, dados dos PNR a outras autoridades estatais – incluindo estrangeiras – de luta contra o terrorismo, para efeitos de prevenção ou combate às infracções mencionadas no n.° 3 da presente declaração de compromisso (as autoridades com as quais o CBP pode compartilhar estes dados são doravante referidas como ‘autoridades designadas’).
30) O CBP exercerá de forma judiciosa o seu poder discricionário de transferir dados dos PNR para os efeitos declarados. Antes de mais, o CBP determinará se a razão para a divulgação dos dados dos PNR a outra autoridade designada se adequa aos objectivos previstos (v. o n.° 29, supra ). Se for esse o caso, o CBP determinará se a autoridade designada é responsável pela prevenção, investigação ou prossecução criminal de violações ou por fazer valer ou concretizar um estatuto ou regulamento relacionado com esse objectivo, sempre que o CBP tenha conhecimento de uma indicação de violação ou potencial violação da lei. A fundamentação da divulgação terá de ser revista à luz de todas as circunstâncias apresentadas.
[...]
35) Nenhuma disposição da presente declaração de compromisso pode impedir a utilização ou a divulgação de dados dos PNR no âmbito de um processo penal ou ao abrigo de outras exigências previstas por lei. O CBP informará a Comissão Europeia da adopção, pelas autoridades norte‑americanas, de qualquer legislação com incidência sobre a substância das disposições da presente declaração de compromisso.
[...]
46) A presente declaração de compromisso é aplicável por um período de três anos e seis meses a contar da data da entrada em vigor de um acordo entre os Estados Unidos e a Comunidade Europeia autorizando o tratamento de dados dos PNR pelas companhias aéreas e sua transferência para o CBP, em conformidade com a directiva [...]
47) A presente declaração de compromisso não cria nem confere qualquer direito ou benefício a qualquer pessoa ou parte, quer privada quer pública.
[...]»
27 O anexo «A» da declaração de compromisso contém os «Dados dos PNR» solicitados pelo CBP às companhias aéreas. Desses dados fazem parte, nomeadamente, o «Código localizador do PNR», a data da reserva, o nome, o endereço, todas as formas de informação sobre o pagamento, os números de telefone de contacto, a agência de viagens, o estatuto de viagem do passageiro («Travel status [of passenger]»), o endereço electrónico, observações gerais, o número do lugar, a informação sobre o relato de não comparência e as «Informações APIS (Advanced Passenger Information System)» eventualmente recolhidas.
28 O Conselho adoptou a Decisão 2004/496 com base, nomeadamente, no artigo 95.° CE, conjugado com o artigo 300.°, n.° 2, primeiro parágrafo, primeira frase, CE.
29 Nos termos dos três considerandos dessa decisão:
«1) Em 23 de Fevereiro de 2004, o Conselho autorizou a Comissão a negociar, em nome da Comunidade, um acordo com os Estados Unidos da América sobre o tratamento e a transferência de dados contidos nos registos de identificação dos passageiros (PNR – Passenger Name Records) por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos.
2) O Parlamento Europeu não deu parecer dentro do prazo que, nos termos do primeiro parágrafo do n.° 3 do artigo 300.° do Tratado, foi fixado pelo Conselho, havendo necessidade urgente de remediar a situação de incerteza em que se encontravam as transportadoras aéreas e os passageiros, e de proteger os interesses financeiros das pessoas em causa.
3) É necessário aprovar o acordo.»
30 O artigo 1.° da Decisão 2004/496 dispõe:
«É aprovado, em nome da Comunidade, o Acordo entre a Comunidade Europeia e os Estados Unidos da América sobre o tratamento e a transferência de dados contidos nos registos de identificação dos passageiros (PNR – Passenger Name Records) por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos.
O texto do acordo acompanha a presente decisão.»
