(1)

A Agência da União Europeia para a Cooperação Policial (Europol) foi criada pelo Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho (2) para apoiar e reforçar a ação das autoridades competentes dos Estados-Membros e a sua cooperação mútua em matéria de prevenção e de combate à criminalidade grave que afete dois ou mais Estados-Membros, o terrorismo e as formas de criminalidade lesivas de um interesse comum que seja objeto de uma política da União.

(2)

O panorama da segurança na Europa está em constante mutação, sendo caracterizado por ameaças em constante evolução e que são cada vez mais complexas. Os terroristas e outros criminosos exploram as capacidades oferecidas pela transformação digital e pelas novas tecnologias, nomeadamente a interconectividade e o esbatimento das fronteiras entre o mundo físico e o mundo digital, por exemplo, de ocultarem os seus crimes ou as suas identidades através da utilização de técnicas cada vez mais sofisticadas. Os terroristas e outros criminosos demonstraram a sua capacidade para adaptar o seu modus operandi ou desenvolver novas atividades criminosas em tempos de crise, nomeadamente recorrendo a ferramentas tecnológicas para multiplicar e expandir a gama e a escala das suas atividades criminosas. O terrorismo continua a constituir uma ameaça significativa à liberdade e ao modo de vida dos cidadãos da União.

(3)

As ameaças complexas e em desenvolvimento gradual propagam-se entre fronteiras, abrangem uma variedade de crimes e manifestam-se em grupos policriminosos de criminalidade organizada, que se dedicam a uma vasta gama de atividades criminosas. Dado que a ação a nível nacional e a cooperação transfronteiriça não são suficientes para enfrentar essas ameaças transnacionais em matéria de segurança, as autoridades competentes dos Estados-Membros recorrem cada vez mais ao apoio e aos conhecimentos especializados que a Europol proporciona para prevenir e combater a criminalidade grave e o terrorismo. Desde a entrada em vigor do Regulamento (UE) 2016/794, a importância operacional das funções da Europol aumentou substancialmente. Além disso, o novo cenário de ameaças altera o âmbito e o tipo de apoio de que os Estados-Membros necessitam e que esperam da Europol para garantirem a segurança dos cidadãos.

(4)

Por conseguinte, pelo presente regulamento deverão ser conferidas funções adicionais à Europol, a fim de lhe permitir apoiar mais eficazmente as autoridades competentes dos Estados-Membros, respeitando plenamente as responsabilidades dos Estados-Membros no domínio da segurança nacional estabelecidas no artigo 4.o, n.o 2, do Tratado da União Europeia (TUE). O mandato reforçado da Europol deverá ser contrabalançado pelo reforço das garantias no que respeita aos direitos fundamentais e por uma maior responsabilização, responsabilidade e supervisão, incluindo a supervisão parlamentar, e por intermédio do Conselho de Administração da Europol («Conselho de Administração»). Para que a Europol possa cumprir o seu mandato reforçado, as suas competências deverão ser acompanhadas de recursos humanos e financeiros adequados para apoiar as suas funções adicionais.

(5)

Dado que a União enfrenta ameaças crescentes por parte de grupos de criminalidade organizada e de ataques terroristas, uma resposta eficaz no domínio policial deverá incluir a disponibilidade de unidades especiais de intervenção interoperacionais com boa formação, especializadas no controlo de situações de crise provocadas pela ação humana. Na União, as unidades especiais de intervenção dos Estados-Membros cooperam com base na Decisão 2008/617/JAI do Conselho (3). A Europol deverá poder apoiar essas unidades especiais de intervenção através da prestação de apoio técnico e financeiro, em complemento dos esforços envidados pelos Estados-Membros.

(6)

Nos últimos anos, os ciberataques em grande escala, incluindo ataques originários de países terceiros, visaram organismos públicos e privados em muitos países da União e para além dela, afetando vários sectores, nomeadamente os serviços de transporte, de saúde e financeiros. A prevenção, a deteção, a investigação e o exercício da ação penal relativamente a tais ciberataques são apoiados pela coordenação e cooperação entre os intervenientes competentes, incluindo a Agência da União Europeia para a Cibersegurança (ENISA) criada pelo Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho (4), as autoridades competentes em matéria de segurança das redes e da informação, tal como definidas pela Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (5), as autoridades competentes dos Estados-Membros e os organismos privados. A fim de assegurar a cooperação eficaz entre todos os intervenientes competentes a nível da União e a nível nacional no domínio dos ciberataques e das ciberameaças, a Europol deverá cooperar com a ENISA, inclusive através de trocas de informação e da prestação de apoio analítico nos domínios cobertos pelas respetivas esferas de competência.

(7)

Os criminosos de alto risco desempenham um papel de liderança nas redes criminosas e as suas atividades criminosas representam um elevado risco de criminalidade grave para a segurança interna da União. Para combater os grupos de criminalidade organizada de alto risco e os seus membros dirigentes, a Europol deverá poder apoiar os Estados-Membros a concentrarem a sua resposta de investigação na identificação dos membros e dos dirigentes dessas redes criminosas, das suas atividades criminosas e dos seus ativos financeiros.

(8)

As ameaças colocadas pela criminalidade grave exigem uma resposta coordenada, coerente, multidisciplinar e multi-institucional. A Europol deverá poder facilitar e apoiar iniciativas de segurança orientadas por informações conduzidas pelos Estados-Membros, como a Plataforma Multidisciplinar Europeia contra as Ameaças Criminosas (EMPACT, do inglês European Multidisciplinary Platform Against Criminal Threats), que visam identificar, dar prioridade e responder às ameaças de criminalidade grave. A Europol deverá poder prestar apoio administrativo, logístico, financeiro e operacional a tais iniciativas.

(9)

O Sistema de Informação de Schengen (SIS), criado no domínio da cooperação policial e da cooperação judiciária em matéria penal pelo Regulamento (UE) 2018/1862 do Parlamento Europeu e do Conselho (6), é um instrumento essencial para manter um elevado nível de segurança no espaço de liberdade, segurança e justiça. A Europol, enquanto polo de intercâmbio de informações na União, recebe e conserva informações valiosas fornecidas por países terceiros e organizações internacionais a respeito de pessoas suspeitas de envolvimento em crimes abrangidos pelos objetivos da Europol. No âmbito dos seus objetivos e da sua função de apoiar os Estados-Membros na prevenção e combate à criminalidade grave e ao terrorismo, a Europol deverá apoiar os Estados-Membros no tratamento dos dados fornecidos à Europol por países terceiros ou por organizações internacionais, recomendando que os Estados-Membros introduzam indicações no SIS ao abrigo de uma nova categoria de indicações de informação no interesse da União («indicações de informação»), a fim de disponibilizar essas indicações de informação aos utilizadores finais do SIS. Para o efeito, deverá ser estabelecido um mecanismo de comunicação periódica, a fim de assegurar que os Estados-Membros e a Europol sejam informados sobre o resultado da verificação e análise desses dados e sobre a questão saber se as indicações de informação foram introduzidas no SIS. As modalidades de cooperação dos Estados-Membros para o tratamento desses dados e a introdução de indicações de informação no SIS, nomeadamente no que diz respeito à luta contra o terrorismo, deverão ser objeto de uma coordenação contínua entre os Estados-Membros. O Conselho de Administração deverá especificar mais pormenorizadamente os critérios com base nos quais a Europol poderá apresentar propostas para a introdução dessas indicações de informação no SIS.

