ACORDO ENTRE A UNIÃO EUROPEIA, POR UM LADO, E A NOVA ZELÂNDIA, POR OUTRO, SOBRE O INTERCÂMBIO DE DADOS PESSOAIS ENTRE A AGÊNCIA DA UNIÃO EUROPEIA PARA A COOPERAÇÃO POLICIAL (EUROPOL) E AS AUTORIDADES NEOZELANDESAS COMPETENTES EM MATÉRIA DE LUTA CONTRA A CRIMINALIDADE GRAVE E O TERRORISMO
A UNIÃO EUROPEIA, a seguir também designada «União» ou «UE»,
e
A NOVA ZELÂNDIA,
a seguir conjuntamente designadas «Partes Contratantes»,
CONSIDERANDO que ao permitir o intercâmbio de dados pessoais entre a Agência da União Europeia para a Cooperação Policial (Europol) e as autoridades competentes da Nova Zelândia o presente Acordo criará o quadro para uma cooperação operacional reforçada entre a União e a Nova Zelândia no domínio da aplicação da lei, salvaguardando simultaneamente os direitos humanos e as liberdades fundamentais de todas as pessoas em causa, nomeadamente o direito à privacidade e à proteção de dados,
CONSIDERANDO que o presente Acordo não prejudica as disposições de auxílio judiciário mútuo entre a Nova Zelândia e os Estados-Membros da União que permitem o intercâmbio de dados pessoais,
CONSIDERANDO que o presente Acordo não impõe às autoridades competentes qualquer obrigação de transferência de dados pessoais e que a partilha dos dados pessoais solicitados ao abrigo do presente Acordo permanece voluntária,
RECONHECENDO que as Partes Contratantes aplicam princípios comparáveis de proporcionalidade e razoabilidade; a essência comum desses princípios é a necessidade de assegurar um justo equilíbrio entre todos os interesses em causa, tanto públicos como privados, à luz de todas as circunstâncias do caso em apreço. Tal equilíbrio envolve, por um lado, o direito à privacidade das pessoas, juntamente com outros direitos humanos e interesses, e, por outro, os objetivos legítimos que possam ser prosseguidos, como as finalidades do tratamento de dados pessoais previstas no presente Acordo,
ACORDARAM NO SEGUINTE:
CAPÍTULO I
DISPOSIÇÕES GERAIS
ARTIGO 1.o
Objetivo
O objetivo do presente Acordo é permitir a transferência de dados pessoais entre a Agência da União Europeia para a Cooperação Policial (Europol) e as autoridades neozelandesas competentes, a fim de apoiar e reforçar a ação das autoridades dos Estados-Membros da União e das da Nova Zelândia, bem como a sua cooperação mútua em matéria de prevenção e luta contra as infrações penais, incluindo a criminalidade grave e o terrorismo, assegurando simultaneamente garantias adequadas em relação aos direitos humanos e às liberdades fundamentais das pessoas, nomeadamente o direito à privacidade e à proteção de dados.
ARTIGO 2.o
Definições
Para efeitos do presente Acordo, entende-se por:
|
1) |
«Partes Contratantes»: a União Europeia e a Nova Zelândia; |
|
2) |
«Europol»: a Agência da União Europeia para a Cooperação Policial, criada pelo Regulamento (UE) 2016/794 (1) ou qualquer alteração do mesmo («Regulamento da Europol»); |
|
3) |
«Autoridades competentes»: no caso da Nova Zelândia, as autoridades policiais nacionais que, nos termos do direito nacional neozelandês, são responsáveis por prevenir e combater as infrações penais enumeradas no anexo II («autoridades neozelandesas competentes») e, no caso da União, a Europol; |
|
4) |
«Organismos da União»: as instituições, organismos, missões, serviços e agências criados pelo Tratado da União Europeia («TUE») ou pelo Tratado sobre o Funcionamento da União Europeia («TFUE») ou com base nesses Tratados, enumerados no anexo III; |
|
5) |
«Infrações penais»: os tipos de crimes enumerados no anexo I e as infrações penais conexas. Consideram-se infrações penais conexas as ligadas aos tipos de crimes enumerados no anexo I que forem cometidas a fim de obter os meios para perpetrar tais tipos de crimes, para os facilitar ou perpetrar ou para assegurar a impunidade dos seus autores; |
|
6) |
«Dados pessoais»: as informações relativas a um titular de dados; |
|
7) |
«Titular dos dados»: uma pessoa singular identificada ou identificável, entendendo-se por pessoa identificável uma pessoa que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como, por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa; |
|
8) |
«Dados genéticos»: todos os dados pessoais, relacionados com as características genéticas de uma pessoa que são hereditárias ou adquiridas, que dão informações unívocas sobre a fisiologia ou a saúde dessa pessoa, resultantes em especial da análise de uma amostra biológica proveniente da pessoa em causa; |
|
9) |
«Tratamento»: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, com ou sem meios automatizados, designadamente a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a extração, a consulta, a utilização, a divulgação através de transmissão, a difusão ou qualquer outra forma de disponibilização, a comparação ou combinação, a restrição, o apagamento ou a destruição; |
|
10) |
«Violação de dados pessoais»: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a dados pessoais que tenham sido transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento; |
|
11) |
«Autoridade de controlo»: uma ou mais autoridades nacionais independentes que são, individual ou cumulativamente, responsáveis pela proteção de dados em conformidade com o artigo 16.o e que foram notificadas nos termos desse artigo; pode tratar-se de autoridades cuja responsabilidade abranja igualmente outros direitos humanos; |
|
12) |
«Organização internacional»: uma organização e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza. |
ARTIGO 3.o
Finalidades do tratamento de dados pessoais
1. O tratamento dos dados pessoais solicitados e recebidos nos termos do presente Acordo é feito apenas para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, sob reserva dos limites estabelecidos no artigo 4.o, n.o 5, e dos mandatos respetivos das autoridades competentes.
