1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/1

1.

Em 20 de Setembro de 2010, a Comissão Europeia adoptou uma proposta de Regulamento sobre a comercialização e utilização de precursores de explosivos (3) (a seguir designada «a proposta»). Em 11 de Novembro de 2010, a proposta, tal como adoptada pela Comissão, foi enviada à AEPD para consulta, em conformidade com o artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001. A AEPD congratula-se com o facto de ter sido consultada pela Comissão e de ser feita referência a essa consulta nos considerandos da proposta.

2.

O principal objectivo das medidas propostas é reduzir os riscos de ataques levados a cabo por terroristas ou outros criminosos com engenhos explosivos caseiros. Para este efeito, o regulamento limita o acesso das pessoas em geral a determinados produtos químicos que possam ser utilizados como precursores de explosivos caseiros. Além disso, a proposta sujeita a venda desses produtos a um controlo mais rigoroso através da comunicação de transacções suspeitas e de furtos.

3.

No presente parecer, a AEPD chama a atenção dos legisladores para várias questões pertinentes em matéria de protecção de dados e formula recomendações para garantir o direito fundamental à protecção dos dados pessoais.

4.

A proposta incide sobre os problemas da utilização ilícita de determinados produtos químicos, amplamente disponíveis no mercado e ao alcance do grande público, como precursores de explosivos caseiros. Os artigos 4.o e 5.o da proposta tratam da proibição da venda ao público em geral, a qual é combinada com um regime de concessão de licenças e com a exigência de registo de todas as transacções licenciadas. O artigo 6.o exige que os operadores económicos comuniquem as transacções suspeitas e os furtos. Por último, o artigo 7.o aborda a necessidade de protecção de dados.

5.

Passará a ser proibida a venda ao público de determinados produtos químicos acima de certos limiares de concentração. Só será permitido vender esses produtos em concentrações superiores a utilizadores que possam provar uma necessidade legítima para a sua utilização.

6.

O âmbito da proibição limita-se a uma pequena lista de substâncias químicas e suas misturas (ver anexo I da proposta) e à venda dessas substâncias ao público em geral. As restrições não são aplicáveis a utilizadores profissionais ou em transacções entre empresas. Além disso, a venda ao público das substâncias incluídas nessa lista é limitada apenas acima de determinados níveis de concentração e elas podem continuar a ser adquiridas mediante a apresentação de uma licença concedida por uma entidade pública (que certifique a utilização legítima). Por último, é aplicável uma excepção aos agricultores, que podem adquirir nitrato de amónio para utilização como adubos sem para isso necessitarem de uma licença, independentemente dos limiares de concentração.

7.

Também são necessárias licenças sempre que se pretenda importar substâncias incluídas nessa lista para a União Europeia.

8.

Os operadores económicos que coloquem uma substância ou mistura à disposição do titular de uma licença têm o dever de verificar a licença apresentada e de manter um registo da transacção.

9.

Cada Estado-Membro é obrigado a adoptar as normas aplicáveis à concessão das licenças. A autoridade competente do Estado-Membro deve recusar-se a conceder a licença ao requerente se existirem motivos razoáveis para duvidar da licitude da utilização declarada. As licenças emitidas são válidas em todos os Estados-Membros. A Comissão pode elaborar orientações sobre as especificações técnicas das licenças, a fim de contribuir para o seu reconhecimento mútuo.

10.

A venda de uma gama mais ampla de produtos químicos que suscitam preocupação (os incluídos no anexo II, complementarmente aos que constam do anexo I, já sujeitos à exigência de licenciamento) será objecto de comunicação em caso de transacções suspeitas e de furtos.

11.

A proposta exige que cada Estado-Membro designe um ponto de contacto nacional (com um número de telefone e endereço electrónico bem claros) para a comunicação de transacções suspeitas e de furtos. Os operadores económicos são obrigados a comunicar sem demora quaisquer transacções suspeitas e furtos, mencionando, se possível, a identidade do cliente.

12.

A Comissão deve elaborar e actualizar orientações destinadas a auxiliar os operadores económicos a reconhecerem e notificarem transacções suspeitas. As orientações incluirão também actualizações regulares de uma lista de substâncias adicionais, não incluídas no anexo I nem no anexo II, relativamente às quais se incentiva a comunicação voluntária de transacções suspeitas e de furtos.

13.

O considerando 11 e o artigo 7.o exigem que o tratamento de dados pessoais efectuado ao abrigo do regulamento respeite sempre a legislação da UE em matéria de protecção de dados, nomeadamente a Directiva 95/46/CE (4), e as normas nacionais de aplicação dessa directiva. A proposta não contém outras disposições relativas à protecção de dados.

14.

A comunicação de transacções suspeitas e de furtos e o regime de concessão de licenças e de registo previstos no regulamento implicam o tratamento de dados pessoais. Ambos implicam — pelo menos até certo ponto — uma interferência no direito à privacidade e à protecção dos dados pessoais, exigindo, por isso, garantias adequadas.

15.

A AEPD congratula-se por a proposta conter uma disposição específica (artigo 7.o) sobre a protecção de dados. Dito isto, esta disposição única — e muito geral — prevista na proposta é insuficiente para responder adequadamente às preocupações em matéria de protecção de dados suscitadas pelas medidas propostas. Além disso, os artigos pertinentes da proposta (artigo 4.o, 5.o e 6.o) também não descrevem de forma suficientemente pormenorizada as especificidades das operações de tratamento de dados previstas.

16.

A título de exemplo, no que respeita à concessão de licenças, o regulamento exige que os operadores económicos mantenham um registo das transacções licenciadas, sem especificar, todavia, que dados pessoais esses registos devem conter, por quanto tempo deverão ser conservados, a quem podem ser revelados e em que condições. Além disso, também não se especifica que dados serão recolhidos aquando do tratamento dos pedidos de licenças.

17.

Quanto à exigência de comunicar as transacções suspeitas e os furtos, a proposta estabelece uma obrigação de comunicação, sem especificar, todavia, o que constitui uma transacção suspeita, que dados pessoais devem ser comunicados, por quanto tempo as informações comunicadas devem ser conservadas, a quem podem ser reveladas e em que condições. Além disso, não dá quaisquer outras informações sobre os «pontos de contacto nacionais» a designar, nem sobre uma eventual base de dados que estes pontos de contacto possam estabelecer para os seus Estados-Membros, ou sobre uma base de dados que possa vir a ser estabelecida a nível da UE.

18.

Do ponto de vista da protecção de dados, a recolha de dados sobre as transacções suspeitas é a questão mais sensível da proposta. As disposições pertinentes devem ser clarificadas de modo a assegurar que o tratamento de dados se mantém proporcionado e a evitar abusos. Para o efeito, devem especificar-se claramente as condições de tratamento dos dados e aplicar-se garantias adequadas.

19.

É importante salientar que os dados não devem ser utilizados para qualquer outro fim para além da luta contra o terrorismo (e outros crimes que envolvam a má utilização de produtos químicos para produzir engenhos explosivos caseiros). Os dados também não devem ser conservados durante longos períodos, sobretudo se o número de destinatários potenciais ou reais for grande e/ou se forem utilizados para prospecção de dados. Este aspecto torna-se ainda mais importante nos casos em que é possível demonstrar que a suspeita inicial carecia de fundamento. Nesses casos, tem de haver uma justificação específica para prolongar a conservação. A título ilustrativo, a AEPD menciona, neste contexto, a decisão do Tribunal Europeu dos Direitos do Homem no processo de S e Marper contra o Reino Unido (2008) (5), segundo o qual a conservação prolongada do ADN de pessoas sem antecedentes criminais violava o seu direito à privacidade, consagrado no artigo 8.o da Convenção Europeia dos Direitos do Homem.

20.

Por estas razões, a AEPD recomenda que os artigos 5.o, 6.o e 7.o da proposta contenham disposições adicionais, mais específicas, que respondam adequadamente a estas preocupações. Serão a seguir apresentadas algumas recomendações específicas.

21.

Além disso, também se deve considerar se é possível estabelecer disposições específicas e mais pormenorizadas numa decisão de execução da Comissão em conformidade com os artigos 10.o, 11.o e 12.o da proposta, para abordar outras questões de protecção de dados a nível prático.

22.

Por último, a AEPD recomenda também que as orientações da Comissão sobre as transacções suspeitas e as especificações técnicas das licenças incluam disposições mais específicas em matéria de tratamento e de protecção de dados. Tanto as orientações como uma eventual decisão de execução no domínio da protecção de dados devem ser adoptadas após consulta da AEPD e — sempre que esteja em causa a execução a nível nacional — do Grupo de Trabalho de Protecção de Dados do Artigo 29.o. O próprio regulamento deve prevê-lo claramente e enumerar especificamente as principais questões a abordar nas orientações/decisão de execução.

23.

A AEPD recomenda que o artigo 5.o do regulamento deve especificar um prazo máximo de conservação (prima facie, não superior a dois anos), bem como as categorias de dados pessoais a registar (que não excedam o nome, o número da licença e os artigos adquiridos). Estas recomendações decorrem do princípio da necessidade e proporcionalidade: a recolha e a conservação de dados pessoais devem ser limitadas ao estritamente necessário para os fins em vista (ver artigo 6.o, alíneas c) e e), da Directiva 95/46/CE). Se essas especificações forem deixadas ao direito ou à prática nacionais, é provável que isso conduza a incertezas desnecessárias e a um tratamento, na prática, desigual de situações semelhantes.

24.

Além disso, o artigo 5.o do regulamento também deve proibir expressamente — em relação ao processo de concessão de licenças — a recolha e o tratamento de «certas categorias específicas de dados» (definidas no artigo 8.o da Directiva 95/46/CE), tais como, nomeadamente, dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas.

25.

Essa proibição também deverá contribuir para assegurar que os requerentes não sejam tratados de forma discriminatória em virtude, por exemplo, da sua raça, nacionalidade, filiação política ou religião. Neste contexto, a AEPD salienta que a garantia de um nível elevado de protecção de dados também é uma forma de contribuir para o combate ao racismo, à xenofobia e à discriminação, o qual pode contribuir, por seu turno, para prevenir a radicalização e o recrutamento para fins terroristas.

26.

O regulamento dispõe que os pedidos de licença devem ser recusados se existirem motivos razoáveis para duvidar da licitude da utilização declarada. Neste aspecto, será útil que as orientações ou a decisão de execução especifiquem os dados que podem ser recolhidos pelas autoridades de licenciamento no âmbito do pedido de licença.

27.

As orientações ou a decisão de execução devem prever que os registos apenas sejam revelados a autoridades competentes para a aplicação da lei que estejam a investigar actividades terroristas ou outras suspeitas de utilização criminosa de precursores de explosivos. As informações não devem ser utilizadas para quaisquer outros fins (ver artigo 6.o, alínea b), da Directiva 95/46/CE).

28.

A AEPD recomenda ainda que se especifique nas orientações ou na decisão de execução que a autoridade de licenciamento — que é a mais bem posicionada para transmitir esse aviso directamente às pessoas em causa — deve informar os titulares das licenças que as suas aquisições serão registadas e poderão ser objecto de comunicação caso sejam consideradas «suspeitas» (ver artigos 10.o e 11.o da Directiva 95/46/CE).

29.

A AEPD recomenda que o papel e a natureza dos pontos de contacto nacionais sejam clarificados na proposta. A avaliação de impacto refere, no n.o 6.33, a possibilidade de esses pontos de contacto poderem ser não só «autoridades policiais» mas também «associações». Os documentos legislativos não fornecem mais informações a este respeito. Esta questão deve ser clarificada, em especial, no artigo 6.o, n.o 2, da proposta. Em princípio, os dados devem ficar na posse das autoridades policiais e, se isso não acontecer, as respectivas razões devem ser justificadas de forma muito clara.

30.

Além disso, o artigo 6.o do regulamento deve especificar os dados pessoais a registar (que não excedam o nome, o número da licença, os artigos adquiridos e os motivos da suspeita). Estas recomendações decorrem do princípio da necessidade e proporcionalidade: a recolha de dados pessoais deve ser limitada ao estritamente necessário para os fins em vista (ver artigo 6.o, alínea c), da Directiva 95/46/CE). Neste contexto, são aplicáveis considerações semelhantes às expressas no n.o 23.

31.

O artigo 6.o do regulamento também deve proibir expressamente — em relação ao procedimento de comunicação — a recolha e o tratamento de «certas categorias específicas de dados» (definidas no artigo 8.o da Directiva 95/46/CE) tais como, nomeadamente, dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas (ver também n.os 24 e 25).

32.

