EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32022R0991
Regulation (EU) 2022/991 of the European Parliament and of the Council of 8 June 2022 amending Regulation (EU) 2016/794, as regards Europol’s cooperation with private parties, the processing of personal data by Europol in support of criminal investigations, and Europol’s role in research and innovation
Regulamento (UE) 2022/991 do Parlamento Europeu e do Conselho, de 8 de junho de 2022, que altera o Regulamento (UE) 2016/794 no que diz respeito à cooperação da Europol com os organismos privados, ao tratamento de dados pessoais pela Europol para apoiar investigações criminais, e ao papel da Europol na investigação e inovação
Regulamento (UE) 2022/991 do Parlamento Europeu e do Conselho, de 8 de junho de 2022, que altera o Regulamento (UE) 2016/794 no que diz respeito à cooperação da Europol com os organismos privados, ao tratamento de dados pessoais pela Europol para apoiar investigações criminais, e ao papel da Europol na investigação e inovação
PE/8/2022/REV/1
JO L 169 de 27.6.2022, p. 1–42
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
27.6.2022 |
PT |
Jornal Oficial da União Europeia |
L 169/1 |
REGULAMENTO (UE) 2022/991 DO PARLAMENTO EUROPEU E DO CONSELHO
de 8 de junho de 2022
que altera o Regulamento (UE) 2016/794 no que diz respeito à cooperação da Europol com os organismos privados, ao tratamento de dados pessoais pela Europol para apoiar investigações criminais, e ao papel da Europol na investigação e inovação
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 88.o,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Deliberando de acordo com o processo legislativo ordinário (1),
Considerando o seguinte:
(1) |
A Agência da União Europeia para a Cooperação Policial (Europol) foi criada pelo Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho (2) para apoiar e reforçar a ação das autoridades competentes dos Estados-Membros e a sua cooperação mútua em matéria de prevenção e de combate à criminalidade grave que afete dois ou mais Estados-Membros, o terrorismo e as formas de criminalidade lesivas de um interesse comum que seja objeto de uma política da União. |
(2) |
O panorama da segurança na Europa está em constante mutação, sendo caracterizado por ameaças em constante evolução e que são cada vez mais complexas. Os terroristas e outros criminosos exploram as capacidades oferecidas pela transformação digital e pelas novas tecnologias, nomeadamente a interconectividade e o esbatimento das fronteiras entre o mundo físico e o mundo digital, por exemplo, de ocultarem os seus crimes ou as suas identidades através da utilização de técnicas cada vez mais sofisticadas. Os terroristas e outros criminosos demonstraram a sua capacidade para adaptar o seu modus operandi ou desenvolver novas atividades criminosas em tempos de crise, nomeadamente recorrendo a ferramentas tecnológicas para multiplicar e expandir a gama e a escala das suas atividades criminosas. O terrorismo continua a constituir uma ameaça significativa à liberdade e ao modo de vida dos cidadãos da União. |
(3) |
As ameaças complexas e em desenvolvimento gradual propagam-se entre fronteiras, abrangem uma variedade de crimes e manifestam-se em grupos policriminosos de criminalidade organizada, que se dedicam a uma vasta gama de atividades criminosas. Dado que a ação a nível nacional e a cooperação transfronteiriça não são suficientes para enfrentar essas ameaças transnacionais em matéria de segurança, as autoridades competentes dos Estados-Membros recorrem cada vez mais ao apoio e aos conhecimentos especializados que a Europol proporciona para prevenir e combater a criminalidade grave e o terrorismo. Desde a entrada em vigor do Regulamento (UE) 2016/794, a importância operacional das funções da Europol aumentou substancialmente. Além disso, o novo cenário de ameaças altera o âmbito e o tipo de apoio de que os Estados-Membros necessitam e que esperam da Europol para garantirem a segurança dos cidadãos. |
(4) |
Por conseguinte, pelo presente regulamento deverão ser conferidas funções adicionais à Europol, a fim de lhe permitir apoiar mais eficazmente as autoridades competentes dos Estados-Membros, respeitando plenamente as responsabilidades dos Estados-Membros no domínio da segurança nacional estabelecidas no artigo 4.o, n.o 2, do Tratado da União Europeia (TUE). O mandato reforçado da Europol deverá ser contrabalançado pelo reforço das garantias no que respeita aos direitos fundamentais e por uma maior responsabilização, responsabilidade e supervisão, incluindo a supervisão parlamentar, e por intermédio do Conselho de Administração da Europol («Conselho de Administração»). Para que a Europol possa cumprir o seu mandato reforçado, as suas competências deverão ser acompanhadas de recursos humanos e financeiros adequados para apoiar as suas funções adicionais. |
(5) |
Dado que a União enfrenta ameaças crescentes por parte de grupos de criminalidade organizada e de ataques terroristas, uma resposta eficaz no domínio policial deverá incluir a disponibilidade de unidades especiais de intervenção interoperacionais com boa formação, especializadas no controlo de situações de crise provocadas pela ação humana. Na União, as unidades especiais de intervenção dos Estados-Membros cooperam com base na Decisão 2008/617/JAI do Conselho (3). A Europol deverá poder apoiar essas unidades especiais de intervenção através da prestação de apoio técnico e financeiro, em complemento dos esforços envidados pelos Estados-Membros. |
(6) |
Nos últimos anos, os ciberataques em grande escala, incluindo ataques originários de países terceiros, visaram organismos públicos e privados em muitos países da União e para além dela, afetando vários sectores, nomeadamente os serviços de transporte, de saúde e financeiros. A prevenção, a deteção, a investigação e o exercício da ação penal relativamente a tais ciberataques são apoiados pela coordenação e cooperação entre os intervenientes competentes, incluindo a Agência da União Europeia para a Cibersegurança (ENISA) criada pelo Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho (4), as autoridades competentes em matéria de segurança das redes e da informação, tal como definidas pela Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (5), as autoridades competentes dos Estados-Membros e os organismos privados. A fim de assegurar a cooperação eficaz entre todos os intervenientes competentes a nível da União e a nível nacional no domínio dos ciberataques e das ciberameaças, a Europol deverá cooperar com a ENISA, inclusive através de trocas de informação e da prestação de apoio analítico nos domínios cobertos pelas respetivas esferas de competência. |
(7) |
Os criminosos de alto risco desempenham um papel de liderança nas redes criminosas e as suas atividades criminosas representam um elevado risco de criminalidade grave para a segurança interna da União. Para combater os grupos de criminalidade organizada de alto risco e os seus membros dirigentes, a Europol deverá poder apoiar os Estados-Membros a concentrarem a sua resposta de investigação na identificação dos membros e dos dirigentes dessas redes criminosas, das suas atividades criminosas e dos seus ativos financeiros. |
(8) |
As ameaças colocadas pela criminalidade grave exigem uma resposta coordenada, coerente, multidisciplinar e multi-institucional. A Europol deverá poder facilitar e apoiar iniciativas de segurança orientadas por informações conduzidas pelos Estados-Membros, como a Plataforma Multidisciplinar Europeia contra as Ameaças Criminosas (EMPACT, do inglês European Multidisciplinary Platform Against Criminal Threats), que visam identificar, dar prioridade e responder às ameaças de criminalidade grave. A Europol deverá poder prestar apoio administrativo, logístico, financeiro e operacional a tais iniciativas. |
(9) |
O Sistema de Informação de Schengen (SIS), criado no domínio da cooperação policial e da cooperação judiciária em matéria penal pelo Regulamento (UE) 2018/1862 do Parlamento Europeu e do Conselho (6), é um instrumento essencial para manter um elevado nível de segurança no espaço de liberdade, segurança e justiça. A Europol, enquanto polo de intercâmbio de informações na União, recebe e conserva informações valiosas fornecidas por países terceiros e organizações internacionais a respeito de pessoas suspeitas de envolvimento em crimes abrangidos pelos objetivos da Europol. No âmbito dos seus objetivos e da sua função de apoiar os Estados-Membros na prevenção e combate à criminalidade grave e ao terrorismo, a Europol deverá apoiar os Estados-Membros no tratamento dos dados fornecidos à Europol por países terceiros ou por organizações internacionais, recomendando que os Estados-Membros introduzam indicações no SIS ao abrigo de uma nova categoria de indicações de informação no interesse da União («indicações de informação»), a fim de disponibilizar essas indicações de informação aos utilizadores finais do SIS. Para o efeito, deverá ser estabelecido um mecanismo de comunicação periódica, a fim de assegurar que os Estados-Membros e a Europol sejam informados sobre o resultado da verificação e análise desses dados e sobre a questão saber se as indicações de informação foram introduzidas no SIS. As modalidades de cooperação dos Estados-Membros para o tratamento desses dados e a introdução de indicações de informação no SIS, nomeadamente no que diz respeito à luta contra o terrorismo, deverão ser objeto de uma coordenação contínua entre os Estados-Membros. O Conselho de Administração deverá especificar mais pormenorizadamente os critérios com base nos quais a Europol poderá apresentar propostas para a introdução dessas indicações de informação no SIS. |
(10) |
A Europol tem um papel importante a desempenhar no apoio ao mecanismo de avaliação e de monitorização para verificar a aplicação do acervo de Schengen, como estabelecido pelo Regulamento (UE) n.o 1053/2013 do Conselho (7). Por conseguinte, a Europol deverá, mediante pedido dos Estados-Membros, contribuir com os seus conhecimentos especializados, análises, relatórios e outras informações pertinentes para o mecanismo de avaliação e de monitorização para verificar a aplicação do acervo de Schengen. |
(11) |
As avaliações dos riscos contribuem para antecipar as novas tendências e dar resposta às novas ameaças de criminalidade grave e de terrorismo. Para prestar apoio à Comissão e aos Estados-Membros na realização de avaliações dos riscos eficazes, a Europol deverá facultar à Comissão e aos Estados-Membros análises de avaliação de ameaças com base nas informações detidas pela Europol sobre os fenómenos e as tendências criminais, sem prejuízo do direito da União relativo à gestão dos riscos aduaneiros. |
(12) |
Para que o financiamento da União destinado à investigação em matéria de segurança alcance o seu objetivo de garantir que essa investigação desenvolva todo o seu potencial e responda às necessidades no domínio da aplicação da lei, a Europol deverá assistir a Comissão na identificação das principais temáticas da investigação, bem como na elaboração e execução de programas-quadro de investigação e inovação da União que sejam relevantes para os objetivos da Europol. Se for caso disso, deverá ser possível à Europol divulgar os resultados das suas atividades de investigação e inovação a título do seu contributo para a criação de sinergias entre as atividades de investigação e inovação dos organismos da União pertinentes. Aquando da conceção e da conceptualização das atividades de investigação e inovação relevantes para os objetivos da Europol, a Europol deverá poder consultar, se for caso disso, o Centro Comum de Investigação (CCI) da Comissão. A Europol deverá tomar todas as medidas necessárias para evitar conflitos de interesses. A Europol não deverá beneficiar de financiamento de um dado programa-quadro da União se estiver a prestar apoio à Comissão na identificação dos principais temas de investigação ou na elaboração e execução desse programa. É importante que a Europol possa beneficiar da concessão de financiamento adequado, de modo a poder prestar assistência aos Estados-Membros e à Comissão em matéria de investigação e inovação. |
(13) |
É possível que a União e os Estados-Membros adotem medidas restritivas relacionadas com o investimento direto estrangeiro, por razões de segurança ou de ordem pública. Para esse efeito, o Regulamento (UE) 2019/452 do Parlamento Europeu e do Conselho (8) estabelece um regime de análise dos investimentos diretos estrangeiros na União. Os investimentos diretos estrangeiros em tecnologias emergentes merecem especial atenção, uma vez que podem ter implicações significativas para a segurança e a ordem pública, em especial nos casos em que tais tecnologias sejam utilizadas por autoridades competentes dos Estados-Membros. Atendendo ao envolvimento da Europol no acompanhamento das tecnologias emergentes e à sua participação — nomeadamente através do seu laboratório de inovação e através do Polo da UE de Inovação para a Segurança Interna — no desenvolvimento de novos modos de utilizar essas tecnologias com vista à aplicação da lei, a Europol possui amplos conhecimentos acerca das possibilidades oferecidas por tais tecnologias, bem como acerca dos riscos inerentes à sua utilização. A Europol deverá, por conseguinte, ter a possibilidade de apoiar os Estados-Membros na análise de investimentos diretos estrangeiros na União e de riscos relativos à segurança que digam respeito a empresas que fornecem tecnologias, incluindo software, utilizadas pela Europol para efeitos de prevenção e de investigação de crimes abrangidos pelos objetivos da Europol, ou tecnologias críticas que possam ser utilizadas para facilitar o terrorismo. Nesse contexto, os conhecimentos especializados da Europol deverão apoiar a análise dos investimentos diretos estrangeiros e dos riscos para a segurança conexos. Deverá ser prestada especial atenção à eventual participação do investidor estrangeiro em atividades que afetem a segurança, à existência de um risco sério de o investidor estrangeiro desenvolver atividades ilegais ou criminosas e à possibilidade de tal investidor ser controlado, direta ou indiretamente, pelo governo de um país terceiro, incluindo por meio de subvenções. |