2. As autoridades competentes indicam claramente, o mais tardar no momento da transferência dos dados pessoais, a ou as finalidades específicas para as quais os dados são transferidos. No caso de transferências para a Europol, a ou as finalidades dessa transferência são especificadas em consonância com a ou as finalidades específicas de tratamento estabelecidas no mandato da Europol.
CAPÍTULO II
INTERCÂMBIO DE INFORMAÇÕES E PROTEÇÃO DE DADOS
ARTIGO 4.o
Princípios gerais em matéria de proteção de dados
1. Cada Parte Contratante assegura que os dados pessoais trocados nos termos do presente Acordo sejam:
|
a) |
Objeto de um tratamento justo, lícito e apenas para a ou as finalidades para que tenham sido transferidos, em conformidade com o artigo 3.o; |
|
b) |
Adequados, pertinentes e limitados ao que é necessário relativamente à ou às finalidades para as quais são tratados; |
|
c) |
Exatos e atualizados; cada uma das Partes Contratantes assegura que as autoridades competentes adotam todas as medidas razoáveis para garantir que os dados pessoais inexatos, tendo em conta as finalidades para as quais são tratados, sejam retificados ou apagados sem demora injustificada; |
|
d) |
Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período necessário para a prossecução das finalidades para as quais são tratados; |
|
e) |
Tratados de uma forma que garanta a segurança adequada dos mesmos. |
2. A autoridade competente que procede à transferência pode indicar, no momento da transferência dos dados pessoais, qualquer restrição ao seu acesso ou à sua utilização, em termos gerais ou específicos, incluindo no que se refere à sua transferência posterior, apagamento ou destruição após um determinado período, ou ao seu tratamento posterior. Sempre que a necessidade dessas restrições se torne evidente após a transferência da informação, a autoridade competente que procede à transferência informa do facto a autoridade destinatária.
3. Cada uma das Partes Contratantes assegura que a autoridade competente destinatária respeita qualquer restrição ao acesso ou utilização posterior dos dados pessoais indicada pela autoridade competente que procedeu à transferência, conforme descrito no n.o 2.
4. Cada uma das Partes Contratantes assegura que as suas autoridades competentes aplicam medidas técnicas e organizativas apropriadas de forma a poder demonstrar a conformidade do tratamento com o presente Acordo e a proteção dos direitos dos titulares dos dados em questão.
5. Cada uma das Partes Contratantes assegura que as suas autoridades competentes não transferem dados pessoais que tenham sido obtidos em manifesta violação dos direitos humanos reconhecidos pelas normas de direito internacional que vinculam as referidas Partes. Cada uma das Partes Contratantes assegura que os dados pessoais recebidos não são utilizados para requerer, aplicar ou executar uma pena de morte ou qualquer forma de tratamento cruel ou desumano.
6. Cada uma das Partes Contratantes assegura a conservação de um registo de todas as transferências de dados pessoais nos termos do presente Acordo, bem como da ou das respetivas finalidades.
ARTIGO 5.o
Categorias especiais de dados pessoais e categorias diferentes de titulares dos dados
1. A transferência de dados pessoais relativos a vítimas de uma infração penal, testemunhas ou outras pessoas que possam fornecer informações sobre infrações penais ou relativos a menores de 18 anos é proibida, exceto se tal transferência for estritamente necessária, bem como razoável e proporcionada em casos concretos para prevenir ou combater infrações penais.
2. A transferência de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou à orientação sexual só é permitida se for estritamente necessária, bem como razoável e proporcionada em casos concretos para prevenir ou combater infrações penais e se esses dados, exceto os dados biométricos, complementarem outros dados pessoais.
3. As Partes Contratantes asseguram que o tratamento dos dados pessoais nos termos dos n.os 1 e 2 do presente artigo está sujeito a garantias adequadas contra os riscos específicos envolvidos, incluindo restrições de acesso, medidas para a segurança dos dados na aceção do artigo 15.o e limitações nas transferências posteriores nos termos do artigo 7.o.
ARTIGO 6.o
Tratamento automatizado de dados pessoais
São proibidas as decisões baseadas exclusivamente no tratamento automatizado dos dados pessoais objeto de intercâmbio, incluindo a definição de perfis, sem intervenção humana, que possam produzir efeitos jurídicos adversos para o titular dos dados ou que o afetem de forma significativa, salvo se forem autorizadas por lei para a prevenção e luta contra infrações penais e forem acompanhadas de garantias adequadas para proteger os direitos e as liberdades do titular dos dados, incluindo pelo menos o direito de obter uma intervenção humana.