(10)

A Europol tem um papel importante a desempenhar no apoio ao mecanismo de avaliação e de monitorização para verificar a aplicação do acervo de Schengen, como estabelecido pelo Regulamento (UE) n.o 1053/2013 do Conselho (7). Por conseguinte, a Europol deverá, mediante pedido dos Estados-Membros, contribuir com os seus conhecimentos especializados, análises, relatórios e outras informações pertinentes para o mecanismo de avaliação e de monitorização para verificar a aplicação do acervo de Schengen.

(11)

As avaliações dos riscos contribuem para antecipar as novas tendências e dar resposta às novas ameaças de criminalidade grave e de terrorismo. Para prestar apoio à Comissão e aos Estados-Membros na realização de avaliações dos riscos eficazes, a Europol deverá facultar à Comissão e aos Estados-Membros análises de avaliação de ameaças com base nas informações detidas pela Europol sobre os fenómenos e as tendências criminais, sem prejuízo do direito da União relativo à gestão dos riscos aduaneiros.

(12)

Para que o financiamento da União destinado à investigação em matéria de segurança alcance o seu objetivo de garantir que essa investigação desenvolva todo o seu potencial e responda às necessidades no domínio da aplicação da lei, a Europol deverá assistir a Comissão na identificação das principais temáticas da investigação, bem como na elaboração e execução de programas-quadro de investigação e inovação da União que sejam relevantes para os objetivos da Europol. Se for caso disso, deverá ser possível à Europol divulgar os resultados das suas atividades de investigação e inovação a título do seu contributo para a criação de sinergias entre as atividades de investigação e inovação dos organismos da União pertinentes. Aquando da conceção e da conceptualização das atividades de investigação e inovação relevantes para os objetivos da Europol, a Europol deverá poder consultar, se for caso disso, o Centro Comum de Investigação (CCI) da Comissão. A Europol deverá tomar todas as medidas necessárias para evitar conflitos de interesses. A Europol não deverá beneficiar de financiamento de um dado programa-quadro da União se estiver a prestar apoio à Comissão na identificação dos principais temas de investigação ou na elaboração e execução desse programa. É importante que a Europol possa beneficiar da concessão de financiamento adequado, de modo a poder prestar assistência aos Estados-Membros e à Comissão em matéria de investigação e inovação.

(13)

É possível que a União e os Estados-Membros adotem medidas restritivas relacionadas com o investimento direto estrangeiro, por razões de segurança ou de ordem pública. Para esse efeito, o Regulamento (UE) 2019/452 do Parlamento Europeu e do Conselho (8) estabelece um regime de análise dos investimentos diretos estrangeiros na União. Os investimentos diretos estrangeiros em tecnologias emergentes merecem especial atenção, uma vez que podem ter implicações significativas para a segurança e a ordem pública, em especial nos casos em que tais tecnologias sejam utilizadas por autoridades competentes dos Estados-Membros. Atendendo ao envolvimento da Europol no acompanhamento das tecnologias emergentes e à sua participação — nomeadamente através do seu laboratório de inovação e através do Polo da UE de Inovação para a Segurança Interna — no desenvolvimento de novos modos de utilizar essas tecnologias com vista à aplicação da lei, a Europol possui amplos conhecimentos acerca das possibilidades oferecidas por tais tecnologias, bem como acerca dos riscos inerentes à sua utilização. A Europol deverá, por conseguinte, ter a possibilidade de apoiar os Estados-Membros na análise de investimentos diretos estrangeiros na União e de riscos relativos à segurança que digam respeito a empresas que fornecem tecnologias, incluindo software, utilizadas pela Europol para efeitos de prevenção e de investigação de crimes abrangidos pelos objetivos da Europol, ou tecnologias críticas que possam ser utilizadas para facilitar o terrorismo. Nesse contexto, os conhecimentos especializados da Europol deverão apoiar a análise dos investimentos diretos estrangeiros e dos riscos para a segurança conexos. Deverá ser prestada especial atenção à eventual participação do investidor estrangeiro em atividades que afetem a segurança, à existência de um risco sério de o investidor estrangeiro desenvolver atividades ilegais ou criminosas e à possibilidade de tal investidor ser controlado, direta ou indiretamente, pelo governo de um país terceiro, incluindo por meio de subvenções.

(14)

A Europol proporciona conhecimentos especializados no combate à criminalidade grave e ao terrorismo. A pedido de um Estado-Membro, o pessoal da Europol deverá poder prestar apoio operacional no terreno às autoridades competentes desse Estado-Membro em operações e investigações, nomeadamente facilitando o intercâmbio transfronteiriço de informações e prestando apoio forense e técnico em operações e investigações, incluindo no âmbito de equipas de investigação conjuntas. A pedido de um Estado-Membro, o pessoal da Europol deverá ter o direito de estar presente durante a execução de medidas de investigação nesse Estado-Membro. O pessoal da Europol não deverá ter o poder de executar as medidas de investigação.

(15)

Um dos objetivos da Europol é apoiar e reforçar a ação das autoridades competentes dos Estados-Membros e a sua cooperação mútua em matéria de prevenção e de combate de formas de criminalidade lesivas de um interesse comum que seja objeto de uma política da União. Para reforçar esse apoio, o diretor executivo da Europol («diretor executivo») deverá poder propor às autoridades competentes de um Estado-Membro que estas iniciem, conduzam ou coordenem uma investigação de um crime que diga respeito a um único Estado-Membro, mas que seja lesivo de um interesse comum que seja objeto de uma política da União. A Europol deverá informar a Eurojust e, se for caso disso, a Procuradoria Europeia, instituída pelo Regulamento (UE) 2017/1939 do Conselho (9), de uma tal proposta.

(16)

A divulgação da identidade e de determinados dados pessoais de pessoas suspeitas ou condenadas, que sejam procuradas com base numa sentença judicial nacional, aumenta as probabilidades de os Estados-Membros localizarem e deterem tais pessoas. Para apoiar os Estados-Membros no sentido de estes localizarem e deterem tais pessoas, a Europol deverá poder publicar no seu sítio Web informações sobre os fugitivos mais procurados na Europa por infrações penais abrangidas pelos objetivos da Europol. Para o mesmo efeito, a Europol deverá facilitar a prestação de informações pelo público, aos Estados-Membros e à Europol, sobre essas pessoas.

(17)

Logo que verifique que os dados pessoais recebidos estão abrangidos pelos seus objetivos, a Europol deverá poder tratar esses dados pessoais nas seguintes quatro situações. Na primeira situação, os dados pessoais recebidos estão relacionados com qualquer uma das categorias de titulares de dados listadas no anexo II do Regulamento (UE) 2016/794 («anexo II»). Na segunda situação, os dados pessoais recebidos são dados de investigação que contêm dados não relacionados com nenhuma das categorias de titulares de dados listadas no anexo II mas que foram fornecidos, no seguimento de um pedido de apoio da Europol para uma investigação criminal específica, por um Estado-Membro, pela Procuradoria Europeia, pela Eurojust ou por um país terceiro, desde que esse Estado-Membro, a Procuradoria Europeia, a Eurojust ou esse país terceiro esteja autorizado a tratar tais dados de investigação em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do direito da União e nacional. Nesse caso, a Europol deverá poder tratar esses dados de investigação enquanto estiver a apoiar essa investigação criminal específica. Na terceira situação, os dados pessoais recebidos podem não estar relacionados com as categorias de titulares de dados listadas no anexo II, e não foram fornecidos na sequência de um pedido de apoio da Europol para uma investigação criminal específica. Nesse caso, a Europol deverá poder verificar se esses dados pessoais estão relacionados com qualquer uma dessas categorias de titulares de dados. Na quarta situação, os dados pessoais recebidos foram submetidos para efeitos de projetos de investigação e inovação e não estão relacionados com as categorias de titulares de dados listadas no anexo II.