Por último, o artigo 6.o deve estabelecer um período máximo de conservação dos dados, tendo em conta as finalidades do seu armazenamento. A AEPD recomenda que — a menos que uma transacção suspeita ou um furto tenha conduzido a uma investigação específica e esta ainda esteja em curso — todas as transacções suspeitas e os furtos comunicados devem ser eliminados da base de dados no fim de um prazo estabelecido (prima facie, o mais tardar dois anos a contar da data de comunicação). Esta medida deverá contribuir para assegurar que, nos casos em que a suspeita não foi confirmada (ou mesmo objecto de investigação posterior), as pessoas inocentes não ficam incluídas numa «lista negra» e «sob suspeita» durante um período excessivamente longo (ver artigo 6.o, alínea e), da Directiva 95/46/CE). Em qualquer caso, devem evitar-se divergências excessivas nesta matéria a nível nacional.

33.

Esta limitação é igualmente necessária para garantir o princípio da qualidade dos dados (ver artigo 6.o, alínea d), da Directiva 95/46/CE), bem como outros princípios jurídicos importantes, como a presunção de inocência. Assim, não só as pessoas poderão ser mais adequadamente protegidas, como se permitirá também que a aplicação da lei se concentre mais eficazmente nos casos de maior gravidade, em que é provável que a suspeita venha a confirmar-se.

34.

A proposta não define o que se entende por transacção «suspeita». Contudo, o artigo 6.o, n.o 6, alínea a), da proposta prevê que a Comissão «elabora e actualiza orientações» e fornece informações sobre «o modo de reconhecer e notificar transacções suspeitas».

35.

A AEPD congratula-se por a proposta exigir que a Comissão elabore orientações. Estas devem ser suficientemente claras e concretas, evitando uma interpretação demasiado extensiva, a fim de minimizar a comunicação de dados pessoais às autoridades policiais e prevenir as práticas arbitrárias e discriminatórias, por exemplo, em virtude da raça, nacionalidade, filiação política ou religião.

36.

As orientações/normas de execução devem prever ainda a segurança e a confidencialidade das informações e que estas só sejam reveladas a autoridades competentes para a aplicação da lei que estejam a investigar actividades terroristas ou outras suspeitas de utilização criminosa de precursores de explosivos. As informações não devem ser utilizadas para outros fins, por exemplo, para as autoridades fiscais ou da imigração investigarem questões que não estejam relacionadas com essas actividades.

37.

As orientações/decisão de execução devem especificar complementarmente quem deve ter acesso aos dados recebidos (e armazenados) pelos pontos de contacto nacionais. O acesso e a divulgação dos dados devem ser estritamente limitados à necessidade de informação. A publicação de uma lista de possíveis destinatários também deve ser considerada.

38.

As orientações/decisão de execução devem prever os direitos de acesso das pessoas em causa, incluindo, se for caso disso, a possibilidade de rectificar ou apagar os seus dados (ver artigos 12.o a 14.o da Directiva 95/46/CE). A existência deste direito — ou de eventuais excepções ao mesmo nos termos do artigo 13.o — pode ter implicações importantes. Por exemplo, nos termos das regras gerais aplicáveis, a pessoa em causa também tem o direito de saber se a sua transacção foi comunicada como sendo suspeita. No entanto, a (eventual) utilização deste direito poderia impedir o vendedor de precursores de explosivos de comunicar as transacções suspeitas do comprador. Consequentemente, quaisquer excepções devem ser claramente justificadas e especificamente estabelecidas, de preferência no regulamento, ou em qualquer caso, nas orientações/decisão de execução. Também deve ser previsto um mecanismo de recurso, com o envolvimento dos pontos de contacto nacionais.

39.

A AEPD congratula-se com o facto de o artigo 16.o da proposta prever uma revisão do regulamento [5 anos após a adopção]. Na verdade, a AEPD entende que os novos instrumentos devem comprovar, em revisões periódicas, que continuam a constituir um meio eficaz de luta contra o terrorismo (e outras actividades criminosas). A AEPD recomenda que o regulamento preveja especificamente que, nessas revisões, a eficácia do regulamento, bem como os seus efeitos sobre os direitos fundamentais, incluindo a protecção de dados, devem ser igualmente tomados em consideração.

40.

A AEPD recomenda que se adicionem à proposta outras disposições, mais específicas, que respondam adequadamente às preocupações em matéria de protecção de dados. Além disso, as orientações da Comissão relativas às transacções suspeitas e às especificações técnicas das licenças — bem como uma decisão de execução relativa à protecção de dados que venha a ser tomada — também devem incluir disposições mais específicas sobre o tratamento e a protecção de dados. As orientações (e a eventual decisão de execução) devem ser adoptadas após consulta da AEPD e — se for caso disso — do Grupo de Trabalho do artigo 29.o com representantes das autoridades de protecção de dados dos Estados-Membros.

41.

O artigo 5.o do regulamento deve especificar um prazo máximo de conservação (prima facie, não superior a dois anos) para as transacções registadas, bem como as categorias de dados pessoais a registar (que não excedam o nome, o número da licença e os artigos adquiridos). O tratamento de certas categorias específicas de dados deve ser expressamente proibido.

42.

O papel e a natureza dos pontos de contacto devem ser clarificados no artigo 6.o da proposta. Esta disposição também deve especificar um prazo máximo de conservação para os dados comunicados sobre as transacções suspeitas (prima facie, não superior a dois anos), bem como para os dados pessoais a registar (que não excedam o nome, o número da licença, os artigos adquiridos e os motivos da suspeita). O tratamento de certas categorias específicas de dados deve ser expressamente proibido.

43.

Além disso, as orientações/decisão de execução devem especificar os dados que podem ser recolhidos pelas autoridades de licenciamento no âmbito do pedido de licença e limitar claramente as finalidades para as quais os dados podem ser utilizados. Devem aplicar-se também disposições semelhantes aos registos de transacções suspeitas. As orientações/decisão de execução devem especificar que a autoridade de licenciamento tem de informar os titulares de licenças que as suas aquisições serão registadas e poderão ser objecto de comunicação caso sejam consideradas «suspeitas». Devem especificar igualmente quem terá acesso aos dados recebidos (e armazenados) pelos pontos de contacto nacionais. O acesso e a divulgação dos dados devem ser estritamente limitados à necessidade de informação. Devem atribuir ainda direitos de acesso adequados às pessoas em causa, estabelecendo e justificando claramente eventuais excepções.

44.

A eficácia das medidas previstas deve ser periodicamente revista, tomando-se também em consideração o seu impacto na privacidade.

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/6

1.

Em 22 de Novembro de 2010, a Comissão adoptou uma Comunicação intitulada A Estratégia de Segurança Interna da UE em Acção: cinco etapas para uma Europa mais segura (a seguir designada a «Comunicação») (3). A Comunicação foi enviada à AEPD para consulta.

2.

A AEPD congratula-se com o facto de ter sido consultado pela Comissão. Ainda antes da adopção da Comunicação, a AEPD teceu comentários informais sobre o projecto de texto, alguns dos quais foram tidos em conta na versão final da Comunicação.

3.

A Estratégia de Segurança Interna da UE (a seguir designada ESI), objecto da Comunicação, foi adoptada em 23 de Fevereiro de 2010, sob a Presidência espanhola (4). A estratégia define um modelo de segurança europeu, que integra, nomeadamente, a acção da cooperação entre autoridades policiais e judiciais, a gestão das fronteiras e a protecção civil, no respeito dos valores comuns europeus, como os direitos fundamentais. Os seus principais objectivos são os seguintes:

4.

A Estratégia de Segurança Interna pretende responder às ameaças e desafios mais prementes, como a criminalidade grave e organizada, o terrorismo e a cibercriminalidade, a gestão das fronteiras externas da UE e o fomento da capacidade de resistência às catástrofes naturais e de origem humana. A Estratégia fornece orientações, princípios e rumos para a UE dar resposta a estas questões e convida a Comissão a propor acções calendarizadas para a execução da estratégia.

5.

Neste contexto, importa ainda referir as conclusões do recente Conselho «Justiça e Assuntos Internos» sobre a criação e implementação de um ciclo político da UE para a criminalidade internacional grave e organizada, adoptadas em 8-9 de Novembro de 2010 (5) (a seguir designadas «conclusões de Novembro de 2010»). Este documento dá seguimento às conclusões do Conselho sobre a arquitectura da segurança interna, de 2006 (6), e apela ao Conselho e à Comissão para definirem uma estratégia global de segurança interna da UE baseada nos valores e princípios comuns consagrados na Carta dos Direitos Fundamentais da UE (7).

6.

De entre as orientações e objectivos que devem presidir à execução da Estratégia de Segurança Interna, as conclusões de Novembro de 2010 referem uma reflexão sobre uma abordagem proactiva e baseada na informação, uma estreita cooperação entre as agências da União, nomeadamente graças a um melhor intercâmbio de informações, e a prossecução do objectivo de sensibilizar os cidadãos para a importância do trabalho desenvolvido pela União para os proteger. As conclusões instam ainda a Comissão a desenvolver, juntamente com os peritos dos organismos competentes da UE e dos Estados-Membros, um plano estratégico plurianual (a seguir designado «PEP») para cada prioridade, que defina a estratégia mais adequada para resolver o problema. Por último, insta a Comissão a desenvolver, em consulta com os peritos dos Estados-Membros e dos organismos da UE, um mecanismo independente para avaliar a implementação do PEP. A AEPD voltará a estes temas mais adiante no presente parecer, dado que estes estão estreitamente relacionados com a protecção dos dados pessoais ou com outros direitos e liberdades fundamentais conexos, ou neles têm um impacto significativo.

7.

A Comunicação propõe cinco objectivos estratégicos, todos relacionados com a protecção da privacidade e dos dados:

8.

A Estratégia de Segurança Interna em Acção apresenta uma agenda comum para os Estados-Membros, o Parlamento Europeu, a Comissão, o Conselho, as agências e outros intervenientes, incluindo a sociedade civil e as autoridades locais, e propõe uma forma para estas entidades, ao longo dos próximos quatro anos, trabalharem em comum para atingir os objectivos da Estratégia de Segurança Interna.

9.

A Comunicação assenta no Tratado de Lisboa e reconhece as orientações fornecidas pelo Programa de Estocolmo (e pelo seu plano de acção), que sublinha, no seu ponto 4.1, a necessidade de uma Estratégia de Segurança Interna global, baseada no respeito dos direitos fundamentais, da protecção internacional e do Estado de direito. Além disso, de acordo com o Programa de Estocolmo, o desenvolvimento, o controlo e a implementação da Estratégia de Segurança Interna devem passar a ser uma das tarefas prioritárias do Comité Permanente para a Cooperação Operacional em matéria de Segurança Interna (COSI), criado ao abrigo do artigo 71.o do TFUE. Para assegurar a execução efectiva da Estratégia, este deve ocupar-se igualmente de aspectos de segurança da gestão integrada das fronteiras e, sempre que adequado, da cooperação judiciária em matéria penal necessária para a cooperação operacional no domínio da segurança interna. Importa igualmente referir, neste contexto, que o Programa de Estocolmo advoga uma abordagem integrada da Estratégia de Segurança Interna que tenha igualmente em conta a Estratégia de Segurança Externa desenvolvida pela União, bem como outras políticas da UE, nomeadamente as relativas ao mercado interno.

10.

A Comunicação refere diversas áreas políticas que fazem parte de um conceito geral de «segurança interna» na União Europeia ou nele têm impacto.

11.

O objectivo do presente parecer consiste não em analisar a totalidade das áreas políticas e dos tópicos específicos abrangidos pela Comunicação, mas antes em:

12.

A AEPD irá fazê-lo sublinhando, nomeadamente, as relações entre a Estratégia de Segurança Interna e a Estratégia de Gestão da Informação e o trabalho desenvolvido em relação ao quadro geral de protecção de dados. Além disso a AEPD irá referir conceitos, como: as melhores técnicas disponíveis e a «privacidade desde a concepção» («Privacy by design»), a avaliação do impacto da protecção da privacidade e dos dados, e os direitos da pessoa em causa, que têm impacto directo na concepção e na execução da Estratégia de Segurança Interna. O parecer tece ainda observações sobre uma série de áreas políticas, como a gestão integrada das fronteiras, incluindo o Sistema Europeu de Vigilância das Fronteiras (EUROSUR) e o tratamento de dados pessoais pela Frontex, bem como outros domínios, como o ciberespaço e o TFTP.

13.

Estão actualmente a ser discutidas e propostas, ao nível da UE, diversas estratégias baseadas no Tratado de Lisboa e no Programa de Estocolmo que têm um impacto directo ou indirecto na protecção de dados. A Estratégia de Segurança Interna é uma delas e está estreitamente relacionada com outras estratégias (objecto de comunicações recentes da Comissão ou previstas para o futuro próximo), como a Estratégia de Gestão da Informação e o modelo europeu de intercâmbio de informações, a estratégia para a aplicação efectiva da Carta dos Direitos Fundamentais pela União Europeia, a estratégia global de protecção de dados e a política de luta contra o terrorismo da UE. No presente parecer, a AEPD presta especial atenção à relação com a Estratégia de Gestão da Informação e com o quadro geral de protecção de dados baseado no artigo 16.o do TFUE, que, na perspectiva da protecção dos dados, têm relações políticas evidentes com a ESI.

14.