(14) |
A Europol proporciona conhecimentos especializados no combate à criminalidade grave e ao terrorismo. A pedido de um Estado-Membro, o pessoal da Europol deverá poder prestar apoio operacional no terreno às autoridades competentes desse Estado-Membro em operações e investigações, nomeadamente facilitando o intercâmbio transfronteiriço de informações e prestando apoio forense e técnico em operações e investigações, incluindo no âmbito de equipas de investigação conjuntas. A pedido de um Estado-Membro, o pessoal da Europol deverá ter o direito de estar presente durante a execução de medidas de investigação nesse Estado-Membro. O pessoal da Europol não deverá ter o poder de executar as medidas de investigação. |
(15) |
Um dos objetivos da Europol é apoiar e reforçar a ação das autoridades competentes dos Estados-Membros e a sua cooperação mútua em matéria de prevenção e de combate de formas de criminalidade lesivas de um interesse comum que seja objeto de uma política da União. Para reforçar esse apoio, o diretor executivo da Europol («diretor executivo») deverá poder propor às autoridades competentes de um Estado-Membro que estas iniciem, conduzam ou coordenem uma investigação de um crime que diga respeito a um único Estado-Membro, mas que seja lesivo de um interesse comum que seja objeto de uma política da União. A Europol deverá informar a Eurojust e, se for caso disso, a Procuradoria Europeia, instituída pelo Regulamento (UE) 2017/1939 do Conselho (9), de uma tal proposta. |
(16) |
A divulgação da identidade e de determinados dados pessoais de pessoas suspeitas ou condenadas, que sejam procuradas com base numa sentença judicial nacional, aumenta as probabilidades de os Estados-Membros localizarem e deterem tais pessoas. Para apoiar os Estados-Membros no sentido de estes localizarem e deterem tais pessoas, a Europol deverá poder publicar no seu sítio Web informações sobre os fugitivos mais procurados na Europa por infrações penais abrangidas pelos objetivos da Europol. Para o mesmo efeito, a Europol deverá facilitar a prestação de informações pelo público, aos Estados-Membros e à Europol, sobre essas pessoas. |
(17) |
Logo que verifique que os dados pessoais recebidos estão abrangidos pelos seus objetivos, a Europol deverá poder tratar esses dados pessoais nas seguintes quatro situações. Na primeira situação, os dados pessoais recebidos estão relacionados com qualquer uma das categorias de titulares de dados listadas no anexo II do Regulamento (UE) 2016/794 («anexo II»). Na segunda situação, os dados pessoais recebidos são dados de investigação que contêm dados não relacionados com nenhuma das categorias de titulares de dados listadas no anexo II mas que foram fornecidos, no seguimento de um pedido de apoio da Europol para uma investigação criminal específica, por um Estado-Membro, pela Procuradoria Europeia, pela Eurojust ou por um país terceiro, desde que esse Estado-Membro, a Procuradoria Europeia, a Eurojust ou esse país terceiro esteja autorizado a tratar tais dados de investigação em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do direito da União e nacional. Nesse caso, a Europol deverá poder tratar esses dados de investigação enquanto estiver a apoiar essa investigação criminal específica. Na terceira situação, os dados pessoais recebidos podem não estar relacionados com as categorias de titulares de dados listadas no anexo II, e não foram fornecidos na sequência de um pedido de apoio da Europol para uma investigação criminal específica. Nesse caso, a Europol deverá poder verificar se esses dados pessoais estão relacionados com qualquer uma dessas categorias de titulares de dados. Na quarta situação, os dados pessoais recebidos foram submetidos para efeitos de projetos de investigação e inovação e não estão relacionados com as categorias de titulares de dados listadas no anexo II. |
(18) |
Nos termos do artigo 73.o do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (10), se aplicável e na medida do possível, a Europol deve estabelecer uma distinção clara entre os dados pessoais relacionados com as diferentes categorias de titulares de dados listadas no anexo II. |
(19) |
Quando os Estados-Membros utilizarem a infraestrutura da Europol para o intercâmbio de dados pessoais sobre crimes que não se encontram abrangidos pelos objetivos da Europol, a Europol não deverá ter acesso a esses dados e deverá ser considerada um subcontratante na aceção do artigo 87.o do Regulamento (UE) 2018/1725. Nesses casos, a Europol deverá poder tratar os dados que não estejam relacionados com as categorias de titulares de dados listadas no anexo II. Se os Estados-Membros utilizarem a infraestrutura da Europol para o intercâmbio de dados pessoais sobre crimes abrangidos pelos objetivos da Europol e concederem à Europol acesso a esses dados, os requisitos relacionados com as categorias de titulares de dados listadas no anexo II deverão aplicar-se a qualquer outro tratamento desses dados pela Europol. |
(20) |
No respeito do princípio da minimização dos dados, a Europol deverá poder verificar se os dados pessoais recebidos no contexto da prevenção e do combate aos crimes abrangidos pelos seus objetivos estão relacionados com uma das categorias de titulares de dados listadas no anexo II. Para o efeito, a Europol deverá poder efetuar uma análise prévia dos dados pessoais recebidos, com a única finalidade de determinar se tais dados se relacionam com essas categorias de titulares de dados, comparando-os com os dados pessoais já por si detidos, sem analisar mais aprofundadamente esses dados pessoais. Tal análise prévia deverá constituir uma etapa distinta e ocorrer antes do tratamento dos dados por parte da Europol para efeitos de verificação cruzada, análise estratégica, análise operacional ou intercâmbio de informações, e após a Europol ter determinado que os dados em causa são pertinentes e necessários para o desempenho das suas funções. Depois de confirmar que os dados pessoais estão relacionados com as categorias de titulares de dados listadas no anexo II, a Europol deverá poder tratar esses dados pessoais para efeitos de verificação cruzada, análise estratégica, análise operacional ou intercâmbio de informações. Se a Europol concluir que esses dados pessoais não estão relacionados com as categorias de titulares de dados listadas no anexo II, deverá eliminar esses dados. |
(21) |
A categorização de dados pessoais num determinado conjunto de dados pode sofrer alterações ao longo do tempo, em função de novas informações que fiquem disponíveis no contexto de investigações criminais, nomeadamente informações sobre suspeitos adicionais. Por essa razão, a Europol deverá poder proceder ao tratamento de dados pessoais com que os dados em questão se relacionam por um período máximo de 18 meses a contar do momento em que a Europol verifique que esses dados são abrangidos pelos seus objetivos, quando tal for estritamente necessário e proporcionado, para efeitos de determinação das categorias de titulares de dados. A Europol deverá poder prorrogar o período de tratamento até três anos, em casos devidamente justificados e na medida em que tal prorrogação seja necessária e proporcionada. A prorrogação deverá ser comunicada à Autoridade Europeia para a Proteção de Dados (AEPD). Sempre que o tratamento de dados pessoais para efeitos de determinação das categorias de titulares de dados cesse de ser necessário e justificado e, em qualquer caso, uma vez expirado o período máximo de tratamento, a Europol deverá suprimir os dados pessoais. |
(22) |
O volume dos dados recolhidos em investigações criminais tem vindo a aumentar e os conjuntos de dados têm-se tornado mais complexos. Os Estados-Membros enviam à Europol conjuntos de dados complexos e volumosos, solicitando a análise operacional pela Europol, a fim de identificar as ligações a outros crimes que não o crime objeto da investigação no âmbito do qual foram recolhidos e a criminosos noutros Estados-Membros e fora da União. Visto que a Europol é mais eficaz do que os Estados-Membros quando se trata de detetar tais ligações transfronteiriças através das suas próprias análises dos dados, a Europol deverá poder apoiar as investigações criminais dos Estados-Membros através do tratamento de conjuntos de dados complexos e volumosos, para identificar tais ligações transfronteiriças, desde que sejam cumpridos os rigorosos requisitos e garantias estabelecidos no presente regulamento. Se for necessário para apoiar eficazmente uma investigação criminal específica em curso num Estado-Membro, a Europol deverá poder tratar os dados da investigação que as autoridades competentes dos Estados-Membros estão autorizadas a tratar no contexto dessa investigação criminal específica, de acordo com os requisitos processuais e as garantias aplicáveis ao abrigo do seu direito nacional, e que estas autoridades depois enviam à Europol. Deverão estar incluídos os dados pessoais sempre que um Estado-Membro não tenha conseguido determinar se esses dados estão relacionados com as categorias de titulares de dados listadas no anexo II. Se um Estado-Membro, a Procuradoria Europeia ou a Eurojust lhe facultarem dados de investigação, solicitando o seu apoio para uma investigação criminal específica em curso, a Europol deverá poder tratar esses dados durante o período em que prestar apoio a essa investigação criminal específica, em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do direito da União ou nacional. |
(23) |
Para assegurar que o tratamento de dados realizado no contexto de uma investigação criminal é necessário e proporcionado, os Estados-Membros deverão assegurar a conformidade com o direito da União e nacional ao enviarem os dados da investigação à Europol. Ao apresentarem dados de investigação à Europol para solicitar o seu apoio para uma investigação criminal específica, os Estados-Membros deverão ter em conta a escala e a complexidade do tratamento de dados, bem como o tipo e a importância da investigação. Os Estados-Membros deverão informar a Europol quando, em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do respetivo direito nacional, já não estiverem autorizados a tratar dados no âmbito de uma investigação criminal específica em curso que está em causa. A Europol apenas deverá tratar os dados pessoais que não estão relacionados com as categorias de titulares de dados listadas no anexo II caso considere que não é possível apoiar uma investigação criminal específica em curso sem tratar esses dados pessoais. A Europol deverá documentar essa avaliação. A Europol deverá conservar esses dados funcionalmente separados de outros dados e proceder ao seu tratamento unicamente quando tal seja necessário para prestar apoio à investigação criminal específica em curso que está em causa, como no caso de novas pistas. |
(24) |
A Europol deverá igualmente poder tratar os dados pessoais necessários para prestar apoio a uma investigação criminal específica num ou mais Estados-Membros se esses dados forem fornecidos por um país terceiro, desde que: o país terceiro seja objeto de uma decisão de adequação nos termos da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (11) («decisão de adequação»); a União tenha celebrado um acordo internacional com esse país terceiro nos termos do artigo 218.o do Tratado sobre o Funcionamento da União Europeia (TFUE) que inclua a transferência de dados pessoais para fins de aplicação da lei («acordo internacional»); tenha sido celebrado um acordo de cooperação que permita o intercâmbio de dados pessoais entre a Europol e o país terceiro antes da entrada em vigor do Regulamento (UE) 2016/794 («acordo de cooperação»); ou estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo ou a Europol considere, com base numa avaliação de todas circunstâncias que rodeiem a transferência de dados pessoais, que essas garantias existem nesse país terceiro e desde que o país terceiro tenha obtido os dados no contexto de uma investigação criminal em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do seu direito penal nacional. Se um país terceiro lhe transmitir dados de investigação, a Europol deverá verificar se a quantidade de dados pessoais não é manifestamente desproporcionada em relação à investigação criminal específica apoiada pela Europol no Estado-Membro em causa e se, tanto quanto possível, não existem indicações objetivas de que os dados de investigação foram obtidos no país terceiro em manifesta violação dos direitos fundamentais. Se chegar à conclusão de que tais condições não estão preenchidas, a Europol não deverá tratar os dados, devendo suprimi-los. Sempre que um país terceiro transmitir dados de investigação à Europol, o responsável pela proteção de dados da Europol deverá poder notificar a AEPD, se for caso disso. |
(25) |
Para assegurar que um Estado-Membro pode utilizar os relatórios analíticos da Europol no âmbito de processos judiciais na sequência de uma investigação criminal, a Europol deverá poder conservar os dados da investigação conexos, a pedido desse Estado-Membro, da Procuradoria Europeia ou da Eurojust para efeitos de garantia da exatidão, da fiabilidade e da rastreabilidade do processo de informação criminal. A Europol conserva esses dados funcionalmente separados de outros dados e apenas durante o período em que os processos judiciais relacionados com a investigação criminal estiverem em curso no Estado-Membro. Além disso, é necessário assegurar o acesso das autoridades judiciais competentes, bem como os direitos de defesa, em particular o direito de acesso dos suspeitos ou dos acusados ou dos seus advogados aos elementos do processo. Para o efeito, a Europol deverá registar todos os elementos de prova e os métodos através dos quais foram produzidos ou obtidos pela Europol, a fim de permitir um controlo eficaz dos elementos de prova pela defesa. |
(26) |