(18)

Nos termos do artigo 73.o do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (10), se aplicável e na medida do possível, a Europol deve estabelecer uma distinção clara entre os dados pessoais relacionados com as diferentes categorias de titulares de dados listadas no anexo II.

(19)

Quando os Estados-Membros utilizarem a infraestrutura da Europol para o intercâmbio de dados pessoais sobre crimes que não se encontram abrangidos pelos objetivos da Europol, a Europol não deverá ter acesso a esses dados e deverá ser considerada um subcontratante na aceção do artigo 87.o do Regulamento (UE) 2018/1725. Nesses casos, a Europol deverá poder tratar os dados que não estejam relacionados com as categorias de titulares de dados listadas no anexo II. Se os Estados-Membros utilizarem a infraestrutura da Europol para o intercâmbio de dados pessoais sobre crimes abrangidos pelos objetivos da Europol e concederem à Europol acesso a esses dados, os requisitos relacionados com as categorias de titulares de dados listadas no anexo II deverão aplicar-se a qualquer outro tratamento desses dados pela Europol.

(20)

No respeito do princípio da minimização dos dados, a Europol deverá poder verificar se os dados pessoais recebidos no contexto da prevenção e do combate aos crimes abrangidos pelos seus objetivos estão relacionados com uma das categorias de titulares de dados listadas no anexo II. Para o efeito, a Europol deverá poder efetuar uma análise prévia dos dados pessoais recebidos, com a única finalidade de determinar se tais dados se relacionam com essas categorias de titulares de dados, comparando-os com os dados pessoais já por si detidos, sem analisar mais aprofundadamente esses dados pessoais. Tal análise prévia deverá constituir uma etapa distinta e ocorrer antes do tratamento dos dados por parte da Europol para efeitos de verificação cruzada, análise estratégica, análise operacional ou intercâmbio de informações, e após a Europol ter determinado que os dados em causa são pertinentes e necessários para o desempenho das suas funções. Depois de confirmar que os dados pessoais estão relacionados com as categorias de titulares de dados listadas no anexo II, a Europol deverá poder tratar esses dados pessoais para efeitos de verificação cruzada, análise estratégica, análise operacional ou intercâmbio de informações. Se a Europol concluir que esses dados pessoais não estão relacionados com as categorias de titulares de dados listadas no anexo II, deverá eliminar esses dados.

(21)

A categorização de dados pessoais num determinado conjunto de dados pode sofrer alterações ao longo do tempo, em função de novas informações que fiquem disponíveis no contexto de investigações criminais, nomeadamente informações sobre suspeitos adicionais. Por essa razão, a Europol deverá poder proceder ao tratamento de dados pessoais com que os dados em questão se relacionam por um período máximo de 18 meses a contar do momento em que a Europol verifique que esses dados são abrangidos pelos seus objetivos, quando tal for estritamente necessário e proporcionado, para efeitos de determinação das categorias de titulares de dados. A Europol deverá poder prorrogar o período de tratamento até três anos, em casos devidamente justificados e na medida em que tal prorrogação seja necessária e proporcionada. A prorrogação deverá ser comunicada à Autoridade Europeia para a Proteção de Dados (AEPD). Sempre que o tratamento de dados pessoais para efeitos de determinação das categorias de titulares de dados cesse de ser necessário e justificado e, em qualquer caso, uma vez expirado o período máximo de tratamento, a Europol deverá suprimir os dados pessoais.

(22)

O volume dos dados recolhidos em investigações criminais tem vindo a aumentar e os conjuntos de dados têm-se tornado mais complexos. Os Estados-Membros enviam à Europol conjuntos de dados complexos e volumosos, solicitando a análise operacional pela Europol, a fim de identificar as ligações a outros crimes que não o crime objeto da investigação no âmbito do qual foram recolhidos e a criminosos noutros Estados-Membros e fora da União. Visto que a Europol é mais eficaz do que os Estados-Membros quando se trata de detetar tais ligações transfronteiriças através das suas próprias análises dos dados, a Europol deverá poder apoiar as investigações criminais dos Estados-Membros através do tratamento de conjuntos de dados complexos e volumosos, para identificar tais ligações transfronteiriças, desde que sejam cumpridos os rigorosos requisitos e garantias estabelecidos no presente regulamento. Se for necessário para apoiar eficazmente uma investigação criminal específica em curso num Estado-Membro, a Europol deverá poder tratar os dados da investigação que as autoridades competentes dos Estados-Membros estão autorizadas a tratar no contexto dessa investigação criminal específica, de acordo com os requisitos processuais e as garantias aplicáveis ao abrigo do seu direito nacional, e que estas autoridades depois enviam à Europol. Deverão estar incluídos os dados pessoais sempre que um Estado-Membro não tenha conseguido determinar se esses dados estão relacionados com as categorias de titulares de dados listadas no anexo II. Se um Estado-Membro, a Procuradoria Europeia ou a Eurojust lhe facultarem dados de investigação, solicitando o seu apoio para uma investigação criminal específica em curso, a Europol deverá poder tratar esses dados durante o período em que prestar apoio a essa investigação criminal específica, em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do direito da União ou nacional.

(23)

Para assegurar que o tratamento de dados realizado no contexto de uma investigação criminal é necessário e proporcionado, os Estados-Membros deverão assegurar a conformidade com o direito da União e nacional ao enviarem os dados da investigação à Europol. Ao apresentarem dados de investigação à Europol para solicitar o seu apoio para uma investigação criminal específica, os Estados-Membros deverão ter em conta a escala e a complexidade do tratamento de dados, bem como o tipo e a importância da investigação. Os Estados-Membros deverão informar a Europol quando, em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do respetivo direito nacional, já não estiverem autorizados a tratar dados no âmbito de uma investigação criminal específica em curso que está em causa. A Europol apenas deverá tratar os dados pessoais que não estão relacionados com as categorias de titulares de dados listadas no anexo II caso considere que não é possível apoiar uma investigação criminal específica em curso sem tratar esses dados pessoais. A Europol deverá documentar essa avaliação. A Europol deverá conservar esses dados funcionalmente separados de outros dados e proceder ao seu tratamento unicamente quando tal seja necessário para prestar apoio à investigação criminal específica em curso que está em causa, como no caso de novas pistas.