Todas estas estratégias constituem um complexo mosaico de directrizes políticas, programas e planos de acção inter-relacionados, que requer uma abordagem global e integrada ao nível da UE.

15.

Em termos mais gerais, esta abordagem de «relacionamento das estratégias», se adoptada nas acções futuras, demonstrará a existência de uma visão da UE relativa às suas estratégias e que essas estratégias e as comunicações sobre as mesmas recentemente adoptadas estão estreitamente interligadas, sendo o Programa de Estocolmo o ponto de referência comum a todas elas. Resultará ainda em sinergias positivas entre diferentes políticas que se inscrevem no domínio da liberdade, segurança e justiça e evitará a duplicação de trabalho e de esforços neste domínio. O que é igualmente importante, esta abordagem conduzirá a uma aplicação mais eficaz e coerente das regras de protecção de dados no contexto das estratégias interligadas.

16.

A AEPD sublinha que um dos pilares da ESI consiste numa gestão eficaz da informação na União Europeia, que deve assentar nos princípios da necessidade e da proporcionalidade para justificar a necessidade de intercâmbio de informações.

17.

Além disso, conforme referido no parecer da AEPD relativo à Comunicação sobre a gestão da informação (8), a AEPD salienta que todas as novas medidas legislativas que possam facilitar o armazenamento e o intercâmbio de dados pessoais só devem ser propostas quando baseadas em provas concretas da sua necessidade (9). Esta obrigação legal deveria ser transformada numa abordagem política proactiva para efeitos de execução da ESI. A necessidade de uma abordagem global da ESI conduz também, inevitavelmente, à necessidade de avaliar todos os instrumentos e ferramentas já existentes no domínio da segurança interna antes de propor novos.

18.

Neste contexto, a AEPD sugere igualmente uma aplicação mais frequente das disposições que prevêem a avaliação periódica dos instrumentos existentes, como a constante da Directiva relativa à conservação de dados, que está a ser avaliada (10).

19.

A Comunicação refere a protecção dos dados pessoais no parágrafo «Políticas de segurança baseadas em valores comuns», onde se afirma que os instrumentos e medidas a utilizar para executar a Estratégia de Segurança Interna devem basear-se em valores comuns, nomeadamente o primado do direito e o respeito dos direitos fundamentais, consagrados na Carta dos Direitos Fundamentais da UE. Neste contexto, a Comunicação estipula que «embora a aplicação eficaz da legislação na UE seja facilitada pelo intercâmbio de informações, devemos igualmente proteger a privacidade dos cidadãos e o seu direito fundamental à protecção dos dados pessoais».

20.

Esta é uma declaração que saudamos, embora não possamos considerar que, por si só, constitua uma abordagem suficiente da questão da protecção de dados no âmbito da Estratégia de Segurança Interna. A Comunicação não aprofunda a questão da protecção dos dados (11) nem explica de que forma o respeito da privacidade e a protecção dos dados pessoais serão assegurados na prática no âmbito das acções de execução da Estratégia de Segurança Interna.

21.

A AEPD considera que um dos objectivos da Estratégia de Segurança Interna em Acção deveria ser uma protecção geral, que assegurasse o justo equilíbrio entre, por um lado, a protecção dos cidadãos contra as ameaças existentes e, por outro, a protecção da sua privacidade e o direito à protecção dos dados pessoais. Por outras palavras, as preocupações de segurança e de privacidade deveriam ser tidas em conta da mesma forma no desenvolvimento da Estratégia de Segurança Interna, o que estaria em conformidade com o Programa de Estocolmo e com as Conclusões do Conselho.

22.

Em suma, garantir a segurança no pleno respeito da privacidade e da protecção dos dados deveria constituir um objectivo da Estratégia de Segurança Interna da UE, reflectido em todas as acções empreendidas pelos Estados-Membros e pelas instituições da União para executar a Estratégia.

23.

Neste contexto, a AEPD remete para a Comunicação (2010) 609, relativa a Uma abordagem global da protecção de dados pessoais na União Europeia  (12). A AEPD emitirá em breve um parecer sobre esta comunicação, mas sublinha desde já que não poderá haver uma Estratégia de Segurança Interna eficaz se esta não for complementada por um sistema de protecção de dados sólido e se não existir confiança mútua e uma maior eficácia.

24.

É evidente que algumas das acções que decorrem dos objectivos da Estratégia de Segurança Interna podem aumentar os riscos para a privacidade dos indivíduos e para a protecção de dados. Para contrabalançar estes riscos, a AEPD gostaria de chamar a atenção para conceitos como os de “privacidade desde a concepção”, avaliação do impacto na protecção da privacidade e dos dados, direitos da pessoa em causa e melhores técnicas disponíveis. Todos estes conceitos devem ser tidos em conta na execução da Estratégia de Segurança Interna e podem contribuir para que as políticas neste domínio respeitem mais a privacidade e sejam mais orientadas para a protecção de dados.

25.

A AEPD já defendeu em diversas ocasiões e em diversos pareceres o conceito de privacidade «integrada» («Privacidade desde a concepção» ou «Privacidade por defeito»). Este conceito, desenvolvido actualmente para os sectores privado e público, deve desempenhar também um papel importante no contexto da segurança interna da UE e no domínio da polícia e da justiça (13).

26.

A Comunicação não refere este conceito. A AEPD sugere que este conceito seja referido nas acções direccionadas que serão propostas e realizadas para implementar a Estratégia de Segurança Interna, nomeadamente no contexto do Objectivo 4, «Reforçar a segurança através da gestão das fronteiras», em que é feita uma clara referência a uma maior utilização de novas tecnologias para os controlos na fronteira e para a vigilância das fronteiras.

27.

A AEPD incentiva a Comissão a reflectir — no âmbito do futuro trabalho de concepção e execução da Estratégia de Segurança Interna com base na Comunicação — sobre aquilo que deve significar uma verdadeira «avaliação do impacto na protecção da privacidade e dos dados» no domínio da liberdade, segurança e justiça e, mais concretamente, da Estratégia de Segurança Interna.

28.

A Comunicação refere avaliações de risco e das ameaças, referências com as quais nos congratulamos. No entanto, a Comunicação não refere — em ponto algum — avaliações do impacto na protecção da privacidade e dos dados. O AEPD considera que o trabalho relativo à aplicação da Comunicação sobre a Estratégia de Segurança Interna representa uma boa oportunidade para realizar essas avaliações do impacto na protecção da privacidade e dos dados no contexto da segurança interna. A AEPD nota que nem a Comunicação nem as directrizes da Comissão relativas à avaliação do impacto especificam este aspecto (14), tornando-o uma exigência política.

29.

A AEPD recomenda, por conseguinte, que na implementação dos futuros instrumentos seja levada a cabo uma avaliação mais específica e rigorosa do respectivo impacto na protecção da privacidade e dos dados, quer como uma avaliação distinta, quer como uma parte da avaliação geral do impacto nos direitos fundamentais realizada pela Comissão. Esta avaliação do impacto não se deve limitar a enunciar princípios gerais ou a analisar opções políticas, como acontece actualmente, devendo igualmente recomendar salvaguardas específicas e concretas.

30.

Em consequência, devem ser desenvolvidos indicadores e funções específicos para que todas as propostas no domínio da segurança interna da UE com impacto na protecção da privacidade e dos dados sejam objecto de uma análise aprofundada, que tenha em conta princípios como os da proporcionalidade, da necessidade e da limitação da finalidade.

31.

Poderia ainda ser útil, neste contexto, remeter para o artigo 4.o da Recomendação relativa à identificação por radiofrequências (RFID) (15), na qual a Comissão convidou os Estados-Membros a assegurarem que as empresas do sector, em colaboração com as partes interessadas da sociedade civil, estabeleçam um quadro para as avaliações do impacto na protecção da privacidade e dos dados. Também a Resolução de Madrid, aprovada em Novembro de 2009 pela Conferência Internacional de Comissários para a Protecção da Privacidade e dos Dados, incentiva à realização de avaliações do impacto na protecção da privacidade e dos dados antes da implementação de novos sistemas e tecnologias da informação para o tratamento de dados pessoais ou da introdução de alterações substanciais nos processos de tratamento existentes.

32.

A AEPD nota que a Comunicação não aborda especificamente a questão dos direitos das pessoas em causa, os quais constituem um elemento vital da protecção de dados e deveriam ter impacto na concepção da Estratégia de Segurança Interna. É essencial assegurar que, em todos os diferentes sistemas e instrumentos relacionados com a segurança interna da UE, as pessoas por eles afectadas beneficiem de direitos equivalentes no que respeita à forma como os seus dados pessoais são tratados.

33.

Com efeito, muitos dos sistemas mencionados na Comunicação estabelecem regras específicas relativamente aos direitos das pessoas em causa (visando igualmente categorias de pessoas como vítimas, criminosos suspeitos ou migrantes), mas observam-se grandes variações entre os sistemas e instrumentos, sem que exista uma boa justificação para tal.

34.

Por esse motivo, a AEPD convida a Comissão a examinar mais atentamente, num futuro próximo, a questão da harmonização a nível da UE dos direitos das pessoas em causa no contexto da Estratégia de Segurança Interna e da Estratégia de Gestão da Informação.

35.

Deverá ser prestada particular atenção aos mecanismos de recurso. A Estratégia de Segurança Interna deverá garantir que, sempre que os direitos das pessoas não tenham sido inteiramente respeitados, os responsáveis pelo tratamento dos dados prevejam procedimentos de reclamação facilmente acessíveis, eficazes e a preços razoáveis.

36.

A execução da Estratégia de Segurança Interna assentará, necessariamente, na utilização de uma infra-estrutura de TI para apoiar as acções previstas na Comunicação. As melhores técnicas disponíveis podem ser consideradas ferramentas que permitem estabelecer o correcto equilíbrio entre a consecução dos objectivos da Estratégia de Segurança Interna e o respeito dos direitos individuais. No contexto actual, a AEPD gostaria de reiterar a recomendação formulada em anteriores pareceres (16) relativa à necessidade de a Comissão definir e promover, conjuntamente com interessados do sector, medidas concretas para a aplicação das melhores técnicas disponíveis. Por essa aplicação entende-se o estádio de desenvolvimento mais eficaz e avançado das actividades e dos seus métodos de operação que demonstre a aptidão prática de técnicas específicas para proporcionar os resultados almejados com eficácia e em conformidade com os requisitos do quadro regulamentar da UE em matéria de segurança e de protecção dos dados e da vida privada. Esta abordagem é perfeitamente compatível com a abordagem da “privacidade desde a concepção” acima referida.

37.

Sempre que pertinente e exequível, devem ser elaborados documentos de referência sobre as melhores técnicas disponíveis que forneçam orientações e maior segurança jurídica para a execução efectiva das medidas no âmbito da Estratégia de Segurança Interna. Esta prática pode igualmente promover a harmonização dessas medidas nos diferentes Estados-Membros. Por último, mas não menos importante, a definição de privacidade e de melhores técnicas disponíveis compatíveis com a segurança facilitará a tarefa de supervisão das autoridades responsáveis pela protecção dos dados, ao fornecer-lhes referências técnicas compatíveis com a privacidade e a protecção de dados adoptadas pelos responsáveis pelo tratamento de dados.

38.

A AEPD nota ainda a importância de um alinhamento correcto da Estratégia de Segurança Interna com as actividades já desenvolvidas no âmbito do sétimo Programa-Quadro de Investigação e Desenvolvimento Tecnológico e do Programa-Quadro de Segurança e Protecção das Liberdades. Uma visão conjunta tendente a facultar as melhores técnicas disponíveis permitirá a inovação nos conhecimentos e capacidades necessários para proteger os cidadãos, no respeito dos direitos fundamentais.

39.

Por último, a AEPD chama a atenção para o papel que a Agência Europeia para a Segurança das Redes e da Informação (ENISA) poderá desempenhar na elaboração de orientações e na avaliação das capacidades de segurança necessárias para assegurar a integridade e a disponibilidade dos sistemas de TI, bem como na promoção das melhores técnicas disponíveis. Neste contexto, a AEPD saúda a inclusão da Agência como interveniente principal no reforço das capacidades de resposta a ciberataques e de luta contra a cibercriminalidade (17).

40.

Neste contexto, é necessária uma maior clarificação dos intervenientes que fazem parte ou contribuem para a arquitectura da Estratégia de Segurança Interna. A Comunicação refere diversos intervenientes, como cidadãos, sistema judiciário, agências da União, autoridades nacionais, polícia e empresas. Os papéis e as competências específicas destes intervenientes deverão ser melhor definidos nas acções específicas a propor no âmbito da execução da Estratégia de Segurança Interna.

41.

A Comunicação refere o facto de, com o Tratado de Lisboa, a UE estar em melhores condições de tirar partido das sinergias entre as políticas de gestão das fronteiras no que respeita às pessoas e às mercadorias. Em relação à circulação das pessoas, a Comunicação refere que «a UE pode tratar a gestão da migração e a luta contra a criminalidade como um duplo objectivo da estratégia de gestão integrada das fronteiras». O documento considera a gestão das fronteiras como um meio potencialmente poderoso para desmantelar a criminalidade grave e organizada (18).

