EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32008F0977

Decisão-Quadro 2008/977/JAI do Conselho, de 27 de Novembro de 2008 , relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal

OJ L 350, 30.12.2008, p. 60–71 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 16 Volume 002 P. 118 - 129

No longer in force, Date of end of validity: 05/05/2018; revogado por 32016L0680

ELI: http://data.europa.eu/eli/dec_framw/2008/977/oj

30.12.2008   

PT

Jornal Oficial da União Europeia

L 350/60


DECISÃO-QUADRO 2008/977/JAI DO CONSELHO

de 27 de Novembro de 2008

relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal

O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado da União Europeia, nomeadamente os artigos 30.o e 31.o e a alínea b) do n.o 2 do artigo 34.o,

Tendo em conta a proposta da Comissão,

Tendo em conta o parecer do Parlamento Europeu (1),

Considerando o seguinte:

(1)

A União Europeia prossegue o objectivo de manter e desenvolver um espaço de liberdade, segurança e justiça, o qual implica que deva ser proporcionado aos cidadãos um elevado nível de segurança, mediante acções em comum entre os Estados-Membros nos domínios da cooperação policial e judiciária em matéria penal.

(2)

As acções em comum no domínio da cooperação policial, nos termos da alínea b) do n.o 1 do artigo 30.o do Tratado da União Europeia, e a acção em comum no domínio da cooperação judiciária em matéria penal, nos termos da alínea a) do n.o 1 do artigo 31.o do Tratado da União Europeia, implicam a necessidade de tratar informações relevantes, devendo este tratamento estar sujeito às disposições existentes em matéria de protecção de dados pessoais.

(3)

A legislação abrangida pelo título VI do Tratado da União Europeia deverá promover a cooperação policial e judiciária em matéria penal em termos de eficácia, legitimidade e respeito pelos direitos fundamentais, em especial pelos direitos ao respeito pela vida privada e pela protecção de dados pessoais. O estabelecimento de critérios comuns em matéria de protecção e tratamento de dados pessoais, pode contribuir para a prossecução dos objectivos de prevenção e combate ao crime.

(4)

O Programa da Haia relativo ao reforço da liberdade, da segurança e da justiça na União Europeia, adoptado pelo Conselho Europeu em 4 de Novembro de 2004, sublinhou a necessidade de uma abordagem inovadora no domínio da transferência de dados transfronteiras com o propósito de garantir uma eficaz aplicação da lei, com respeito escrupuloso pelas regras fundamentais de protecção de dados, e convidou a Comissão a apresentar propostas nesta matéria até ao final de 2005. Esta iniciativa teve como resultado o Plano de Acção do Conselho e da Comissão de aplicação do Programa da Haia sobre o reforço da liberdade, da segurança e da justiça na União Europeia (2).

(5)

A transferência de dados pessoais no quadro da cooperação policial e judiciária em matéria penal, nomeadamente à luz do princípio da disponibilidade tal como estabelecido no Programa da Haia, deverá ser acompanhada de regras claras que reforcem a confiança mútua entre as autoridades competentes e garantam a protecção das informações relevantes, excluindo discriminações na forma de cooperação entre os Estados-Membros e ao mesmo tempo que garantam plenamente os direitos fundamentais. Os instrumentos em vigor a nível europeu não são suficientes. A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à sua livre circulação (3), não é aplicável ao tratamento de dados pessoais efectuado no exercício de actividades não abrangidas pelo âmbito de aplicação da legislação comunitária, como as previstas no título VI do Tratado da União Europeia, nem ao tratamento de dados relacionados com a segurança pública, a defesa, a segurança do Estado e as actividades do Estado no domínio do direito penal.

(6)

A presente decisão-quadro aplica-se unicamente aos dados recolhidos ou tratados pelas autoridades competentes com as finalidades de prevenção, investigação, detecção, repressão de infracções penais e execução de sanções penais. A presente decisão-quadro deverá deixar aos Estados-Membros a possibilidade de determinarem com exactidão, a nível nacional, quais as finalidades que devem ser consideradas incompatíveis com as que determinaram a recolha. De um modo geral, o tratamento posterior para fins históricos, estatísticos ou científicos não deverá ser considerado incompatível com a finalidade originária do tratamento.

(7)

O âmbito de aplicação da presente decisão-quadro deve limitar-se ao tratamento de dados pessoais transmitidos ou disponibilizados entre Estados-Membros. Esta limitação não permite tirar conclusões quanto à competência da União Europeia para adoptar actos relativos à recolha e ao tratamento de dados pessoais a nível nacional ou à conveniência de a União Europeia o vir a fazer no futuro.

(8)

Para facilitar a transmissão de dados na União Europeia, os Estados-Membros devem assegurar que o grau de protecção alcançado no tratamento de dados a nível nacional corresponda ao previsto na presente decisão-quadro. No que diz respeito ao tratamento de dados pessoais pelas autoridades competentes, a presente decisão-quadro não impede que os Estados-Membros prevejam garantias de protecção mais alargadas do que as estabelecidas na presente decisão-quadro.

(9)

A presente decisão-quadro não se aplicará aos dados pessoais obtidos por um Estado-Membro, no âmbito de aplicação da presente decisão-quadro, com origem nesse Estado-Membro.

(10)

A aproximação das legislações dos Estados-Membros não deverá implicar uma diminuição da protecção dos dados pessoais, devendo, pelo contrário, ter por objectivo garantir um elevado nível da sua protecção na União.

(11)

É necessário especificar os objectivos da protecção de dados no quadro das actividades policiais e judiciárias e estabelecer regras relativas à licitude do tratamento de dados pessoais, a fim de garantir que quaisquer informações eventualmente transmitidas foram tratadas licitamente e em conformidade com princípios fundamentais respeitantes à qualidade dos dados. Ao mesmo tempo, as actividades legítimas das autoridades policiais, aduaneiras, judiciárias e outras autoridades competentes não podem de modo algum ser prejudicadas.

(12)

O princípio da exactidão dos dados deve ser aplicado tendo em conta a natureza e a finalidade do tratamento em causa. Por exemplo, em processos judiciais os dados baseiam-se na percepção subjectiva e, em certos casos, de impossível verificação. Por conseguinte, o requisito da exactidão não pode estar associado à exactidão de uma afirmação, mas simplesmente ao facto de tal afirmação ter sido produzida.