31 O referido acordo tem a seguinte redacção:
«A Comunidade Europeia e os Estados Unidos da América
Reconhecendo a importância de respeitar os direitos e as liberdades fundamentais, nomeadamente o direito à privacidade, e de conciliar o respeito desses valores com a prevenção e a luta contra o terrorismo e a criminalidade que lhe está associada e outros crimes graves de carácter transnacional, nomeadamente a criminalidade organizada;
Tendo em conta as leis e regulamentações norte‑americanas, que exigem que todas as transportadoras aéreas que efectuam voos internacionais de passageiros com destino ou proveniência dos Estados Unidos facultem ao [CBP] do Departamento de Segurança Interna dos Estados Unidos (Department of Homeland Security, a seguir designado ‘DHS’) um acesso electrónico aos dados contidos nos [PNR] compilados e armazenados nos respectivos sistemas informatizados de controlo de reservas/partidas;
Tendo em conta a Directiva 95/46/CE [...], nomeadamente a alínea c) do artigo 7.°;
Tendo em conta os compromissos assumidos pelo CBP em 11 de Maio de 2004, que serão publicados no Registo Federal norte‑americano (a seguir designados ‘Compromissos’);
Tendo em conta a Decisão 2004/535/CE da Comissão, aprovada em 14 de Maio de 2004, em conformidade com o n.° 6 do artigo 25.° da Directiva 95/46/CE, nos termos da qual se considera que o CBP assegurará um nível de protecção adequado dos dados PNR transferidos da Comunidade Europeia (a seguir designada ‘a Comunidade’) relativos aos voos com destino ou proveniência dos Estados Unidos, em conformidade com os Compromissos que figuram em anexo (a seguir designada ‘a decisão’);
Assinalando que as transportadoras aéreas estabelecidas no território dos Estados‑Membros da Comunidade Europeia e que dispõem de sistemas de controlo de reservas/partidas deverão tomar medidas para transmitir os dados PNR ao CBP logo que tal seja tecnicamente possível e permitir entretanto às autoridades norte‑americanas o acesso directo a esses dados, em conformidade com o disposto no presente acordo;
[...]
Acordaram no seguinte:
1. O CBP pode aceder electronicamente aos dados PNR provenientes dos sistemas de controlo de reservas/partidas (‘sistemas de reserva’) das transportadoras aéreas estabelecidas no território dos Estados‑Membros da Comunidade Europeia, em estrita conformidade com a decisão enquanto esta for aplicável e só enquanto não for introduzido um sistema satisfatório que permita a transmissão dos dados em causa por parte das transportadoras aéreas.
[A versão inglesa tem a seguinte redacção: ‘CBP may electronically access the PNR data from air carriers reservation/departure control systems ('reservation systems') located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.’]
2. As transportadoras aéreas que efectuam voos internacionais de passageiros com destino ou proveniência dos Estados Unidos procederá ao tratamento dos dados PNR armazenados nos respectivos sistemas informatizados de reserva nos termos exigidos pelo CBP em aplicação da legislação dos Estados Unidos, em estrita conformidade com a decisão, durante todo o período de vigência da mesma.
3. O CBP toma nota da decisão e declara que cumpre os Compromissos juntos à decisão.
4. O CBP procederá ao tratamento dos dados PNR recebidos e actuará em relação aos titulares desses dados em conformidade com as leis e disposições constitucionais dos Estados Unidos, sem discriminação ilícita, nomeadamente com base na nacionalidade e no país de residência.
[...]
7. O presente acordo entra em vigor na data da sua assinatura. Qualquer das partes pode, a qualquer momento, denunciar o presente acordo mediante notificação por via diplomática. A denúncia produzirá efeitos noventa (90) dias após a data da sua notificação à outra parte. O presente acordo pode ser alterado a qualquer momento por mútuo acordo consignado por escrito.
8. O presente acordo não tem por objecto derrogar ou alterar a legislação das partes, nem confere qualquer direito ou vantagem a qualquer pessoa ou entidade, pública ou privada.»