42.

A AEPD nota ainda que a Comunicação identifica três vectores estratégicos: 1) uma maior utilização de novas tecnologias para os controlos na fronteira (a segunda geração do Sistema de Informação de Schengen (SIS II), o sistema de entradas/saídas e o programa de viajantes registados); 2) uma maior utilização de novas tecnologias para a vigilância das fronteiras (Sistema Europeu de Vigilância das Fronteiras, EUROSUR); e 3) uma maior coordenação dos Estados-Membros através da Frontex.

43.

A AEPD quer aproveitar a oportunidade proporcionada pelo presente parecer para reiterar o pedido expresso numa série de anteriores pareceres no sentido da definição, ao nível da UE, de uma política clara de gestão das fronteiras, no pleno respeito das regras em matéria de protecção de dados. A AEPD entende que os trabalhos em curso no domínio da Estratégia de Segurança Interna e da Estratégia de Gestão da Informação constituem excelentes ocasiões para tomar medidas mais concretas em favor de uma abordagem política coerente nestas áreas.

44.

A AEPD nota que a Comunicação refere não só os sistemas de grande escala existentes e susceptíveis de começar a funcionar num futuro próximo (como o SIS, o SIS II e o VIS), como também, nos mesmos termos, os sistemas que poderão ser propostos pela Comissão no futuro, mas em relação aos quais ainda não foi tomada qualquer decisão (como é o caso do sistema de entradas/saídas e do programa de viajantes registados). Neste contexto, importa lembrar que os objectivos e a legitimidade da introdução destes sistemas devem ainda ser clarificados e demonstrados, nomeadamente à luz dos resultados de avaliações de impacto específicas realizadas pela Comissão. Se tal não acontecer, poderá entender-se que a Comunicação antecipa o processo decisório e, em consequência, não tem em conta o facto de a decisão final relativa à eventual introdução do programa de viajantes registados e do sistema de entradas/saídas na União Europeia ainda não ter sido tomada.

45.

Nestas circunstâncias, a AEPD sugere que, nos futuros trabalhos relativos à execução da Estratégia de Segurança Interna, este tipo de antecipação seja evitado. Conforme já se referiu, qualquer decisão relativa à introdução de sistemas de grande escala invasivos da privacidade apenas deve ser tomada após uma avaliação adequada de todos os sistemas existentes, tendo em devida conta os princípios da necessidade e da proporcionalidade.

46.

A Comunicação indica que a Comissão apresentará em 2011 uma proposta legislativa de criação do EUROSUR, no intuito de contribuir para a segurança interna e a luta contra a criminalidade. Afirma ainda que o EUROSUR utilizará novas tecnologias desenvolvidas através das actividades e dos projectos de investigação financiados pela UE, como as imagens de satélite para detectar e seguir alvos nas fronteiras marítimas, por exemplo, acompanhando embarcações rápidas que transportam drogas para a UE.

47.

Neste contexto, a AEPD nota que não é claro se e — na afirmativa — em que medida a proposta legislativa relativa ao EUROSUR a apresentar pela Comissão em 2011 contemplará igualmente o tratamento de dados pessoais no âmbito do EUROSUR. A Comissão não toma uma posição clara sobre esta matéria na Comunicação. Esta questão é tanto mais pertinente quanto a Comunicação estabelece uma relação clara entre o EUROSUL e a Frontex, a nível táctico, operacional e estratégico, (ver mais adiante as observações sobre a Frontex), e apela a uma estreita cooperação entre ambos.

48.

Em 17 de Maio de 2010 (19), a AEPD emitiu um parecer sobre a revisão do regulamento que cria a Frontex em que apela a um verdadeiro debate e a uma reflexão aprofundada sobre a questão da protecção de dados no contexto do reforço das actuais funções da Frontex e da atribuição de novas responsabilidades a esta agência.

49.

No Objectivo 4, Reforçar a segurança através da gestão das fronteiras, a Comunicação refere a necessidade de melhorar o contributo da Frontex nas fronteiras externas. Neste contexto, a Comunicação indica que, com base na experiência adquirida e no contexto da abordagem global da UE no domínio da gestão da informação, a Comissão considera que autorizar a Frontex a proceder ao tratamento e à utilização destas informações, de forma limitada e em conformidade com regras de gestão de dados pessoais claramente definidas, representará um contributo significativo para o desmantelamento de organizações criminosas. Esta é uma abordagem diferente da adoptada na proposta de revisão do regulamento que cria a Frontex, actualmente em discussão no Parlamento Europeu e no Conselho, que era omissa em relação ao tratamento de dados pessoais.

50.

Nestas condições, a AEPD congratula-se com o facto de a Comunicação fornecer algumas indicações sobre as circunstâncias em que o tratamento de dados se pode revelar necessário (por exemplo, para análises de risco, para melhor centrar operações conjuntas ou para intercâmbio de informações com a Europol). Mais concretamente, a Comunicação explica que, actualmente, as informações sobre criminosos envolvidos em redes de tráfico — a que a Frontex tem acesso — não podem ser em seguida utilizadas para análises de risco ou para melhor centrar futuras operações conjuntas. Além disso, os dados relevantes sobre os criminosos suspeitos não são transmitidos às autoridades nacionais competentes nem à Europol tendo em vista uma investigação complementar.

51.

No entanto, a AEPD nota que a Comunicação não refere a discussão em curso sobre a revisão do enquadramento jurídico da Frontex, que, conforme já se referiu, aborda este tema no intuito de encontrar soluções legislativas. Acresce que a redacção da Comunicação, que destaca o papel da Frontex no contexto do objectivo de desmantelamento de organizações criminosas, pode ser interpretada como um alargamento das competências da Frontex. A AEPD sugere que este ponto seja tido em conta tanto na revisão do regulamento que cria a Frontex como na execução da Estratégia de Segurança Interna.

52.

A AEPD chama ainda a atenção para a necessidade de assegurar que não existe duplicação de tarefas entre a Europol e a Frontex. Neste contexto, a AEPD congratula-se com o facto de a Comunicação referir a necessidade de evitar a duplicação de tarefas entre a Frontex e a Europol. No entanto, esta questão deve ser mais clarificada tanto no regulamento que cria a Frontex revisto como nas acções de execução da Estratégia de Segurança Interna que prevêem uma estreita cooperação entre a Frontex e a Europol. Esta questão assume particular importância do ponto de vista dos princípios da limitação das finalidades e da qualidade dos dados. Esta observação é igualmente aplicável à futura cooperação com agências como a Agência Europeia para a Segurança das Redes e da Informação (ENISA) ou o Gabinete Europeu de Apoio ao Asilo (EASO).

53.

A Comunicação não aborda especificamente o actual fenómeno do aumento da utilização de dados biométricos no domínio da liberdade, segurança e justiça, incluindo os sistemas informáticos europeus de grande escala e outros instrumentos de gestão das fronteiras.

54.

Em consequência, a AEPD aproveita esta oportunidade para reiterar a sua sugestão (20) de que esta questão extremamente sensível do ponto de vista da protecção de dados seja tida em devida conta na execução da Estratégia de Segurança Interna, nomeadamente no contexto da gestão das fronteiras.

55.

A AEPD recomenda ainda que seja desenvolvida uma política clara e rigorosa sobre o uso de dados biométricos no domínio da liberdade, segurança e justiça, com base numa apreciação séria e numa avaliação caso a caso da necessidade da utilização da biometria no contexto da Estratégia de Segurança Interna, no pleno respeito de princípios fundamentais de protecção de dados, como os princípios da necessidade, da proporcionalidade e da limitação da finalidade.

56.

A Comunicação anuncia que, em 2011, a Comissão definirá uma política a nível da UE para a extracção e análise da transmissão de dados relativos a mensagens de pagamentos financeiros existentes no seu próprio território. Neste contexto, a AEPD remete para o seu parecer de 22 de Junho de 2010 sobre o tratamento de dados de mensagens de pagamentos financeiros e a sua transferência da União Europeia para os Estados Unidos para efeitos do Programa de Detecção do Financiamento do Terrorismo (TFTP II) (21). Todas as observações críticas tecidas nesse parecer são igualmente válidas e aplicáveis no contexto dos trabalhos previstos sobre um enquadramento da UE para dados relativos a mensagens de pagamentos financeiros. Em consequência, essas observações devem ser tidas em conta nas discussões sobre esta matéria. Deverá ser prestada particular atenção à proporcionalidade da extracção e tratamento de grandes quantidades de dados sobre pessoas que não são suspeitas, bem como à questão da supervisão efectiva por autoridades independentes e pelo sistema judiciário.

57.

A AEPD congratula-se com a importância conferida às acções preventivas ao nível da UE na Comunicação e considera que o reforço da segurança das redes de TI constitui um factor essencial para o bom funcionamento da sociedade da informação. Além disso, a AEPD apoia as actividades específicas de reforço da capacidade de resposta a ciberataques, de reforço da capacidade das entidades policiais e judiciárias e de criação de parcerias com as empresas para capacitar e proteger os cidadãos e as empresas. É de saudar ainda o papel de facilitador desempenhado pela ENISA em relação a muitas das acções previstas para este objectivo.

58.

Contudo, a Estratégia de Segurança Interna em Acção não aprofunda as acções de aplicação da lei previstas para o ciberespaço, a forma como essas acções podem pôr em risco os direitos individuais ou as medidas de protecção necessárias. A AEPD insta a uma abordagem mais ambiciosa em relação às garantias adequadas, abordagem que deve ter por objectivo proteger os direitos fundamentais de todos os indivíduos, incluindo aqueles que possam ser afectados por acções destinadas a lutar contra eventuais actividades criminosas neste domínio.

59.

O AEPD insta a que, no processo de execução da Estratégia de Segurança Interna, sejam estabelecidas ligações entre diferentes estratégias da UE e diferentes comunicações da Comissão. Esta abordagem deve ser seguida de um plano de acção concreto, apoiado por uma verdadeira avaliação das necessidades, que deverá resultar numa política de segurança interna global, integrada e bem estruturada.

60.

A AEPD aproveita ainda esta oportunidade para destacar a importância da obrigação legal de realizar uma verdadeira avaliação de todos os instrumentos existentes a utilizar no contexto da Estratégia de Segurança Interna e do intercâmbio de informações antes de propor novos instrumentos. Neste contexto, é seriamente recomendada a inclusão de disposições que prevejam a avaliação regular da eficácia dos instrumentos pertinentes.

61.

A AEPD sugere que, na preparação do plano estratégico plurianual requerido nas Conclusões do Conselho de Novembro de 2010, sejam tidos em conta os trabalhos em curso relativos à preparação de um quadro normativo geral para a protecção de dados com base no artigo 16.o do TFUE, nomeadamente a Comunicação da Comissão (2009) 609.

62.

A AEPD formula uma série de sugestões sobre noções e conceitos importantes na perspectiva da protecção de dados que devem ser tidas em conta no domínio da Estratégia de Segurança Interna, como é o caso da privacidade desde a concepção, da avaliação do impacto na protecção da privacidade e dos dados e das melhores técnicas disponíveis.

63.

A AEPD recomenda que na implementação dos futuros instrumentos seja levada a cabo uma avaliação do respectivo impacto na protecção da privacidade e dos dados, quer como uma avaliação distinta, quer como uma parte da avaliação geral do impacto nos direitos fundamentais realizada pela Comissão.

64.

A AEPD convida ainda a Comissão a desenvolver uma política mais coerente e consistente sobre os requisitos prévios para o uso de dados biométricos no âmbito da Estratégia de Segurança Interna e a garantir uma maior harmonização a nível da UE em termos dos direitos das pessoas em causa.

65.

Por último, a AEPD tece uma série de comentários sobre o tratamento de dados pessoais no contexto da gestão das fronteiras, nomeadamente pela Frontex e, eventualmente, no âmbito do EUROSUR.

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/14

1.

Em 11 de Outubro de 2010, a Comissão Europeia adoptou uma proposta alterada de Regulamento do Parlamento Europeu e do Conselho relativo à criação do sistema «Eurodac» de comparação de impressões digitais para efeitos da aplicação efectiva do Regulamento (CE) n.o (…/…) (que estabelece os critérios e mecanismos de determinação do Estado-Membro responsável pela análise de um pedido de protecção internacional apresentado num dos Estados-Membros por um nacional de país terceiro ou um apátrida) (a seguir designada «Proposta») (3). No mesmo dia, a Proposta aprovada pela Comissão foi enviada à AEPD para consulta, em conformidade com o artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001. A AEPD congratula-se com o facto de ser consultada pela Comissão e solicita que seja feita referência à presente consulta nos considerandos da Proposta.

2.