(13)

Apenas deverá ser permitido arquivar dados pessoais desagregados, se estes já não forem necessários, nem voltarem a ser utilizados para fins de prevenção, investigação, detecção ou repressão de infracções penais ou execução de sanções penais. Deverá ser igualmente permitido arquivar dados desagregados se os que se encontrarem arquivados estiverem armazenados juntamente com outros numa base de dados de uma forma que não permita a sua utilização para fins de prevenção, investigação, detecção ou repressão de infracções penais ou execução de sanções penais. A adequação do período de arquivamento dependerá dos fins a que se destina e dos interesses legítimos dos titulares. Pode prever-se um período longo de arquivamento se este for feito para fins históricos.

(14)

Os dados podem igualmente ser apagados mediante destruição do respectivo suporte.

(15)

No que diz respeito a dados inexactos, incompletos ou que tenham deixado de estar actualizados e sejam transmitidos ou facultados a outros Estados-Membros e tratados posteriormente por autoridades parajudiciais — ou seja, autoridades com poderes para tomar decisões legalmente vinculativas — a respectiva rectificação, apagamento ou bloqueio deverá processar-se de acordo com a legislação nacional.

(16)

Garantir um elevado nível de protecção de dados pessoais exige que se estabeleçam disposições comuns para determinar a licitude e a qualidade dos dados tratados pelas autoridades competentes nos vários Estados-Membros.

(17)

É conveniente definir a nível europeu as condições em que as autoridades competentes dos Estados-Membros deverão ser autorizadas a transmitir e facultar dados pessoais recebidos de outros Estados-Membros às autoridades e a particulares nos Estados-Membros. Em muitos casos, a transmissão de dados pessoais a particulares pelas autoridades judiciárias, policiais ou aduaneiras é necessária para reprimir a criminalidade ou evitar uma ameaça grave e imediata para a segurança pública e evitar que sejam gravemente afectados os direitos dos indivíduos, por exemplo alertando bancos e instituições de crédito sobre falsificações de valores mobiliários ou, no domínio da criminalidade associada a veículos, comunicando dados pessoais às companhias de seguros a fim de evitar o tráfico ilícito de veículos roubados ou melhorar as possibilidades de recuperar veículos roubados que se encontrem fora do país. Tal não equivale a transferir para particulares funções policiais ou judiciárias.

(18)

As regras da presente decisão-quadro relativas à transmissão de dados pessoais a particulares pelas autoridades judiciárias, policiais ou aduaneiras não incidem sobre a comunicação de dados a particulares — como advogados de defesa e vítimas — no contexto de uma acção penal.

(19)

O tratamento posterior de dados pessoais recebidos da autoridade competente de outro Estado-Membro ou por ela facultados, em especial a transmissão ou disponibilização posterior de tais dados, deverá ser sujeito a regras comuns a nível europeu.

(20)

Se os dados pessoais puderem ser tratados depois de o Estado-Membro que os transmitiu ter dado o seu consentimento, cada Estado-Membro poderá determinar as condições desse consentimento, nomeadamente, por exemplo, mediante consentimento geral em relação a certas categorias de dados ou em relação ao seu tratamento posterior.

(21)

Se os dados pessoais puderem ser tratados posteriormente para fins administrativos, serão objecto de fiscalização e controlo pelas autoridades nacionais com competência de supervisão e regulamentação.

(22)

As actividades da polícia, alfândegas, autoridades judiciárias e outras autoridades competentes podem tornar necessário que os dados sejam transmitidos a autoridades de Estados terceiros ou organismos internacionais que têm obrigações em matéria de prevenção, investigação, detecção ou perseguição judicial das infracções penais ou de execução de sanções penais.

(23)

Quando são transmitidos dados pessoais de um Estado-Membro da União Europeia para Estados terceiros ou organismos internacionais, esses dados deverão, em princípio, beneficiar de um nível de protecção adequado.

(24)

Quando são transmitidos dados pessoais de um Estado-Membro para Estados terceiros ou organismos internacionais, essa transmissão apenas poderá, em princípio, ser feita depois de o Estado-Membro de onde provêm os dados ter dado o seu consentimento. Cada Estado-Membro poderá determinar as modalidades desse consentimento, por exemplo mediante consentimento geral no que respeita a determinados Estados terceiros ou categorias de informações.

(25)

Para que a cooperação em matéria de aplicação da lei seja eficaz é necessário que, nos casos em que a natureza da ameaça à segurança pública de um Estado-Membro ou de um Estado terceiro seja tão imediata que se torne impossível obter o referido consentimento prévio em tempo útil, a autoridade competente possa transmitir os dados pessoais pertinentes ao Estado terceiro em causa sem esse consentimento prévio. O mesmo se poderá aplicar nos casos em que estejam em causa outros interesses essenciais de um Estado-Membro que assumam igual importância, por exemplo quando uma infra-estrutura crítica possa ser objecto de ameaça imediata e grave ou o seu sistema financeiro possa ser gravemente afectado.

(26)

Pode ser necessário informar o titular dos dados sobre o tratamento destes, em especial no caso de se ter verificado uma violação particularmente grave dos seus direitos na sequência de medidas secretas de recolha, a fim de garantir ao titular uma protecção jurídica eficaz.

(27)

O Estado-Membro deverá garantir que o titular seja informado de que os seus dados pessoais estão a ser recolhidos, tratados ou transmitidos a outro Estado-Membro — ou podem vir a sê-lo — para efeitos de prevenção, investigação, detecção e repressão de infracções penais ou da execução de sanções penais. As modalidades do direito de informação e as suas excepções serão determinadas pela legislação nacional. Essas modalidades podem assumir uma forma geral, designadamente através de legislação ou da publicação de uma lista das operações de tratamento.

(28)

A fim de garantir a protecção dos dados pessoais sem comprometer o objectivo das investigações penais, é necessário definir os direitos dos titulares.

(29)

Alguns Estados-Membros asseguram o direito de acesso dos titulares em matéria penal através de um sistema em que a autoridade nacional de controlo, em lugar do titular, tem acesso a todos os dados pessoais que lhe dizem respeito, sem qualquer restrição, podendo igualmente rectificar, apagar ou bloquear os dados inexactos. Neste caso — de acesso indirecto — a legislação desses Estados-Membros pode prever que a autoridade nacional de controlo apenas informe a pessoa em causa de que foram efectuadas todas as diligências necessárias. Todavia, estes Estados-Membros também prevêem a possibilidade de acesso directo por parte do titular em determinados casos, como o acesso a registos judiciais a fim de obter cópias do registo criminal do próprio ou de audição pelos serviços policiais.