32 Segundo a informação do Conselho relativa à data da sua entrada em vigor (JO 2004, C 158, p. 1), o acordo, assinado em Washington em 28 de Maio de 2004 por um representante da Presidência do Conselho em exercício e pelo secretário do Departamento de Segurança Interna dos Estados Unidos da América, entrou em vigor no dia da respectiva assinatura, de acordo com o seu n.° 7.
Antecedentes dos litígios
33 Na sequência dos ataques terroristas de 11 de Setembro de 2001, os Estados Unidos adoptaram, em Novembro do mesmo ano, uma legislação que dispunha que as transportadoras aéreas que assegurassem ligações com destino aos Estados Unidos ou com partida desse país ou que passassem pelo seu território, eram obrigadas a facultar às autoridades aduaneiras americanas acesso electrónico aos dados contidos nos seus sistemas automáticos de reserva e de controlo das partidas, denominados «Passenger Name Records» (a seguir «dados PNR»). Reconhecendo a legitimidade dos interesses de segurança em questão, a Comissão informou as autoridades dos Estados Unidos, em Junho de 2002, de que essas disposições podiam entrar em conflito com a legislação comunitária e com a legislação dos Estados‑Membros em matéria de protecção de dados e com certas disposições do Regulamento (CEE) n.° 2299/89 do Conselho, de 24 de Julho de 1989, relativo a um código de conduta para os sistemas informatizados de reserva (JO L 220, p. 1), na redacção que lhe foi dada pelo Regulamento (CE) n.° 323/1999 do Conselho, de 8 de Fevereiro de 1999 (JO L 40, p. 1). As autoridades dos Estados Unidos adiaram a entrada em vigor das novas disposições, mas recusaram terminantemente abdicar da imposição de sanções às companhias aéreas que não cumprissem a legislação relativa ao acesso electrónico aos dados PNR após 5 de Março de 2003. Desde então, várias grandes companhias aéreas estabelecidas nos Estados‑Membros facultaram às autoridades americanas o acesso aos seus PNR.
34 A Comissão iniciou negociações com as autoridades dos Estados Unidos da América, negociações essas que deram origem a um documento que continha compromissos («undertakings») assumidos pelo CBP, com vista à adopção, pela Comissão, de uma decisão de adequação com base no artigo 25.°, n.° 6, da directiva.
35 Em 13 de Junho de 2003, o grupo de protecção das pessoas no que diz respeito ao tratamento de dados pessoais, instituído pelo artigo 29.° da directiva, emitiu um parecer em que exprimiu dúvidas quanto ao nível de protecção dos dados assegurado por esses compromissos relativamente aos tratamentos de dados previstos. Reiterou as suas dúvidas noutro parecer de 29 de Janeiro de 2004.
36 Em 1 de Março de 2004, a Comissão apresentou ao Parlamento o projecto de decisão de adequação, nos termos do artigo 25.°, n.° 6, da directiva, acompanhado do projecto de compromisso do CBP.
37 Em 17 de Março de 2004, a Comissão transmitiu ao Parlamento, na perspectiva da consulta deste nos termos do artigo 300.°, n.° 3, primeiro parágrafo, CE, uma proposta de decisão do Conselho relativa à celebração de um acordo com os Estados Unidos. Por carta de 25 de Março de 2004, o Conselho, invocando o processo de urgência, solicitou um parecer do Parlamento sobre esta proposta até 22 de Abril de 2004, o mais tardar. Nessa carta, o Conselho salientava que «[a] luta contra o terrorismo, que justifica as medidas propostas, é uma prioridade essencial da União Europeia, [que] [a]s transportadoras aéreas e os passageiros [se] encontram[...] actualmente numa situação de incerteza que deve ser resolvida urgentemente [e que], [a]lém disso, é essencial proteger os interesses financeiros das partes envolvidas».