O Eurodac foi criado pelo Regulamento (CE) n.o 2725/2000 relativo à criação do sistema «Eurodac» de comparação de impressões digitais para efeitos da aplicação efectiva da Convenção de Dublim (4). A Comissão aprovou, em Dezembro de 2008, uma proposta de reformulação do regulamento Eurodac (5) (a seguir designada «proposta de Dezembro de 2008»). A AEPD teceu as suas observações sobre a referida proposta no seu parecer de Fevereiro de 2009 (6).

3.

A proposta de Dezembro de 2008 tinha por objectivo apoiar de forma mais efectiva a aplicação do Regulamento de Dublim e tratar adequadamente as questões que se colocavam em matéria de protecção de dados. Propunha igualmente alinhar o quadro de gestão informática pelo previsto nos Regulamentos SIS II e VIS, através da retoma da gestão operacional do Eurodac pela futura Agência para a gestão operacional dos sistemas informáticos de grande escala no domínio da liberdade, da segurança e da justiça (7) (a seguir designada «Agência TI») (8).

4.

A Comissão adoptou posteriormente uma proposta alterada em Setembro de 2009, na qual introduziu a possibilidade de as autoridades responsáveis pela aplicação da lei dos Estados-Membros e a Europol acederem à base de dados central do Eurodac para fins de prevenção, detecção e investigação de infracções terroristas e outros crimes graves.

5.

Em especial, a referida proposta previa, para além das necessárias disposições de acompanhamento, uma cláusula de ligação para permitir o acesso ao Eurodac para fins de aplicação da lei, para além das alterações da proposta de Dezembro de 2008. A proposta foi apresentada em simultâneo com a proposta de decisão do Conselho relativa a pedidos de comparação com os dados Eurodac apresentados pelas autoridades responsáveis dos Estados-Membros e pela Europol para fins de aplicação da lei (9) (a seguir designada «Decisão do Conselho»), que estabelecia precisamente as modalidades de acesso para fins de aplicação da lei. A AEPD emitiu um parecer sobre esta proposta em Dezembro de 2009 (10).

6.

Com a entrada em vigor do Tratado de Lisboa e a supressão do sistema de pilares, a proposta de Decisão do Conselho caducou, tendo sido necessário retirá-la e substituí-la formalmente por uma nova proposta que tivesse em conta o novo quadro do TFUE.

7.

A exposição de motivos da proposta refere que, tendo em vista fazer progredir as negociações sobre o pacote relativo ao asilo (11) e facilitar a conclusão de um acordo sobre o Regulamento Eurodac, a Comissão considerou que seria mais adequado retirar do Regulamento Eurodac as disposições que fazem referência ao acesso para fins de aplicação da lei.

8.

A Comissão também considera que retirar essa parte (controversa) da proposta, permitindo desse modo uma adopção mais rápida do novo Regulamento Eurodac facilitará igualmente a criação atempada da Agência para a gestão operacional de sistemas informáticos de grande escala no domínio da liberdade, da segurança e da justiça, uma vez que está previsto que essa Agência também seja responsável pela gestão do sistema Eurodac.

9.

Assim, embora a presente proposta alterada introduza duas disposições técnicas, o seu principal objectivo consiste em alterar a proposta precedente (ou seja, de Setembro de 2009), suprimindo das suas disposições a possibilidade de acesso para fins de aplicação da lei. Por conseguinte, não se considerou necessário realizar uma nova avaliação de impacto especificamente para a presente proposta.

10.

A AEPD já emitiu diversos pareceres sobre esta matéria, conforme foi referido atrás. O presente parecer tem por objectivo recomendar melhorias à proposta. As recomendações baseiam-se em novos factos ou em recomendações efectuadas noutras ocasiões e que ainda não foram aplicadas, nomeadamente nas situações em que a AEPD considere que os seus argumentos não foram tidos em devida conta ou quando essas recomendações sejam corroboradas por novos argumentos.

11.

O presente parecer centrar-se-á nos seguintes aspectos:

12.

A AEPD congratula-se com o facto de a possibilidade de concessão de acesso ao Eurodac às forças de aplicação da lei ter sido excluída da proposta actual. Na verdade, embora a AEPD reconheça que os governos necessitam de instrumentos adequados para proteger a segurança dos cidadãos, já tinha manifestado fortes reservas em relação à legitimidade desta proposta com base nas seguintes considerações.

13.

As medidas de combate às infracções terroristas e a outros crimes graves podem constituir um fundamento legítimo para autorizar o tratamento de dados pessoais, mesmo que seja incompatível com a finalidade para a qual os dados foram recolhidos, desde que a necessidade da ingerência seja justificada com base em elementos claros e inegáveis, e seja demonstrada a proporcionalidade do tratamento. Este requisito é tanto mais essencial quanto as propostas dizem respeito a um grupo vulnerável que necessita de maior protecção porque foge a perseguições. A sua situação precária deve ser tida em conta na avaliação da necessidade e da proporcionalidade da acção proposta. A AEPD salientou, mais concretamente, que a sua necessidade deveria ser demonstrada apresentando provas convincentes da existência de um nexo entre os requerentes de asilo e o terrorismo ou a grande criminalidade. As propostas não estabelecem de todo esse nexo.

14.

A um nível mais geral, a AEPD tem defendido em numerosos pareceres e observações que, antes de serem propostos novos instrumentos, devem ser avaliados todos os instrumentos existentes; essa avaliação tem sido defendida com especial ênfase nos recentes pareceres sobre a «Apresentação geral da gestão da informação no domínio da liberdade, segurança e justiça» (12) e sobre «A política de luta contra o terrorismo da UE: principais realizações e desafios futuros» (13).

15.

De facto, a avaliação da eficácia das medidas existentes é essencial durante a avaliação do impacto de novas medidas na privacidade e deveria assumir um importante papel em termos da acção da União Europeia neste domínio, em conformidade com a abordagem proposta pelo Programa de Estocolmo. Nestes casos, deve ser dedicada especial atenção à troca de dados realizada ao abrigo do mecanismo Prüm. A troca de impressões digitais está prevista neste quadro e deveria ser demonstrado que o sistema padece de graves insuficiências que justifiquem o acesso a uma base de dados como o Eurodac.

16.

Por último, nestes pareceres, como em muitos outros que os antecederam, a AEPD recomenda que seja prestada especial atenção às propostas que dêem origem à recolha de dados pessoais de vastas categorias de cidadãos, em vez de se cingirem a suspeitos. Deve ainda ser efectuada uma avaliação específica e apresentada uma justificação nos casos em que o tratamento de dados pessoais esteja previsto para finalidades diferentes daquelas para as quais foram inicialmente recolhidos, como no caso do Eurodac.

17.

Em conclusão, a AEPD congratula-se com a supressão deste elemento da presente proposta.

18.

A recolha e o tratamento posterior das impressões digitais ocupam, obviamente, um lugar central no sistema Eurodac. Importa salientar que o tratamento de dados biométricos, como impressões digitais, apresenta desafios específicos e cria riscos que devem ser tidos em conta. No contexto da Proposta, a AEPD pretende sublinhar especificamente o problema da «impossibilidade de registo», ou seja, a situação em que uma pessoa fica se, por qualquer motivo, as suas impressões digitais não forem utilizáveis.

19.

A impossibilidade de registo pode ocorrer em pessoas cujas pontas dos dedos ou mãos apresentem lesões temporárias ou permanentes, motivadas por doença, deficiência, ferimentos ou queimaduras, por exemplo. Nalguns casos, a etnia ou ocupação da pessoa podem também estar na origem das lesões. Em particular, um número não despiciendo de trabalhadores agrícolas e da construção apresentam lesões nas impressões digitais que as tornam ilegíveis. Noutros casos, cuja frequência é difícil de determinar, os refugiados podem automutilar-se para evitarem a recolha das suas impressões digitais.

20.

A AEPD reconhece que pode ser difícil distinguir os nacionais de países terceiros que tenham danificado voluntariamente as suas impressões digitais a fim de frustrarem o processo de identificação daqueles que tenham impressões digitais realmente ilegíveis.

21.

No entanto, é muito importante assegurar que a «impossibilidade de registo» não constitua, por si só, um motivo para negar direitos aos requerentes de asilo. Seria inaceitável, por exemplo, que a impossibilidade de registo fosse sistematicamente interpretada como uma tentativa de fraude e constituísse motivo para a recusa de análise de um pedido de asilo ou para retirada de assistência ao requerente de asilo. Nesse caso, a possibilidade de recolha de impressões digitais seria um dos critérios para o reconhecimento do estatuto de requerente de asilo. A finalidade do Eurodac é facilitar a aplicação da Convenção de Dublim, não é acrescentar um critério («ter impressões digitais utilizáveis») para conceder a alguém o estatuto de requerente de asilo, o que constituiria uma violação do princípio de limitação da finalidade e, no mínimo, do espírito do direito ao asilo.

22.

Por último, a AEPD insiste ainda em que a presente proposta deve ser coerente com outras directivas pertinentes neste domínio. Em particular, a directiva relativa às condições do estatuto de refugiado estabelece que cada pedido deve ser apreciado a título individual e não contém qualquer referência à impossibilidade de registo como um critério para a análise do pedido de asilo (14).

23.

A actual proposta já tem parcialmente em conta a impossibilidade de registo no seu artigo 6.o, n.os 1 e 2 (15).

24.

No entanto, estas disposições apenas contemplam a hipótese da impossibilidade de registo temporária, ao passo que essa impossibilidade revestirá um carácter permanente num número significativo de casos. O artigo 1.o do regulamento que altera as Instruções Consulares Comuns (16) abrange esses casos e estipula o seguinte: (…) Os Estados-Membros garantem a aplicação dos procedimentos adequados para garantir a dignidade do requerente, caso surjam dificuldades no registo. O facto de a recolha das impressões digitais ser fisicamente impossível não influencia a concessão ou a recusa do visto.

25.

Com vista a criar um enquadramento para estes casos no contexto do Eurodac, a AEPD recomenda que seja adicionada uma disposição ao artigo 6.o nos seguintes termos: «A impossibilidade temporária ou permanente de recolha de impressões digitais utilizáveis não altera a situação jurídica das pessoas singulares. Em nenhum caso pode constituir motivo suficiente para a recusa de análise ou a rejeição de um pedido de asilo.»

26.

A AEPD observa que a efectiva implementação do direito à informação é crucial para o correcto funcionamento do Eurodac. Em particular, é essencial assegurar que as informações sejam prestadas de forma a permitir ao requerente de asilo entender plenamente a sua situação, bem como todos os seus direitos, incluindo as fases processuais que pode seguir na sequência das decisões administrativas tomadas no seu caso. A AEPD recorda ainda que o direito de acesso é uma pedra angular da protecção de dados, conforme é referido, em particular, no artigo 8.o da Carta dos Direitos Fundamentais da União Europeia.

27.

A AEPD já tinha salientado este elemento num parecer anterior sobre o Eurodac. Dado que a modificação proposta não foi aceite, a AEPD pretende sublinhar a importância desta questão.

28.

O artigo 24.o da Proposta tem a seguinte redacção:

«O Estado-Membro de origem comunica às pessoas abrangidas pelo presente regulamento, por escrito e, quando adequado, oralmente, numa língua que compreenda ou em princípio deva compreender, as seguintes informações:

(…)

29.

A AEPD sugere que o texto do artigo 24.o seja reformulado, para clarificar os direitos a conceder ao requerente. O texto actual da proposta é pouco claro, pois pode ser interpretado como considerando «o direito de ser informado sobre os procedimentos para o exercício de tais direitos (…)» distinto do direito de acesso aos dados e/ou do direito de solicitar a rectificação dos dados inexactos (…). Além disso, segundo a redacção actual da referida disposição, os Estados-Membros informam a pessoa abrangida pelo regulamento da «existência» dos direitos, mas não do seu conteúdo. Uma vez que este último aspecto parece resumir-se a uma questão estilística, a AEPD sugere a seguinte reformulação do artigo 24.o: «O Estado-Membro de origem comunica às pessoas abrangidas pelo presente regulamento (…) (g) O direito de acesso aos dados que lhe digam respeito e o direito de solicitar a rectificação dos dados inexactos que lhe digam respeito ou a eliminação dos dados ilegalmente tratados que lhe digam respeito».

30.

O artigo 4.o, n.o 1, da Proposta estipula o seguinte: Após um período transitório, a gestão operacional do Eurodac cabe a uma autoridade de gestão, financiada pelo orçamento geral da União Europeia. A autoridade de gestão deve assegurar, em cooperação com os Estados-Membros, que o Sistema Central utiliza permanentemente a melhor tecnologia disponível, sob reserva de uma análise custo-benefício. Embora a AEPD saúde o requisito estabelecido no artigo 4.o, n.o 1, salienta que a expressão «melhor tecnologia disponível» mencionada na disposição supracitada deve ser substituída pelo texto «melhores técnicas disponíveis», que abrange a tecnologia utilizada e o método de concepção, construção, manutenção e operação da instalação.

31.