(30)

Convirá estabelecer regras comuns em matéria de confidencialidade e segurança dos tratamentos, de responsabilidade e de sanções por uso ilícito por parte das autoridades competentes, bem como de recursos judiciais à disposição dos titulares. Compete, todavia, a cada Estado-Membro determinar a natureza das suas regras sobre ilícitos e das sanções aplicáveis às violações das disposições nacionais em matéria de protecção de dados.

(31)

A presente decisão-quadro permite tomar em consideração o princípio do direito de acesso público aos documentos oficiais depois da introdução no Direito interno dos princípios nela estabelecidos.

(32)

Sempre que seja necessário proteger dados pessoais no contexto de um tratamento que, pela sua dimensão ou tipo, encerre riscos específicos para os direitos e liberdades fundamentais por exemplo o tratamento com mecanismos ou procedimentos próprios de novas tecnologias — é conveniente assegurar que as autoridades nacionais de controlo competentes sejam consultadas antes de serem criados ficheiros destinados ao tratamento de tais dados.

(33)

A criação, nos Estados-Membros, de autoridades de controlo que exerçam as suas funções com total independência constitui um elemento essencial da protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária entre Estados-Membros.

(34)

As autoridades de controlo já criadas nos Estados-Membros nos termos da Directiva 95/46/CE poderão, igualmente, assumir a responsabilidade pelas funções a desempenhar pelas autoridades nacionais de controlo que forem criadas ao abrigo da presente decisão-quadro.

(35)

Essas autoridades de controlo deverão ser dotadas dos meios necessários para desempenharem as suas funções, incluindo poderes de inquérito e de intervenção — especialmente em caso de queixas — e poderes para intervir em processos judiciais. Deverão também ajudar a garantir a transparência do tratamento de dados efectuado no Estado-Membro sob cuja jurisdição se encontram. Contudo, os poderes destas autoridades não deverão interferir nem com regras específicas fixadas para os processos penais, nem com a independência do poder judicial.

(36)

O artigo 47.o do Tratado da União Europeia prevê que nenhuma das suas disposições prejudica os Tratados que instituem as Comunidades Europeias, nem os Tratados e actos subsequentes que os alteraram ou completaram. Por conseguinte, a presente decisão-quadro não prejudica a protecção de dados pessoais no âmbito do direito comunitário, em especial tal como previsto na Directiva 95/46/CE, no Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (4), e na Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas) (5).

(37)

A presente decisão-quadro não prejudica as regras relativas ao acesso ilícito a dados previstas na Decisão-Quadro 2005/222/JAI do Conselho, de 24 de Fevereiro de 2005, relativa a ataques contra os sistemas de informação (6).

(38)

A presente decisão-quadro não prejudica as obrigações e compromissos já assumidos pelos Estados-Membros ou pela União por força de acordos bilaterais e/ou multilaterais com Estados terceiros. Os acordos futuros deverão observar as regras sobre transferências de dados pessoais para Estados terceiros.

(39)

Vários actos adoptados com base no título VI do Tratado da União Europeia contêm disposições específicas sobre a protecção de dados pessoais objecto de transferência ou de qualquer outro modo de tratamento a que se tenha procedido ao abrigo desses mesmos actos. Em alguns casos, tais disposições constituem um conjunto completo e coerente de regras que contemplam todos os aspectos relevantes da protecção de dados (princípios da qualidade dos dados, regras aplicáveis à sua segurança, regulamentação sobre os direitos e garantias das pessoas visadas, organização do controlo e responsabilidade), matérias que regulamentam de forma mais pormenorizada do que a presente decisão-quadro. A presente decisão-quadro também não prejudica as disposições relevantes em matéria de protecção de dados contidas nos referidos actos, designadamente as que regulam o funcionamento da Europol, da Eurojust, do Sistema de Informação Schengen (SIS) e do Sistema de Informação Aduaneiro (SIA), bem como as que prevêem o acesso directo das autoridades dos Estados-Membros a determinados sistemas de dados de outros Estados-Membros. O mesmo se aplica às disposições em matéria de protecção de dados que regulamentam a transferência automatizada entre Estados-Membros de perfis de DNA, dados dactiloscópicos e dados nacionais do registo de matrícula de veículos em conformidade com a Decisão 2008/615/JAI do Conselho, de 23 de Junho de 2008, relativa ao aprofundamento da cooperação transfronteiras, em particular no domínio da luta contra o terrorismo e da criminalidade transfronteiras (7).

(40)

Noutros casos, as disposições em matéria de protecção de dados contidas em actos adoptados com base no título VI do Tratado da União Europeia têm um âmbito de aplicação mais restrito. Muitas vezes, estabelecem para os Estados-Membros que recebem de outros Estados-Membros informações contendo dados pessoais condições específicas quanto aos fins para os quais estes poderão ser utilizados, remetendo, no que toca a outros aspectos da protecção de dados, para a Convenção do Conselho da Europa, de 28 de Janeiro de 1981, para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal ou simplesmente para a legislação nacional. No caso de as disposições contidas nos actos que impõem aos Estados-Membros receptores condições quanto à utilização ou transmissão de dados pessoais serem mais restritivas do que as estabelecidas nas disposições correspondentes da presente decisão-quadro, as primeiras continuarão também a ser aplicáveis. No entanto, em relação a todos os outros aspectos, aplicam-se as regras estabelecidas na presente decisão-quadro.

(41)

A presente decisão-quadro não prejudica a Convenção do Conselho da Europa para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal, nem o Protocolo Adicional a essa Convenção, de 8 de Novembro de 2001, nem as convenções do Conselho da Europa relativas à cooperação judiciária em matéria penal.