ARTIGO 7.o
Transferência posterior dos dados pessoais recebidos
1. A Nova Zelândia assegura que as suas autoridades competentes só transferem para outras autoridades neozelandesas dados pessoais recebidos nos termos do presente Acordo se:
|
a) |
A Europol tiver dado previamente a sua autorização expressa; |
|
b) |
A ou as finalidades da transferência posterior forem as mesmas que a ou as finalidades iniciais da transferência pela Europol ou, dentro dos limites do artigo 3.o, n.o 1, estiverem diretamente relacionadas com essa ou essas finalidades iniciais; |
|
c) |
A transferência posterior estiver sujeita às mesmas condições e garantias que as aplicáveis à transferência inicial. Sem prejuízo do disposto no artigo 4.o, n.o 2, não é necessária autorização prévia se a autoridade destinatária for uma autoridade neozelandesa competente. O mesmo se aplica à capacidade da Europol de partilhar dados pessoais com autoridades dos Estados-Membros da União responsáveis pela prevenção e luta contra as infrações penais e com organismos da União. |
2. A Nova Zelândia assegura que são proibidas as transferências posteriores de dados pessoais recebidos pelas suas autoridades competentes nos termos do presente Acordo para as autoridades de um país terceiro ou para uma organização internacional, salvo se estiverem reunidas as seguintes condições:
|
a) |
A transferência disser respeito a dados pessoais que não os abrangidos pelo artigo 5.o; |
|
b) |
A Europol tiver dado previamente a sua autorização expressa; |
|
c) |
A ou as finalidades da transferência posterior forem as mesmas que a ou as finalidades iniciais da transferência pela Europol; |
|
d) |
A transferência posterior estiver sujeita às mesmas condições e garantias que as aplicáveis à transferência inicial. |
3. A Europol só pode conceder a sua autorização nos termos do n.o 2, alínea b), do presente artigo para uma transferência posterior para a autoridade de um país terceiro ou para uma organização internacional se e na medida em que estiver em vigor uma decisão de adequação, um acordo internacional que preveja garantias adequadas em matéria de proteção do direito à privacidade e dos direitos e liberdades fundamentais das pessoas, um acordo de cooperação ou qualquer outra base legal para transferências de dados na aceção do Regulamento da Europol que reja a transferência posterior.
4. A União assegura que são proibidas as transferências posteriores de dados pessoais recebidos pela Europol nos termos do presente Acordo para os organismos da União não enumerados no anexo III, para as autoridades de um país terceiro ou para uma organização internacional, salvo se:
|
a) |
A transferência disser respeito a dados pessoais que não os abrangidos pelo artigo 5.o; |
|
b) |
A Nova Zelândia tiver dado previamente a sua autorização expressa; |
|
c) |
A ou as finalidades da transferência posterior forem as mesmas que a ou as finalidades iniciais da transferência pela Nova Zelândia; |
|
d) |
Estiver em vigor com esse país terceiro ou organização internacional uma decisão de adequação, um acordo internacional que preveja garantias adequadas em matéria de proteção do direito à privacidade e dos direitos e liberdades fundamentais das pessoas ou um acordo de cooperação na aceção do Regulamento da Europol ou salvo se a Europol puder fazer-se valer de qualquer outra base legal para transferências de dados pessoais na aceção do Regulamento Europol. |
ARTIGO 8.o
Avaliação da fiabilidade da fonte e exatidão das informações
1. As autoridades competentes indicam, tanto quanto possível, o mais tardar no momento da transferência dos dados pessoais, a fiabilidade da fonte das informações com base num ou mais dos seguintes critérios:
|
a) |
Quando não há dúvidas quanto à autenticidade, à credibilidade e à competência da fonte ou quando as informações são fornecidas por uma fonte que, no passado, tenha provado ser fiável em todos os casos; |
|
b) |
Quando as informações são fornecidas por uma fonte da qual as informações recebidas provaram ser fiáveis na maioria dos casos; |
|
c) |
Quando as informações são fornecidas por uma fonte da qual as informações recebidas provaram não ser fiáveis na maioria dos casos; |
|
d) |
Quando as informações são fornecidas por uma fonte cuja fiabilidade não pode ser avaliada. |
2. As autoridades competentes indicam, tanto quanto possível, o mais tardar no momento da transferência dos dados pessoais, a exatidão das informações com base num ou mais dos seguintes critérios:
|
a) |
Informações cuja exatidão não suscite dúvidas no momento da transferência; |
|
b) |
Informações conhecidas pessoalmente pela fonte, mas não conhecidas pessoalmente pelo agente que as transmite; |
|
c) |
Informações não conhecidas pessoalmente pela fonte, mas corroboradas por outras informações já registadas; |
|
d) |
Informações não conhecidas pessoalmente pela fonte e que não podem ser corroboradas. |
3. Se a autoridade competente destinatária, com base nas informações já na sua posse, chegar à conclusão de que é necessário corrigir a avaliação das informações fornecidas pela autoridade competente que procede à transferência, ou da sua fonte, realizada em conformidade com os n.os 1 e 2, informa essa autoridade competente e procura chegar a acordo para alterar essa avaliação. A autoridade competente destinatária não modifica a avaliação das informações recebidas ou da respetiva fonte sem obter esse acordo.