É uma alteração importante, pois o conceito de «melhores técnicas disponíveis» é mais lato e abrange vários aspectos que contribuem para a aplicação do princípio da «protecção da vida privada na concepção da tecnologia», que é considerado um princípio fundamental do quadro jurídico de protecção de dados na UE. Este conceito sublinha que a protecção de dados pode ser aplicada por diversos meios e nem todos de natureza tecnológica. É, de facto, importante examinar a tecnologia, mas também a sua utilização como instrumento para atingir a finalidade de tratamento de dados em questão. Os processos devem estar orientados para a realização dessa finalidade, que se traduz em procedimentos e estruturas organizativas.

32.

A este respeito, e a um nível mais geral, a AEPD reitera a recomendação feita em pareceres anteriores (17) relativamente à necessidade de a Comissão definir e promover, em conjunto com os intervenientes da indústria, «melhores técnicas disponíveis» seguindo o mesmo procedimento que a Comissão adoptou no domínio do ambiente (18). «Melhores técnicas disponíveis» representam a etapa mais eficaz e avançada do desenvolvimento tecnológico e os respectivos métodos de funcionamento, que indicam a adequação prática de determinadas técnicas para fornecerem, em conformidade com o quadro da UE para a privacidade e a protecção de dados, um limiar de detecção disponível. Estas MTD são concebidas para evitar e, caso tal não seja possível, reduzir os riscos de segurança relacionados com o tratamento de dados para um nível adequado, assim como minimizar ao máximo o seu impacto na privacidade.

33.

Deste processo devem ainda resultar documentos de referência sobre «melhores técnicas disponíveis», que poderão conter orientações muito úteis para a gestão de outros sistemas informáticos de grande escala da UE. Além disso, contribuirá para harmonizar medidas dessa natureza em toda a UE. Por último, mas não menos importante, a definição de MTD que promovam a privacidade e a segurança facilitará o desempenho das funções de supervisão das autoridades de protecção de dados através da disponibilização de referências técnicas compatíveis com a privacidade e a protecção de dados que foram adoptadas pelos controladores de dados.

34.

A AEPD observa que a Proposta não versa a questão da subcontratação parcial das atribuições da Comissão (19) a outra organização ou entidade (como uma empresa privada). No entanto, a Comissão recorre frequentemente à subcontratação para o desenvolvimento e gestão do sistema e das infra-estruturas de comunicação. Embora a subcontratação de actividades não seja, por si só, contrária aos requisitos de protecção de dados, devem ser criadas salvaguardas importantes a fim de assegurar que a aplicabilidade do Regulamento (CE) n.o 45/2001, incluindo a supervisão da protecção de dados pela AEPD, não seja afectada pela subcontratação. Além disso, devem ser adoptadas salvaguardas adicionais de uma natureza mais técnica.

35.

A este respeito, a AEPD sugere a criação de salvaguardas jurídicas semelhantes às previstas nos instrumentos jurídicos SIS II, mutatis mutandis, no quadro da revisão do Regulamento Eurodac, especificando que mesmo que a Comissão subcontrate a outro organismo ou organização uma parte das suas atribuições, deverá assegurar que a AEPD tenha o direito e a possibilidade de desempenhar na íntegra as suas funções, nomeadamente a possibilidade de efectuar verificações in loco ou de exercer quaisquer outras competências atribuídas à AEPD pelo artigo 47.o do Regulamento (CE) n.o 45/2001.

36.

A AEPD congratula-se com o facto de ser consultada pela Comissão e solicita que seja feita referência à presente consulta nos considerandos da Proposta.

37.

A AEPD congratula-se com o facto de a possibilidade de concessão de acesso ao EURODAC às forças de aplicação da lei ter sido excluída da proposta actual.

38.

A recolha e posterior tratamento das impressões digitais ocupam um lugar central no sistema Eurodac. A AEPD salienta que o tratamento de dados biométricos, como impressões digitais, apresenta desafios específicos e cria riscos que devem ser tidos em conta. Em particular, a AEPD sublinha o problema da «impossibilidade de registo», ou seja, a situação em que uma pessoa fica se, por qualquer motivo, as suas impressões digitais não forem utilizáveis. A impossibilidade de registo não deve constituir, por si só, um motivo para negar direitos aos requerentes de asilo.

39.

A AEPD recomenda que seja adicionada uma disposição ao artigo 6.o, alínea a), da proposta, nos seguintes termos: «A impossibilidade temporária ou permanente de recolha de impressões digitais utilizáveis não altera a situação jurídica das pessoas singulares. Em nenhum caso pode constituir motivo suficiente para a recusa de análise ou a rejeição de um pedido de asilo.»

40.

A AEPD observa que a efectiva implementação do direito à informação é crucial para o correcto funcionamento do Eurodac, a fim de que as informações sejam prestadas de forma a permitir ao requerente de asilo entender plenamente a sua situação, bem como todos os seus direitos, incluindo as fases processuais que pode seguir na sequência das decisões administrativas tomadas no seu caso. A AEPD sugere que o texto do artigo 24.o da Proposta seja reformulado, para clarificar os direitos a conceder ao requerente de asilo.

41.

A AEPD recomenda a alteração do artigo 4.o, n.o 1, da Proposta, nomeadamente a utilização da expressão «melhores técnicas disponíveis» em vez de «melhores tecnologias disponíveis». A expressão «melhores técnicas disponíveis» abrange a tecnologia utilizada e o método de concepção, construção, manutenção e operação da instalação.

42.

A AEPD recomenda, no que respeita à questão da subcontratação parcial das atribuições da Comissão a outra organização ou entidade (como uma empresa privada), que sejam criadas salvaguardas a fim de assegurar que a aplicabilidade do Regulamento (CE) n.o 45/2001, incluindo a supervisão da protecção de dados pela AEPD, não seja afectada pela subcontratação de actividades. Além disso, devem ser adoptadas salvaguardas adicionais de uma natureza mais técnica.

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/20

1.

Em 30 de Setembro de 2010, a Comissão adoptou uma proposta de Regulamento do Parlamento Europeu e do Conselho relativo à Agência Europeia para a Segurança das Redes e da Informação (ENISA) (3).

2.

A ENISA foi criada em Março de 2004, por um período inicial de cinco anos, pelo Regulamento (CE) n.o 460/2004 (4). Em 2008, o Regulamento (CE) n.o 1007/2008 (5) prorrogou o mandato até Março de 2012.

3.

Como decorre do artigo 1.o, n.o 1, do Regulamento (CE) n.o 460/2004, a Agência foi constituída a fim de garantir na União um nível de segurança das redes e da informação elevado e eficaz, contribuindo assim para o normal funcionamento do mercado interno.

4.

A proposta da Comissão pretende modernizar a Agência, reforçar as suas competências e estabelecer um novo mandato para um período de cinco anos que possibilitará a continuidade da Agência para além de Março de 2012 (6).

5.

A proposta de regulamento tem a sua base jurídica no artigo 114.o do TFUE (7), que confere à União competência para adoptar medidas com o objectivo de estabelecer ou assegurar o funcionamento do mercado interno. O artigo 114.o do TFUE é o sucessor do artigo 95.o do Tratado CE no qual se baseavam os anteriores regulamentos relativos à ENISA (8).

6.

A Exposição de Motivos que acompanha a proposta refere o facto de a prevenção e o combate à criminalidade se terem tornado uma competência partilhada na sequência da entrada em vigor do Tratado de Lisboa. Esta situação criou uma oportunidade para que a ENISA funcione como uma plataforma relativamente aos aspectos de segurança das redes e da informação (SIR) da luta contra a cibercriminalidade, e para que proceda a um intercâmbio de ideias e melhores práticas com as autoridades responsáveis pela ciberdefesa, a aplicação da lei e a protecção dos dados.

7.

Entre várias opções, a Comissão decidiu propor um alargamento das funções da ENISA e a integração das autoridades responsáveis pela aplicação da lei e pela protecção dos dados como membros de pleno direito do seu grupo permanente de partes interessadas. A nova lista de funções não inclui funções operacionais, mas actualiza e reformula as actualmente existentes.

8.

Em 1 de Outubro de 2010, a proposta foi enviada à AEPD para consulta, em conformidade com o artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001. A AEPD congratula-se por ter sido consultada sobre o tema em apreço e recomenda que seja feita referência a esta consulta nos considerandos da proposta, como habitualmente acontece nos textos legislativos sobre os quais foi chamada a pronunciar-se, nos termos do dito regulamento.

9.

A AEPD foi consultada a título informal, antes da adopção da proposta, e formulou várias observações a esse título. Todavia, nenhuma delas foi tida em conta na versão final da proposta.

10.

A AEPD salienta que a segurança do tratamento de dados é um elemento fundamental da protecção de dados (9). A este respeito, congratula-se com o objectivo da proposta de reforçar as competências da Agência, para que esta possa desempenhar mais eficazmente as suas tarefas e atribuições actuais e expandir, simultaneamente, o seu domínio de actividade. A AEPD congratula-se ainda com a inclusão das autoridades responsáveis pela protecção de dados e dos organismos responsáveis pela aplicação da lei como partes interessadas de pleno direito. Considera que o alargamento do mandato da ENISA é uma forma de incentivar, a nível europeu, uma gestão profissional e simplificada das medidas de segurança aplicáveis aos sistemas de informação.

11.

A avaliação global da proposta é positiva. Todavia, a proposta de regulamento é pouco clara ou incompleta relativamente a diversos aspectos, o que suscita preocupações do ponto de vista da protecção de dados. Essas questões serão explicitadas e analisadas no próximo capítulo do presente parecer.

12.

As funções alargadas da Agência que estão relacionadas com o envolvimento dos organismos responsáveis pela aplicação da lei e das autoridades responsáveis pela protecção de dados são formuladas em termos muito genéricos no artigo 3.o da proposta. A Exposição de Motivos é mais explícita a esse respeito, referindo que a ENISA estabelece uma interface com os organismos responsáveis pela aplicação da lei na luta contra a cibercriminalidade e desempenha funções não operacionais nessa luta. Contudo, essas funções não foram incluídas, ou apenas foram mencionadas em termos muito vagos no artigo 3.o.

13.

A fim de evitar toda e qualquer insegurança jurídica, a proposta de regulamento deve descrever as funções da ENISA de forma clara e inequívoca. Como já foi dito, a segurança do tratamento de dados é um elemento fundamental da protecção de dados, e a ENISA irá desempenhar um papel cada vez mais importante nesse domínio. Os cidadãos, as instituições e os organismos devem compreender claramente que tipo de actividades a ENISA pode desenvolver. Essa dimensão ainda se torna mais importante se as funções alargadas da ENISA incluírem o tratamento de dados pessoais (ver n.os 17 a 20).

14.

O artigo 3.o, n.o 1, alínea k), da proposta afirma que a Agência desempenha qualquer outra função que lhe seja conferida por um acto legislativo da União. Esta cláusula indeterminada suscita preocupação à AEPD, visto criar uma eventual lacuna que pode afectar a coerência do instrumento jurídico e conduzir a um «desvirtuamento da função» da Agência.

15.

Uma das funções a que o artigo 3.o, n.o 1, alínea k), da proposta se refere está contida na Directiva 2002/58/CE (10), que obriga a Comissão a consultar a Agência sobre as medidas técnicas de execução aplicáveis às notificações em casos de violação de dados. A AEPD recomenda que esta actividade da Agência seja descrita com mais pormenor e delimitada ao domínio da segurança. Dado o eventual impacto que a ENISA poderá ter na elaboração de políticas nesse domínio, esta actividade deve ocupar uma posição mais clara e destacada na proposta de regulamento.

16.

A AEPD recomenda ainda que se inclua uma referência à Directiva 1999/5/CE (11) no considerando 21, dada a função específica da ENISA, referida no artigo 3.o, n.o 1, alínea c), da presente proposta, de prestar assistência aos Estados-Membros e às instituições e organismos europeus nos seus esforços para recolher, analisar e difundir dados sobre a segurança das redes e da informação. Essa inclusão favoreceria as actividades desenvolvidas pela ENISA para promover as melhores práticas e técnicas de SRI (segurança das redes e da informação), uma vez que exemplifica melhor as possíveis interacções construtivas entre a Agência e os organismos de normalização.

17.

A proposta não especifica se as funções atribuídas à Agência poderão incluir o tratamento de dados pessoais. Não contém, por isso, uma base jurídica específica para esse tratamento, na acepção do artigo 5.o do Regulamento (CE) n.o 45/2001.

18.

Contudo, algumas das funções atribuídas à Agência podem implicar (pelo menos até certo ponto) o tratamento de dados pessoais. Não está, por exemplo, excluído que a análise dos incidentes de segurança e dos casos de violação de dados ou a execução de funções não operacionais na luta contra a cibercriminalidade possam envolver a recolha e a análise de dados pessoais.

19.