(42)

Dado que o objectivo da presente decisão-quadro, a saber, a definição de regras comuns para a protecção dos dados pessoais tratados no quadro da cooperação policial e judiciária em matéria penal, não pode ser concretizado de forma suficiente pelos Estados-Membros e pode, por conseguinte, devido à dimensão ou aos efeitos da acção prevista, ser melhor realizado pela União, a União pode adoptar medidas em conformidade com o princípio da proporcionalidade, consagrado no artigo 5.o do Tratado CE e referido no artigo 2.o do Tratado UE. Em conformidade com o princípio da proporcionalidade, consagrado no artigo 5.o do Tratado que institui a Comunidade Europeia, a presente decisão-quadro não excede o necessário para atingir aquele objectivo.

(43)

O Reino Unido participa na presente decisão-quadro, nos termos do artigo 5.o do Protocolo que integra o acervo de Schengen no âmbito da União Europeia, anexo ao Tratado da União Europeia e ao Tratado que institui a Comunidade Europeia, e do n.o 2 do artigo 8.o da Decisão 2000/365/CE do Conselho, de 29 de Maio de 2000, sobre o pedido do Reino Unido da Grã-Bretanha e da Irlanda do Norte para participar em algumas das disposições do acervo de Schengen (8).

(44)

A Irlanda participa na presente decisão-quadro, nos termos do artigo 5.o do Protocolo que integra o acervo de Schengen no âmbito da União Europeia, anexo ao Tratado da União Europeia e ao Tratado que institui a Comunidade Europeia, e do n.o 2 do artigo 6.o da Decisão 2002/192/CE do Conselho, de 28 de Fevereiro de 2002, sobre o pedido da Irlanda para participar em algumas das disposições do acervo de Schengen (9).

(45)

Em relação à Islândia e à Noruega, a presente decisão-quadro constitui um desenvolvimento das disposições do acervo de Schengen, na acepção do Acordo celebrado pelo Conselho da União Europeia e a República da Islândia e o Reino da Noruega relativo à associação destes Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen (10), que se insere no domínio a que se referem os pontos H e I do artigo 1.o da Decisão 1999/437/CE do Conselho (11) relativa a determinadas regras de aplicação desse Acordo.

(46)

Em relação à Suíça, a presente decisão-quadro constitui um desenvolvimento das disposições do acervo de Schengen, na acepção do Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen (12), que é abrangido pelo domínio referidos nos pontos H e I do artigo 1.o da Decisão 1999/437/CE, em articulação com o artigo 3.o da Decisão 2008/149/JAI do Conselho (13), respeitante à aprovação daquele Acordo em nome da União Europeia.

(47)

Em relação ao Listenstaine, a presente decisão-quadro constitui um desenvolvimento das disposições do acervo de Schengen, na acepção do Protocolo entre a União Europeia, a Comunidade Europeia, a Confederação Suíça e o Principado do Listenstaine relativo à adesão do Principado do Listenstaine ao Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen, que se insere no domínio a que se refere os pontos H e I do artigo 1.o da Decisão 1999/437/CE, conjugado com o artigo 3.o da Decisão 2008/262/JAI do Conselho (14) relativa à assinatura desse Protocolo em nome da União Europeia.

(48)

A presente decisão-quadro respeita os direitos fundamentais e os princípios estabelecidos, em especial na Carta dos Direitos Fundamentais da União Europeia (15). A presente decisão-quadro procura garantir o cumprimento integral dos direitos ao respeito pela vida privada e à protecção de dados pessoais consignados nos artigos 7.o e 8.o da Carta,

APROVOU A PRESENTE DECISÃO-QUADRO:

Artigo 1.o

Objectivo e âmbito de aplicação

1.   A presente decisão-quadro tem por finalidade garantir um elevado nível de protecção dos direitos e liberdades fundamentais das pessoas singulares e, nomeadamente, do seu direito à privacidade, no que diz respeito ao tratamento de dados pessoais no quadro da cooperação policial e judiciária em matéria penal, prevista no título VI do Tratado da União Europeia, garantindo simultaneamente um elevado nível de segurança pública.

2.   De acordo com a presente decisão-quadro, os Estados-Membros protegem os direitos e as liberdades fundamentais das pessoas singulares e, nomeadamente, o seu direito à privacidade quando, para efeitos de prevenção, investigação, detecção ou repressão de infracções penais ou de execução de sanções penais, os dados pessoais:

a)

São ou foram transmitidos ou disponibilizados entre Estados-Membros;

b)

São ou foram transmitidos ou disponibilizados pelos Estados-Membros às autoridades ou aos sistemas de informação criados com base no título VI do Tratado da União Europeia; ou

c)

São ou foram transmitidos ou disponibilizados às autoridades competentes dos Estados-Membros pelas autoridades ou sistemas de informação criados com base no Tratado da União Europeia ou no Tratado que institui a Comunidade Europeia.

3.   A presente decisão-quadro aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiro ou a ele destinados.

4.   A presente decisão-quadro não prejudica interesses essenciais de segurança nacional nem actividades específicas de informação no domínio da segurança nacional.

5.   A presente decisão-quadro não impede os Estados-Membros de preverem, para a protecção de dados pessoais recolhidos ou tratados a nível nacional, garantias mais alargadas do que as que nela são estabelecidas.

Artigo 2.o

Definições

Para efeitos da presente decisão-quadro, entende-se por:

a)

«Dados pessoais», qualquer informação relativa a uma pessoa singular, identificada ou identificável (titular); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b)

«Tratamento de dados pessoais» e «tratamento», qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o bloqueio, o apagamento ou a destruição;

c)

«Bloqueio», a anotação de dados pessoais arquivados em ficheiro com o objectivo de limitar o seu tratamento no futuro;

d)

«Ficheiro de dados pessoais» e «ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

e)

«Subcontratante» qualquer organismo que trata os dados pessoais por conta do responsável pelo tratamento;

f)

«Destinatário», qualquer organismo a quem os dados sejam divulgados;

g)

«Consentimento do titular», qualquer manifestação de vontade, livre, específica e informada, aceita que os dados pessoais que lhe dizem respeito sejam objecto de tratamento;

h)

«Autoridades competentes», organismos criados pelo Conselho nos termos do título VI do Tratado da União Europeia, bem como as autoridades policiais, aduaneiras, judiciárias e outras autoridades competentes dos Estados-Membros autorizadas pelo direito nacional a tratar dados pessoais para efeitos de aplicação da presente decisão-quadro;

i)

«Responsável pelo tratamento», a pessoa singular ou colectiva, autoridade pública, agência ou qualquer outro órgão que, por si ou em conjunto, determina as finalidades e os meios de tratamento de dados pessoais;

j)

«Anotação», a inserção de uma marca nos dados pessoais armazenados, sem o propósito de limitar o seu futuro tratamento;

k)

«Anonimizar», a transformação de dados pessoais por forma a que não seja possível relacionar dados sobre uma situação pessoal ou material com um titular identificado ou identificável, salvo se for feito um desproporcionado investimento de custos, tempo e mão-de-obra.