(24)

A Europol deverá igualmente poder tratar os dados pessoais necessários para prestar apoio a uma investigação criminal específica num ou mais Estados-Membros se esses dados forem fornecidos por um país terceiro, desde que: o país terceiro seja objeto de uma decisão de adequação nos termos da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (11) («decisão de adequação»); a União tenha celebrado um acordo internacional com esse país terceiro nos termos do artigo 218.o do Tratado sobre o Funcionamento da União Europeia (TFUE) que inclua a transferência de dados pessoais para fins de aplicação da lei («acordo internacional»); tenha sido celebrado um acordo de cooperação que permita o intercâmbio de dados pessoais entre a Europol e o país terceiro antes da entrada em vigor do Regulamento (UE) 2016/794 («acordo de cooperação»); ou estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo ou a Europol considere, com base numa avaliação de todas circunstâncias que rodeiem a transferência de dados pessoais, que essas garantias existem nesse país terceiro e desde que o país terceiro tenha obtido os dados no contexto de uma investigação criminal em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do seu direito penal nacional. Se um país terceiro lhe transmitir dados de investigação, a Europol deverá verificar se a quantidade de dados pessoais não é manifestamente desproporcionada em relação à investigação criminal específica apoiada pela Europol no Estado-Membro em causa e se, tanto quanto possível, não existem indicações objetivas de que os dados de investigação foram obtidos no país terceiro em manifesta violação dos direitos fundamentais. Se chegar à conclusão de que tais condições não estão preenchidas, a Europol não deverá tratar os dados, devendo suprimi-los. Sempre que um país terceiro transmitir dados de investigação à Europol, o responsável pela proteção de dados da Europol deverá poder notificar a AEPD, se for caso disso.

(25)

Para assegurar que um Estado-Membro pode utilizar os relatórios analíticos da Europol no âmbito de processos judiciais na sequência de uma investigação criminal, a Europol deverá poder conservar os dados da investigação conexos, a pedido desse Estado-Membro, da Procuradoria Europeia ou da Eurojust para efeitos de garantia da exatidão, da fiabilidade e da rastreabilidade do processo de informação criminal. A Europol conserva esses dados funcionalmente separados de outros dados e apenas durante o período em que os processos judiciais relacionados com a investigação criminal estiverem em curso no Estado-Membro. Além disso, é necessário assegurar o acesso das autoridades judiciais competentes, bem como os direitos de defesa, em particular o direito de acesso dos suspeitos ou dos acusados ou dos seus advogados aos elementos do processo. Para o efeito, a Europol deverá registar todos os elementos de prova e os métodos através dos quais foram produzidos ou obtidos pela Europol, a fim de permitir um controlo eficaz dos elementos de prova pela defesa.

(26)

A Europol deverá poder tratar os dados pessoais que tenha recebido antes da entrada em vigor do presente regulamento que não estejam relacionados com as categorias de titulares de dados listadas no anexo II, em conformidade com o disposto no presente regulamento, em duas situações. Na primeira situação, a Europol deverá poder tratar tais dados pessoais para apoiar uma investigação criminal ou para assegurar a exatidão, fiabilidade e rastreabilidade do processo de informação criminal, desde que sejam cumpridos os requisitos previstos nas disposições transitórias relativas ao tratamento de dados pessoais recebidos para apoiar uma investigação criminal. Na segunda situação, a Europol deverá também poder verificar se tais dados pessoais estão relacionados com uma das categorias de titulares de dados listadas no anexo II efetuando uma análise prévia desses dados pessoais durante um período máximo de 18 meses a contar da data da receção inicial dos dados pela Europol ou, em casos justificados, durante um período mais longo com a autorização prévia da AEPD. O período máximo de tratamento de dados pessoais para efeitos dessa análise prévia não deverá exceder um período de três anos a contar da data da receção inicial dos dados pela Europol.

(27)

Os processos transfronteiriços relativos a criminalidade grave ou terrorismo exigem uma estreita cooperação entre as autoridades competentes dos Estados-Membros em causa. A Europol proporciona instrumentos para apoiar tal cooperação em investigações, nomeadamente através do intercâmbio de informações. Para reforçar ainda mais tal cooperação em investigações criminais específicas através de análises operacionais conjuntas, os Estados-Membros deverão poder permitir a outros Estados-Membros o acesso direto às informações que facultaram à Europol, sem prejuízo de quaisquer limitações gerais ou específicas que indiquem no acesso a essas informações. Qualquer tratamento de dados pessoais por parte dos Estados-Membros em análises operacionais conjuntas deverá processar-se em conformidade com o presente regulamento e com a Diretiva (UE) 2016/680.

(28)

A Europol e a Procuradoria Europeia deverão celebrar acordos de cooperação que definam as modalidades da sua colaboração tendo devidamente em conta as respetivas competências. A Europol deverá trabalhar em estreita colaboração com a Procuradoria Europeia, apoiando ativamente as investigações da Procuradoria Europeia a pedido desta, incluindo ao prestar apoio analítico e informações pertinentes. A Europol também deverá cooperar com a Procuradoria Europeia, desde o momento em que uma alegada infração é comunicada à Procuradoria Europeia até ao momento em que a Procuradoria Europeia decida instaurar uma ação penal ou arquivar o processo. A Europol deverá comunicar à Procuradoria Europeia, sem demora injustificada, qualquer conduta criminosa a respeito da qual a Procuradoria Europeia possa exercer a sua competência. Para reforçar a cooperação operacional entre a Europol e a Procuradoria Europeia, a Europol deverá permitir o acesso à Procuradoria Europeia aos dados detidos pela Europol, com base num sistema de resposta positiva/negativa, que notifica apenas a Europol em caso de resposta positiva, de acordo com o presente regulamento, incluindo quaisquer limitações indicadas pelo prestador de informações à Europol. Se as informações forem abrangidas por uma limitação indicada por um Estado-Membro, a Europol deverá remeter a questão para esse Estado-Membro para que este cumpra as obrigações que lhe incumbem por força do Regulamento (UE) 2017/1939. O Estado-Membro em causa deverá subsequentemente informar a Procuradoria Europeia em conformidade com o seu procedimento nacional. As regras relativas à transmissão de dados pessoais para os organismos da União estabelecidas no presente regulamento deverão aplicar-se à cooperação da Europol com a Procuradoria Europeia. A Europol deverá poder igualmente apoiar as investigações da Procuradoria Europeia mediante a análise de conjuntos de dados complexos e volumosos de acordo com as salvaguardas e garantias de proteção de dados previstas no presente regulamento.

(29)

A Europol deverá cooperar estreitamente com o Organismo Europeu de Luta Antifraude (OLAF), a fim de detetar a fraude, a corrupção e qualquer outra atividade ilícita lesiva dos interesses financeiros da União. Para o efeito, a Europol deverá transmitir ao OLAF, sem demora injustificada, qualquer informação em relação à qual o OLAF possa exercer a sua competência. As regras relativas à transmissão de dados pessoais para os organismos da União estabelecidas no presente regulamento deverão aplicar-se à cooperação da Europol com o OLAF.

(30)

Os crimes graves e o terrorismo apresentam com frequência ligações fora da União. A Europol pode proceder ao intercâmbio de dados pessoais com países terceiros, salvaguardando simultaneamente a proteção da privacidade e dos direitos e liberdades fundamentais dos titulares dos mesmos. Quando isso for essencial para a investigação de um crime específico abrangido pelos objetivos da Europol, o diretor executivo deverá poder, numa base casuística, autorizar uma categoria de transferências de dados pessoais para países terceiros, sempre que essa categoria de transferências esteja relacionada com a mesma situação específica, consista das mesmas categorias de dados pessoais e as mesmas categorias de titulares de dados, seja necessária e proporcionada para efeitos de investigação de um crime específico e cumpra todos os requisitos do presente regulamento. Deverá ser possível que as transferências individuais abrangidas por uma categoria de transferências incluam apenas algumas das categorias de dados pessoais e categorias de titulares de dados cuja transferência seja autorizada pelo diretor executivo. Também deverá ser possível autorizar uma categoria de transferências de dados pessoais nas seguintes situações específicas: quando a transferência de dados pessoais seja necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa; quando a transferência de dados pessoais seja essencial para a prevenção de uma ameaça imediata e grave à segurança pública de um Estado-Membro ou de um país terceiro; quando o fim da transferência de dados pessoais seja salvaguardar os interesses legítimos do titular dos dados; ou, em casos individuais, seja para efeitos de prevenção, investigação, deteção ou exercício da ação penal relativamente a infrações penais ou execução de sanções penais ou para a declaração, o exercício ou a defesa de direitos relacionados com a prevenção, investigação, deteção ou exercício da ação penal relativamente a uma infração penal específica ou a execução de uma sanção penal específica.