38 Em 31 de Março de 2004, em conformidade com o artigo 8.° da Decisão 1999/468/CE do Conselho, de 28 de Junho de 1999, que fixa as regras de exercício das competências de execução atribuídas à Comissão (JO L 184, p. 23), o Parlamento adoptou uma resolução que manifestava algumas reservas de ordem jurídica quanto à proposta que lhe tinha sido submetida. Nessa resolução, o Parlamento considerou, em especial, que o projecto de decisão de adequação excedia as competências conferidas à Comissão pelo artigo 25.° da directiva. Apelou à celebração de um acordo internacional adequado que respeitasse os direitos fundamentais em relação a determinados pontos descritos nessa resolução, e pediu à Comissão que lhe apresentasse um novo projecto de decisão. Além disso, reservou‑se o direito de pedir ao Tribunal de Justiça que fiscalizasse a legalidade do acordo internacional em questão e, em especial, a sua compatibilidade com a protecção do direito à vida privada.
39 Em 21 de Abril de 2004, o Parlamento aprovou, a pedido do seu presidente, uma recomendação da comissão dos assuntos jurídicos e do mercado interno no sentido de pedir ao Tribunal de Justiça um parecer sobre a compatibilidade do acordo previsto com o Tratado, nos termos do artigo 300.°, n.° 6, CE. No mesmo dia foi dado início a esse processo.
40 O Parlamento decidiu também, na mesma data, devolver à referida comissão o relatório sobre a proposta de decisão do Conselho, rejeitando assim implicitamente, nessa fase, o pedido de apreciação de urgência do Conselho de 25 de Março de 2004.
41 Em 28 de Abril do mesmo ano, o Conselho, baseando‑se no artigo 300.°, n.° 3, primeiro parágrafo, CE, enviou uma carta ao Parlamento pedindo‑lhe para emitir o seu parecer sobre a proposta de decisão relativa à conclusão do acordo até 5 de Maio de 2004. Para justificar a urgência desse pedido, o Conselho retomou os motivos apresentados na sua carta de 25 de Março de 2004.
42 Tendo tomado conhecimento da falta persistente de todas as versões linguísticas da proposta de decisão do Conselho, o Parlamento rejeitou, em 4 de Maio de 2004, o pedido de apreciação de urgência que o Conselho lhe tinha apresentado em 28 de Abril.
43 Em 14 de Maio, a Comissão adoptou a decisão de adequação, que constitui o objecto do processo C‑318/04. Em 17 de Maio de 2004, o Conselho adoptou a Decisão 2004/496, que constitui o objecto do processo C‑317/04.
44 Por ofício de 4 de Junho de 2004, o presidente do Conselho em exercício informou o Parlamento de que a Decisão 2004/496 tomava em consideração a luta contra o terrorismo – prioritária para a União –, mas também a necessidade de fazer face a uma situação de insegurança jurídica das companhias aéreas, bem como os interesses financeiros destas.
45 Por ofício de 9 de Julho de 2004, o Parlamento informou o Tribunal de Justiça da desistência do seu pedido de parecer, registado sob o n.° 1/04.
46 No processo C‑317/04, por despachos de 18 de Novembro de 2004 e de 18 de Janeiro de 2005 do presidente do Tribunal de Justiça, foram admitidas as intervenções da Comissão e do Reino Unido da Grã‑Bretanha e da Irlanda do Norte em apoio das conclusões do Conselho.
47 No processo C‑318/04, por despacho de 17 de Dezembro de 2004 do presidente do Tribunal de Justiça, foi admitida a intervenção do Reino Unido em apoio das conclusões da Comissão.
48 Por despachos do Tribunal de Justiça de 17 de Março de 2005, foi admitida a intervenção da Autoridade Europeia para a Protecção de Dados em apoio dos pedidos do Parlamento nos dois processos.
49 Dada a complexidade dos referidos processos, confirmada na fase oral, há que, nos termos do artigo 43.° do Regulamento de Processo, apensá‑los para efeitos do acórdão.
Quanto ao recurso no processo C‑318/04
50 O Parlamento invoca quatro fundamentos de anulação: usurpação de poder, violação dos princípios essenciais da directiva, violação dos direitos fundamentais e violação do princípio da proporcionalidade.