Artigo 3.o

Princípios da licitude, proporcionalidade e finalidade

1.   Os dados pessoais podem ser recolhidos pelas autoridades competentes apenas para finalidades especificadas, explícitas e legítimas, no âmbito das suas funções, e podem ser tratados exclusivamente para a finalidade para que foram recolhidos. O tratamento dos dados deve ser lícito e adequado, pertinente e não excessivo em relação à finalidade para que foram recolhidos.

2.   O tratamento posterior para outras finalidades é admissível desde que:

a)

Não seja incompatível com a finalidade determinante da recolha dos dados;

b)

As autoridades competentes estejam autorizadas a tratar esses dados em conformidade com as disposições legislativas que lhes são aplicáveis; e

c)

O tratamento seja necessário e proporcionado para a prossecução dessa finalidade.

Além disso, os dados pessoais transmitidos podem também ser posteriormente tratados, pelas autoridades competentes, para fins históricos, estatísticos ou científicos, desde que os Estados-Membros prevejam garantias adequadas, tais como, anonimizar os dados.

Artigo 4.o

Rectificação, apagamento e bloqueio

1.   Os dados pessoais devem ser rectificados se forem inexactos e, se for possível e necessário, completados e actualizados.

2.   Os dados pessoais são apagados ou anonimizados quando já não forem necessários aos fins para que legalmente foram recolhidos ou posteriormente tratados. O arquivamento destes dados de forma separada e por um período adequado, de acordo com a legislação nacional, não deve ser prejudicado por esta disposição.

3.   Os dados pessoais não são apagados, mas apenas bloqueados, se existirem motivos razoáveis para crer que o seu apagamento pode prejudicar interesses legítimos do titular. Os dados bloqueados só podem ser tratados para as finalidades que impediram o seu apagamento.

4.   Quando os dados pessoais constarem de uma decisão judicial ou de um registo relacionado com uma decisão judicial, a rectificação, o apagamento ou o bloqueio processam-se de acordo com as regras nacionais aplicáveis aos processos judiciais.

Artigo 5.o

Prazos de apagamento e verificação

Devem ser estabelecidos prazos adequados para o apagamento de dados pessoais ou para a fiscalização periódica da necessidade do seu armazenamento. Devem ser previstas modalidades processuais que garantam o cumprimento desses prazos.

Artigo 6.o

Tratamento de categorias específicas de dados

O tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual, apenas é admissível quando tal for absolutamente necessário e desde que a legislação nacional preveja garantias adequadas.

Artigo 7.o

Decisões individuais automatizadas

Uma decisão que produza efeitos negativos na esfera jurídica do titular dos dados ou que afecte de modo significativo, e seja tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, apenas é admissível se o respeito dos interesses legítimos do titular dos dados estiver salvaguardada por lei.

Artigo 8.o

Verificação da qualidade dos dados transmitidos ou disponibilizados

1.   As autoridades competentes tomam todas as medidas adequadas para permitir que os dados pessoais inexactos ou incompletos, ou que tenham deixado de estar actualizados, não sejam transmitidos nem disponibilizados. Para o efeito, devem verificar, na medida do possível, a qualidade dos dados pessoais antes de estes serem transmitidos ou disponibilizados. Assim, em todas as transmissões de dados, devem ser fornecidas, na medida do possível, as informações disponíveis para que o Estado-Membro que as recebe possa apreciar até que ponto os dados são exactos, completos, actuais ou fiáveis. Se os dados pessoais foram transmitidos sem pedido, a autoridade receptora verifica sem demora se esses dados são necessários para os fins para os quais foram transmitidos.

2.   Quando se verifique que foram transmitidos dados inexactos ou que foram transmitidos dados indevidamente, o destinatário deve ser imediatamente informado. Os dados devem ser rectificados, apagados ou bloqueados sem demora de acordo com o artigo 4.o

Artigo 9.o

Prazos

1.   Ao transmitir ou disponibilizar dados, a autoridade que os transmite pode indicar os respectivos prazos de conservação, de acordo com a legislação nacional e com o disposto nos artigos 4.o e 5.o, findos os quais o destinatário deve apagar ou bloquear os dados ou verificar se ainda são necessários. Esta obrigação não se aplica se, no momento da expiração destes prazos, os dados forem necessários para uma investigação em curso, para instaurar uma acção penal ou para a aplicação de sanções penais.

2.   Se a autoridade que transmitiu os dados não tiver indicado um prazo de acordo com o n.o 1, aplicam-se, de acordo com o disposto nos artigos 4.o e 5.o, os prazos de conservação de dados previstos na legislação nacional dos Estados-Membros destinatários.

Artigo 10.o

Registo e documentação

1.   Toda a transmissão de dados pessoais deve ser registada ou documentada para efeitos de verificação da licitude do tratamento, de acompanhamento e de garantia da integridade e segurança dos dados.

2.   Os registos ou a documentação previstos no n.o 1 são transmitidos, a pedido, à autoridade competente para a protecção de dados para efeitos de controlo. A autoridade de supervisão competente só utiliza estas informações para efeitos de controlo e para garantir o seu tratamento adequado, bem como a respectiva integridade e segurança.

Artigo 11.o

Tratamento de dados pessoais transmitidos ou disponibilizados por outro Estado-Membro

Os dados pessoais transmitidos ou disponibilizados pela autoridade competente de outro Estado-Membro, de acordo com o disposto no n.o 2 do artigo 3.o, apenas podem ser tratados posteriormente para fins que não aqueles para os quais foram transmitidos ou disponibilizados nos seguintes casos:

a)

Prevenção, investigação, detecção ou repressão de infracções penais ou execução de sanções penais diferentes das que deram origem à transmissão ou disponibilização;

b)

Outros processos judiciais ou administrativos directamente relacionados com a prevenção, investigação, detecção ou repressão de infracções penais ou execução de sanções penais;

c)

Prevenção de ameaças imediatas e graves à segurança pública; ou

d)

Para quaisquer outros fins, neste caso só com o consentimento prévio do Estado-Membro transmissor ou com o consentimento do titular dos dados, fornecido de acordo com a legislação nacional.