(31)

As transferências que não se baseiem na autorização do diretor executivo, numa decisão de adequação, num acordo internacional ou num acordo de cooperação só deverão ser autorizadas se estiverem previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo ou se a Europol concluir, com base numa avaliação de todas as circunstâncias que rodeiem a transferência de dados pessoais, que essas garantias existem. Para efeitos dessa avaliação, a Europol deverá poder ter em conta os acordos bilaterais celebrados entre Estados-Membros e países terceiros que permitam o intercâmbio de dados pessoais, quer a transferência de dados pessoais fique sujeita a obrigações de confidencialidade ou ao princípio da especificidade, assegurando que os dados não sejam tratados para outros efeitos que não os da transferência. Além disso, é importante que a Europol tenha em conta se os dados pessoais poderão ser utilizados para requerer, aplicar ou executar uma pena de morte ou qualquer forma de tratamento cruel ou desumano. A Europol deverá poder exigir garantias adicionais.

(32)

Para apoiar os Estados-Membros na cooperação com os organismos privados, quando os mesmos detiverem informações pertinentes para prevenir e combater a criminalidade grave e o terrorismo, a Europol deverá poder receber dados pessoais de organismos privados e, em casos específicos em que tal seja necessário e proporcionado, proceder ao intercâmbio de dados pessoais com os organismos privados.

(33)

Os criminosos utilizam cada vez mais os serviços prestados por organismos privados para a comunicação e a prática de atividades ilícitas. Os agressores sexuais exploram crianças e partilham nas plataformas em linha, à escala mundial, imagens e vídeos que constituem materiais pedopornográficos, bem como com outros agressores através de serviços de comunicações interpessoais independentes do número. Os terroristas utilizam os serviços oferecidos pelos prestadores de serviços em linha para recrutar voluntários, planear e coordenar ataques ou difundir propaganda. Os cibercriminosos beneficiam da digitalização das nossas sociedades e da falta de literacia digital e de outras competências digitais do público em geral, utilizando a mistificação da interface («phishing») e a engenharia social para cometerem outros tipos de cibercrimes, como fraudes em linha, ataques com programas sequestradores e fraude em pagamentos em linha. Como resultado da crescente utilização dos serviços em linha por parte dos criminosos, os organismos privados detêm quantidades crescentes de dados pessoais, incluindo dados relativos a assinaturas, tráfego e conteúdos, que é potencialmente pertinente para as investigações criminais.

(34)

Dado o caráter sem fronteiras da Internet, é possível que o prestador de serviços em linha e a infraestrutura digital em que os dados pessoais são conservados estejam sujeitos a diferentes jurisdições nacionais, dentro da União ou fora dela. Os organismos privados podem, por conseguinte, deter conjuntos de dados pertinentes para a aplicação da lei e que contêm dados pessoais abrangidos pela competência de várias jurisdições, bem como dados pessoais que não podem ser facilmente atribuídos a uma jurisdição específica. As autoridades competentes dos Estados-Membros podem ter dificuldade em analisar eficazmente tais conjuntos de dados multijurisdicionais ou não atribuíveis através de soluções nacionais. Além disso, não há atualmente um ponto de contacto único para os organismos privados que decidam partilhar legal e voluntariamente conjuntos de dados com as autoridades competentes dos Estados-Membros. Assim sendo, a Europol deverá adotar medidas para facilitar a cooperação com organismos privados, nomeadamente no que diz respeito ao intercâmbio de informações.

(35)

Para garantir que os organismos privados dispõem de um ponto de contacto a nível da União para transmitirem legal e voluntariamente conjuntos de dados multijurisdicionais ou conjuntos de dados que não podem ser facilmente atribuídos a uma ou a várias jurisdições específicas, a Europol deverá poder receber dados pessoais diretamente destes organismos com a finalidade de transmitir aos Estados-Membros as informações necessárias para apurar a competência jurisdicional e investigar crimes no âmbito das respetivas jurisdições, em conformidade com o presente regulamento. Essa informação pode incluir relatórios relacionados com conteúdos moderados que se possa razoavelmente presumir estarem ligados às atividades criminosas abrangidas pelos objetivos da Europol.

(36)

Para assegurar que os Estados-Membros recebem sem demora indevida as informações necessárias para iniciarem investigações com vista a prevenir e a combater a criminalidade grave e o terrorismo, a Europol deverá poder proceder ao tratamento e à análise de dados pessoais, a fim de identificar as unidades nacionais competentes e transmitir a essas unidades nacionais os dados pessoais e quaisquer resultados da sua análise e verificação de tais dados que sejam pertinentes para apurar a competência jurisdicional e para investigar os crimes em causa ao abrigo das respetivas jurisdições. A Europol deverá ainda poder transmitir os dados pessoais e os resultados da sua análise e verificação desses dados que são pertinentes para efeitos de apurar a competência jurisdicional a pontos de contacto ou autoridades de países terceiros que sejam objeto de uma decisão de adequação, ou com os quais tenha sido celebrado um acordo internacional ou um acordo de cooperação, ou estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo, ou a Europol considere, com base numa avaliação de todas as circunstâncias que rodeiem a transferência de dados pessoais, que essas garantias existem nesses países terceiros. Se o país terceiro em causa não for objeto de uma decisão de adequação nem parte de um acordo internacional ou de um acordo de cooperação, ou na ausência de um instrumento juridicamente vinculativo, ou se a Europol não considerar que existem garantias adequadas, a Europol deverá poder transferir os resultados da sua análise e verificação desses dados para o país terceiro em causa, em conformidade com o presente regulamento.

(37)

Em conformidade com o Regulamento (UE) 2016/794, em certos casos e sob reserva de condições, pode ser necessário e proporcionado que a Europol transfira dados pessoais para organismos privados que não estejam estabelecidos na União nem num país terceiro que seja objeto de uma decisão de adequação ou com o qual tenha sido celebrado um acordo internacional ou um acordo de cooperação, ou quando não estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo, ou quando a Europol não tiver considerado que existem garantias adequadas. Nesses casos, a transferência deverá ser sujeita a autorização prévia do diretor executivo.

(38)

Para garantir que a Europol pode identificar todas as unidades nacionais competentes, esta deverá poder informar os organismos privados quando as informações que receber dos mesmos forem insuficientes para identificar as unidades nacionais em causa. Tal permitiria aos referidos organismos privados decidir se é do seu interesse partilhar informações adicionais com a Europol e se o podem fazer legalmente. Para esse efeito, a Europol deverá estar habilitada a informar esses organismos quanto a informações em falta, na medida em que tal seja estritamente necessário exclusivamente para identificar as unidades nacionais em causa. Deverão aplicar-se garantias especiais a transferências de informações da Europol para organismos privados quando o organismo privado em causa não estiver estabelecido na União ou num país terceiro que seja objeto de uma decisão de adequação ou com o qual tenha sido celebrado um acordo internacional ou um acordo de cooperação, ou quando não estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo, ou quando a Europol não tiver considerado que existem garantias adequadas.