O considerando 9 da proposta refere as disposições contidas na Directiva 2002/21/CE (12) segundo as quais a Agência deve, se for caso disso, ser notificada pelas autoridades reguladoras nacionais em caso de violação da segurança. A AEPD recomenda que a proposta indique com mais pormenor que notificações devem ser enviadas para a ENISA e a forma como a ENISA lhes deve responder. Do mesmo modo, a proposta deve abordar as implicações em matéria de tratamento de dados pessoais que poderão resultar da análise dessas notificações (se as houver).

20.

A AEPD convida o legislador a esclarecer se algumas, e quais, das actividades da ENISA enumeradas no artigo 3.o incluirão o tratamento de dados pessoais.

21.

Não obstante a ENISA desempenhar um papel importante no debate sobre a segurança das redes e da informação na Europa, a proposta é quase omissa a respeito da instituição de medidas de segurança para a própria Agência (relacionadas ou não com o tratamento de dados pessoais).

22.

A AEPD entende que a Agência estará numa posição ainda melhor para promover as boas práticas em relação à segurança do tratamento de dados, se essas medidas de segurança forem firmemente aplicadas a nível interno pela própria Agência. Isso contribuirá para o seu reconhecimento não só como um centro especializado, mas também como um ponto de referência na aplicação prática das melhores técnicas disponíveis no domínio da segurança. A busca da excelência na execução das práticas de segurança deve estar, por isso, inscrita no regulamento relativo ao funcionamento interno da Agência. A AEPD sugere, assim, que se acrescente à proposta uma disposição neste sentido, exigindo, por exemplo, que a Agência aplique as melhores técnicas disponíveis, ou seja, os procedimentos de segurança mais eficazes e avançados e os seus métodos de operação.

23.

Esta abordagem permitirá que a Agência preste aconselhamento sobre a aptidão prática de determinadas técnicas para fornecer as garantias de segurança necessárias. Além disso, a aplicação das melhores técnicas disponíveis deve dar prioridade às que permitam garantir a segurança minimizando simultaneamente, o mais possível, o impacto sobre a privacidade. Devem escolher-se as técnicas mais compatíveis com o conceito de «privacidade desde a concepção» (privacy by design).

24.

Mesmo que a abordagem seja menos ambiciosa, a AEPD recomenda, no mínimo, que o regulamento contenha os seguintes requisitos: i) a criação de uma política de segurança interna, após uma avaliação dos riscos exaustiva e tendo em conta as normas internacionais e as melhores práticas utilizadas nos Estados-Membros, ii) a nomeação de um responsável pela segurança encarregado de aplicar essa política, com os recursos e a autoridade adequados, iii) a aprovação da política, após um exame atento dos riscos residuais e dos controlos propostos pelo Conselho de Administração, e iv) uma revisão periódica da política, com uma periodicidade e objectivos claramente definidos.

25.

Como já foi dito, a AEPD congratula-se com o alargamento do mandato da Agência e considera que as autoridades responsáveis pela protecção de dados podem beneficiar muito com a sua existência (e a Agência com a experiência dessas autoridades). Na verdade, dada a convergência natural e lógica entre a segurança e a protecção de dados, é inevitável que a Agência e as autoridades responsáveis pela protecção de dados tenham de colaborar estreitamente.

26.

Os considerandos 24 e 25 contêm uma referência à proposta de directiva da UE relativa à cibercriminalidade e mencionam que a Agência deve colaborar com os organismos responsáveis pela aplicação da lei e também com as autoridades responsáveis pela protecção de dados, no que respeita aos aspectos da luta contra a cibercriminalidade que estão relacionados com a segurança da informação (13).

27.

A proposta também deve prever canais e mecanismos de colaboração concretos que i) garantam a coerência das actividades da Agência com as das autoridades responsáveis pela protecção de dados e que ii) permitam uma estreita cooperação entre a Agência e essas autoridades.

28.

No que diz respeito à coerência, o considerando 27 refere explicitamente que as funções da Agência não devem entrar em conflito com as autoridades responsáveis pela protecção de dados dos Estados-Membros. A AEPD congratula-se com esta referência, mas constata que a AEPD e o Grupo do Artigo 29.o não são referidos. Recomenda, assim, ao legislador que também inclua na proposta uma disposição de não interferência similar em relação a estas duas entidades. Desse modo, criar-se-á um ambiente de trabalho mais claro para todas as partes e delinear-se-ão os canais e mecanismos de colaboração necessários para que a Agência possa prestar assistência às diversas autoridades responsáveis pela protecção de dados e ao Grupo do Artigo 29.o.

29.

Assim, no que respeita à cooperação estreita, a AEPD congratula-se com a inclusão de uma representação das autoridades responsáveis pela protecção de dados no grupo permanente de partes interessadas que aconselhará a Agência no exercício das suas actividades. Recomenda que seja explicitamente mencionado que essa representação deve ser nomeada pela Agência com base numa proposta do Grupo do Artigo 29.o. Considera também conveniente incluir uma referência à participação da AEPD, enquanto tal, nas reuniões onde sejam debatidas questões relevantes para a cooperação com a AEPD. Além disso, recomenda que a Agência (após consulta ao grupo permanente de partes interessadas e com a aprovação do Conselho de Administração) crie grupos de trabalho ad hoc para os diversos temas em que a protecção dos dados e a segurança se sobrepõem, a fim de preparar esse esforço de estreita cooperação.

30.

Por último, a fim de evitar mal-entendidos, a AEPD recomenda que se utilize o termo «autoridades responsáveis pela protecção de dados» em lugar de «autoridades responsáveis pela protecção da privacidade» e que se esclareça quem são essas autoridades através da inclusão de uma referência ao artigo 28.o da Directiva 95/46/CE e à AEPD nos termos do Capítulo V do Regulamento (CE) n.o 45/2001.

31.

A AEPD observa uma incoerência na proposta de regulamento no que diz respeito às entidades que podem solicitar a assistência da ENISA. Depreende-se, dos considerandos 7, 15, 16, 18 e 36 da proposta, que a ENISA tem capacidade para prestar assistência aos organismos dos Estados-Membros e à União em geral. Porém, o artigo 2.o, n.o 1, apenas refere a Comissão e os Estados-Membros, ao passo que o artigo 14.o restringe a capacidade de apresentar pedidos de assistência às seguintes entidades: i) Parlamento Europeu, ii) Conselho, iii) Comissão e iv) qualquer organismo competente designado por um Estado-Membro, deixando de fora algumas das instituições, organismos, agências e serviços da União.

32.

O artigo 3.o da proposta é mais específico e prevê diversos tipos de assistência, consoante o tipo de beneficiários: i) recolha e análise de dados sobre a segurança da informação (no caso dos Estados-Membros e das instituições e organismos europeus), ii) análise do estado da segurança das redes e da informação na Europa (no caso dos Estados-Membros e das instituições europeias), iii) promoção da utilização de boas práticas de gestão dos riscos e de segurança (na União e nos Estados-Membros), iv) desenvolvimento da detecção em relação à segurança das redes e da informação (nas instituições e organismos europeus) e v) colaboração no diálogo e na cooperação com países terceiros (no caso da União).

33.

A AEPD convida o legislador a corrigir esta incoerência e a harmonizar as disposições acima mencionadas. A este respeito, a AEPD recomenda que o artigo 14.o seja alterado de forma a incluir efectivamente todas as instituições, organismos, serviços e agências da União e a esclarecer o tipo de assistência que pode ser solicitada pelas diferentes entidades da União (caso esta diferenciação seja prevista pelo legislador). No mesmo sentido, recomenda-se que certas entidades públicas e privadas possam solicitar a assistência da Agência, se o apoio pedido demonstrar um claro potencial do ponto de vista europeu e estiver de acordo com os objectivos da Agência.

34.

A Exposição de Motivos prevê um reforço das competências do Conselho de Administração no que respeita ao seu papel de supervisão. A AEPD congratula-se com esse reforço e recomenda que se incluam vários aspectos relativos à protecção de dados nas funções do Conselho de Administração. Recomenda, ainda, que o regulamento especifique inequivocamente a quem compete: i) estabelecer medidas de aplicação do Regulamento (CE) n.o 45/2001 pela Agência, designadamente no que respeita à nomeação do responsável pela protecção de dados, ii) aprovar a política de segurança e as revisões periódicas subsequentes, e iii) definir o protocolo de cooperação com as autoridades responsáveis pela protecção de dados e os organismos responsáveis pela aplicação da lei.

35.

Ainda que já seja exigida pelo Regulamento (CE) n.o 45/2001, a AEPD sugere que se inclua no artigo 27.o a nomeação do responsável pela protecção de dados, visto revestir-se de especial importância e dever ser acompanhada pela rápida adopção das regras de execução relativas ao âmbito das competências e funções que lhe deverão ser confiadas, em conformidade com o artigo 24.o, n.o 8, do Regulamento (CE) n.o 45/2001. Mais concretamente, o artigo 27.o poderá ter a seguinte redacção:

36.

Caso seja necessária uma base jurídica específica para o tratamento de dados pessoais, como se analisa nos n.os 17-20, ela também deve prever especificações a respeito das garantias, limitações e condições necessárias e adequadas para esse tratamento ter lugar.

37.

A avaliação global da proposta é positiva, e a AEPD congratula-se com o alargamento do mandato da Agência e a extensão das suas funções mediante a inclusão das autoridades responsáveis pela protecção de dados e dos organismos responsáveis pela aplicação da lei como partes interessadas de pleno direito. A AEPD considera que a continuidade da Agência irá incentivar, a nível europeu, uma gestão profissional e simplificada das medidas de segurança aplicáveis aos sistemas de informação.

38.

A AEPD recomenda que, a fim de evitar toda e qualquer insegurança jurídica, a proposta seja clarificada no tocante à extensão das funções da Agência, sobretudo das relacionadas com o envolvimento dos organismos responsáveis pela aplicação da lei e das autoridades responsáveis pela protecção de dados. Além disso, a AEPD chama a atenção para a eventual lacuna criada pela inclusão, na proposta, de uma disposição que permite que qualquer outro acto legislativo da União atribua novas funções à Agência sem estabelecer restrições adicionais.

39.

A AEPD convida o legislador a esclarecer se algumas, e quais, das actividades da ENISA incluirão o tratamento de dados pessoais.

40.

A AEPD recomenda a inclusão de disposições relativas ao estabelecimento de uma política de segurança da própria Agência, a fim de reforçar o seu papel de promoção da excelência nas práticas de segurança, bem como da privacidade desde a concepção, conciliando a utilização das melhores técnicas de segurança disponíveis com o respeito pelos direitos de protecção dos dados pessoais.

41.

Os canais de cooperação com as autoridades responsáveis pela protecção de dados, incluindo a AEPD e o Grupo do Artigo 29.o, devem ser definidos de forma mais precisa, a fim de garantir a coerência e uma estreita cooperação.

42.

A AEPD convida o legislador a solucionar algumas incoerências no que respeita às restrições expressas no artigo 14.o quanto à capacidade de solicitar a assistência da Agência. Em especial, a AEPD recomenda que essas restrições sejam postas de parte e que todas as instituições, organismos, agências e serviços da União possam solicitar a assistência da Agência.

43.

Por último, a AEPD recomenda que, nas competências alargadas do Conselho de Administração, se incluam elementos concretos que reforcem a garantia de que na Agência se aplicam boas práticas em matéria de segurança e protecção de dados. Propõe-se, nomeadamente, a inclusão da nomeação de um responsável pela protecção de dados e a aprovação das medidas necessárias para a correcta aplicação do Regulamento (CE) n.o 45/2001.

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/25

—

no sítio web Concorrência da Comissão, na secção consagrada à política da concorrência, (http://ec.europa.eu/competition/mergers/cases/). Este sítio permite aceder às decisões respeitantes às operações de concentração a partir da denominação da empresa, do número do processo, da data e do sector de actividade,

—

em formato electrónico, no sítio EUR-Lex (http://eur-lex.europa.eu/en/index.htm), que proporciona o acesso em linha ao direito comunitário, através do número do documento 32011M6076.

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/26

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/27

European Court of Auditors

Communication and Reports Unit

12, rue Alcide De Gasperi

1615 Luxembourg

LUXEMBOURG

Tel. +352 4398-1

Endereço electrónico: euraud@eca.europa.eu

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/28

1.

Transportadora aérea comunitária, uma transportadora aérea titular de uma licença de exploração válida emitida em conformidade com o Regulamento (CE) n.o 1008/2008 do Parlamento Europeu e do Conselho, de 24 de Setembro de 2008, relativo a regras comuns de exploração dos serviços aéreos na Comunidade;

2.

Direito de tráfego, o direito de uma transportadora aérea de transportar, a título oneroso, de forma combinada ou separada, passageiros, carga e/ou correio numa ligação aérea determinada;

3.

Director-Geral, o Director-Geral da Direcção-Geral dos Transportes Aéreos;

4.

Direcção-Geral dos Transportes Aéreos, a direcção competente em matéria de transportes aéreos no âmbito do SPF (Serviço Público Federal) Mobilidade e Transportes;

5.