4. Se uma autoridade competente receber informações sem uma avaliação, procura, na medida do possível e, se possível, em acordo com a autoridade competente que procedeu à transferência, avaliar a fiabilidade da fonte ou a exatidão das informações com base nas informações já na sua posse.
5. Se não for possível efetuar uma avaliação fiável, as informações devem ser avaliadas em conformidade com o n.o 1, alínea d), e com o n.o 2, alínea d), conforme aplicável.
DIREITOS DOS TITULARES DOS DADOS
ARTIGO 9.o
Direito de acesso
1. As Partes Contratantes asseguram que o titular dos dados tem o direito de obter informações, a intervalos regulares, sobre se os dados pessoais que lhe dizem respeito são tratados nos termos do presente Acordo e, se for o caso, de aceder pelo menos às seguintes informações:
|
a) |
A confirmação de que foram ou não tratados dados que lhe digam respeito; |
|
b) |
Pelo menos, a finalidade ou as finalidades a que se destina o tratamento, as categorias de dados envolvidas e, se aplicável, os destinatários ou categorias de destinatários a quem são divulgados os dados; |
|
c) |
A existência do direito de solicitar à autoridade competente a retificação/correção, o apagamento/eliminação dos dados pessoais ou a restrição do tratamento dos dados pessoais que dizem respeito ao titular dos dados; |
|
d) |
Indicação da base legal para o tratamento; |
|
e) |
Se for possível, o prazo previsto de conservação dos dados pessoais ou, não sendo isso possível, os critérios utilizados para fixar esse prazo; |
|
f) |
A comunicação, sob forma inteligível, dos dados pessoais sujeitos a tratamento e de quaisquer informações disponíveis sobre a sua origem. |
2. Nos casos em que seja exercido o direito de acesso, a Parte Contratante que procede à transferência será consultada de forma não vinculativa antes de ser tomada uma decisão final sobre o pedido de acesso.
3. As Partes Contratantes podem prever que a prestação de informações em resposta a qualquer pedido nos termos do n.o 1 seja adiada, recusada ou restringida se e enquanto tal adiamento, recusa ou restrição constituir uma medida necessária, razoável e proporcionada, tendo em conta os direitos fundamentais e os interesses do titular dos dados, a fim de:
|
a) |
Garantir que as investigações criminais e a repressão de infrações penais não sejam prejudicadas; |
|
b) |
Proteger os direitos e liberdades de terceiros, ou |
|
c) |
Proteger a segurança nacional e a ordem pública ou prevenir a criminalidade. |
4. As Partes Contratantes asseguram que a autoridade competente informa por escrito o titular dos dados de qualquer adiamento, recusa ou restrição de acesso e dos motivos para esse adiamento, recusa ou restrição. Esses motivos podem ser omitidos se e enquanto tal prejudicar o objetivo do adiamento, da recusa ou da restrição ao abrigo do n.o 3. A autoridade competente informa o titular dos dados da possibilidade de apresentar uma queixa junto das suas autoridades de controlo, bem como de outras vias de recurso disponíveis previstas no seu regime jurídico.
ARTIGO 10.o
Direito de retificação/correção, apagamento/eliminação e restrição
1. As Partes Contratantes asseguram o direito do titular dos dados de solicitar às autoridades competentes que retifiquem/corrijam dados pessoais inexatos que lhe digam respeito e tenham sido transferidos nos termos do presente Acordo. Tendo em conta a ou as finalidades do tratamento, tal inclui o direito a que os seus dados pessoais incompletos transferidos ao abrigo do presente Acordo sejam completados.
2. A retificação/correção inclui o apagamento/eliminação de dados pessoais que já não sejam necessários para a ou as finalidades para as quais são tratados.
3. As Partes Contratantes podem prever a restrição do tratamento em vez do apagamento/eliminação de dados pessoais se existirem motivos razoáveis para considerar que esse apagamento/eliminação é suscetível de prejudicar os interesses legítimos do seu titular.
4. As autoridades competentes informam-se mutuamente das medidas tomadas nos termos dos n.os 1, 2 e 3. A autoridade competente destinatária deve retificar/corrigir, apagar ou restringir o tratamento de acordo com as medidas adotadas pela autoridade competente que procede à transferência.
5. As Partes Contratantes asseguram que a autoridade competente que recebeu o pedido informe o titular dos dados por escrito, sem demora injustificada e, em qualquer caso, no prazo de três meses a contar da receção de um pedido nos termos dos n.os 1 ou 2, de que os dados que lhe dizem respeito foram retificados/corrigidos ou apagados/eliminados ou o seu tratamento foi restringido.
6. As Partes Contratantes asseguram que a autoridade competente que recebeu o pedido informe o titular dos dados por escrito, sem demora injustificada e, em qualquer caso, no prazo de três meses a contar da receção de um pedido, de qualquer recusa de retificação/correção, apagamento/eliminação ou restrição do tratamento, dos motivos dessa recusa e da possibilidade de apresentar uma queixa junto das suas autoridades de controlo, bem como de outras vias de recurso disponíveis previstas no seu regime jurídico.