Quanto à primeira parte do primeiro fundamento, relativa à violação do artigo 3.°, n.° 2, primeiro travessão, da directiva
Argumentos das partes
51 O Parlamento alega que a decisão da Comissão foi adoptada ultra vires, uma vez que não foram respeitadas as disposições da directiva, e em violação, nomeadamente, do artigo 3.°, n.° 2, primeiro travessão, desta, relativo à exclusão das actividades não abrangidas pelo âmbito de aplicação do direito comunitário.
52 Entende que não cabe dúvida de que o tratamento dos dados PNR após a transferência para a autoridade americana a que se refere a decisão de adequação é efectuado, e sê‑lo‑á, para o exercício de actividades próprias dos Estados, na acepção do n.° 43 do acórdão de 6 de Novembro de 2003, Lindqvist (C‑101/01, Colect., p. I‑12971).
53 A Comissão, apoiada pelo Reino Unido, entende que as actividades das transportadoras aéreas entram claramente no âmbito de aplicação do direito comunitário. Alega que esses operadores privados tratam os dados PNR no interior da Comunidade e organizam a sua transferência para um Estado terceiro. São, pois, actividades de particulares e não do Estado‑Membro em que operam as transportadoras aéreas, ou das suas autoridades públicas, como considerou o Tribunal de Justiça no n.° 43 do acórdão Lindqvist, já referido. O objectivo prosseguido pelas transportadoras aéreas no tratamento dos dados PNR é simplesmente respeitar as exigências do direito comunitário, incluindo a obrigação que consta do n.° 2 do acordo. O artigo 3.°, n.° 2, da directiva refere as actividades de autoridades públicas que não estão abrangidas pelo âmbito de aplicação do direito comunitário.
Apreciação do Tribunal de Justiça
54 O artigo 3.°, n.° 2, primeiro travessão, da directiva exclui do âmbito de aplicação desta o tratamento de dados pessoais efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, o tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado e as actividades do Estado no domínio do direito penal.
55 A decisão de adequação apenas respeita aos dados PNR transferidos para o CBP. Resulta do sexto considerando dessa decisão que as exigências dessa transferência se baseiam num diploma aprovado pelos Estados Unidos em Novembro de 2001 e nos regulamentos de execução adoptados pelo CBP ao abrigo desse diploma. Segundo o sétimo considerando da referida decisão, a legislação norte‑americana em questão diz respeito à melhoria da segurança e das condições em que é possível entrar e sair do país. Nos termos do oitavo considerando, a Comunidade Europeia está plenamente empenhada em apoiar a luta dos Estados Unidos contra o terrorismo, dentro dos limites impostos pelo direito comunitário. O décimo quinto considerando dessa mesma decisão refere que os dados PNR serão utilizados estritamente para impedir e combater o terrorismo e crimes conexos; outros crimes graves, incluindo o crime organizado, que são, por natureza, transnacionais; e a fuga a mandados judiciais ou à detenção pelos crimes atrás descritos.
56 Daí resulta que a transferência dos dados PNR para o CBP constitui um tratamento que tem como objectivo a segurança pública e as actividades do Estado no domínio do direito penal.
57 Embora seja correcto considerar que os dados PNR são inicialmente recolhidos pelas companhias aéreas no âmbito de uma actividade abrangida pelo direito comunitário, a saber, a venda de um bilhete de avião que confere o direito a uma prestação de serviços, o tratamento dos dados que é tomado em conta na decisão de adequação é, porém, de natureza completamente diferente. Com efeito, essa decisão, tal como referido no n.° 55 do presente acórdão, não visa um tratamento de dados necessário para a realização de uma prestação de serviços, mas considerado necessário para salvaguardar a segurança pública e para fins repressivos.