Serviços aéreos regulares, uma série de voos acessíveis ao público e destinados a assegurar, de forma combinada ou separada, o transporte de passageiros, correio e/ou carga mediante remuneração. Esta série de voos efectua-se:

6.

Acordo bilateral de serviços aéreos, um acordo de serviços aéreos concluído entre a Bélgica e um país não comunitário, bem como qualquer acordo de serviços aéreos entre a União Europeia e um país não comunitário;

7.

Designação, privilégio concedido a uma transportadora aérea de explorar serviços aéreos regulares, no âmbito de um acordo bilateral de serviços aéreos. Essa designação pode ser atribuída a uma única transportadora aérea (monodesignação) ou a várias transportadoras aéreas (multidesignação), consoante as disposições do acordo bilateral de serviços aéreos em causa;

8.

Acessibilidade, a possibilidade, de acordo com as disposições de um acordo bilateral de serviços aéreos, de uma transportadora ser designada e/ou explorar o número de voos desejado numa determinada rota;

9.

Ministro, o Ministro responsável pela navegação aérea;

10.

Temporada de tráfego da IATA, a temporada de Verão ou de Inverno, como definida pela Associação Internacional do Transporte Aéreo (IATA).

1.

A licença de exploração e o certificado de operador aéreo (COA), excepto no caso de estes documentos terem sido emitidos pela Bélgica.

2.

O certificado de seguro.

3.

Elementos que demonstrem a conformidade com o direito comunitário do estabelecimento na Bélgica da transportadora aérea comunitária.

4.

Elementos que comprovem a capacidade operacional e financeira na acepção do Regulamento (CE) n.o 1008/2008 do Parlamento Europeu e do Conselho, de 24 de Setembro de 2008, relativo a regras comuns de exploração dos serviços aéreos na Comunidade.

5.

As seguintes informações relativas aos serviços aéreos regulares previstos:

6.

Aceitação ou não-aceitação, pelo requerente, da condição de disponibilizar, em circunstâncias excepcionais, a capacidade necessária para satisfazer as necessidades nacionais ou internacionais da Bélgica.

1.

Exigir à transportadora aérea comunitária elementos de informação complementares; e/ou

2.

Organizar audições para as quais será convocado o conjunto dos requerentes.

1.

O número de transportadoras aéreas comunitárias que podem ser designadas; nem

2.

O número de voos que podem ser realizados nas rotas especificadas.

1.

O número de transportadoras aéreas comunitárias que podem ser designadas; ou

2.

A frequência dos voos que podem ser efectuados nas rotas especificadas;

1.

Se forem apresentadas observações, o Ministro toma, no prazo de 15 dias úteis a contar da data de recepção dessas observações, uma decisão definitiva de atribuição de direitos de tráfego e/ou de designação que é comunicada aos requerentes por carta registada e publicada na Internet, no sítio do SPF Mobilidade e Transportes;

2.

Se não forem apresentadas observações, o projecto de decisão torna-se decisão definitiva do Ministro para a atribuição de direitos de tráfego e/ou a designação, que é comunicada ao(s) requerente(s) por carta registada e publicada na Internet, no sítio do SPF Mobilidade e Transportes.

1.

Os elementos a que se refere o artigo 4.o comunicados pela transportadora aérea comunitária;

2.

As garantias oferecidas no que respeita à continuidade da exploração e da sua integração num plano de actividades coerente;

3.

A utilização optimizada dos direitos de tráfego limitados;

4.

O carácter prioritário das operações efectuadas por uma transportadora aérea comunitária por meio das suas aeronaves (em regime de propriedade ou de locação) em relação às operações em que a transportadora aérea comunitária se limita a comercializar, através de acordos de partilha de códigos, os voos efectuados por outra transportadora aérea;

5.

Os interesses de todas as categorias de utentes;

6.

O acesso facilitado a novas rotas, mercados e regiões, por via de novas correspondências ou de aeroportos belgas diferentes para a partida ou para a chegada;

7.

A contribuição para a existência de um nível satisfatório de concorrência;

8.

As eventuais incidências da exploração na criação de postos de trabalho, directos ou indirectos, no sector do transporte aéreo;

9.

Subsidiariamente, há quanto tempo a transportadora aérea comunitária exprime, activa e reiteradamente, o desejo de obter os direitos de tráfego a que se refere o pedido.

1.

Iniciar a exploração dos serviços aéreos em causa o mais tardar no final da temporada de tráfego IATA seguinte à da notificação da decisão de designação e/ou atribuição de direitos de tráfego;

2.

Explorar os serviços aéreos em causa em conformidade com o dossiê a que se refere o artigo 4.o. Não são admissíveis, entre o projecto inicial e a exploração na prática, discrepâncias de tal dimensão que pudessem ter conduzido à escolha de outra transportadora aérea quando da atribuição inicial;

3.

Respeitar as condições eventualmente estabelecidas pelo Director-Geral e as decisões e autorizações das autoridades aeronáuticas dos países não comunitários abrangidos pela exploração dos serviços aéreos em causa, bem como as normas internacionais neste domínio;

4.

Comunicar imediatamente ao Director-Geral a cessação ou interrupção da exploração dos serviços aéreos em causa. Caso a duração da interrupção exceda duas temporadas de tráfego, a decisão de atribuição de direitos de tráfego e/ou de designação é automaticamente anulada no termo dessa segunda temporada, a menos que a transportadora aérea comunitária invoque circunstâncias excepcionais alheias à sua vontade.

1.

Não dar seguimento ao pedido; ou

2.

Lançar um novo processo de atribuição.

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/34

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/36

1.

A Comissão recebeu, em 23 de Março de 2011, uma notificação de um projecto de concentração, nos termos do artigo 4.o do Regulamento (CE) n.o 139/2004 do Conselho (1), através da qual a empresa Giesecke & Devrient GmbH («G&D», Alemanha) e a empresa BEB Industrie-Elektronik AG («BEB», Suíça), controlada pela Wincor Nixdorf International GmbH («WNI», Alemanha), pertencente ao grupo Wincor Nixdorf Aktiengesellschaft (Deutschland), adquirem, na acepção do artigo 3.o, n.o 1, alínea b), do Regulamento das concentrações comunitárias, o controlo conjunto da empresa CI Tech Components AG (Suíça), mediante transferência de activos e aquisição de acções da nova empresa que constitui uma empresa comum.

2.

As actividades das empresas em causa são:

3.

Após uma análise preliminar, a Comissão considera que a operação de concentração notificada pode encontrar-se abrangida pelo âmbito de aplicação do Regulamento das concentrações comunitárias. Contudo, a Comissão reserva-se a faculdade de tomar uma decisão final sobre este ponto. De acordo com a Comunicação da Comissão relativa a um procedimento simplificado de tratamento de certas operações de concentração nos termos do Regulamento das concentrações comunitárias (2), o referido processo é susceptível de beneficiar da aplicação do procedimento previsto na Comunicação.

4.

A Comissão solicita aos terceiros interessados que lhe apresentem as suas eventuais observações sobre o projecto de concentração em causa.

As observações devem ser recebidas pela Comissão no prazo de 10 dias após a data de publicação da presente comunicação. Podem ser enviadas por fax (+32 22964301), por correio electrónico para COMP-MERGER-REGISTRY@ec.europa.eu ou por via postal, com a referência COMP/M.6144 — Giesecke & Devrient/Wincor Nixdorf International/BEB Industrie-Elektronik, para o seguinte endereço:

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/38

1.

A Comissão recebeu, em 21 de Março de 2011, uma notificação de um projecto de concentração, nos termos do artigo 4.o do Regulamento (CE) n.o 139/2004 do Conselho (1), através da qual a empresa MAN Truck & Bus AG («MAN Truck & Bus», Alemanha), controlada pela MAN SE («MAN», Alemanha), adquire, na acepção do artigo 3.o, n.o 1, alínea b), do Regulamento das concentrações comunitárias, o controlo exclusivo da totalidade das empresas MAN Camions et Bus S.A.S. («MAN Camions et Bus», França) e MAN Truck and Bus N.V./S.A. («MAN Truck and Bus Belgium», Bélgica), mediante aquisição de acções.

2.

As actividades das empresas em causa são:

3.

Após uma análise preliminar, a Comissão considera que a operação de concentração notificada pode encontrar-se abrangida pelo âmbito de aplicação do Regulamento das concentrações comunitárias. Contudo, a Comissão reserva-se a faculdade de tomar uma decisão final sobre este ponto. De acordo com a Comunicação da Comissão relativa a um procedimento simplificado de tratamento de certas operações de concentração nos termos do Regulamento das concentrações comunitárias (2), o referido processo é susceptível de beneficiar da aplicação do procedimento previsto na Comunicação.

4.

A Comissão solicita aos terceiros interessados que lhe apresentem as suas eventuais observações sobre o projecto de concentração em causa.

As observações devem ser recebidas pela Comissão no prazo de 10 dias após a data de publicação da presente comunicação. Podem ser enviadas por fax (+32 22964301), por correio electrónico para COMP-MERGER-REGISTRY@ec.europa.eu ou por via postal, com a referência COMP/M.6182 — MAN/MAN Camions et Bus/MAN Truck & Bus Belgium, para o seguinte endereço:

1.4.2011   

PT

Jornal Oficial da União Europeia

C 101/39

1.

A Posição Comum 2002/402/PESC (1) convida a União a congelar os fundos e recursos económicos de Osama Bin Laden, dos membros da organização Al-Qaida e dos talibã, bem como de outras pessoas, grupos, empresas e entidades a eles associados, tal como referidos na lista elaborada em conformidade com as Resoluções 1267(1999) e 1333(2000) do Conselho de Segurança das Nações Unidas, regularmente actualizada pelo Comité das Nações Unidas criado nos termos da Resolução 1267(1999) do Conselho de Segurança das Nações Unidas.

A lista elaborada pelo Comité das Nações Unidas inclui:

Os actos ou actividades que indiciam que uma pessoa, grupo, empresa ou entidade está «associado» à Al-Qaida, a Osama Bin Laden ou aos talibã incluem:

2.

O Comité das Nações Unidas decidiu, em 23 de Março de 2011, acrescentar Ibrahim Hassan Tali Al-Asiri à lista relevante. Este pode apresentar, a qualquer momento, ao Provedor das Nações Unidas um pedido, eventualmente acompanhado por documentação de apoio, de reapreciação da decisão de inclusão na lista. Tal pedido deve ser enviado para o seguinte endereço:

Para mais informações, http://www.un.org/sc/committees/1267/delisting.shtml

3.

Na sequência da decisão das Nações Unidas referida no ponto 2, a Comissão adoptou o Regulamento (UE) n.o 317/2011 (2) , que altera o Anexo I do Regulamento (CE) n.o 881/2002 do Conselho que institui certas medidas restritivas específicas contra determinadas pessoas e entidades associadas a Osama Bin Laden, à rede Al-Qaida e aos talibã (3). A alteração, efectuada nos termos do artigo 7.o, n.o 1, alínea a), e do artigo 7.o-A, n.o 1, do Regulamento (CE) n.o 881/2002, acrescenta Ibrahim Hassan Tali Al-Asiri à lista do Anexo I desse regulamento («Anexo I»).

As seguintes medidas previstas no Regulamento (CE) n.o 881/2002 são aplicáveis às pessoas singulares e às entidades incluídas no Anexo I:

4.

O artigo 7.o-A do Regulamento (CE) n.o 881/2002 (5) introduz um procedimento de revisão no âmbito do qual as pessoas incluídas na lista apresentam observações sobre os motivos de inclusão na lista. As pessoas e entidades acrescentadas ao Anexo I pelo Regulamento (UE) n.o 317/2011 podem solicitar à Comissão que lhes comunique os motivos que justificam a sua inclusão na lista. Este pedido deve ser enviado para:

5.

Chama-se igualmente a atenção das pessoas e entidades em causa para a possibilidade de contestarem o Regulamento (UE) n.o 317/2011 perante o Tribunal Geral da União Europeia, nas condições previstas nos quarto e sexto parágrafos do artigo 263.o do Tratado sobre o Funcionamento da União Europeia.

6.

Os dados pessoais das pessoas em causa serão tratados em conformidade com as regras previstas no Regulamento (CE) n.o 45/2001 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários (agora da União) e à livre circulação desses dados (6). Qualquer pedido, por exemplo de informações suplementares ou no sentido de exercer direitos conferidos pelo Regulamento (CE) n.o 45/2001 (por exemplo, acesso ou rectificação dos dados pessoais), deve ser enviado à Comissão para o endereço referido no ponto 4.

7.

Para efeitos de boa administração, chama-se a atenção das pessoas e entidades incluídas no Anexo I para a possibilidade de apresentarem um pedido às autoridades competentes do(s) Estado(s)-Membro(s) relevante(s), enumeradas no Anexo II do Regulamento (CE) n.o 881/2002, para serem autorizadas a utilizar os fundos, outros activos financeiros ou recursos económicos congelados para necessidades essenciais ou pagamentos específicos, nos termos do disposto no artigo 2.o-A deste regulamento.