ARTIGO 11.o
Notificação de violações de dados pessoais às autoridades em causa
1. As Partes Contratantes asseguram que, em caso de violação de dados pessoais que afete os dados pessoais transferidos nos termos do presente Acordo, as respetivas autoridades competentes se notificam reciprocamente e notificam a respetiva autoridade de controlo sem demora dessa violação de dados pessoais e adotam medidas para atenuar os seus eventuais efeitos negativos.
2. A notificação deve, pelo menos:
|
a) |
Descrever a natureza da violação dos dados pessoais, incluindo, se possível, as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados pessoais em causa; |
|
b) |
Descrever as consequências prováveis da violação dos dados pessoais; |
|
c) |
Descrever as medidas adotadas ou propostas pela autoridade competente para dar resposta à violação de dados pessoais, incluindo as medidas adotadas para atenuar os seus eventuais efeitos negativos. |
3. Se não for possível fornecer todas as informações exigidas ao mesmo tempo, estas podem ser fornecidas por fases. As informações pendentes devem ser fornecidas sem demora injustificada.
4. As Partes Contratantes asseguram que as respetivas autoridades competentes documentam quaisquer violações de dados pessoais que afetem os dados pessoais transferidos nos termos do presente Acordo, incluindo os factos relacionados essas violações, os respetivos efeitos e a medida de reparação adotada, permitindo assim que a respetiva autoridade de controlo verifique o cumprimento dos requisitos legais aplicáveis.
ARTIGO 12.o
Comunicação de uma violação de dados pessoais ao titular dos dados
1. As Partes Contratantes asseguram que, se a violação de dados pessoais a que se refere o artigo 11.o for suscetível de afetar gravemente os direitos e liberdades do titular dos dados, as respetivas autoridades competentes comunicam a violação de dados pessoais ao titular dos dados sem demora injustificada.
2. A comunicação ao titular dos dados nos termos do no n.o 1 descreve, se possível, a natureza da violação dos dados pessoais, recomenda medidas para atenuar os seus eventuais efeitos adversos e indica o nome e os dados de contacto do ponto de contacto junto do qual podem ser obtidas informações adicionais.
3. A comunicação ao titular dos dados nos termos do n.o 1 não é exigida se:
|
a) |
Aos dados pessoais afetados pela violação tiverem sido aplicadas medidas tecnológicas de proteção adequadas que tornem os dados incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a esses dados; |
|
b) |
Tiverem sido tomadas medidas subsequentes que assegurem que os direitos e liberdades dos titulares dos dados já não são suscetíveis de ser gravemente afetados; ou |
|
c) |
A comunicação ao titular dos dados nos termos do n.o 1 implicar um esforço desproporcionado, especialmente devido ao número de casos envolvidos. Nesse caso, deve ser feita uma comunicação pública ou tomada uma medida semelhante através da qual o titular dos dados seja informado de forma igualmente eficaz. |
4. A comunicação ao titular dos dados nos termos do n.o 1 pode ser adiada, restringida ou omitida se for suscetível de:
|
a) |
Prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais; |
|
b) |
Prejudicar a prevenção, a deteção, a investigação e a repressão de infrações penais ou a execução de sanções penais, a ordem pública ou a segurança nacional; |
|
c) |
Afetar os direitos e liberdades de terceiros; sempre que tal constitua uma medida necessária, razoável e proporcionada, tendo devidamente em conta os interesses legítimos do titular dos dados em causa. |
ARTIGO 13.o
Conservação, reexame, correção e apagamento de dados pessoais
1. As Partes Contratantes preveem o estabelecimento de prazos adequados para a conservação dos dados pessoais recebidos nos termos do presente Acordo ou para um reexame periódico da necessidade de conservação dos dados pessoais, de modo que não sejam conservados por mais tempo do que o necessário para a ou as finalidades para as quais são transferidos.
2. Em qualquer caso, a necessidade de os dados pessoais serem conservados por mais tempo deve ser reexaminada o mais tardar três anos após a sua transferência, e, se não for tomada uma decisão sobre o prolongamento da conservação dos dados pessoais, estes devem ser automaticamente apagados após três anos.
3. Se uma autoridade competente tiver motivos para crer que os dados pessoais por ela transferidos anteriormente estão incorretos, inexatos ou desatualizados ou não deveriam ter sido transferidos, informa a autoridade competente destinatária, devendo esta corrigir ou apagar esses dados e notificar esse facto à autoridade competente que procedeu à transferência.
4. Se uma autoridade competente tiver motivos para crer que os dados pessoais por ela recebidos anteriormente estão incorretos, inexatos ou desatualizados ou não deveriam ter sido transferidos, informa a autoridade competente que procedeu à transferência, que se pronuncia sobre o assunto. Se a autoridade competente que procedeu à transferência concluir que os dados pessoais estão incorretos, inexatos ou desatualizados ou não deveriam ter sido transferidos, informa a autoridade competente destinatária, devendo esta corrigir ou apagar esses dados e notificar esse facto à autoridade competente que procedeu à transferência.