58 No n.° 43 do acórdão Lindqvist, já referido, invocado pela Comissão na contestação, o Tribunal de Justiça considerou que as actividades referidas a título de exemplo no artigo 3.°, n.° 2, primeiro travessão, da directiva são, em todos os casos, actividades próprias dos Estados ou das autoridades estatais e alheias aos domínios de actividade dos particulares. Contudo, daí não resulta que, pelo facto de os dados PNR terem sido recolhidos por operadores privados para fins comerciais e de serem eles a organizar a sua transferência para um Estado terceiro, a transferência em causa não se enquadre no âmbito de aplicação dessa disposição. Com efeito, essa transferência integra‑se num quadro instituído pelos poderes públicos e que tem em vista a segurança pública.
59 Resulta do exposto que a decisão de adequação diz respeito a um tratamento de dados pessoais na acepção do artigo 3.°, n.° 2, primeiro travessão, da directiva. Essa decisão não entra, portanto, no âmbito de aplicação da referida directiva.
60 Assim, é procedente a primeira parte do primeiro fundamento, relativa a uma violação do artigo 3.°, n.° 2, primeiro travessão, da directiva.
61 Por conseguinte, sem que seja necessário analisar as outras partes do primeiro fundamento ou os outros fundamentos invocados pelo Parlamento, há que anular a decisão de adequação.
Quanto ao recurso no processo C‑317/04
62 O Parlamento invoca seis fundamentos de anulação: erro na escolha do artigo 95.° CE como base jurídica da Decisão 2004/496 e violação, respectivamente, do artigo 300.°, n.° 3, segundo parágrafo, CE, do artigo 8.° da CEDH, do princípio da proporcionalidade, do dever de fundamentação e do princípio da cooperação leal.
Quanto ao primeiro fundamento, relativo ao erro na escolha do artigo 95.° CE como base jurídica da Decisão 2004/496
Argumentos das partes
63 O Parlamento alega que o artigo 95.° CE não constitui uma base jurídica apropriada para a Decisão 2004/496. Essa decisão não tem por fim nem por conteúdo a criação e o funcionamento do mercado interno contribuindo para a eliminação de obstáculos à livre prestação de serviços nem contém disposições destinadas à realização desse objectivo. Com efeito, tem por finalidade a legalização do tratamento de dados pessoais previsto na legislação dos Estados Unidos. De resto, o artigo 95.° CE não é susceptível de servir de base à competência da Comunidade para a celebração do acordo, pois este tem em vista o tratamento de dados excluídos do âmbito de aplicação da directiva.
64 O Conselho afirma que a directiva, validamente adoptada com base no artigo 100.°‑A do Tratado, contém, no seu artigo 25.°, disposições que prevêem a possibilidade de uma transferência de dados pessoais para um Estado terceiro que assegure um nível adequado de protecção, incluindo a possibilidade de iniciar, se necessário, negociações que levem à celebração pela Comunidade de um acordo com esse país. O acordo diz respeito à livre circulação de dados PNR entre a Comunidade e os Estados Unidos em condições que respeitem as liberdades e os direitos fundamentais das pessoas, nomeadamente a vida privada. Destina‑se a eliminar qualquer distorção da concorrência entre as companhias aéreas dos Estados‑Membros e entre estas e as companhias dos Estados terceiros, que possa resultar das exigências feitas pelos Estados Unidos, por razões relativas à protecção dos direitos e liberdades das pessoas. As condições de concorrência entre as companhias dos Estados‑Membros que asseguram um serviço de transporte internacional de passageiros com destino aos Estados Unidos ou com partida nesse país poderiam ser falseadas pelo facto de só algumas delas terem fornecido às autoridades americanas acesso às suas bases de dados. O acordo impõe obrigações harmonizadas a todas as companhias em causa.
65 A Comissão salienta a existência de um «conflito de leis», na acepção do direito internacional público, entre as leis dos Estados Unidos e a regulamentação comunitária, bem como a necessidade de as conciliar. Critica o facto de o Parlamento, que contesta que o artigo 95.° CE possa constituir a base jurídica da Decisão 2004/496, não ter proposto uma base jurídica apropriada. Segundo a Comissão, o referido artigo constitui a «base jurídica natural» dessa decisão, uma vez que o acordo tem por objecto a dimensão externa da protecção dos dados pessoais por ocasião da respectiva transferência no interior da Comunidade. Os artigos 25.° e 26.° da directiva são fundamento de uma competência externa exclusiva da Comunidade.