A Europol deverá poder tratar os dados pessoais que tenha recebido antes da entrada em vigor do presente regulamento que não estejam relacionados com as categorias de titulares de dados listadas no anexo II, em conformidade com o disposto no presente regulamento, em duas situações. Na primeira situação, a Europol deverá poder tratar tais dados pessoais para apoiar uma investigação criminal ou para assegurar a exatidão, fiabilidade e rastreabilidade do processo de informação criminal, desde que sejam cumpridos os requisitos previstos nas disposições transitórias relativas ao tratamento de dados pessoais recebidos para apoiar uma investigação criminal. Na segunda situação, a Europol deverá também poder verificar se tais dados pessoais estão relacionados com uma das categorias de titulares de dados listadas no anexo II efetuando uma análise prévia desses dados pessoais durante um período máximo de 18 meses a contar da data da receção inicial dos dados pela Europol ou, em casos justificados, durante um período mais longo com a autorização prévia da AEPD. O período máximo de tratamento de dados pessoais para efeitos dessa análise prévia não deverá exceder um período de três anos a contar da data da receção inicial dos dados pela Europol. |
(27) |
Os processos transfronteiriços relativos a criminalidade grave ou terrorismo exigem uma estreita cooperação entre as autoridades competentes dos Estados-Membros em causa. A Europol proporciona instrumentos para apoiar tal cooperação em investigações, nomeadamente através do intercâmbio de informações. Para reforçar ainda mais tal cooperação em investigações criminais específicas através de análises operacionais conjuntas, os Estados-Membros deverão poder permitir a outros Estados-Membros o acesso direto às informações que facultaram à Europol, sem prejuízo de quaisquer limitações gerais ou específicas que indiquem no acesso a essas informações. Qualquer tratamento de dados pessoais por parte dos Estados-Membros em análises operacionais conjuntas deverá processar-se em conformidade com o presente regulamento e com a Diretiva (UE) 2016/680. |
(28) |
A Europol e a Procuradoria Europeia deverão celebrar acordos de cooperação que definam as modalidades da sua colaboração tendo devidamente em conta as respetivas competências. A Europol deverá trabalhar em estreita colaboração com a Procuradoria Europeia, apoiando ativamente as investigações da Procuradoria Europeia a pedido desta, incluindo ao prestar apoio analítico e informações pertinentes. A Europol também deverá cooperar com a Procuradoria Europeia, desde o momento em que uma alegada infração é comunicada à Procuradoria Europeia até ao momento em que a Procuradoria Europeia decida instaurar uma ação penal ou arquivar o processo. A Europol deverá comunicar à Procuradoria Europeia, sem demora injustificada, qualquer conduta criminosa a respeito da qual a Procuradoria Europeia possa exercer a sua competência. Para reforçar a cooperação operacional entre a Europol e a Procuradoria Europeia, a Europol deverá permitir o acesso à Procuradoria Europeia aos dados detidos pela Europol, com base num sistema de resposta positiva/negativa, que notifica apenas a Europol em caso de resposta positiva, de acordo com o presente regulamento, incluindo quaisquer limitações indicadas pelo prestador de informações à Europol. Se as informações forem abrangidas por uma limitação indicada por um Estado-Membro, a Europol deverá remeter a questão para esse Estado-Membro para que este cumpra as obrigações que lhe incumbem por força do Regulamento (UE) 2017/1939. O Estado-Membro em causa deverá subsequentemente informar a Procuradoria Europeia em conformidade com o seu procedimento nacional. As regras relativas à transmissão de dados pessoais para os organismos da União estabelecidas no presente regulamento deverão aplicar-se à cooperação da Europol com a Procuradoria Europeia. A Europol deverá poder igualmente apoiar as investigações da Procuradoria Europeia mediante a análise de conjuntos de dados complexos e volumosos de acordo com as salvaguardas e garantias de proteção de dados previstas no presente regulamento. |
(29) |
A Europol deverá cooperar estreitamente com o Organismo Europeu de Luta Antifraude (OLAF), a fim de detetar a fraude, a corrupção e qualquer outra atividade ilícita lesiva dos interesses financeiros da União. Para o efeito, a Europol deverá transmitir ao OLAF, sem demora injustificada, qualquer informação em relação à qual o OLAF possa exercer a sua competência. As regras relativas à transmissão de dados pessoais para os organismos da União estabelecidas no presente regulamento deverão aplicar-se à cooperação da Europol com o OLAF. |
(30) |
Os crimes graves e o terrorismo apresentam com frequência ligações fora da União. A Europol pode proceder ao intercâmbio de dados pessoais com países terceiros, salvaguardando simultaneamente a proteção da privacidade e dos direitos e liberdades fundamentais dos titulares dos mesmos. Quando isso for essencial para a investigação de um crime específico abrangido pelos objetivos da Europol, o diretor executivo deverá poder, numa base casuística, autorizar uma categoria de transferências de dados pessoais para países terceiros, sempre que essa categoria de transferências esteja relacionada com a mesma situação específica, consista das mesmas categorias de dados pessoais e as mesmas categorias de titulares de dados, seja necessária e proporcionada para efeitos de investigação de um crime específico e cumpra todos os requisitos do presente regulamento. Deverá ser possível que as transferências individuais abrangidas por uma categoria de transferências incluam apenas algumas das categorias de dados pessoais e categorias de titulares de dados cuja transferência seja autorizada pelo diretor executivo. Também deverá ser possível autorizar uma categoria de transferências de dados pessoais nas seguintes situações específicas: quando a transferência de dados pessoais seja necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa; quando a transferência de dados pessoais seja essencial para a prevenção de uma ameaça imediata e grave à segurança pública de um Estado-Membro ou de um país terceiro; quando o fim da transferência de dados pessoais seja salvaguardar os interesses legítimos do titular dos dados; ou, em casos individuais, seja para efeitos de prevenção, investigação, deteção ou exercício da ação penal relativamente a infrações penais ou execução de sanções penais ou para a declaração, o exercício ou a defesa de direitos relacionados com a prevenção, investigação, deteção ou exercício da ação penal relativamente a uma infração penal específica ou a execução de uma sanção penal específica. |
(31) |
As transferências que não se baseiem na autorização do diretor executivo, numa decisão de adequação, num acordo internacional ou num acordo de cooperação só deverão ser autorizadas se estiverem previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo ou se a Europol concluir, com base numa avaliação de todas as circunstâncias que rodeiem a transferência de dados pessoais, que essas garantias existem. Para efeitos dessa avaliação, a Europol deverá poder ter em conta os acordos bilaterais celebrados entre Estados-Membros e países terceiros que permitam o intercâmbio de dados pessoais, quer a transferência de dados pessoais fique sujeita a obrigações de confidencialidade ou ao princípio da especificidade, assegurando que os dados não sejam tratados para outros efeitos que não os da transferência. Além disso, é importante que a Europol tenha em conta se os dados pessoais poderão ser utilizados para requerer, aplicar ou executar uma pena de morte ou qualquer forma de tratamento cruel ou desumano. A Europol deverá poder exigir garantias adicionais. |
(32) |
Para apoiar os Estados-Membros na cooperação com os organismos privados, quando os mesmos detiverem informações pertinentes para prevenir e combater a criminalidade grave e o terrorismo, a Europol deverá poder receber dados pessoais de organismos privados e, em casos específicos em que tal seja necessário e proporcionado, proceder ao intercâmbio de dados pessoais com os organismos privados. |
(33) |
Os criminosos utilizam cada vez mais os serviços prestados por organismos privados para a comunicação e a prática de atividades ilícitas. Os agressores sexuais exploram crianças e partilham nas plataformas em linha, à escala mundial, imagens e vídeos que constituem materiais pedopornográficos, bem como com outros agressores através de serviços de comunicações interpessoais independentes do número. Os terroristas utilizam os serviços oferecidos pelos prestadores de serviços em linha para recrutar voluntários, planear e coordenar ataques ou difundir propaganda. Os cibercriminosos beneficiam da digitalização das nossas sociedades e da falta de literacia digital e de outras competências digitais do público em geral, utilizando a mistificação da interface («phishing») e a engenharia social para cometerem outros tipos de cibercrimes, como fraudes em linha, ataques com programas sequestradores e fraude em pagamentos em linha. Como resultado da crescente utilização dos serviços em linha por parte dos criminosos, os organismos privados detêm quantidades crescentes de dados pessoais, incluindo dados relativos a assinaturas, tráfego e conteúdos, que é potencialmente pertinente para as investigações criminais. |
(34) |
Dado o caráter sem fronteiras da Internet, é possível que o prestador de serviços em linha e a infraestrutura digital em que os dados pessoais são conservados estejam sujeitos a diferentes jurisdições nacionais, dentro da União ou fora dela. Os organismos privados podem, por conseguinte, deter conjuntos de dados pertinentes para a aplicação da lei e que contêm dados pessoais abrangidos pela competência de várias jurisdições, bem como dados pessoais que não podem ser facilmente atribuídos a uma jurisdição específica. As autoridades competentes dos Estados-Membros podem ter dificuldade em analisar eficazmente tais conjuntos de dados multijurisdicionais ou não atribuíveis através de soluções nacionais. Além disso, não há atualmente um ponto de contacto único para os organismos privados que decidam partilhar legal e voluntariamente conjuntos de dados com as autoridades competentes dos Estados-Membros. Assim sendo, a Europol deverá adotar medidas para facilitar a cooperação com organismos privados, nomeadamente no que diz respeito ao intercâmbio de informações. |
(35) |
Para garantir que os organismos privados dispõem de um ponto de contacto a nível da União para transmitirem legal e voluntariamente conjuntos de dados multijurisdicionais ou conjuntos de dados que não podem ser facilmente atribuídos a uma ou a várias jurisdições específicas, a Europol deverá poder receber dados pessoais diretamente destes organismos com a finalidade de transmitir aos Estados-Membros as informações necessárias para apurar a competência jurisdicional e investigar crimes no âmbito das respetivas jurisdições, em conformidade com o presente regulamento. Essa informação pode incluir relatórios relacionados com conteúdos moderados que se possa razoavelmente presumir estarem ligados às atividades criminosas abrangidas pelos objetivos da Europol. |
(36) |
Para assegurar que os Estados-Membros recebem sem demora indevida as informações necessárias para iniciarem investigações com vista a prevenir e a combater a criminalidade grave e o terrorismo, a Europol deverá poder proceder ao tratamento e à análise de dados pessoais, a fim de identificar as unidades nacionais competentes e transmitir a essas unidades nacionais os dados pessoais e quaisquer resultados da sua análise e verificação de tais dados que sejam pertinentes para apurar a competência jurisdicional e para investigar os crimes em causa ao abrigo das respetivas jurisdições. A Europol deverá ainda poder transmitir os dados pessoais e os resultados da sua análise e verificação desses dados que são pertinentes para efeitos de apurar a competência jurisdicional a pontos de contacto ou autoridades de países terceiros que sejam objeto de uma decisão de adequação, ou com os quais tenha sido celebrado um acordo internacional ou um acordo de cooperação, ou estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo, ou a Europol considere, com base numa avaliação de todas as circunstâncias que rodeiem a transferência de dados pessoais, que essas garantias existem nesses países terceiros. Se o país terceiro em causa não for objeto de uma decisão de adequação nem parte de um acordo internacional ou de um acordo de cooperação, ou na ausência de um instrumento juridicamente vinculativo, ou se a Europol não considerar que existem garantias adequadas, a Europol deverá poder transferir os resultados da sua análise e verificação desses dados para o país terceiro em causa, em conformidade com o presente regulamento. |
(37) |
Em conformidade com o Regulamento (UE) 2016/794, em certos casos e sob reserva de condições, pode ser necessário e proporcionado que a Europol transfira dados pessoais para organismos privados que não estejam estabelecidos na União nem num país terceiro que seja objeto de uma decisão de adequação ou com o qual tenha sido celebrado um acordo internacional ou um acordo de cooperação, ou quando não estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo, ou quando a Europol não tiver considerado que existem garantias adequadas. Nesses casos, a transferência deverá ser sujeita a autorização prévia do diretor executivo. |
(38) |
Para garantir que a Europol pode identificar todas as unidades nacionais competentes, esta deverá poder informar os organismos privados quando as informações que receber dos mesmos forem insuficientes para identificar as unidades nacionais em causa. Tal permitiria aos referidos organismos privados decidir se é do seu interesse partilhar informações adicionais com a Europol e se o podem fazer legalmente. Para esse efeito, a Europol deverá estar habilitada a informar esses organismos quanto a informações em falta, na medida em que tal seja estritamente necessário exclusivamente para identificar as unidades nacionais em causa. Deverão aplicar-se garantias especiais a transferências de informações da Europol para organismos privados quando o organismo privado em causa não estiver estabelecido na União ou num país terceiro que seja objeto de uma decisão de adequação ou com o qual tenha sido celebrado um acordo internacional ou um acordo de cooperação, ou quando não estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo, ou quando a Europol não tiver considerado que existem garantias adequadas. |