Os dados pessoais transmitidos podem ser também posteriormente tratados pelas autoridades competentes para fins históricos, estatísticos ou científicos, desde que os Estados-Membros prevejam garantias adequadas, como por exemplo, a anonimização dos dados.

Artigo 12.o

Cumprimento de restrições de tratamento nacionais

1.   Quando a legislação do Estado-Membro que transmite os dados prevê, em determinadas circunstâncias, restrições particulares de tratamento aplicáveis à transmissão de dados entre autoridades competentes neste Estado-Membro, a autoridade que transmite os dados informa o destinatário das restrições em vigor. O destinatário deve assegurar que essas restrições ao tratamento sejam cumpridas.

2.   Ao aplicarem o n.o 1, os Estados-Membros devem abster-se de aplicar a outros Estados-Membros ou organismos criados nos termos do título VI do Tratado da União Europeia restrições em matéria de transmissão de dados diferentes das aplicáveis a transmissões semelhantes efectuadas a nível nacional.

Artigo 13.o

Transmissão às autoridades competentes de Estados terceiros ou a organismos internacionais

1.   Os Estados-Membros providenciam por que os dados pessoais transmitidos ou disponibilizados pela autoridade competente de outro Estado-Membro só possam ser transmitidos a Estados terceiros ou a organismos internacionais se:

a)

Tal for necessário para a prevenção, investigação, detecção ou repressão de infracções penais ou para a execução de sanções penais;

b)

A autoridade receptora no Estado terceiro ou o organismo internacional de recepção for responsável pela prevenção, investigação, detecção ou repressão de infracções penais ou pela execução de sanções penais;

c)

O Estado-Membro que forneceu os dados tiver consentido na transferência, de acordo com a sua legislação nacional; e

d)

O Estado terceiro ou o organismo internacional em causa assegurar um nível de protecção adequado para o tratamento previsto dos dados.

2.   A transmissão sem consentimento prévio, nos termos da alínea c) do n.o 1, só é permitida se for essencial para prevenir uma ameaça imediata e grave à segurança pública de um Estado-Membro ou de um Estado terceiro, ou se for do interesse fundamental de um Estado-Membro e o consentimento prévio não puder ser obtido em tempo útil. A autoridade responsável por dar tal consentimento deve ser informada do facto sem demora.

3.   Em derrogação da alínea d) do n.o 1, os dados pessoais podem ser transmitidos se:

a)

A legislação nacional do Estado-Membro que transmite os dados assim o previr tendo em conta:

i)

interesses legítimos específicos do titular dos dados, ou

ii)

interesses superiores legítimos, especialmente interesses públicos importantes; ou

b)

O Estado terceiro ou o organismo internacional de recepção previr as salvaguardas que sejam consideradas adequadas pelo Estado-Membro transmissor de acordo com a sua legislação nacional.

4.   A adequação do nível de protecção referido na alínea d) do n.o 1 é apreciada em função de todas as circunstâncias inerentes à transmissão ou o conjunto de operações de transmissão de dados. São, especialmente, tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, o país de origem e o Estado ou organismo internacional de destino final dos dados, as regras de direito — gerais ou sectoriais — em vigor no Estado terceiro ou organismo internacional em causa, bem como as regras profissionais e as medidas de segurança aplicáveis.

Artigo 14.o

Transmissão a particulares nos Estados-Membros

1.   Os Estados-Membros providenciam por que os dados pessoais recebidos ou disponibilizados pela autoridade competente de outro Estado-Membro só possam ser transmitidos a particulares se:

a)

A autoridade competente do Estado-Membro que forneceu os dados tiver consentido em que estes sejam transmitidos de acordo com a sua legislação;

b)

Não existirem interesses legítimos específicos do titular dos dados que impeçam a transmissão dos dados; e

c)

Em determinados casos, a transferência for essencial à autoridade competente que transmite os dados a um particular tendo em vista:

i)

o desempenho das funções que lhe incubem legitimamente,

ii)

a prevenção, investigação, detecção ou repressão de infracções penais ou a execução de sanções penais,

iii)

a prevenção de uma ameaça imediata e grave à segurança pública, ou

iv)

a prevenção de danos graves aos direitos dos indivíduos.

2.   A autoridade competente que transmita dados a particulares informa-os das finalidades para as quais os dados podem ser utilizados.

Artigo 15.o

Informações a pedido da autoridade competente

O destinatário pode, a pedido, prestar à autoridade competente que transmitiu ou disponibilizou os dados pessoais informações sobre o seu tratamento.

Artigo 16.o

Informação do titular dos dados

1.   Os Estados-Membros garantem que o titular dos dados seja informado da recolha ou tratamento dos seus dados pessoais pelas autoridades competentes do seu Estado de origem, em conformidade com a legislação nacional respectiva.

2.   Se tiverem sido transmitidos ou disponibilizados dados pessoais entre Estados-Membros, cada um deles pode, de acordo com as disposições da sua legislação nacional a que se refere o n.o 1, solicitar ao outro Estado-Membro que não informe o titular dos dados. Nesse caso, este último não informa o titular dos dados sem o consentimento prévio do primeiro.

Artigo 17.o

Direito de acesso

1.   A seu pedido, os titulares dos dados têm o direito de receber, a intervalos razoáveis, sem entraves, sem demora indevida e sem custos:

a)

Pelo menos a confirmação do responsável pelo tratamento ou da autoridade nacional de controlo de que tenham ou não sido transmitidos ou disponibilizados dados que lhes digam respeito, bem como informações sobre os destinatários ou categorias de destinatários aos quais foram comunicados os dados e a natureza dos dados sujeitos a tratamento; ou

b)

Pelo menos, a confirmação da autoridade nacional de controlo de que foram efectuadas todas as verificações necessárias.

2.   Os Estados-Membros podem adoptar medidas legislativas que restrinjam o acesso às informações, nos termos da alínea a) do n.o 1, caso tais restrições, tendo devidamente em conta os interesses legítimos do titular dos dados, constituam uma medida necessária e proporcionada:

a)

Para evitar que constituam um entrave aos inquéritos, investigações ou procedimentos oficiais ou legais;

b)

Para evitar prejudicar a prevenção, detecção, investigação ou repressão de infracções penais ou a execução de sanções penais;

c)

Para proteger a segurança pública;

d)

Para proteger a segurança nacional;

e)

Para proteger o titular dos dados ou os direitos e liberdades de terceiros.