ARTIGO 14.o
Registo e documentação
1. As Partes Contratantes asseguram a conservação de registos e documentação da recolha, alteração, acesso, divulgação, incluindo transferências posteriores, combinação e apagamento de dados pessoais.
2. Os registos ou documentação referidos no n.o 1 devem ser disponibilizados à respetiva autoridade de controlo, a seu pedido, para efeitos de verificação da licitude do tratamento, do autocontrolo e da garantia da integridade e segurança dos dados.
ARTIGO 15.o
Segurança dos dados
1. As Partes Contratantes asseguram a aplicação de medidas técnicas e organizativas para proteger os dados pessoais objeto de intercâmbio nos termos do presente Acordo.
2. No que diz respeito ao tratamento automatizado, as Partes Contratantes asseguram a aplicação de medidas destinadas a:
|
a) |
Impedir que pessoas não autorizadas tenham acesso ao equipamento utilizado para o tratamento de dados (controlo do acesso ao equipamento); |
|
b) |
Impedir que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados); |
|
c) |
Impedir a introdução não autorizada de dados pessoais, bem como qualquer inspeção, alteração ou apagamento não autorizados de dados pessoais conservados (controlo da conservação); |
|
d) |
Impedir que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas através de equipamentos de comunicação de dados (controlo da utilização); |
|
e) |
Garantir que as pessoas autorizadas a utilizar um sistema de tratamento automatizado apenas tenham acesso aos dados pessoais abrangidos pela sua autorização de acesso (controlo do acesso aos dados); |
|
f) |
Garantir a possibilidade de verificar e determinar quais as entidades às quais possam ser ou tenham sido transmitidos dados pessoais utilizando os equipamentos de comunicação de dados (controlo da comunicação); |
|
g) |
Garantir a possibilidade de verificar e determinar quais os dados pessoais introduzidos nos sistemas de tratamento automatizado, o momento da introdução e a pessoa que os introduziu (controlo da introdução dos dados); |
|
h) |
Garantir a possibilidade de verificar e determinar quais os dados pessoais consultados, por qual dos membros do pessoal e a que horas (registo de acesso ao sistema); |
|
i) |
Impedir que, durante a transferência dos dados pessoais ou o transporte de suportes de dados, os dados pessoais possam ser lidos, copiados, alterados ou apagados sem autorização (controlo do transporte dos dados); |
|
j) |
Garantir a possibilidade de os sistemas instalados serem imediatamente reparados em caso de avaria (restabelecimento); |
|
k) |
Garantir que as funções do sistema sejam executadas em perfeitas condições, que as falhas de funcionamento sejam imediatamente assinaladas (fiabilidade) e que os dados conservados não sejam falseados devido ao funcionamento defeituoso do sistema (integridade). |
ARTIGO 16.o
Autoridade de controlo
1. Cada uma das Partes Contratantes assegura que uma autoridade pública independente responsável pela proteção de dados (autoridade de controlo) supervisione as questões que afetam o direito à privacidade das pessoas, incluindo as regras nacionais pertinentes no âmbito do presente Acordo, a fim de proteger os direitos e as liberdades fundamentais das pessoas singulares em relação ao tratamento de dados pessoais. As Partes Contratantes notificam-se mutuamente dautoridade que cada uma delas considere como autoridade de controlo.
2. As Partes Contratantes asseguram que cada autoridade de controlo:
|
a) |
Age com total independência no exercício das suas funções e das suas competências, sem estar sujeita a influências externas e sem solicitar nem receber instruções. Os seus membros beneficiam de inamovibilidade até ao termo do mandato, incluindo garantias contra a destituição arbitrária; |
|
b) |
Dispõe dos recursos humanos, técnicos e financeiros, bem como das instalações e infraestruturas, necessários ao exercício efetivo das suas funções e das suas competências; |
|
c) |
Dispõe de competências efetivas de investigação e de intervenção para exercer a supervisão dos organismos que controla e para intervir em processos judiciais; |
|
d) |
Tem competências para receber queixas de particulares sobre a utilização dos seus dados pessoais por parte das autoridades competentes sob a sua supervisão. |
ARTIGO 17.o
Vias de recurso administrativo e judicial
Os titulares dos dados gozam do direito a vias efetivas de recurso administrativo e judicial por violação dos direitos e garantias reconhecidos no presente Acordo em consequência do tratamento dos seus dados pessoais. As Partes Contratantes notificam-se mutuamente da legislação nacional que cada uma delas considere proporcionar os direitos garantidos ao abrigo do presente artigo.
CAPÍTULO III
LITÍGIOS
ARTIGO 18.o
Resolução de litígios
Os litígios decorrentes da interpretação, aplicação ou execução do presente Acordo e quaisquer questões conexas dão lugar a consultas e negociações entre os representantes das Partes Contratantes com o objetivo de encontrar uma solução de comum acordo.