(39) |
Caso os Estados-Membros, os países terceiros, as organizações internacionais ou os organismos privados partilhem com a Europol conjuntos de dados multijurisdicionais e conjuntos de dados que não possam ser atribuídos a uma ou a várias jurisdições específicas, é possível que esses conjuntos de dados estejam ligados a dados pessoais detidos por organismos privados. Nessas situações, a Europol deverá poder enviar um pedido aos Estados-Membros, por intermédio das suas unidades nacionais, para obter os dados pessoais necessários que estejam na posse de organismos privados que se encontrem estabelecidos ou que disponham de um representante legal no território desses Estados-Membros. Tal pedido só deverá ser feito caso a obtenção de informações adicionais vindas desses organismos privados seja necessária para identificar as unidades nacionais em questão. O pedido deverá ser tão fundamentado e preciso quanto possível. Os dados pessoais pertinentes, que deverão ser o menos sensíveis possível e ser estritamente limitados ao que é necessário para efeitos da identificação das unidades nacionais em causa, deverão ser fornecidos à Europol em conformidade com a legislação aplicável dos Estados-Membros em causa. As autoridades competentes dos Estados-Membros em causa deverão avaliar o pedido da Europol e decidir, em conformidade com a respetiva legislação nacional, se devem deferi-lo. O tratamento de dados por organismos privados efetuado aquando do tratamento desses pedidos das autoridades competentes dos Estados-Membros deverá continuar sujeito às das regras aplicáveis, nomeadamente no que diz respeito à proteção de dados. Os organismos privados deverão fornecer os dados que lhes forem pedidos pelas autoridades competentes dos Estados-Membros, para transmissão posterior à Europol. Em muitos casos, é possível que os Estados-Membros em causa não consigam estabelecer uma ligação à sua jurisdição, a não ser pelo facto de o organismo privado detentor dos dados pertinentes se encontrar estabelecido sob a sua jurisdição ou legalmente representado na mesma. Independentemente de terem jurisdição relativamente ao crime específico, os Estados-Membros deverão, em todo o caso, assegurar que as suas autoridades nacionais competentes possam obter dados pessoais de organismos privados com o propósito de fornecer à Europol as informações necessárias para esta alcançar os seus objetivos, em plena conformidade com as garantias processuais ao abrigo do seu direito nacional. |
(40) |
Para assegurar que a Europol não conserva os dados pessoais recebidos diretamente de organismos privados por um período superior ao necessário para identificar as unidades nacionais em causa, deverão aplicar-se prazos para a conservação de dados pessoais pela Europol. Quando a Europol tiver esgotado todos os meios à sua disposição para a identificação das unidades nacionais em causa e não puder razoavelmente esperar identificar outras unidades nacionais, a conservação desses dados pessoais deixa de ser necessária e proporcionada para efeitos da identificação das unidades nacionais em causa. A Europol deverá apagar os dados pessoais no prazo de quatro meses após a sua última transmissão ou transferência para uma unidade nacional ou para um ponto de contacto de um país terceiro ou para uma autoridade de um país terceiro, salvo se uma unidade nacional, um ponto de contacto ou uma autoridade em causa voltar a apresentar, em conformidade com o direito da União e o direito nacional, os dados pessoais à Europol, como sendo dados seus, dentro desse período. Se os dados pessoais que foram objeto de uma nova apresentação fizerem parte de um conjunto mais abrangente de dados pessoais, a Europol só deverá conservar os dados pessoais que tenham sido novamente apresentados por uma unidade nacional, por um ponto de contacto ou por uma autoridade em causa. |
(41) |
Qualquer cooperação da Europol com organismos privados não deverá duplicar as atividades das Unidades de Informação Financeira (UIF) estabelecidas nos termos da Diretiva (UE) 2015/849 do Parlamento Europeu e do Conselho (12) nem interferir com as mesmas, devendo dizer unicamente respeito a informações que ainda não tenham sido fornecidas às UIF em conformidade com essa diretiva. A Europol deverá continuar a cooperar com as UIF, em particular por intermédio das unidades nacionais. |
(42) |
A Europol deverá poder prestar o apoio necessário para que as autoridades competentes dos Estados-Membros interajam com os organismos privados, em particular ao proporcionar as infraestruturas necessárias para tal interação, por exemplo, quando as autoridades competentes dos Estados-Membros referenciam conteúdos terroristas em linha, enviam ordens de remoção relativas a tais conteúdos a prestadores de serviços em linha, nos termos do Regulamento (UE) 2021/784 do Parlamento Europeu e do Conselho (13), ou quando procedem ao intercâmbio de informações com organismos privados no contexto de ciberataques. Quando os Estados-Membros utilizam a infraestrutura da Europol para o intercâmbio de dados pessoais sobre crimes que não se encontram abrangidos pelos objetivos da Europol, a Europol não deverá ter acesso a esses dados. A Europol deverá assegurar, por meios técnicos, que a sua infraestrutura se limita estritamente a proporcionar um canal para tais interações entre as autoridades competentes dos Estados-Membros e um organismo privado, e que a Europol proporciona todas as garantias necessárias contra o acesso por parte de um organismo privado a quaisquer outras informações nos sistemas da Europol que não estejam relacionadas com o intercâmbio com esse organismo privado. |
(43) |
Os ataques terroristas desencadeiam a difusão em larga escala de conteúdos terroristas por intermédio das plataformas em linha, os quais representam perigo para a vida ou para a integridade física, ou preconizam um perigo iminente para a vida ou a integridade física, permitindo assim glorificar o terrorismo, disponibilizar atividades de treino e, com o tempo, radicalizar e recrutar outras pessoas. Além disso, o recurso cada vez maior à Internet para registar ou partilhar material pedopornográfico perpetua os danos causados às vítimas, dado que o material pode ser facilmente replicado e divulgado. A fim de prevenir e combater os crimes abrangidos pelos objetivos da Europol, a Europol deverá poder apoiar as ações dos Estados-Membros para combater eficazmente a difusão de conteúdos terroristas no contexto de situações de crise em linha decorrentes de eventos em curso ou recentes no mundo real, a difusão em linha de material pedopornográfico em linha, e apoiar as ações dos prestadores de serviços em linha, em conformidade com as obrigações que lhes incumbem por força do direito da União, bem como nas suas ações voluntárias. Para o efeito, a Europol deverá poder proceder ao intercâmbio de dados pessoais pertinentes, incluindo assinaturas digitais únicas e não reconvertíveis («hashes»), endereços IP ou URL relacionados com tais conteúdos, com organismos privados estabelecidos na União, ou num país terceiro que seja objeto de uma decisão de adequação ou, na falta de uma tal decisão, com o qual tenha sido celebrado um acordo internacional ou um acordo de cooperação, ou quando estejam previstas garantias adequadas no que diz respeito à proteção de dados pessoais num instrumento juridicamente vinculativo, ou quando a Europol considere, com base numa avaliação de todas as circunstâncias que rodeiem a transferência de dados pessoais, que essas garantias existem nesse país terceiro. Esses intercâmbios de dados pessoais só deverão ter lugar para fins de remoção de conteúdo terrorista e material de abuso sexual infantil em linha, em particular quando se preveja a multiplicação exponencial e viral desse conteúdo e material entre diversos prestadores de serviços em linha. Nenhuma disposição do presente regulamento deverá ser entendida como impeditiva da utilização por parte dos Estados-Membros das ordens de remoção previstas no Regulamento (UE) 2021/784 como instrumento para combater os conteúdos terroristas em linha. |
(44) |
A fim de evitar uma duplicação de esforços e a possível interferência com as investigações e de minimizar os encargos dos prestadores de serviços de alojamento virtual afetados, a Europol deverá prestar assistência, trocar informações e cooperar com as autoridades competentes dos Estados-Membros no que diz respeito às transmissões e transferências de dados pessoais para organismos privados para fazer face a situações de crise em linha e à difusão em linha de material pedopornográfico em linha. |
(45) |
O Regulamento (UE) 2018/1725 estabelece regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União. Embora o Regulamento (UE) 2018/1725 se aplique ao tratamento, pela Europol, de dados pessoais administrativos não relacionados com investigações criminais, como dados do pessoal, o artigo 3.o, ponto 2, e o capítulo IX desse regulamento, que regulam o tratamento de dados pessoais, não se aplicarem atualmente à Europol. Para assegurar uma proteção uniforme e coerente das pessoas singulares no que respeita ao tratamento de dados pessoais, o capítulo IX do Regulamento (UE) 2018/1725 deverá ser aplicado à Europol, em conformidade com o artigo 2.o, n.o 2, desse regulamento, e ser complementado por disposições específicas em matéria de operações de tratamento específicas que a Europol deverá executar de modo a cumprir as suas funções. Por conseguinte, as competências de supervisão da AEPD sobre as operações de tratamento da Europol deverão ser reforçadas, em consonância com as competências pertinentes aplicáveis ao tratamento de dados pessoais administrativos aplicáveis a todas as instituições, órgãos e organismos da União nos termos do capítulo VI do Regulamento (UE) 2018/1725. Para o efeito, caso a Europol trate dados pessoais para fins operacionais, a AEPD deverá poder exigir à Europol que tome medidas para assegurar a conformidade das suas operações de tratamento com as disposições do presente regulamento, ordenar a suspensão dos fluxos de dados para um destinatário num Estado-Membro, num país terceiro ou numa organização internacional e deverá poder aplicar uma coima em caso de incumprimento pela Europol. |
(46) |
O tratamento de dados para efeitos do presente regulamento poderá implicar o tratamento de categorias especiais de dados pessoais conforme estabelecido no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (14). O tratamento de fotografias não deverá ser considerado sistematicamente como um tratamento de categorias especiais de dados pessoais, uma vez que as fotografias só são abrangidas pela definição de dados biométricos nos termos do artigo 3.o, ponto 18, do Regulamento (UE) 2018/1725 quando são tratadas por meios técnicos específicos que permitem a identificação inequívoca ou a autenticação de uma pessoa singular. |
(47) |
O mecanismo de consulta prévia que envolve as AEDP e está previsto no Regulamento (UE) 2018/1725 constitui uma importante garantia para os novos tipos de operações de tratamento. Todavia, esse mecanismo não deverá aplicar-se a atividades operacionais individuais específicas, como os projetos de análise operacional, mas sim à utilização de novos sistemas informáticos para o tratamento de dados pessoais ou a quaisquer mudanças substanciais desses sistemas que representem um elevado risco para os direitos e liberdades dos titulares dos dados. O prazo dentro do qual a AEPD deverá ser instada a emitir orientações por escrito sobre essas consultas não deverá poder ser objeto de suspensões. No caso de atividades de tratamento de substancial importância para o exercício das funções da Europol que sejam particularmente urgentes, deverá ser possível que a Europol possa, a título excecional, iniciar o tratamento logo após o início da consulta prévia, mesmo que o prazo para a AEPD emitir orientações por escrito ainda não tenha expirado. Tal urgência pode surgir em casos nos quais o exercício das funções da Europol pode revestir-se de uma importância substancial, se o tratamento for necessário para prevenir e combater uma ameaça imediata de um crime abrangido pelos objetivos da Europol, e para proteger interesses vitais do titular de dados ou de outra pessoa. O responsável pela proteção de dados da Europol deverá participar na avaliação da urgência e da necessidade desse tratamento antes de expirar o prazo de resposta da AEPD à consulta prévia. O responsável pela proteção de dados da Europol deverá supervisionar o tratamento em questão. A AEPD deverá poder exercer as suas competências no que diz respeito a esse tratamento. |
(48) |