3.   Qualquer recusa ou restrição de acesso é comunicada por escrito ao titular dos dados, que é simultaneamente informado dos motivos factuais ou legais em que se baseia a decisão tomada. Esta comunicação pode não ser obrigatória caso se verifique algum dos motivos invocados nas alíneas a) a e) do n.o 2. Em todos os outros casos, o titular dos dados deve ser informado de que pode recorrer para a autoridade nacional de controlo competente, uma autoridade judiciária ou um tribunal.

Artigo 18.o

Direito de rectificação, apagamento ou bloqueamento

1.   O titular dos dados tem o direito de esperar que o responsável pelo tratamento cumpra as suas obrigações, estabelecidas nos artigos 4.o, 8.o e 9.o, de rectificar, apagar ou bloquear os dados pessoais em conformidade com a presente decisão-quadro. Os Estados-Membros devem estipular se o titular dos dados pode invocar esse direito directamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente. Se o responsável pelo tratamento recusar a rectificação, apagamento ou bloqueamento, essa recusa deve ser comunicada por escrito e o titular dos dados deve ser informado das possibilidades previstas na legislação nacional de apresentar queixa ou de interpor recurso. Quando se proceder à análise da queixa ou do pedido de recurso, a pessoa em causa deve ser informada se o responsável pelo tratamento agiu correctamente ou não. Os Estados-Membros podem igualmente prever que a pessoa em causa só seja informada pela autoridade nacional de controlo competente de que foi efectuada uma revisão.

2.   Se o titular dos dados contestar a exactidão de um dado pessoal e não possa ser apurado se o dado é exacto ou não, pode ser efectuada uma anotação.

Artigo 19.o

Direito a indemnização

1.   Qualquer pessoa que tenha sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto incompatível com as disposições nacionais de execução da presente decisão-quadro tem o direito de obter do responsável pelo controlo ou de outra autoridade competente nos termos da legislação nacional a reparação devida pelo prejuízo sofrido.

2.   Se uma autoridade responsável de um Estado-Membro tiver transmitido dados pessoais, o destinatário não pode invocar a inexactidão dos dados transmitidos para se ilibar da responsabilidade que lhe incumbe face ao lesado nos termos do seu direito nacional. Se o destinatário pagar uma indemnização por danos causados pela utilização de dados indevidamente transmitidos, a autoridade transmissora reembolsa o destinatário do montante da indemnização paga por danos, tendo em conta qualquer falta que possa ser imputada a este último.

Artigo 20.o

Recursos

Sem prejuízo de quaisquer recursos administrativos previamente a um recurso contencioso, deve assistir ao titular dos dados pessoais o direito de recorrer judicialmente em caso de violação dos direitos garantidos pela legislação nacional.

Artigo 21.o

Confidencialidade do tratamento

1.   As pessoas que tenham acesso a dados pessoais abrangidos pelo âmbito de aplicação da presente decisão-quadro só podem proceder ao seu tratamento na qualidade de membros ou mediante instruções da autoridade competente, a não ser que actuem no cumprimento de obrigações legais.

2.   As pessoas encarregadas de trabalhar para a autoridade competente de um Estado-Membro estão sujeitas a todas as disposições em matéria de protecção de dados aplicáveis à autoridade competente em causa.

Artigo 22.o

Segurança do tratamento

1.   Os Estados-Membros estabelecem que as autoridades competentes devem pôr em prática medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por uma rede ou a sua disponibilização através da concessão de acesso directo automatizado, e contra qualquer outra forma de tratamento ilícito. Neste contexto, há que tomar em consideração, em especial, os riscos apresentados pelo tratamento e a natureza dos dados a proteger. Estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.

2.   No que diz respeito ao tratamento automatizado de dados, cada Estado-Membro aplica medidas destinadas a:

a)

Impedir o acesso de qualquer pessoa não autorizada ao equipamento utilizado para o tratamento de dados pessoais (controlo do acesso ao equipamento);

b)

Impedir que os suportes de dados possam ser lidos, copiados, alterados ou retirados por uma pessoa não autorizada (controlo dos suportes de dados);

c)

Impedir a introdução não autorizada de dados no arquivo, bem como qualquer tomada de conhecimento, alteração ou apagamento não autorizados de dados pessoais inseridos no arquivo (controlo do arquivo de dados);

d)

Impedir que os sistemas de tratamento automatizado de dados sejam utilizados por pessoas não autorizadas por meio de equipamento de transmissão de dados (controlo da utilização);

e)

Garantir que as pessoas autorizadas a utilizar o sistema de tratamento automatizado de dados apenas tenham acesso aos dados abrangidos pela sua autorização de acesso (controlo do acesso aos dados);

f)

Garantir que seja possível verificar e estabelecer a que instâncias os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados (controlo da transmissão);

g)

Garantir que seja possível verificar e estabelecer a posteriori quais os dados pessoais introduzidos nos sistemas de tratamento automatizado de dados, quando e por quem (controlo da introdução);

h)

Impedir que os dados pessoais possam ser lidos, copiados, alterados ou suprimidos por uma pessoa não autorizada durante transferências de dados pessoais ou durante o transporte de suportes de dados (controlo do transporte);

i)

Assegurar que os sistemas utilizados possam ser reparados em caso de avaria (recuperação do equipamento); e

j)

Assegurar que o sistema funcione, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados arquivados não sejam falseados por quaisquer erros de funcionamento do sistema (integridade).

3.   Os Estados-Membros estabelecem que o subcontratante só pode ser designado se oferecer garantias suficientes de que toma as medidas de segurança técnica e de organização necessárias a que se refere o n.o 1 e cumpre as instruções previstas no artigo 21.o. Nesse sentido, a autoridade competente deve fiscalizar o subcontratante.