(39)

Caso os Estados-Membros, os países terceiros, as organizações internacionais ou os organismos privados partilhem com a Europol conjuntos de dados multijurisdicionais e conjuntos de dados que não possam ser atribuídos a uma ou a várias jurisdições específicas, é possível que esses conjuntos de dados estejam ligados a dados pessoais detidos por organismos privados. Nessas situações, a Europol deverá poder enviar um pedido aos Estados-Membros, por intermédio das suas unidades nacionais, para obter os dados pessoais necessários que estejam na posse de organismos privados que se encontrem estabelecidos ou que disponham de um representante legal no território desses Estados-Membros. Tal pedido só deverá ser feito caso a obtenção de informações adicionais vindas desses organismos privados seja necessária para identificar as unidades nacionais em questão. O pedido deverá ser tão fundamentado e preciso quanto possível. Os dados pessoais pertinentes, que deverão ser o menos sensíveis possível e ser estritamente limitados ao que é necessário para efeitos da identificação das unidades nacionais em causa, deverão ser fornecidos à Europol em conformidade com a legislação aplicável dos Estados-Membros em causa. As autoridades competentes dos Estados-Membros em causa deverão avaliar o pedido da Europol e decidir, em conformidade com a respetiva legislação nacional, se devem deferi-lo. O tratamento de dados por organismos privados efetuado aquando do tratamento desses pedidos das autoridades competentes dos Estados-Membros deverá continuar sujeito às das regras aplicáveis, nomeadamente no que diz respeito à proteção de dados. Os organismos privados deverão fornecer os dados que lhes forem pedidos pelas autoridades competentes dos Estados-Membros, para transmissão posterior à Europol. Em muitos casos, é possível que os Estados-Membros em causa não consigam estabelecer uma ligação à sua jurisdição, a não ser pelo facto de o organismo privado detentor dos dados pertinentes se encontrar estabelecido sob a sua jurisdição ou legalmente representado na mesma. Independentemente de terem jurisdição relativamente ao crime específico, os Estados-Membros deverão, em todo o caso, assegurar que as suas autoridades nacionais competentes possam obter dados pessoais de organismos privados com o propósito de fornecer à Europol as informações necessárias para esta alcançar os seus objetivos, em plena conformidade com as garantias processuais ao abrigo do seu direito nacional.

(40)

Para assegurar que a Europol não conserva os dados pessoais recebidos diretamente de organismos privados por um período superior ao necessário para identificar as unidades nacionais em causa, deverão aplicar-se prazos para a conservação de dados pessoais pela Europol. Quando a Europol tiver esgotado todos os meios à sua disposição para a identificação das unidades nacionais em causa e não puder razoavelmente esperar identificar outras unidades nacionais, a conservação desses dados pessoais deixa de ser necessária e proporcionada para efeitos da identificação das unidades nacionais em causa. A Europol deverá apagar os dados pessoais no prazo de quatro meses após a sua última transmissão ou transferência para uma unidade nacional ou para um ponto de contacto de um país terceiro ou para uma autoridade de um país terceiro, salvo se uma unidade nacional, um ponto de contacto ou uma autoridade em causa voltar a apresentar, em conformidade com o direito da União e o direito nacional, os dados pessoais à Europol, como sendo dados seus, dentro desse período. Se os dados pessoais que foram objeto de uma nova apresentação fizerem parte de um conjunto mais abrangente de dados pessoais, a Europol só deverá conservar os dados pessoais que tenham sido novamente apresentados por uma unidade nacional, por um ponto de contacto ou por uma autoridade em causa.

(41)

Qualquer cooperação da Europol com organismos privados não deverá duplicar as atividades das Unidades de Informação Financeira (UIF) estabelecidas nos termos da Diretiva (UE) 2015/849 do Parlamento Europeu e do Conselho (12) nem interferir com as mesmas, devendo dizer unicamente respeito a informações que ainda não tenham sido fornecidas às UIF em conformidade com essa diretiva. A Europol deverá continuar a cooperar com as UIF, em particular por intermédio das unidades nacionais.

(42)

A Europol deverá poder prestar o apoio necessário para que as autoridades competentes dos Estados-Membros interajam com os organismos privados, em particular ao proporcionar as infraestruturas necessárias para tal interação, por exemplo, quando as autoridades competentes dos Estados-Membros referenciam conteúdos terroristas em linha, enviam ordens de remoção relativas a tais conteúdos a prestadores de serviços em linha, nos termos do Regulamento (UE) 2021/784 do Parlamento Europeu e do Conselho (13), ou quando procedem ao intercâmbio de informações com organismos privados no contexto de ciberataques. Quando os Estados-Membros utilizam a infraestrutura da Europol para o intercâmbio de dados pessoais sobre crimes que não se encontram abrangidos pelos objetivos da Europol, a Europol não deverá ter acesso a esses dados. A Europol deverá assegurar, por meios técnicos, que a sua infraestrutura se limita estritamente a proporcionar um canal para tais interações entre as autoridades competentes dos Estados-Membros e um organismo privado, e que a Europol proporciona todas as garantias necessárias contra o acesso por parte de um organismo privado a quaisquer outras informações nos sistemas da Europol que não estejam relacionadas com o intercâmbio com esse organismo privado.

(43)

Os ataques terroristas desencadeiam a difusão em larga escala de conteúdos terroristas por intermédio das plataformas em linha, os quais representam perigo para a vida ou para a integridade física, ou preconizam um perigo iminente para a vida ou a integridade física, permitindo assim glorificar o terrorismo, disponibilizar atividades de treino e, com o tempo, radicalizar e recrutar outras pessoas. Além disso, o recurso cada vez maior à Internet para registar ou partilhar material pedopornográfico perpetua os danos causados às vítimas, dado que o material pode ser facilmente replicado e divulgado. A fim de prevenir e combater os crimes abrangidos pelos objetivos da Europol, a Europol deverá poder apoiar as ações dos Estados-Membros para combater eficazmente a difusão de conteúdos terroristas no contexto de situações de crise em linha decorrentes de eventos em curso ou recentes no mundo real, a difusão em linha de material pedopornográfico em linha, e apoiar as ações dos prestadores de serviços em linha, em conformidade com as obrigações que lhes incumbem por força do direito da União, bem como nas suas ações voluntárias. Para o efeito, a Europol deverá poder proceder ao intercâmbio de dados pessoais pertinentes, incluindo assinaturas digitais únicas e não reconvertíveis («hashes»), endereços IP ou URL relacionados com tais conteúdos, com organismos privados estabelecidos na União, ou num país terceiro que seja objeto de uma decisão de adequação ou, na falta de uma tal decisão, com o qual tenha sido celebrado um acordo internacional ou um acordo de cooperação, ou quando estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo, ou quando a Europol considere, com base numa avaliação de todas as circunstâncias que rodeiem a transferência de dados pessoais, que essas garantias existem nesse país terceiro. Esses intercâmbios de dados pessoais só deverão ter lugar para fins de remoção de conteúdo terrorista e material de abuso sexual infantil em linha, em particular quando se preveja a multiplicação exponencial e viral desse conteúdo e material entre diversos prestadores de serviços em linha. Nenhuma disposição do presente regulamento deverá ser entendida como impeditiva da utilização por parte dos Estados-Membros das ordens de remoção previstas no Regulamento (UE) 2021/784 como instrumento para combater os conteúdos terroristas em linha.