Dados os desafios que os rápidos desenvolvimentos tecnológicos e a exploração de novas tecnologias por parte de terroristas e outros criminosos representam para a segurança da União, as autoridades competentes dos Estados-Membros precisam de reforçar as suas capacidades tecnológicas para identificar, proteger e analisar os dados necessários à investigação de infrações criminais. A Europol deverá poder apoiar os Estados-Membros na utilização de tecnologias emergentes e na exploração de novas abordagens e no desenvolvimento de soluções tecnológicas comuns para que os Estados-Membros previnam e combatam melhor o terrorismo e a criminalidade abrangidos pelos objetivos da Europol. Ao mesmo tempo, a Europol deverá assegurar que o desenvolvimento, a utilização e a implantação de novas tecnologias sejam norteados pelos princípios da transparência, da explicabilidade, da equidade e da responsabilização, não comprometam os direitos e liberdades fundamentais e estejam em conformidade com o direito da União. Para o efeito, a Europol deverá poder realizar projetos de investigação e inovação em domínios abrangidos pelo presente regulamento no âmbito vinculativo para os projetos de investigação e inovação estabelecidos pelo Conselho de Administração num documento vinculativo. Tal documento deverá ser atualizado sempre que necessário e disponibilizado à AEPD. Esses projetos só deverão poder abranger o tratamento de dados pessoais se certas condições forem cumpridas, nomeadamente o tratamento ser estritamente necessário, o objetivo de o projeto em causa não poder ser alcançado mediante a utilização de dados não pessoais, tais como dados sintéticos ou anónimos, e se o pleno respeito pelos direitos fundamentais, em especial a não discriminação, for assegurado. O tratamento de categorias especiais de dados pessoais para fins de investigação e inovação só deverá ser permitido quando for estritamente necessário. Dada o caráter sensível desse tratamento, deverão ser aplicadas garantias adicionais adequadas, incluindo a pseudonimização. A fim de evitar a parcialidade na tomada de decisões algorítmicas, a Europol deverá ser autorizada a tratar dados pessoais que não se relacionam com as categorias de titulares de dados listadas no anexo II. A Europol deverá conservar registos de todo o tratamento de dados pessoais no contexto dos seus projetos de investigação e inovação somente para verificar a exatidão dos resultados do tratamento de dados e apenas durante o tempo necessário para tal. As disposições sobre o desenvolvimento de novos instrumentos por parte da Europol não deverão constituir uma base jurídica para a sua implantação a nível da União ou a nível nacional. A fim de impulsionar a inovação e reforçar as sinergias em projetos de investigação e inovação, é importante que a Europol intensifique a sua cooperação com as redes pertinentes de profissionais dos Estados-Membros e outras agências da União, no âmbito das respetivas competências nesse domínio, e apoiar outras formas de cooperação conexas, como o apoio de secretariado ao Polo da UE de Inovação para a Segurança Interna enquanto rede colaborativa de laboratórios de inovação. |
(49) |
A Europol deverá desempenhar um papel fundamental na assistência aos Estados-Membros no domínio do desenvolvimento de novas soluções tecnológicas baseadas em inteligência artificial que sejam pertinentes para a consecução dos objetivos da Europol e que beneficiem as autoridades competentes dos Estados-Membros em toda a União. Essa assistência deverá ser prestada no pleno respeito dos direitos e liberdades fundamentais, nomeadamente a não discriminação. A Europol deverá desempenhar um papel fundamental na promoção do desenvolvimento e implantação da inteligência artificial ética, fiável e centrada no ser humano, sujeita a garantias sólidas em termos de segurança, de proteção, de transparência, de explicabilidade e de direitos fundamentais. |
(50) |
Antes de lançar os seus projetos de investigação e de inovação que envolvam o tratamento de dados pessoais, a Europol deverá informar a AEPD. A Europol deverá informar ou consultar o seu Conselho de Administração, em conformidade com certos critérios específicos que deverão ser estabelecidos nas orientações pertinentes. A Europol não deverá tratar dados para efeitos de projetos de investigação e inovação sem o consentimento do Estado-Membro, organismo da União, país terceiro ou organização internacional que tenha apresentado os dados à Europol, a menos que esse Estado-Membro, organismo da União, país terceiro ou organização internacional tenha concedido a sua autorização prévia para esse tratamento para esse efeito. Para cada projeto, a Europol deverá realizar, previamente ao tratamento, uma avaliação do impacto na proteção dos dados para garantir o pleno respeito do direito à proteção dos dados e de todos os outros direitos e liberdades fundamentais dos titulares dos dados. A avaliação do impacto da proteção de dados deverá incluir uma avaliação da adequação, necessidade e proporcionalidade dos dados pessoais a serem tratados para a finalidade específica do projeto, incluindo o requisito de minimização dos dados e uma avaliação de uma eventual parcialidade nos resultados e nos dados pessoais a tratar para a finalidade específica do projeto, bem como das medidas previstas para fazer face a esses riscos. O desenvolvimento de novos instrumentos por parte da Europol não deverá prejudicar a base jurídica, incluindo os fundamentos para o tratamento dos dados pessoais em causa, que seriam posteriormente necessários para a sua implantação a nível da União ou a nível nacional. |
(51) |
Proporcionar à Europol os instrumentos e as capacidades adicionais requer o reforço do controlo democrático e da responsabilização da Europol. A supervisão parlamentar conjunta constitui um importante elemento de acompanhamento político das atividades da Europol. Para permitir um acompanhamento político eficaz da forma como utiliza os instrumentos e as capacidades adicionais previstos no presente regulamento, a Europol deverá facultar anualmente ao grupo de controlo parlamentar conjunto (GCPC) e aos Estados-Membros informações pormenorizadas sobre o desenvolvimento, a utilização e a eficácia desses instrumentos e capacidades e os resultados da sua utilização, em especial sobre os projetos de investigação e inovação, bem como sobre novas atividades ou a criação de novos polos especializados no seio da Europol. Além disso, dois representantes do GCPC — um do Parlamento Europeu e outro dos parlamentos nacionais, de modo a refletir a constituição dúplice do GCPC — deverão ser convidados para, pelo menos, duas reuniões ordinárias anuais do Conselho de Administração, a fim de intervirem junto deste em nome do GCPC e debaterem o relatório anual de atividades consolidado, o documento único de programação e o orçamento anual, as perguntas e respostas escritas do GCPC, bem como as relações externas e as parcerias, respeitando simultaneamente as diferentes funções e responsabilidades do Conselho de Administração e do GCPC em conformidade com o presente regulamento. O Conselho de Administração, juntamente com os representantes do GCPC, pode identificar outras questões de interesse político a debater. Em consonância com o papel de supervisão do GCPC, os dois representantes do GCPC não deverão ter direito de voto no Conselho de Administração. As atividades de investigação e inovação previstas deverão figurar no documento único de programação que contém a programação plurianual e o programa de trabalho anual da Europol e ser transmitidas ao GCPC. |
(52) |
Na sequência de uma proposta do diretor executivo, o Conselho de Administração deverá designar um provedor de direitos fundamentais responsável por apoiar a Europol na salvaguarda do respeito pelos direitos fundamentais em todas as suas atividades e atribuições, em especial nos projetos de investigação e inovação da Europol e no intercâmbio de dados pessoais com organismos privados. Deverá ser possível designar como provedor de direitos fundamentais um membro do pessoal existente da Europol que tenha recebido formação especial em direito e prática em matéria dos direitos fundamentais. O provedor de direitos fundamentais deverá cooperar estreitamente com o responsável pela proteção de dados no âmbito das respetivas competências. As questões relacionadas com a proteção de dados inserem-se inteiramente no âmbito de competências do responsável pela proteção de dados. |
(53) |
Atendendo a que o objetivo do presente regulamento, a saber, o apoio e o reforço da ação das autoridades competentes dos Estados-Membros e a sua cooperação mútua na prevenção e no combate à criminalidade grave que afete dois ou mais Estados-Membros, ao terrorismo e às formas de criminalidade lesivas de um interesse comum que seja objeto de uma política da União, não pode ser suficientemente alcançado pelos Estados-Membros, mas pode, devido ao caráter transfronteiras da criminalidade grave e do terrorismo e à necessidade de uma resposta coordenada às ameaças de segurança conexas, ser mais bem alcançado ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do TUE. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo. |
(54) |
Nos termos do artigo 3.o do Protocolo n.o 21 relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao TUE e ao TFUE, a Irlanda notificou a sua intenção de participar na adoção e na aplicação do presente regulamento. |
(55) |
Nos termos dos artigos 1.o e 2.o do Protocolo n.o 22 relativo à posição da Dinamarca, anexo ao TUE e ao TFUE, a Dinamarca não participa na adoção do presente regulamento e não fica a ele vinculada nem sujeita à sua aplicação. |
(56) |
A AEPD foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 e emitiu parecer em 8 de março de 2021 (15). |
(57) |
O presente regulamento respeita plenamente os direitos e as salvaguardas fundamentais e observa os princípios reconhecidos, nomeadamente, pela Carta dos Direitos Fundamentais da União Europeia («Carta»), em especial o direito ao respeito pela vida privada e familiar e o direito à proteção dos dados pessoais, tal como previsto nos artigos 7.o e 8.o da Carta, bem como pelo artigo 16.o do TFUE. Dada a importância do tratamento de dados pessoais para o trabalho das autoridades policiais em geral e para o apoio prestado pela Europol, em particular, o presente regulamento deverá prever garantias reforçadas, mecanismos de controlo democrático e de responsabilização, para assegurar que as atividades e atribuições da Europol são realizadas no em plena conformidade com os direitos fundamentais, tal como consagrados na Carta, em especial o direito à igualdade perante a lei, o direito à não discriminação e a um recurso judicial eficaz perante o tribunal nacional competente contra qualquer uma das medidas tomadas nos termos do presente regulamento. Qualquer tratamento de dados pessoais ao abrigo do presente regulamento deverá ser limitado ao estritamente necessário e proporcionado, estando sujeito a condições claras, a requisitos rigorosos e a uma supervisão eficaz por parte da AEPD. |
(58) |
Por conseguinte, o Regulamento (UE) 2016/794 deverá ser alterado em conformidade. |
(59) |
A fim de permitir a imediata aplicação das medidas nele previstas, o presente regulamento deverá entrar em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia, |
ADOTARAM O PRESENTE REGULAMENTO:
Artigo 1.o
O Regulamento (UE) 2016/794 é alterado do seguinte modo:
1) |
O artigo 2.o é alterado do seguinte modo:
|
2) |
O artigo 4.o é alterado do seguinte modo:
|
3) |
O artigo 6.o é alterado do seguinte modo:
|
4) |
No artigo 7.o, o n.o 8 passa a ter a seguinte redação: «8. Cada Estado-Membro assegura que a sua UIF, dentro dos limites do seu mandato e competências e sujeita a salvaguardas processuais nacionais, esteja habilitada a responder aos pedidos devidamente justificados apresentados pela Europol nos termos do artigo 12.o da Diretiva (UE) 2019/1153 sobre informações financeiras e análises financeiras, quer através da sua unidade nacional ou, se esse Estado-Membro o permitir, através de contacto direto entre a UIF e a Europol.»; |
5) |
No artigo 11.o, o n.o 1 é alterado do seguinte modo:
|
6) |
O artigo 12.o é alterado do seguinte modo:
|
7) |
No artigo 14.o, o n.o 4 passa a ter a seguinte redação: «4. O Conselho de Administração pode convidar qualquer pessoa cuja opinião possa ser relevante para a discussão a assistir às suas reuniões na qualidade de observador sem direito de voto. Dois representantes do GCPC devem ser convidados para estarem presentes em duas reuniões ordinárias do Conselho de Administração por ano, na qualidade de observadores sem direito de voto, para debater as seguintes questões de interesse político:
O Conselho de Administração, juntamente com os representantes do GCPC, pode decidir debater outras questões de interesse político nas reuniões referidas no primeiro parágrafo.»; |
8) |
O artigo 16.o é alterado do seguinte modo:
|
9) |
O artigo 18.o é alterado do seguinte modo:
|
10) |
É inserido o seguinte artigo: «Artigo 18.o-A Tratamento de dados pessoais para apoiar uma investigação criminal 1. Se for necessário para prestar apoio a uma investigação criminal específica em curso que se enquadre nos objetivos da Europol, a Europol pode tratar dados pessoais não relacionados com as categorias de titulares de dados listadas no anexo II, desde que:
Os resultados da avaliação a que se refere o primeiro parágrafo, alínea b), são registados e enviados à AEPD para informação quando a Europol deixar de apoiar a investigação referida no primeiro parágrafo. 2. Caso o Estado-Membro a que se refere o n.o 1, primeiro parágrafo, alínea a), deixar de estar autorizado a tratar os dados relativos à investigação criminal específica em curso referida no n.o 1, em conformidade com os requisitos processuais e as garantias nos termos do seu direito nacional aplicável, ele deve informar a Europol. Caso a Procuradoria Europeia ou a Eurojust transmitam dados de investigação à Europol e deixem de estar autorizadas a tratar os dados relativos a uma investigação criminal específica em curso referida no n.o 1, em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do direito da União e nacional, elas devem informar a Europol. 3. A Europol pode tratar os dados de investigação nos termos do artigo 18.o, n.o 2, enquanto estiver a apoiar a investigação criminal específica em curso em relação à qual os dados de investigação tenham sido transmitidos, nos termos do n.o 1, primeiro parágrafo, alínea a) do presente artigo, e unicamente para efeitos de apoiar essa investigação. 4. A Europol pode conservar os dados de investigação fornecidos em conformidade com o n.o 1, primeiro parágrafo, alínea a), e o resultado do tratamento desses dados para além do período de tratamento previsto no n.o 3, mediante pedido do fornecedor desses dados de investigação, exclusivamente para assegurar a veracidade, fiabilidade e rastreabilidade do processo de informação criminal, mas apenas enquanto o processo judicial relativo à investigação criminal específica relativamente à qual esses dados foram fornecidos estiver a decorrer. Os fornecedores de dados de investigação referidos no n.o 1, primeiro parágrafo, alínea a), ou, com o seu acordo, um Estado-Membro no qual esteja em curso um processo judicial relativo a uma investigação criminal conexa, podem solicitar à Europol que conserve os dados de investigação e o resultado da análise operacional desses dados para além do período de tratamento previsto no n.o 3, exclusivamente para assegurar a veracidade, fiabilidade e rastreabilidade do processo de investigação criminal e apenas enquanto estiver a decorrer nesse outro Estado-Membro um processo judicial relativo a uma investigação criminal conexa. 5. Sem prejuízo do tratamento de dados pessoais nos termos do artigo 18.o, n.o 6-A, os dados pessoais que não se relacionem com as categorias de titulares de dados listadas no anexo II são conservados funcionalmente separados dos outros dados, só podendo ser tratados quando necessário e proporcionado para os fins previstos nos n.os 3, 4 e 6 do presente artigo. O Conselho de Administração, deliberando sob proposta do diretor executivo, após consulta à AEPD, especifica as condições da transmissão e do tratamento dos dados pessoais nos termos dos n.os 3 e 4. 6. Os n.os 1 a 4 do presente artigo são igualmente aplicáveis sempre que sejam fornecidos à Europol dados pessoais provenientes de um país terceiro, como referido no artigo 25.o, n.o 1, alíneas a), b) ou c), ou no artigo 25.o, n.o 4-A, e esse país terceiro transmita dados de investigação à Europol para efeitos de análise operacional que contribua para uma investigação criminal específica num ou mais Estados-Membros apoiada pela Europol, desde que o país terceiro em causa tenha obtido os dados no contexto de uma investigação criminal, em conformidade com os requisitos processuais e as garantias aplicáveis ao abrigo do seu direito penal nacional. Se um país terceiro transmitir dados de investigação à Europol, nos termos do primeiro parágrafo, o responsável pela proteção de dados pode, se for caso disso, notificar a AEPD. A Europol verifica se a quantidade de dados pessoais referidos no primeiro parágrafo não é manifestamente desproporcionada em relação à investigação criminal específica no Estado-Membro em causa. Se a Europol chegar à conclusão de que existem indícios de que os dados em causa são manifestamente desproporcionados ou foram recolhidos em manifesta violação dos direitos fundamentais, a Europol não procede ao tratamento desses dados, devendo suprimi-los. Os dados pessoais tratados nos termos do presente número só podem ser consultados pela Europol se tal for necessário para apoiar uma investigação criminal específica para efeitos da qual os dados tenham sido fornecidos. Esses dados pessoais só podem ser partilhados no interior da União.»; |
11) |
No artigo 19.o, os n.os 1 e 2 passam a ter a seguinte redação: «1. Os Estados-Membros, os organismos da União, os países terceiros ou as organizações internacionais que forneçam informações à Europol determinam a finalidade, ou as finalidades, para que são tratadas essas informações, em conformidade com o artigo 18.o. Caso um prestador de informações referido no primeiro parágrafo não tenha cumprido o disposto nesse parágrafo, cabe à Europol, de comum acordo com a entidade que tenha fornecido as informações em causa, tratar as informações a fim de determinar a respetiva relevância, bem como a finalidade, ou as finalidades, para que serão posteriormente tratadas. A Europol só pode tratar informações com uma finalidade diferente daquela para que foram fornecidas mediante autorização para tal da entidade que tenha fornecido as informações. As informações fornecidas para as finalidades a que se refere o artigo 18.o, n.o 2, alíneas a) a d), podem também ser tratadas pela Europol para a finalidade a que se refere o artigo 18.o, n.o 2, alínea e), em conformidade com o artigo 33.o-A. 2. Os Estados-Membros, os organismos da União, os países terceiros e as organizações internacionais podem impor, no momento em que fornecem as informações à Europol, qualquer limitação ao seu acesso ou à sua utilização, em termos gerais ou específicos, incluindo no que se refere à sua transferência, transmissão, apagamento ou destruição. Sempre que a necessidade de tais limitações se torne evidente depois do fornecimento de informações, informam a Europol desse facto. A Europol é obrigada a respeitar essas limitações.»; |
12) |
O artigo 20.o é alterado do seguinte modo:
|
13) |
É inserido o seguinte artigo: «Artigo 20.o-A Relações com a Procuradoria Europeia 1. A Europol estabelece e mantém relações estreitas com a Procuradoria Europeia. No âmbito dessas relações, a Europol e a Procuradoria Europeia agem no âmbito das respetivas competências. Para o efeito, celebram um acordo de cooperação que estabeleça as modalidades da sua cooperação. 2. A pedido da Procuradoria Europeia, nos termos do artigo 102.o do Regulamento (UE) 2017/1939, a Europol apoia as investigações da Procuradoria Europeia, cooperando com este organismo através da prestação de informações e apoio analítico até ao momento em que a Procuradoria Europeia decida instaurar uma ação penal ou arquivar o processo. 3. A fim de prestar informações à Procuradoria Europeia nos termos do n.o 2 do presente artigo, a Europol toma todas as medidas adequadas para permitir que a Procuradoria Europeia tenha acesso indireto, com base num sistema de respostas positivas/negativas, a dados relacionados com infrações abrangidas pelas competências da Procuradoria Europeia, fornecidos para as finalidades a que se refere o artigo 18.o, n.o 2, alíneas a), b) e c). Esse sistema de respostas positivas/negativas apenas notifica a Europol em caso de resposta positiva e sem prejuízo de eventuais limitações impostas nos termos do artigo 19.o, n.o 2, pelos fornecedores de informações referidos no artigo 19.o, n.o 1. Em caso de resposta positiva, a Europol inicia o procedimento de partilha da informação que gerou essa resposta positiva, em conformidade com a decisão da entidade que forneceu essa informação a que se refere o artigo 19.o, n.o 1, e apenas na medida em que os dados que geraram a resposta positiva sejam pertinentes para o pedido apresentado nos termos do n.o 2 do presente artigo. 4. A Europol comunica à Procuradoria Europeia, sem demora injustificada, qualquer conduta criminosa a respeito da qual a Procuradoria Europeia possa exercer a sua competência nos termos do artigo 22.o e do artigo 25.o, n.os 2 e 3, do Regulamento (UE) 2017/1939, e sem prejuízo de eventuais limitações impostas, nos termos do artigo 19.o, n.o 2, do presente regulamento, pelo fornecedor da informação. Caso faça a comunicação à Procuradoria Europeia nos termos do primeiro parágrafo, a Europol notifica sem demora os Estados-Membros em causa. Caso as informações relativas a condutas criminosas a respeito das quais a Procuradoria Europeia possa exercer a sua competência tenham sido fornecidas à Europol por um Estado-Membro que tenha imposto limitações à utilização dessas informações nos termos do artigo 19.o, n.o 2, do presente regulamento, a Europol notifica a Procuradoria Europeia da existência dessas limitações e remete a questão para o Estado-Membro em causa. O Estado-Membro em causa colabora diretamente com a Procuradoria Europeia a fim de cumprir o artigo 24.o, n.os 1 e 4, do Regulamento (UE) 2017/1939.»; |
14) |
Ao artigo 21.o é aditado o seguinte número: «8. Se, durante o tratamento de informações relativas a uma investigação criminal específica ou a um projeto específico, a Europol obtiver informações relevantes quanto a uma eventual atividade ilegal lesiva dos interesses financeiros da União, transmite-as ao OLAF sem demora, sem prejuízo de eventuais limitações impostas nos termos do artigo 19.o, n.o 2, pelo Estado-Membro que forneceu as informações. Caso faça a comunicação ao OLAF nos termos do primeiro parágrafo, a Europol notifica sem demora os Estados-Membros em causa.»; |
15) |
No artigo 23.o, o n.o 7 passa a ter a seguinte redação: «7. Salvo autorização prévia e expressa da Europol, são proibidas as transferências posteriores de dados pessoais detidos pela Europol efetuadas por Estados-Membros, organismos da União, países terceiros, organizações internacionais ou organismos privados.»; |
16) |
O título da secção 2 passa a ter a seguinte redação: « »; |
17) |
O artigo 24.o passa a ter a seguinte redação: «Artigo 24.o Transmissão de dados pessoais para organismos da União 1. A Europol só pode transmitir dados pessoais para um organismo da União nos termos do artigo 71.o, n.o 2, do Regulamento (UE) 2018/1725, sujeito às limitações previstas no presente regulamento e sem prejuízo do artigo 67.o do presente regulamento, se esses dados forem necessários e proporcionados para o exercício legítimo de funções do organismo recetor da União. 2. Na sequência de um pedido de transmissão de dados pessoais por parte de outro organismo da União, a Europol verifica a competência do outro organismo da União. Se a Europol não puder confirmar que a transmissão dos dados pessoais é necessária nos termos do n.o 1, a Europol pede informações complementares ao organismo da União que fez o pedido. O organismo da União que fez o pedido certifica-se de que a necessidade da transmissão dos dados pessoais pode ser verificada. 3. O organismo recetor da União só pode tratar os dados pessoais referidos nos n.os 1 e 2 para as finalidades para as quais tenham sido transmitidos.»; |
18) |
O artigo 25.o é alterado do seguinte modo:
|
19) |
O artigo 26.o é alterado do seguinte modo:
|
20) |
São inseridos os seguintes artigos: «Artigo 26.o-A Intercâmbio de dados pessoais com organismos privados em situações de crise em linha 1. Em situações de crise em linha, a Europol pode receber dados pessoais diretamente de organismos privados e tratá-los em conformidade com o artigo 18.o. 2. Se receber dados pessoais de organismos privados estabelecidos em países terceiros, a Europol só pode transmitir esses dados e o resultado da sua análise e verificação desses dados a um Estado-Membro ou a um país terceiro em causa consoante referido no artigo 25.o, n.o 1, alínea a), b) ou c), ou no artigo 25.o, n.o 4-A. A Europol pode transferir o resultado da sua análise e da verificação dos dados referidos no n.o 1 do presente artigo para o país terceiro em causa nos termos do artigo 25.o, n.o 5 ou n.o 6. 3. A Europol pode transmitir ou transferir dados pessoais para organismos privados, caso a caso, sob reserva de eventuais limitações impostas nos termos do artigo 19.o, n.os 2 ou 3, e sem prejuízo do artigo 67.o, sempre que a transmissão ou transferência desses dados seja estritamente necessária para responder a situações de crise em linha, e nenhum direito nem liberdade fundamental dos titulares dos dados em causa prevaleça sobre o interesse público que exige a transmissão ou transferência desses dados pessoais. 4. Se o organismo privado em causa não estiver estabelecido na União nem num país terceiro como referido no artigo 25.o, n.o 1, alínea a), b) ou c), ou no artigo 25.o, n.o 4-A, a transferência requer autorização por parte do diretor executivo. 5. A Europol presta assistência, troca informações e coopera com as autoridades competentes dos Estados-Membros no que diz respeito à transmissão ou transferência de dados pessoais para organismos privados ao abrigo do n.o 3 ou n.o 4, em especial para evitar a duplicação de esforços, reforçar a coordenação e evitar interferências nas investigações em diferentes Estados-Membros. 6. A Europol pode solicitar aos Estados-Membros, através das respetivas unidades nacionais, que obtenham, nos termos do seu direito nacional, dados pessoais de organismos privados estabelecidos ou que disponham de um representante legal no seu território, para efeitos de partilha desses dados com a Europol. Esses pedidos são fundamentados e o mais precisos possível. Esses dados pessoais são o menos sensíveis possível e estritamente limitados ao que é necessário e proporcionado para efeitos de permitir à Europol apoiar os Estados-Membros a responder a situações de crise em linha. Sem prejuízo da competência jurisdicional dos Estados-Membros quanto ao crime de difusão de conteúdos em relação ao qual a Europol solicita os dados pessoais, os Estados-Membros asseguram que as suas autoridades competentes podem tratar os pedidos referidos no primeiro parágrafo em conformidade com a respetiva legislação nacional, a fim de transmitir à Europol as informações necessárias para a realização dos seus objetivos. 7. A Europol assegura que são conservados registos pormenorizados de todas as transferências de dados pessoais, bem como das razões que as motivaram, em conformidade com o presente regulamento. Mediante pedido da AEPD, a Europol disponibiliza esses registos à AEPD nos termos do artigo 39.o-A. 8. Se os dados pessoais recebidos ou a transferir afetarem os interesses de um Estado-Membro, a Europol informa imediatamente a unidade nacional do Estado-Membro em causa. Artigo 26.o-B Intercâmbio de dados pessoais com organismos privados para combater a difusão em linha de material pedopornográfico em linha 1. A Europol pode receber dados pessoais diretamente de organismos privados e tratá-los em conformidade com o artigo 18.o, a fim de combater a difusão em linha de material pedopornográfico em linha, como referido no artigo 4.o, n.o 1, alínea y). 2. Se receber dados pessoais de organismos privados estabelecidos em países terceiros, a Europol só pode transmitir esses dados e os resultados da sua análise e verificação desses dados a um Estado-Membro ou um país terceiro em causa consoante referido no artigo 25.o, n.o 1, alínea a), b) ou c), ou no artigo 25.o, n.o 4-A. A Europol pode transferir os resultados da sua análise e da verificação dos dados referidos no primeiro parágrafo do presente número para o país terceiro em causa nos termos do artigo 25.o, n.os 5 ou 6. 3. A Europol pode transmitir ou transferir dados pessoais para organismos privados, caso a caso, sob reserva de eventuais limitações impostas no artigo 19.o, n.os 2 ou 3, e sem prejuízo do artigo 67.o, sempre que a transmissão ou transferência desses dados seja estritamente necessária para combater a difusão em linha de material pedopornográfico em linha, como referido no artigo 4.o, n.o 1, alínea y), e nenhum direito nem liberdade fundamental dos titulares dos dados em causa prevaleça sobre o interesse público que exige a transmissão ou transferência desses dados pessoais. 