ARTIGO 19.o
Cláusula de suspensão
1. Em caso de violação relevante ou de incumprimento das obrigações decorrentes do presente Acordo, qualquer uma das Partes Contratantes pode suspendê-lo temporariamente, em parte ou no todo, mediante notificação escrita à outra Parte Contratante por via diplomática. A referida notificação escrita só deve ser efetuada depois de as Partes Contratantes terem procedido a consultas durante um período de tempo razoável e não terem conseguido encontrar uma solução. A suspensão produz efeitos 20 dias após a data de receção da notificação. A suspensão pode ser levantada pela Parte Contratante que suspendeu a aplicação do Acordo mediante notificação escrita à outra Parte Contratante. A suspensão é levantada imediatamente após a receção dessa notificação.
2. Não obstante a eventual suspensão do presente Acordo, os dados pessoais abrangidos pelo seu âmbito de aplicação e transferidos antes da suspensão do presente Acordo continuam a ser tratados em conformidade com o presente Acordo.
ARTIGO 20.o
Denúncia
1. O presente Acordo pode ser denunciado em qualquer momento por qualquer uma das Partes Contratantes, mediante notificação escrita por via diplomática, com três meses de antecedência.
2. Os dados pessoais abrangidos pelo âmbito de aplicação do presente Acordo e transferidos antes da denúncia do presente Acordo continuam a ser tratados em conformidade com o presente Acordo à data da denúncia.
3. Em caso de denúncia do presente Acordo, as Partes Contratantes devem chegar a acordo sobre a continuidade da utilização e conservação das informações que já tenham sido comunicadas entre si.
CAPÍTULO IV
DISPOSIÇÕES FINAIS
ARTIGO 21.o
Articulação com outros instrumentos internacionais
1. O presente Acordo não prejudica nem afeta, de qualquer outra forma, as disposições jurídicas relativas ao intercâmbio de informações previstas por qualquer tratado de auxílio judiciário mútuo, por qualquer outro acordo ou convénio de cooperação ou relação de trabalho no domínio da aplicação da lei para o intercâmbio de informações entre a Nova Zelândia e qualquer Estado-Membro da União.
2. O presente Acordo deve ser complementado pelo convénio de ordem prática que estabelece relações de cooperação entre a polícia neozelandesa e a Agência da União Europeia para a Cooperação Policial.
ARTIGO 22.o
Convénio administrativo de aplicação
As modalidades da cooperação entre as Partes Contratantes para efeitos da aplicação do presente Acordo são objeto de um convénio administrativo de aplicação celebrado entre a Europol e as autoridades neozelandesas competentes, nos termos do Regulamento da Europol.
ARTIGO 23.o
Convénio administrativo em matéria de confidencialidade
Se necessário nos termos do presente Acordo, o intercâmbio de informações classificadas da UE é regido por um convénio administrativo em matéria de confidencialidade celebrado entre a Europol e as autoridades competentes da Nova Zelândia.
ARTIGO 24.o
Ponto de contacto nacional e agentes de ligação
1. A Nova Zelândia deve designar um ponto de contacto nacional que servirá de ponto de contacto central entre a Europol e as autoridades neozelandesas competentes. As funções específicas do ponto de contacto nacional são enumeradas no convénio administrativo de aplicação referido no artigo 22.o. O ponto de contacto nacional designado para a Nova Zelândia é indicado no anexo IV.
2. A Europol e a Nova Zelândia devem reforçar a sua cooperação nos termos do presente Acordo, através do destacamento de um ou mais agentes de ligação por parte da Nova Zelândia. A Europol pode destacar um ou mais agentes de ligação para a Nova Zelândia.
ARTIGO 25.o
Despesas
As Partes Contratantes devem assegurar que as autoridades competentes suportam as suas próprias despesas decorrentes da execução do presente Acordo, salvo se estipulado em contrário no presente Acordo ou no convénio administrativo de aplicação referido no artigo 22.o.
ARTIGO 26.o
Notificação da implementação
1. Cada uma das Partes Contratantes assegura que as autoridades competentes tornam público um documento que estabeleça de forma inteligível as disposições relativas ao tratamento dos dados pessoais transferidos nos termos do presente Acordo, incluindo os meios à disposição dos titulares dos dados para o exercício dos seus direitos. Cada uma das Partes Contratantes assegura que uma cópia desse documento seja notificada à outra Parte Contratante.
2. As autoridades competentes adotam, caso ainda não existam, regras que especifiquem a forma como é garantida na prática a conformidade com as disposições relativas ao tratamento de dados pessoais transferidos no âmbito do resente Acordo. É notificada uma cópia dessas regras à outra Parte Contratante e às respetivas autoridades de controlo.
ARTIGO 27.o
Entrada em vigor e aplicação
|
1. |
O presente Acordo é aprovado pelas Partes Contratantes em conformidade com os respetivos procedimentos internos. |
|
2. |
O presente Acordo entra em vigor na data de receção da última notificação escrita em que as Partes Contratantes se notificarem mutuamente, por via diplomática, da conclusão dos procedimentos referidos no n.o 1. |
|
3. |
O presente Acordo é aplicável no primeiro dia após a data em que estiverem preenchidas todas as seguintes condições:
|
ARTIGO 28.o
Alterações e aditamentos
1. O presente Acordo pode, em qualquer momento, ser alterado por escrito mediante consentimento mútuo entre as Partes Contratantes, através de notificação por escrito trocada por via diplomática. As alterações ao presente Acordo entram em vigor de acordo com o procedimento legal previsto no artigo 27.o, n.os 1 e 2.