66 Por outro lado, a Comissão alega que o tratamento inicial desses dados pelas companhias aéreas é efectuado com objectivos comerciais. A sua utilização pelas autoridades americanas não os exclui da incidência da directiva.
Apreciação do Tribunal de Justiça
67 O artigo 95.° CE, conjugado com o artigo 25.° da directiva, não é susceptível de servir de base à competência da Comunidade para a celebração do acordo.
68 Com efeito, o acordo tem em vista a mesma transferência de dados da decisão de adequação e, portanto, tratamentos de dados que, tal como acima exposto, estão excluídos do âmbito de aplicação da directiva.
69 Por conseguinte, a Decisão 2004/496 não podia ser validamente adoptada com base no artigo 95.° CE.
70 Assim, sem que seja necessário analisar os outros fundamentos invocados pelo Parlamento, há que anular essa decisão.
Quanto à limitação dos efeitos do acórdão
71 Resulta do n.° 7 do acordo que cada uma das partes o pode denunciar a todo o tempo e que deixa de ser aplicável 90 dias após a data da notificação da denúncia à outra parte.
72 Contudo, segundo os n.os 1 e 2 do acordo, o direito de acesso do CBP aos dados PNR e a obrigação de os transportadores aéreos os tratarem como pedido pelo CBP só existem enquanto a decisão de adequação for aplicável. No n.° 3 do referido acordo, o CBP declarou que cumpre os compromissos juntos à decisão.
73 Tendo em conta, por um lado, o facto de a Comunidade não poder invocar o seu próprio direito para justificar a inexecução do acordo, que continua aplicável durante o prazo de 90 dias a contar da respectiva denúncia, e, por outro, a estreita ligação existente entre o acordo e a decisão de adequação, afigura‑se justificado, por razões de segurança jurídica e para proteger as pessoas em causa, manter os efeitos da decisão de adequação durante esse mesmo período. Além disso, há que ter em conta o prazo necessário para a adopção das medidas de execução do presente acórdão.
74 Há que manter, pois, os efeitos da decisão de adequação até 30 de Setembro de 2006, sem que, contudo, esses efeitos se mantenham para além da data de extinção do acordo.
Quanto às despesas
75 Por força do disposto no artigo 69.°, n.° 2, do Regulamento de Processo, a parte vencida é condenada nas despesas se a parte vencedora o tiver requerido. Tendo o Parlamento pedido a condenação do Conselho e da Comissão e tendo estes sido vencidos, há que condená‑los nas despesas. Por força do n.° 4, primeiro parágrafo, do mesmo artigo, os intervenientes suportarão as respectivas despesas.
Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) decide:
1) A Decisão 2004/496/CE do Conselho, de 17 de Maio de 2004, relativa à celebração de um acordo entre a Comunidade Europeia e os Estados Unidos da América sobre o tratamento e a transferência de dados contidos nos registos de identificação dos passageiros (PNR) por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos, e a Decisão 2004/535/CE da Comissão, de 14 de Maio de 2004, sobre o nível de protecção adequado dos dados pessoais contidos nos Passenger Name Record transferidos para o Bureau of Customs and Border Protection dos Estados Unidos, são anuladas.
2) Os efeitos da Decisão 2004/535 são mantidos até 30 de Setembro de 2006, sem que, contudo, esses efeitos se mantenham para além da data de extinção do referido acordo.
3) O Conselho da União Europeia é condenado nas despesas no processo C‑317/04.
4) A Comissão das Comunidades Europeias é condenada nas despesas no processo C‑318/04.
5) A Comissão das Comunidades Europeias suportará as suas próprias despesas no processo C‑317/04.
6) O Reino Unido da Grã‑Bretanha e da Irlanda do Norte e a Autoridade Europeia para a Protecção de Dados suportarão as suas próprias despesas.
Assinaturas
* Língua do processo: francês.