4.   Os dados pessoais só podem ser tratados por um subcontratante com base num acto jurídico ou num contrato escrito.

Artigo 23.o

Consulta prévia

Os Estados-Membros asseguram que as autoridades nacionais competentes sejam consultadas antes de se proceder ao tratamento de dados pessoais que farão parte de um novo ficheiro a criar, sempre que:

a)

Sejam tratadas categorias específicas de dados a que se refere o artigo 6.o; ou

b)

O tipo de tratamento, nomeadamente em virtude do recurso a novas tecnologias, mecanismos ou procedimentos, encerre outros riscos específicos para os direitos e as liberdades fundamentais e, em particular, para a vida privada das pessoas em causa.

Artigo 24.o

Sanções

Os Estados-Membros tomam as medidas adequadas para garantir a aplicação integral das disposições da presente decisão-quadro e determinam, nomeadamente, sanções efectivas, proporcionadas e dissuasivas, a aplicar em caso de violação das disposições de execução aprovadas nos termos da presente decisão-quadro.

Artigo 25.o

Autoridades nacionais de controlo

1.   Os Estados-Membros estabelecem que uma ou várias autoridades públicas são responsáveis pelo aconselhamento e pela fiscalização da aplicação no seu território das disposições adoptadas pelos Estados-Membros nos termos da presente decisão-quadro. Essas autoridades agem com total independência no exercício das funções que lhes são atribuídas.

2.   Cada autoridade de controlo dispõe, nomeadamente:

a)

De poderes de inquérito, tais como o poder de aceder aos dados objecto de tratamento e de recolher todas as informações necessárias ao desempenho das suas funções de controlo;

b)

De poderes efectivos de intervenção, tais como, por exemplo, o de emitir pareceres antes de se proceder ao tratamento de dados e de garantir a publicação adequada desses pareceres, o de ordenar o bloqueamento, o apagamento ou a destruição dos dados, o de proibir temporária ou definitivamente o tratamento, o de dirigir uma advertência ou uma censura ao responsável pelo tratamento ou o de remeter a questão para os parlamentos nacionais ou para outras instituições políticas;

c)

Do poder de intervir em processos judiciais em caso de violação das disposições nacionais aprovadas nos termos da presente decisão-quadro, ou de levar essas infracções ao conhecimento das autoridades judiciais. As decisões da autoridade de controlo que ocasionem a apresentação de queixas são passíveis de recurso jurisdicional.

3.   Qualquer pessoa pode apresentar à autoridade de controlo um pedido de protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais. A pessoa em causa é informada do seguimento dado ao seu pedido.

4.   Os Estados-Membros determinam que os membros e agentes das autoridades de controlo também fiquem sujeitos às disposições em matéria de protecção de dados aplicáveis às respectivas autoridades competentes e, mesmo após a cessação das suas actividades, à obrigação de segredo profissional em relação às informações confidenciais a que tenham acesso.

Artigo 26.o

Relação com acordos celebrados com Estados terceiros

A presente decisão-quadro não prejudica as obrigações nem os compromissos assumidos pelos Estados-Membros ou pela União Europeia em virtude de acordos bilaterais e/ou multilaterais com Estados terceiros existentes à data de aprovação da presente decisão-quadro.

Em aplicação desses acordos, a transferência de dados pessoais obtidos de outro Estado-Membro para um Estado terceiro é efectuada respeitando, consoante aplicável, o disposto na alínea c) do n.o 1 ou no n.o 2 do artigo 13.o

Artigo 27.o

Avaliação

1.   Até 27 de Novembro de 2013 os Estados-Membros apresentam à Comissão um relatório sobre as medidas nacionais que tenham adoptado para assegurar plena conformidade com a presente decisão-quadro, incluindo as disposições que haverá que cumprir no momento da recolha dos dados. A Comissão analisa, em particular, as implicações das disposições sobre o âmbito de aplicação da presente decisão-quadro, previstas no n.o 2 do artigo 1.o

2.   No prazo de um ano a contar da avaliação a que se refere o n.o 1, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório acompanhando-o das propostas de alteração adequadas à presente decisão-quadro.

Artigo 28.o

Relação com actos anteriormente aprovados pela União

Sempre que, em actos aprovados ao abrigo do título VI do Tratado da União Europeia antes da data de entrada em vigor da presente decisão-quadro e que regulamentem a transferência de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas pelos Estados-Membros a sistemas de informação criados ao abrigo do Tratado que institui a Comunidade Europeia, sejam estabelecidas condições específicas quanto à utilização desses dados pelo Estado-Membro a que se destinam, essas condições prevalecem sobre as disposições da presente decisão-quadro que digam respeito à utilização de dados fornecidos ou disponibilizados por outro Estado-Membro.

Artigo 29.o

Execução

1.   Os Estados-Membros tomam as medidas necessárias para dar cumprimento à presente decisão-quadro antes de 27 de Novembro de 2010.

2.   Até essa data, os Estados-Membros transmitirão ao Secretariado-Geral do Conselho e à Comissão o texto das disposições que transpõem para o direito nacional as obrigações que lhes incumbem por força da presente decisão-quadro, bem como as informações sobre a autoridade ou as autoridades de controlo a que se refere o artigo 25.o. Com base nessas informações e num relatório da Comissão, o Conselho examinará, antes de 27 de Novembro de 2011, em que medida os Estados-Membros tomaram as iniciativas necessárias para dar cumprimento à presente decisão-quadro.

Artigo 30.o

Entrada em vigor

A presente decisão-quadro entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Feito em Bruxelas, em 27 de Novembro de 2008.

Pelo Conselho

A Presidente

M. ALLIOT-MARIE


(1)  JO C 125 E de 22.5.2008, p. 154.

(2)  JO C 198 de 12.8.2005, p. 1.

(3)  JO L 281 de 23.11.1995, p. 31.

(4)  JO L 8 de 12.1.2001, p. 1.

(5)  JO L 201 de 31.7.2002, p. 37.

(6)  JO L 69 de 16.3.2005, p. 67.

(7)  JO L 210 de 6.8.2008, p. 1.

(8)  JO L 131 de 1.6.2000, p. 43.

(9)  JO L 64 de 7.3.2002, p. 20.

(10)  JO L 176 de 10.7.1999, p. 36.

(11)  JO L 176 de 10.7.1999, p. 31.

(12)  JO L 53 de 27.2.2008, p. 52.

(13)  JO L 53 de 27.2.2008, p. 50.

(14)  JO L 83 de 26.3.2008, p. 5.

(15)  JO C 303 de 14.12.2007, p. 1.


Top