(44)

A fim de evitar uma duplicação de esforços e a possível interferência com as investigações e de minimizar os encargos dos prestadores de serviços de alojamento virtual afetados, a Europol deverá prestar assistência, trocar informações e cooperar com as autoridades competentes dos Estados-Membros no que diz respeito às transmissões e transferências de dados pessoais para organismos privados para fazer face a situações de crise em linha e à difusão em linha de material pedopornográfico em linha.

(45)

O Regulamento (UE) 2018/1725 estabelece regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União. Embora o Regulamento (UE) 2018/1725 se aplique ao tratamento, pela Europol, de dados pessoais administrativos não relacionados com investigações criminais, como dados do pessoal, o artigo 3.o, ponto 2, e o capítulo IX desse regulamento, que regulam o tratamento de dados pessoais, não se aplicarem atualmente à Europol. Para assegurar uma proteção uniforme e coerente das pessoas singulares no que respeita ao tratamento de dados pessoais, o capítulo IX do Regulamento (UE) 2018/1725 deverá ser aplicado à Europol, em conformidade com o artigo 2.o, n.o 2, desse regulamento, e ser complementado por disposições específicas em matéria de operações de tratamento específicas que a Europol deverá executar de modo a cumprir as suas funções. Por conseguinte, as competências de supervisão da AEPD sobre as operações de tratamento da Europol deverão ser reforçadas, em consonância com as competências pertinentes aplicáveis ao tratamento de dados pessoais administrativos aplicáveis a todas as instituições, órgãos e organismos da União nos termos do capítulo VI do Regulamento (UE) 2018/1725. Para o efeito, caso a Europol trate dados pessoais para fins operacionais, a AEPD deverá poder exigir à Europol que tome medidas para assegurar a conformidade das suas operações de tratamento com as disposições do presente regulamento, ordenar a suspensão dos fluxos de dados para um destinatário num Estado-Membro, num país terceiro ou numa organização internacional e deverá poder aplicar uma coima em caso de incumprimento pela Europol.

(46)

O tratamento de dados para efeitos do presente regulamento poderá implicar o tratamento de categorias especiais de dados pessoais conforme estabelecido no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (14). O tratamento de fotografias não deverá ser considerado sistematicamente como um tratamento de categorias especiais de dados pessoais, uma vez que as fotografias só são abrangidas pela definição de dados biométricos nos termos do artigo 3.o, ponto 18, do Regulamento (UE) 2018/1725 quando são tratadas por meios técnicos específicos que permitem a identificação inequívoca ou a autenticação de uma pessoa singular.

(47)

O mecanismo de consulta prévia que envolve as AEDP e está previsto no Regulamento (UE) 2018/1725 constitui uma importante garantia para os novos tipos de operações de tratamento. Todavia, esse mecanismo não deverá aplicar-se a atividades operacionais individuais específicas, como os projetos de análise operacional, mas sim à utilização de novos sistemas informáticos para o tratamento de dados pessoais ou a quaisquer mudanças substanciais desses sistemas que representem um elevado risco para os direitos e liberdades dos titulares dos dados. O prazo dentro do qual a AEPD deverá ser instada a emitir orientações por escrito sobre essas consultas não deverá poder ser objeto de suspensões. No caso de atividades de tratamento de substancial importância para o exercício das funções da Europol que sejam particularmente urgentes, deverá ser possível que a Europol possa, a título excecional, iniciar o tratamento logo após o início da consulta prévia, mesmo que o prazo para a AEPD emitir orientações por escrito ainda não tenha expirado. Tal urgência pode surgir em casos nos quais o exercício das funções da Europol pode revestir-se de uma importância substancial, se o tratamento for necessário para prevenir e combater uma ameaça imediata de um crime abrangido pelos objetivos da Europol, e para proteger interesses vitais do titular de dados ou de outra pessoa. O responsável pela proteção de dados da Europol deverá participar na avaliação da urgência e da necessidade desse tratamento antes de expirar o prazo de resposta da AEPD à consulta prévia. O responsável pela proteção de dados da Europol deverá supervisionar o tratamento em questão. A AEPD deverá poder exercer as suas competências no que diz respeito a esse tratamento.

(48)

Dados os desafios que os rápidos desenvolvimentos tecnológicos e a exploração de novas tecnologias por parte de terroristas e outros criminosos representam para a segurança da União, as autoridades competentes dos Estados-Membros precisam de reforçar as suas capacidades tecnológicas para identificar, proteger e analisar os dados necessários à investigação de infrações criminais. A Europol deverá poder apoiar os Estados-Membros na utilização de tecnologias emergentes e na exploração de novas abordagens e no desenvolvimento de soluções tecnológicas comuns para que os Estados-Membros previnam e combatam melhor o terrorismo e a criminalidade abrangidos pelos objetivos da Europol. Ao mesmo tempo, a Europol deverá assegurar que o desenvolvimento, a utilização e a implantação de novas tecnologias sejam norteados pelos princípios da transparência, da explicabilidade, da equidade e da responsabilização, não comprometam os direitos e liberdades fundamentais e estejam em conformidade com o direito da União. Para o efeito, a Europol deverá poder realizar projetos de investigação e inovação em domínios abrangidos pelo presente regulamento no âmbito vinculativo para os projetos de investigação e inovação estabelecidos pelo Conselho de Administração num documento vinculativo. Tal documento deverá ser atualizado sempre que necessário e disponibilizado à AEPD. Esses projetos só deverão poder abranger o tratamento de dados pessoais se certas condições forem cumpridas, nomeadamente o tratamento ser estritamente necessário, o objetivo de o projeto em causa não poder ser alcançado mediante a utilização de dados não pessoais, tais como dados sintéticos ou anónimos, e se o pleno respeito pelos direitos fundamentais, em especial a não discriminação, for assegurado.

O tratamento de categorias especiais de dados pessoais para fins de investigação e inovação só deverá ser permitido quando for estritamente necessário. Dada o caráter sensível desse tratamento, deverão ser aplicadas garantias adicionais adequadas, incluindo a pseudonimização. A fim de evitar a parcialidade na tomada de decisões algorítmicas, a Europol deverá ser autorizada a tratar dados pessoais que não se relacionam com as categorias de titulares de dados listadas no anexo II. A Europol deverá conservar registos de todo o tratamento de dados pessoais no contexto dos seus projetos de investigação e inovação somente para verificar a exatidão dos resultados do tratamento de dados e apenas durante o tempo necessário para tal. As disposições sobre o desenvolvimento de novos instrumentos por parte da Europol não deverão constituir uma base jurídica para a sua implantação a nível da União ou a nível nacional. A fim de impulsionar a inovação e reforçar as sinergias em projetos de investigação e inovação, é importante que a Europol intensifique a sua cooperação com as redes pertinentes de profissionais dos Estados-Membros e outras agências da União, no âmbito das respetivas competências nesse domínio, e apoiar outras formas de cooperação conexas, como o apoio de secretariado ao Polo da UE de Inovação para a Segurança Interna enquanto rede colaborativa de laboratórios de inovação.