2. Os anexos do presente Acordo podem ser atualizados, conforme necessário, mediante troca de notas diplomáticas. Essas atualizações entram em vigor em conformidade com o procedimento legal previsto no artigo 27.o, n.os 1 e 2.
3. As Partes Contratantes consultam-se no que respeita à alteração do presente Acordo ou dos seus anexos a pedido de qualquer das Partes Contratantes.
ARTIGO 29.o
Reexame e avaliação
1. As Partes Contratantes reexaminam em conjunto a aplicação do presente Acordo um ano após a sua entrada em vigor e, em seguida, periodicamente, bem como a pedido de qualquer das Partes Contratantes e com base numa decisão conjunta.
2. As Partes Contratantes avaliam conjuntamente o presente Acordo quatro anos após a data da sua aplicação.
3. As Partes Contratantes devem decidir previamente as modalidades do reexame da execução do presente Acordo e comunicar entre si a composição das respetivas equipas. As equipas incluirão peritos especializados em matéria de proteção de dados e de aplicação da lei. Sem prejuízo da legislação aplicável, os participantes no reexame devem respeitar o caráter confidencial dos debates e possuir as autorizações de segurança adequadas. Para efeitos de qualquer reexame, a União e a Nova Zelândia asseguram o acesso à documentação, sistemas e pessoal pertinentes.
ARTIGO 30.o
Aplicação territorial
1. O presente Acordo é aplicável no território em que sejam aplicáveis, e na medida em que o sejam, o TUE e o TFUE e no território da Nova Zelândia.
2. O presente Acordo só se aplica ao território da Dinamarca se a União notificar por escrito a Nova Zelândia de que a Dinamarca decidiu ficar por ele vinculada.
3. Se a União notificar a Nova Zelândia antes da data de aplicação do presente Acordo de que o mesmo se aplica ao território da Dinamarca, o presente Acordo é aplicável no território da Dinamarca no mesmo dia em que for aplicável aos outros Estados-Membros da União.
4. Se a União notificar a Nova Zelândia após a entrada em vigor do presente Acordo de que o mesmo se aplica ao território da Dinamarca, o presente Acordo é aplicável no território da Dinamarca 30 dias após a data dessa notificação.
ARTIGO 31.o
O presente Acordo é redigido em duplo exemplar nas línguas alemã, búlgara, checa, croata, dinamarquesa, eslovaca, eslovena, espanhola, estónia, finlandesa, francesa, grega, húngara, inglesa, irlandesa, italiana, letã, lituana, maltesa, neerlandesa, polaca, portuguesa, romena e sueca, fazendo igualmente fé qualquer dos textos.
EM FÉ DO QUE os plenipotenciários abaixo assinados, devidamente autorizados para o efeito, assinaram o presente Acordo.
Съставено в Брюксел на тридесети юни две хиляди двадесет и втора година.
Hecho en Bruselas, el treinta de junio de dos mil veintidós.
V Bruselu dne třicátého června dva tisíce dvacet dva.
Udfærdiget i Bruxelles den tredivte juni to tusind og toogtyve.
Geschehen zu Brüssel am dreißigsten Juni zweitausendzweiundzwanzig.
Kahe tuhande kahekümne teise aasta juunikuu kolmekümnendal päeval Brüsselis.
Έγινε στις Βρυξέλλες, στις τριάντα Ιουνίου δύο χιλιάδες είκοσι δύο.
Done at Brussels on the thirtieth day of June in the year two thousand and twenty two.
Fait à Bruxelles, le trente juin deux mille vingt-deux.
Arna dhéanamh sa Bhruiséil, an tríochadú lá de Mheitheamh sa bhliain dhá mhíle fiche agus a dó.
Sastavljeno u Bruxellesu tridesetog lipnja godine dvije tisuće dvadeset druge.
Fatto a Bruxelles, addì trenta giugno duemilaventidue.
Briselē, divi tūkstoši divdesmit otrā gada trīsdesmitajā jūnijā.
Priimta du tūkstančiai dvidešimt antrų metų birželio trisdešimtą dieną Briuselyje.
Kelt Brüsszelben, a kétezer-huszonkettedik év június havának harmincadik napján.
Magħmul fi Brussell, fit-tletin jum ta’ Ġunju fis-sena elfejn u tnejn u għoxrin.
Gedaan te Brussel, dertig juni tweeduizend tweeëntwintig.
Sporządzono w Brukseli dnia trzydziestego czerwca roku dwa tysiące dwudziestego drugiego.
Feito em Bruxelas, em trinta de junho de dois mil e vinte e dois.
Întocmit la Bruxelles la treizeci iunie două mii douăzeci și doi.
V Bruseli tridsiateho júna dvetisícdvadsaťdva.
V Bruslju, tridesetega junija dva tisoč dvaindvajset.
Tehty Brysselissä kolmantenakymmenentenä päivänä kesäkuuta vuonna kaksituhattakaksikymmentäkaksi.
Som skedde i Bryssel den trettionde juni år tjugohundratjugotvå.
(1) Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO UE L 135 de 24.5.2016, p. 53).