4. Se o organismo privado interessado não estiver estabelecido na União nem num país terceiro consoante referido no artigo 25.o, n.o 1, alíneas a), b) ou c), ou no artigo 25.o, n.o 4-A, a transferência requer autorização por parte do diretor executivo. 5. A Europol presta assistência, troca informações e coopera com as autoridades competentes dos Estados-Membros no que diz respeito à transmissão ou transferência de dados pessoais para organismos privados ao abrigo dos n.os 3 ou 4, em especial para evitar a duplicação de esforços, reforçar a coordenação e evitar interferências nas investigações em diferentes Estados-Membros. 6. A Europol pode solicitar aos Estados-Membros, através das respetivas unidades nacionais, que obtenham, nos termos da sua legislação nacional, dados pessoais de organismos privados estabelecidos ou que disponham de um representante legal no seu território para efeitos de partilha desses dados com a Europol. Esses pedidos são fundamentados e o mais precisos possível. Esses dados pessoais são o menos sensíveis possível e estritamente limitados ao que é necessário e proporcionado para efeitos de permitir à Europol combater a difusão em linha de material pedopornográfico em linha, como referido no artigo 4.o, n.o 1, alínea y). Sem prejuízo da competência jurisdicional dos Estados-Membros quanto ao crime de difusão de conteúdos em relação ao qual a Europol solicita os dados pessoais, os Estados-Membros asseguram que as autoridades competentes dos Estados-Membros podem tratar os pedidos referidos no primeiro parágrafo, em conformidade com a respetiva legislação nacional, a fim de transmitir à Europol as informações necessárias para a realização dos seus objetivos. 7. A Europol assegura que são conservados registos pormenorizados de todas as transferências de dados pessoais, bem como das razões que as motivaram, em conformidade com o presente regulamento. Mediante pedido da AEPD, a Europol disponibiliza esses registos à AEPD nos termos do artigo 39.o-A. 8. Se os dados pessoais recebidos ou a transferir afetarem os interesses de um Estado-Membro, a Europol informa imediatamente a unidade nacional do Estado-Membro em causa.»; |
21) |
No artigo 27.o, os n.os 1 e 2 passam a ter a seguinte redação: «1. Na medida do necessário ao exercício das suas atribuições, a Europol pode receber e tratar informações provenientes de particulares. Os dados pessoais provenientes de particulares apenas podem ser tratados pela Europol na condição de serem recebidos por intermédio:
2. Se receber informações, incluindo dados pessoais, de um particular residente num país terceiro que não seja aquele a que se refere o artigo 25.o, n.o 1, alínea a) ou b), ou o artigo 25.o, n.o 4-A, a Europol apenas pode transmitir essas informações a um Estado-Membro ou a esse país terceiro.»; |
22) |
O título do Capítulo VI passa a ter a seguinte redação: «PROTEÇÃO DE DADOS»; |
23) |
É inserido o seguinte artigo: «Artigo 27.o-A Tratamento de dados pessoais pela Europol 1. Sem prejuízo do presente regulamento, o artigo 3.o e o capítulo IX do Regulamento (UE) 2018/1725 são aplicáveis ao tratamento de dados pessoais pela Europol. O Regulamento (UE) 2018/1725, com exceção do capítulo IX, é aplicável ao tratamento de dados pessoais de natureza administrativa pela Europol. 2. As referências a «dados pessoais» no presente regulamento são entendidas como referências a «dados pessoais operacionais», na aceção do artigo 3.o, ponto 2, do Regulamento (UE) 2018/1725, salvo disposição em contrário do presente regulamento. 3. O Conselho de Administração adota regras para determinar os prazos de conservação dos dados pessoais de natureza administrativa.»; |
24) |
É suprimido o artigo 28.o; |
25) |
O artigo 30.o é alterado do seguinte modo:
|
26) |
O artigo 32.o passa a ter a seguinte redação: «Artigo 32.o Segurança do tratamento Os procedimentos para garantir que as medidas de segurança são tidas em conta para além dos limites dos sistemas de informação são estabelecidos pela Europol nos termos do artigo 91.o do Regulamento (UE) 2018/1725, e pelos Estados-Membros nos termos do artigo 29.o da Diretiva (UE) 2016/680.»; |
27) |
É suprimido o artigo 33.o; |
28) |
É inserido o seguinte artigo: «Artigo 33.o-A Tratamento de dados pessoais para fins de investigação e inovação 1. A Europol pode tratar dados pessoais para efeitos dos seus projetos de investigação e inovação, desde que o tratamento desses dados pessoais:
O tratamento de dados pessoais pela Europol no contexto de projetos de investigação e inovação pauta-se pelos princípios da transparência, explicabilidade, equidade e responsabilização. 2. Sem prejuízo do n.o 1, no que diz respeito ao tratamento de dados pessoais no contexto de projetos de investigação e inovação da Europol, aplicam-se as seguintes garantias:
3. O Conselho de Administração estabelece num documento vinculativo o âmbito geral para os projetos de investigação e inovação. Esse documento é atualizado sempre que adequado e é disponibilizado à AEPD para efeitos da sua função de supervisão. 4. A Europol mantém um documento com uma descrição pormenorizada do processo e da motivação subjacentes à formação, teste e validação de algoritmos, a fim de assegurar a transparência do processo e dos algoritmos, nomeadamente a sua conformidade com as garantias previstas no presente artigo, e de permitir a verificação da exatidão dos resultados com base da utilização desses algoritmos. Mediante pedido, a Europol faculta esse documento às partes interessadas, incluindo os Estados-Membros e o GCPC. 5. Se os dados pessoais a tratar para um projeto de investigação e inovação tiverem sido fornecidos por um Estado-Membro, um organismo da União, um país terceiro ou uma organização internacional, a Europol solicita o consentimento do fornecedor de dados nos termos do artigo 19.o, n.o 2, salvo se o fornecedor de dados tiver concedido a sua autorização prévia para esse tratamento para efeitos de projetos de investigação e inovação, quer em termos gerais, quer sob reserva de condições específicas. A Europol não pode tratar dados para projetos de investigação e inovação sem o consentimento do fornecedor dos dados. Esse consentimento é revogável a qualquer momento.»; |
29) |
O artigo 34.o é alterado do seguinte modo:
|
30) |
O artigo 35.o é alterado do seguinte modo:
|
31) |
O artigo 36.o é alterado do seguinte modo:
|
32) |
O artigo 37.o é alterado do seguinte modo:
|
33) |
O artigo 38.o é alterado do seguinte modo:
|
34) |
O artigo 39.o passa a ter a seguinte redação: «Artigo 39.o Consulta prévia 1. Sem prejuízo do disposto no artigo 90.o do Regulamento (UE) 2018/1725, a consulta prévia da AEDP não se aplica a atividades operacionais individuais específicas que não incluam novos tipos de tratamento que impliquem um risco elevado para os direitos e liberdades dos titulares dos dados. 2. A Europol pode dar início a operações de tratamento que são sujeitas a consulta prévia da AEPD em conformidade com o artigo 90.o, n.o 1, do Regulamento (UE) 2018/1725, salvo se a AEPD tiver emitido orientações por escrito nos termos do artigo 90.o, n.o 4, desse regulamento nos prazos previstos nessa disposição, que começam com a receção do pedido de consulta e não podem ser suspensos. 3. Se as operações de tratamento referidas no n.o 2 do presente artigo tiverem uma importância substancial para o exercício das funções da Europol e forem particularmente urgentes e necessárias para prevenir e combater uma ameaça imediata de um crime que se enquadre nos objetivos da Europol ou para proteger os interesses vitais do titular de dados ou de outra pessoa, a Europol pode excecionalmente dar início ao tratamento após o início da consulta prévia prevista no artigo 90.o, n.o 1, do Regulamento (UE) 2018/1725, e antes do termo do prazo previsto no artigo 90.o, n.o 4, desse regulamento. Nesse caso, a Europol informa a AEPD antes do início das operações de tratamento. As orientações por escrito emitidas pela AEPD nos termos do artigo 90.o, n.o 4, do Regulamento (UE) 2018/1725 são tidas em conta retrospetivamente e o tratamento é ajustado em conformidade. O responsável pela proteção de dados participa na avaliação da urgência dessas operações de tratamento antes de expirar o prazo previsto no artigo 90.o, n.o 4, do Regulamento (UE) 2018/1725 e supervisiona o tratamento em questão. 4. A AEPD conserva um registo de todas as operações de tratamento que lhe tenham sido notificadas nos termos do n.o 1. O registo não deve ser tornado público.»; |
35) |
É inserido o seguinte artigo: «Artigo 39.o-A Registos de categorias de atividades de tratamento 1. A Europol conserva um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade. Desse registo constam as seguintes informações:
2. O registo a que se refere o n.o 1 apresenta-se sob a forma escrita, inclusivamente em formato eletrónico. 3. A pedido da AEPD, a Europol disponibiliza-lhe o registo a que se refere o n.o 1.»; |
36) |
O artigo 40.o passa a ter a seguinte redação: «Artigo 40.o Registo cronológico 1. Em conformidade com o disposto no artigo 88.o do Regulamento (UE) 2018/1725, a Europol conserva registos cronológicos das suas operações de tratamento. Não é possível alterar os registos cronológicos. 2. Sem prejuízo do disposto no artigo 88.o do Regulamento (UE) 2018/1725, a pedido de uma unidade nacional e para uma investigação específica relacionada com o cumprimento das regras de proteção de dados, são transmitidos a essa unidade nacional os registos cronológicos referidos no n.o 1.»; |
37) |
O artigo 41.o passa a ter a seguinte redação: «Artigo 41.o Designação do responsável pela proteção de dados 1. O Conselho de Administração nomeia um membro do pessoal da Europol como responsável pela proteção de dados, que será nomeado apenas para esse posto. 2. O responsável pela proteção de dados é escolhido em função das suas qualidades profissionais e, em particular, dos seus conhecimentos especializados em matéria da legislação relativa à proteção de dados e capacidade para desempenhar as funções a que se refere o artigo 41.o-B do presente regulamento e o Regulamento (UE) 2018/1725. 3. A escolha do responsável pela proteção de dados não pode dar origem a conflitos de interesses entre as suas funções enquanto responsável pela proteção de dados e outras funções oficiais que o responsável possa ter, em especial no âmbito da aplicação do presente regulamento. 4. O responsável pela proteção de dados não pode ser exonerado ou penalizado pelo Conselho de Administração pelo desempenho das suas funções 5. A Europol publica os dados de contacto do responsável pela proteção de dados e comunica-os à AEPD.»; |
38) |
São inseridos os seguintes artigos: «Artigo 41.o-A Cargo de responsável pela proteção de dados 1. A Europol assegura que o responsável pela proteção de dados seja associado, de forma adequada e atempada, a todas as questões relacionadas com a proteção de dados pessoais. 2. A Europol apoia o responsável pela proteção de dados no exercício das funções a que se refere o artigo 41.o-B fornecendo-lhe os recursos e o pessoal necessários para o exercício dessas funções, facultando-lhe o acesso aos dados pessoais e às operações de tratamento e permitindo-lhe manter atualizados os seus conhecimentos especializados. A fim de apoiar o responsável pela proteção de dados no desempenho das suas funções, um membro do pessoal da Europol pode ser nomeado responsável pela proteção de dados adjunto. 3. A Europol assegura que o responsável pela proteção de dados atua com independência e não recebe quaisquer instruções quanto ao desempenho das suas funções. O responsável pela proteção de dados responde diretamente perante o Conselho de Administração. 4. Os titulares dos dados podem contactar o responsável pela proteção de dados sobre quaisquer questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhes são conferidos pelo presente regulamento e pelo Regulamento (UE) 2018/1725. Ninguém pode ser prejudicado por uma questão levada ao conhecimento do responsável pela proteção de dados por alegadamente constituir uma violação do presente regulamento ou do Regulamento (UE) 2018/1725. 5. O Conselho de Administração adota regras de execução relativas ao responsável pela proteção de dados. Essas regras têm por objeto, em especial, o procedimento de seleção e de exoneração do responsável pela proteção de dados, as suas funções, obrigações e competências, e as garantias da sua independência. 6. O responsável pela proteção de dados e o seu pessoal estão sujeitos à obrigação de confidencialidade, em conformidade com o disposto no artigo 67.o, n.o 1. 7. O responsável pela proteção de dados é nomeado por um período de quatro anos e o seu mandato pode ser renovado. 8. O responsável pela proteção de dados só pode ser exonerado do cargo pelo Conselho de Administração se deixar de preencher as condições exigidas para o exercício das suas funções, e unicamente com o acordo da AEPD. 9. Os nomes do responsável pela proteção de dados e do responsável pela proteção de dados adjunto são comunicados à AEPD pelo Conselho de Administração. 10. As disposições aplicáveis ao responsável pela proteção de dados aplicam-se com as devidas adaptações ao responsável pela proteção de dados adjunto. Artigo 41.o-B Funções do responsável pela proteção de dados 1. O responsável pela proteção de dados desempenha, nomeadamente, as seguintes funções quanto ao tratamento de dados pessoais:
2. O responsável pela proteção de dados pode emitir recomendações dirigidas ao Conselho de Administração a fim de melhorar concretamente a proteção de dados, e aconselhá-lo sobre matérias relacionadas com a aplicação das disposições relativas à proteção de dados. O responsável pela proteção de dados pode, por sua própria iniciativa ou a pedido do Conselho de Administração ou de qualquer pessoa singular, investigar questões e factos diretamente relacionados com as suas atribuições e de que tenha tido conhecimento e informar a pessoa que solicitou a investigação ou o Conselho de Administração sobre os resultados dessa investigação. 3. O responsável pela proteção de dados exerce as funções previstas no Regulamento (UE) 2018/1725 no que se refere aos dados pessoais de natureza administrativa. 4. No exercício das respetivas funções, o responsável pela proteção de dados e o pessoal da Europol que o assista no exercício das suas funções têm acesso a todos os dados tratados pela Europol e a todas as suas instalações. 5. Se o responsável pela proteção de dados considerar que não foram respeitadas as disposições do presente regulamento ou do Regulamento (UE) 2018/1725 relativas ao tratamento de dados pessoais de natureza administrativa, ou as disposições do presente regulamento ou do artigo 3.o e do capítulo IX do Regulamento (UE) 2018/1725 relativas ao tratamento de dados pessoais, informa o diretor executivo, solicitando-lhe que ponha termo ao incumprimento dentro de um determinado prazo. Caso o diretor executivo não ponha termo ao incumprimento dentro do prazo fixado, o responsável pela proteção de dados informa o Conselho de Administração. O Conselho de Administração responde dentro do prazo que ficar acordado com o responsável pela proteção de dados. Caso o Conselho de Administração não ponha termo ao incumprimento dentro do prazo fixado, o responsável pela proteção de dados remete o assunto à AEPD. Artigo 41.o-C Provedor de direitos fundamentais 1. O Conselho de Administração designa, sob proposta do diretor executivo, um provedor de direitos fundamentais. O provedor de direitos fundamentais pode ser um membro do pessoal da Europol que tenha recebido formação especial em direito e prática em matéria de direitos fundamentais. 2. O provedor de direitos fundamentais tem as seguintes competências:
3. A Europol assegura que o provedor de direitos fundamentais não recebe instruções relativamente ao exercício das suas funções. 4. O provedor de direitos fundamentais responde diretamente perante o diretor executivo e elabora relatórios anuais sobre as suas atividades, inclusive sobre o grau de respeito dos direitos fundamentais no âmbito das atividades da Europol. Estes relatórios são colocados à disposição do Conselho de Administração. Artigo 41.o-D Formação em direitos fundamentais Todo o pessoal da Europol envolvido em tarefas operacionais que impliquem o tratamento de dados pessoais recebe formação obrigatória sobre a proteção dos direitos e liberdades fundamentais, nomeadamente no que diz respeito ao tratamento de dados pessoais. Essa formação é desenvolvida em cooperação com a Agência dos Direitos Fundamentais da União Europeia (FRA), criada pelo Regulamento (CE) n.o 168/2007 do Conselho (*12), e a Agência da União Europeia para a Formação Policial (CEPOL), criada pelo Regulamento (UE) 2015/2219 do Parlamento Europeu e do Conselho (*13). (*12) Regulamento (CE) n.o 168/2007 do Conselho, de 15 de fevereiro de 2007, que cria a Agência dos Direitos Fundamentais da União Europeia (JO L 53 de 22.2.2007, p. 1)." (*13) Regulamento (UE) 2015/2219 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, sobre a Agência da União Europeia para a Formação Policial (CEPOL) e que substitui e revoga a Decisão 2005/681/JAI do Conselho (JO L 319 de 4.12.2015, p. 1).»;" |
39) |
No artigo 42.o, os n.os 1 e 2 passam a ter a seguinte redação: «1. Para efeitos do exercício da sua função de supervisão, as autoridades nacionais de controlo referidas no artigo 41.o da Diretiva (UE) 2016/680 têm acesso, através das instalações da unidade nacional ou dos agentes de ligação, aos dados fornecidos pelo seu Estado-Membro à Europol, em conformidade com os procedimentos nacionais aplicáveis e com os registos cronológicos a que se refere o artigo 40.o do presente regulamento. 2. As autoridades nacionais de controlo têm acesso aos gabinetes e à documentação dos respetivos agentes de ligação junto da Europol.»; |
40) |
O artigo 43.o é alterado do seguinte modo:
|
41) |
O artigo 44.o é alterado do seguinte modo:
|
42) |
São suprimidos os artigos 45.o e 46.o; |
43) |
O artigo 47.o é alterado do seguinte modo:
|
44) |
O artigo 50.o passa a ter a seguinte redação: «Artigo 50.o Direito a indemnização 1. Qualquer pessoa que tenha sofrido danos materiais ou morais na sequência de uma violação do presente regulamento tem o direito de receber uma indemnização em conformidade com o artigo 65.o do Regulamento (UE) 2018/1725 e o artigo 56.o da Diretiva (UE) 2016/680. 2. Os litígios entre a Europol e os Estados-Membros sobre a responsabilidade última pelo pagamento da indemnização a uma pessoa que tenha sofrido danos materiais ou morais, nos termos do n.o 1 do presente artigo, são submetidos ao Conselho de Administração. O Conselho de Administração delibera sobre essa responsabilidade por maioria de dois terços dos seus membros, sem prejuízo do direito de recorrer desta decisão em conformidade com o artigo 263.o do TFUE.»; |
45) |
O artigo 51.o é alterado do seguinte modo:
|
46) |
É inserido o seguinte artigo: «Artigo 52.o-A Fórum consultivo 1. O GCPC cria um fórum consultivo para o assistir, prestando-lhe, mediante pedido, aconselhamento de forma independente, em questões relativas aos direitos fundamentais. O GCPC e o diretor executivo podem consultar o fórum consultivo sobre qualquer questão relacionada com os direitos fundamentais. 2. O GCPC determina a composição do fórum consultivo, os seus métodos de trabalho e o modo como as informações são transmitidas ao fórum consultivo.»; |
47) |
No artigo 58.o, o n.o 9 passa a ter a seguinte redação: «9. O Regulamento Delegado (UE) 2019/715 aplica-se a quaisquer projetos imobiliários que possam ter implicações significativas para o orçamento da Europol.»; |
48) |
O artigo 60.o é alterado do seguinte modo:
|
49) |
O artigo 61.o passa a ter a seguinte redação: «Artigo 61.o Regras financeiras 1. As regras financeiras aplicáveis à Europol são adotadas pelo Conselho de Administração, após consulta com a Comissão. Estas regras só poderão divergir do Regulamento Delegado (UE) 2019/715 se as exigências específicas do funcionamento da Europol o impuserem, sob reserva do consentimento prévio da Comissão. 2. A Europol pode conceder subvenções relacionadas com o cumprimento dos seus objetivos e atribuições. 3. A Europol pode conceder subvenções sem convite aos Estados-Membros para a apresentação de propostas com vista à realização de atividades que se enquadrem nos objetivos e atribuições da Europol. 4. Sempre que devidamente justificado para fins operacionais, após autorização do Conselho de Administração, o apoio financeiro pode abranger a totalidade dos custos de investimento em equipamentos e infraestruturas. As regras financeiras referidas no n.o 1 podem especificar os critérios ao abrigo dos quais o apoio financeiro pode cobrir a totalidade dos custos de investimento referidos no primeiro parágrafo do presente número. 5. No que respeita ao apoio financeiro a conceder às atividades das equipas conjuntas de investigação, a Europol e a Eurojust estabelecem conjuntamente as regras e condições em que os pedidos de apoio devem ser processados.»; |
50) |
O artigo 68.o é alterado do seguinte modo:
|
51) |
São inseridos os seguintes artigos: «Artigo 74.o-A Disposições transitórias relativas ao tratamento de dados pessoais em apoio de uma investigação criminal em curso 1. Caso um Estado-Membro, a Procuradoria Europeia ou a Eurojust tenham fornecido à Europol dados pessoais não relacionados com as categorias de titulares de dados listadas no anexo II antes de 28 de junho de 2022, a Europol pode tratar esses dados pessoais em conformidade com o artigo 18.o-A se:
A avaliação referida na alínea c) do presente número é registada e enviada à AEPD para informação quando a Europol deixar de apoiar a investigação criminal específica correspondente. 2. Caso um Estado-Membro, a Procuradoria Europeia ou a Eurojust não cumpra um ou mais requisitos estabelecidos no n.o 1, alíneas a) e b), do presente artigo no que diz respeito a dados pessoais não relacionados com as categorias de titulares de dados listadas no anexo II que tenha fornecido à Europol antes de 28 de junho de 2022, ou caso um Estado-Membro, a Procuradoria Europeia ou a Eurojust não cumpra o n.o 1, alínea c), do presente artigo, a Europol não procede ao tratamento desses dados pessoais em conformidade com o artigo 18.o-A mas, e sem prejuízo do artigo 18.o, n.o 5, e do artigo 74.o-B, suprime esses dados pessoais até 29 de outubro de 2022. 3. Caso um país terceiro referido no artigo 18.o-A, n.o 6, tenha fornecido à Europol dados pessoais não relacionados com as categorias de titulares de dados listadas no anexo II antes de 28 de junho de 2022, a Europol pode tratar esses dados pessoais em conformidade com o artigo 18.o-A, n.o 6, desde que:
4. Caso um país terceiro não cumpra o requisito estabelecido no n.o 3, alínea c), do presente artigo no que diz respeito a dados pessoais não relacionados com as categorias de titulares de dados listadas no anexo II que tenha fornecido à Europol antes de 28 de junho de 2022, ou caso não estejam cumpridos os demais requisitos estabelecidos no n.o 3 do presente artigo, a Europol não procede ao tratamento desses dados pessoais em conformidade com o artigo 18.o-A, n.o 6, mas, sem prejuízo do artigo 18.o, n.o 5, e do artigo 74.o-B, suprime esses dados pessoais até 29 de outubro de 2022. 5. Se um Estado-Membro, a Procuradoria Europeia ou a Eurojust tiver fornecido à Europol dados pessoais não relacionados com as categorias de titulares de dados listadas no anexo II antes de 28 de junho de 2022, pode solicitar à Europol, até 29 de setembro de 2022, que conserve esses dados e o resultado do tratamento desses dados pela Europol, sempre que tal seja necessário para garantir a exatidão, a fiabilidade e a rastreabilidade do processo de informação criminal. A Europol conserva os dados pessoais não relacionados com as categorias de titulares de dados listadas no anexo II funcionalmente separados dos outros dados e só trata esses dados para garantir a exatidão, a fiabilidade e a rastreabilidade do processo de informação criminal, e apenas enquanto estiverem em curso os processos judiciais relativos à investigação criminal para os quais esses dados tenham sido fornecidos. 6. Caso tenha recebido dados pessoais não relacionados com as categorias de titulares de dados listadas no anexo II antes de 28 de junho de 2022, a Europol não conserva esses dados para garantir a veracidade, a fiabilidade e a rastreabilidade do processo de informação criminal, a menos que tal seja solicitado nos termos do n.o 5. Na ausência de tal pedido, a Europol suprime esses dados pessoais até 29 de outubro de 2022. Artigo 74.o-B Disposições transitórias relativas ao tratamento de dados pessoais conservados pela Europol Sem prejuízo do disposto no artigo 74.o-A, no que respeita aos dados pessoais recebidos pela Europol antes de 28 de junho de 2022, a Europol pode verificar se esses dados pessoais se relacionam com uma das categorias de titulares de dados constantes do anexo II. Para o efeito, a Europol pode efetuar uma análise prévia desses dados pessoais durante um período máximo de 18 meses a contar da data na qual esses foram recebidos pela primeira vez, ou, em casos justificados, e com a autorização prévia da AEPD, durante um período mais longo. O período máximo de tratamento dos dados referidos no primeiro parágrafo é de três anos a contar da data da receção dos dados pela Europol.». |
Artigo 2.o
O presente regulamento entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável nos Estados-Membros em conformidade com os Tratados.
Feito em Estrasburgo, em 8 de junho de 2022.
Pelo Parlamento Europeu
A Presidente
R. METSOLA
Pelo Conselho
O Presidente
C. BEAUNE
(1) Posição do Parlamento Europeu de 4 de maio de 2022 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 24 de maio de 2022.
(2) Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO L 135 de 24.5.2016, p. 53).
(3) Decisão 2008/617/JAI do Conselho, de 23 de junho de 2008, relativa à melhoria da cooperação entre as unidades especiais de intervenção dos Estados-Membros da União Europeia em situações de crise (JO L 210 de 6.8.2008, p. 73).
(4) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).
(5) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de 19.7.2016, p. 1).
(6) Regulamento (UE) 2018/1862 do Parlamento Europeu e do Conselho, de 28 de novembro de 2018, relativo ao estabelecimento, ao funcionamento e à utilização do Sistema de Informação Schengen (SIS) no domínio da cooperação policial e da cooperação judiciária em matéria penal, e que altera e revoga a Decisão 2007/533/JAI do Conselho e revoga o Regulamento (CE) n.o 1986/2006 do Parlamento Europeu e do Conselho e a Decisão 2010/261/UE da Comissão (JO L 312 de 7.12.2018, p. 56).
(7) Regulamento (UE) n.o 1053/2013 do Conselho, de 7 de outubro de 2013, que cria um mecanismo de avaliação e de monitorização para verificar a aplicação do acervo de Schengen e que revoga a Decisão do Comité Executivo, de 16 de setembro de 1998, relativa à criação de uma comissão permanente de avaliação e de aplicação de Schengen (JO L 295 de 6.11.2013, p. 27).
(8) Regulamento (UE) 2019/452 do Parlamento Europeu e do Conselho, de 19 de março de 2019, que estabelece um regime de análise dos investimentos diretos estrangeiros na União (JO L 79 I de 21.3.2019, p. 1).
(9) Regulamento (UE) 2017/1939 do Conselho, de 12 de outubro de 2017, que dá execução a uma cooperação reforçada para a instituição da Procuradoria Europeia (JO L 283 de 31.10.2017, p. 1).
(10) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).
(11) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).
(12) Diretiva (UE) 2015/849 do Parlamento Europeu e do Conselho, de 20 de maio de 2015, relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais ou de financiamento do terrorismo, que altera o Regulamento (UE) n.o 648/2012 do Parlamento Europeu e do Conselho, e que revoga a Diretiva 2005/60/CE do Parlamento Europeu e do Conselho e a Diretiva 2006/70/CE da Comissão (JO L 141 de 5.6.2015, p. 73).
(13) Regulamento (UE) 2021/784 do Parlamento Europeu e do Conselho, de 29 de abril de 2021, relativo ao combate à difusão de conteúdos terroristas em linha (JO L 172 de 17.5.2021, p. 79).
(14) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).