(49)

A Europol deverá desempenhar um papel fundamental na assistência aos Estados-Membros no domínio do desenvolvimento de novas soluções tecnológicas baseadas em inteligência artificial que sejam pertinentes para a consecução dos objetivos da Europol e que beneficiem as autoridades competentes dos Estados-Membros em toda a União. Essa assistência deverá ser prestada no pleno respeito dos direitos e liberdades fundamentais, nomeadamente a não discriminação. A Europol deverá desempenhar um papel fundamental na promoção do desenvolvimento e implantação da inteligência artificial ética, fiável e centrada no ser humano, sujeita a garantias sólidas em termos de segurança, de proteção, de transparência, de explicabilidade e de direitos fundamentais.

(50)

Antes de lançar os seus projetos de investigação e de inovação que envolvam o tratamento de dados pessoais, a Europol deverá informar a AEPD. A Europol deverá informar ou consultar o seu Conselho de Administração, em conformidade com certos critérios específicos que deverão ser estabelecidos nas orientações pertinentes. A Europol não deverá tratar dados para efeitos de projetos de investigação e inovação sem o consentimento do Estado-Membro, organismo da União, país terceiro ou organização internacional que tenha apresentado os dados à Europol, a menos que esse Estado-Membro, organismo da União, país terceiro ou organização internacional tenha concedido a sua autorização prévia para esse tratamento para esse efeito. Para cada projeto, a Europol deverá realizar, previamente ao tratamento, uma avaliação do impacto na proteção dos dados para garantir o pleno respeito do direito à proteção dos dados e de todos os outros direitos e liberdades fundamentais dos titulares dos dados. A avaliação do impacto da proteção de dados deverá incluir uma avaliação da adequação, necessidade e proporcionalidade dos dados pessoais a serem tratados para a finalidade específica do projeto, incluindo o requisito de minimização dos dados e uma avaliação de uma eventual parcialidade nos resultados e nos dados pessoais a tratar para a finalidade específica do projeto, bem como das medidas previstas para fazer face a esses riscos. O desenvolvimento de novos instrumentos por parte da Europol não deverá prejudicar a base jurídica, incluindo os fundamentos para o tratamento dos dados pessoais em causa, que seriam posteriormente necessários para a sua implantação a nível da União ou a nível nacional.

(51)

Proporcionar à Europol os instrumentos e as capacidades adicionais requer o reforço do controlo democrático e da responsabilização da Europol. A supervisão parlamentar conjunta constitui um importante elemento de acompanhamento político das atividades da Europol. Para permitir um acompanhamento político eficaz da forma como utiliza os instrumentos e as capacidades adicionais previstos no presente regulamento, a Europol deverá facultar anualmente ao grupo de controlo parlamentar conjunto (GCPC) e aos Estados-Membros informações pormenorizadas sobre o desenvolvimento, a utilização e a eficácia desses instrumentos e capacidades e os resultados da sua utilização, em especial sobre os projetos de investigação e inovação, bem como sobre novas atividades ou a criação de novos polos especializados no seio da Europol. Além disso, dois representantes do GCPC — um do Parlamento Europeu e outro dos parlamentos nacionais, de modo a refletir a constituição dúplice do GCPC — deverão ser convidados para, pelo menos, duas reuniões ordinárias anuais do Conselho de Administração, a fim de intervirem junto deste em nome do GCPC e debaterem o relatório anual de atividades consolidado, o documento único de programação e o orçamento anual, as perguntas e respostas escritas do GCPC, bem como as relações externas e as parcerias, respeitando simultaneamente as diferentes funções e responsabilidades do Conselho de Administração e do GCPC em conformidade com o presente regulamento. O Conselho de Administração, juntamente com os representantes do GCPC, pode identificar outras questões de interesse político a debater. Em consonância com o papel de supervisão do GCPC, os dois representantes do GCPC não deverão ter direito de voto no Conselho de Administração. As atividades de investigação e inovação previstas deverão figurar no documento único de programação que contém a programação plurianual e o programa de trabalho anual da Europol e ser transmitidas ao GCPC.

(52)

Na sequência de uma proposta do diretor executivo, o Conselho de Administração deverá designar um provedor de direitos fundamentais responsável por apoiar a Europol na salvaguarda do respeito pelos direitos fundamentais em todas as suas atividades e atribuições, em especial nos projetos de investigação e inovação da Europol e no intercâmbio de dados pessoais com organismos privados. Deverá ser possível designar como provedor de direitos fundamentais um membro do pessoal existente da Europol que tenha recebido formação especial em direito e prática em matéria dos direitos fundamentais. O provedor de direitos fundamentais deverá cooperar estreitamente com o responsável pela proteção de dados no âmbito das respetivas competências. As questões relacionadas com a proteção de dados inserem-se inteiramente no âmbito de competências do responsável pela proteção de dados.

(53)

Atendendo a que o objetivo do presente regulamento, a saber, o apoio e o reforço da ação das autoridades competentes dos Estados-Membros e a sua cooperação mútua na prevenção e no combate à criminalidade grave que afete dois ou mais Estados-Membros, ao terrorismo e às formas de criminalidade lesivas de um interesse comum que seja objeto de uma política da União, não pode ser suficientemente alcançado pelos Estados-Membros, mas pode, devido ao caráter transfronteiras da criminalidade grave e do terrorismo e à necessidade de uma resposta coordenada às ameaças de segurança conexas, ser mais bem alcançado ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do TUE. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo.

(54)

Nos termos do artigo 3.o do Protocolo n.o 21 relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao TUE e ao TFUE, a Irlanda notificou a sua intenção de participar na adoção e na aplicação do presente regulamento.

(55)

Nos termos dos artigos 1.o e 2.o do Protocolo n.o 22 relativo à posição da Dinamarca, anexo ao TUE e ao TFUE, a Dinamarca não participa na adoção do presente regulamento e não fica a ele vinculada nem sujeita à sua aplicação.

(56)

A AEPD foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 e emitiu parecer em 8 de março de 2021 (15).

(57)

O presente regulamento respeita plenamente os direitos e as salvaguardas fundamentais e observa os princípios reconhecidos, nomeadamente, pela Carta dos Direitos Fundamentais da União Europeia («Carta»), em especial o direito ao respeito pela vida privada e familiar e o direito à proteção dos dados pessoais, tal como previsto nos artigos 7.o e 8.o da Carta, bem como pelo artigo 16.o do TFUE. Dada a importância do tratamento de dados pessoais para o trabalho das autoridades policiais em geral e para o apoio prestado pela Europol, em particular, o presente regulamento deverá prever garantias reforçadas, mecanismos de controlo democrático e de responsabilização, para assegurar que as atividades e atribuições da Europol são realizadas no em plena conformidade com os direitos fundamentais, tal como consagrados na Carta, em especial o direito à igualdade perante a lei, o direito à não discriminação e a um recurso judicial eficaz perante o tribunal nacional competente contra qualquer uma das medidas tomadas nos termos do presente regulamento. Qualquer tratamento de dados pessoais ao abrigo do presente regulamento deverá ser limitado ao estritamente necessário e proporcionado, estando sujeito a condições claras, a requisitos rigorosos e a uma supervisão eficaz por parte da AEPD.

(58)

Por conseguinte, o Regulamento (UE) 2016/794 deverá ser alterado em conformidade.

(59)

A fim de permitir a imediata aplicação das medidas nele previstas, o presente regulamento deverá entrar em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia,