10.4.2008   

PT

Jornal Oficial da União Europeia

C 89/1


Parecer da Autoridade Europeia para a Protecção de Dados sobre a Iniciativa da República Federal da Alemanha tendo em vista a aprovação da decisão do Conselho relativa à execução da Decisão 2007/…/JAI relativa ao aprofundamento da cooperação transfronteiras, em particular no domínio da luta contra o terrorismo e da criminalidade transfronteiras

(2008/C 89/01)

A AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS,

Tendo em conta o Tratado que institui a Comunidade Europeia, nomeadamente o seu artigo 286.o,

Tendo em conta a Carta dos Direitos Fundamentais da União Europeia, nomeadamente o seu artigo 8.o,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados,

Tendo em conta o Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados, nomeadamente o seu artigo 41.o,

EMITIU O SEGUINTE PARECER:

I.   INTRODUÇÃO

1.

Em 9 de Novembro de 2007, foi publicada no Jornal Oficial a Iniciativa da República Federal da Alemanha tendo em vista a aprovação de uma decisão do Conselho relativa à execução da Decisão 2007/…/JAI relativa ao aprofundamento da cooperação transfronteiras, em particular no domínio da luta contra o terrorismo e da criminalidade transfronteiras (1) («a iniciativa»), a qual é completada por um anexo de 18 de Outubro de 2007 do qual constam as restantes modalidades aplicáveis à Decisão 2007/…/JAI («o anexo») (2).

2.

A AEPD não foi consultada sobre esta iniciativa relativa a uma decisão de execução, pelo que emite o presente parecer por sua própria iniciativa, à semelhança do parecer emitido em 4 de Abril de 2007 sobre uma outra decisão do Conselho (3).

3.

Embora não exista qualquer obrigação jurídica de um Estado-Membro que apresente uma iniciativa relativa a uma medida legislativa no âmbito do Título VI do Tratado UE solicitar o parecer da AEPD, o procedimento também não o impede. Além disso, no seu parecer de 4 de Abril de 2007, a AEPD recomendou que se aditasse uma frase ao artigo 34.o da referida decisão do Conselho, do seguinte teor: «O Conselho consultará a AEPD antes da adopção de tal medida de execução». Infelizmente, essa recomendação não foi seguida, não obstante a lógica que lhe subjaz: as medidas de execução afectarão na maior parte dos casos o tratamento dos dados pessoais. A presente iniciativa da República Federal da Alemanha ilustra claramente essa lógica.

4.

A AEPD não retira qualquer conclusão substantiva desse resultado, que se enquadra na abordagem escolhida pelo Conselho para alterar o mínimo possível a iniciativa, a fim de assegurar a plena compatibilidade com o texto do Tratado de Prüm anteriormente assinado por vários Estados-Membros. A AEPD debruçar-se-á sobre o impacto democrático desta abordagem mais adiante no presente parecer.

II.   CONTEXTO E ENQUADRAMENTO JURÍDICO

5.

O Tratado de Prüm foi assinado por sete Estados-Membros, à margem do quadro do Tratado da UE, em Maio de 2005. Posteriormente, outros Estados-Membros que a ele aderiram.

6.

O Tratado de Prüm é completado por um acordo de execução baseado no seu artigo 44.o e celebrado em 5 de Dezembro de 2006, o qual é necessário para o seu funcionamento.

7.

Os principais elementos do Tratado de Prüm serão incorporados no quadro jurídico da União Europeia, após a adopção da Decisão 2007/…/JAI do Conselho sobre a iniciativa de 15 Estados-Membros («a iniciativa de Prüm»), sobre a qual já se chegara a acordo político no Conselho. Desde o início que as Partes Contratantes no Tratado UE pretendiam essa incorporação, como confirma o preâmbulo do Tratado de Prüm.

8.

Durante o processo legislativo conducente à adopção da decisão do Conselho, o que se pretendia já não era debater questões fundamentais, mas sim chegar a acordo sobre o acervo do Tratado de Prüm, o que era tanto mais importante quanto — na pendência desse processo legislativo — prosseguia em vários Estados-Membros o processo de ratificação do Tratado, que entrou em vigor.

III.   OBJECTO E ENFOQUE DO PRESENTE PARECER

9.

O presente parecer centrar-se-á no projecto de decisão do Conselho sobre as regras de execução. As observações aduzidas no anterior parecer da AEPD sobre a decisão do Conselho relativa à iniciativa de Prüm continuam válidas e não serão repetidas, a menos que seja necessário para realçar as questões que o legislador ainda poderá tratar através das regras de execução.

10.

Neste contexto, é importante salientar que as regras de execução adquirem especial importância, porquanto, para além de determinadas disposições administrativas e técnicas, definem aspectos e instrumentos cruciais do sistema e do seu funcionamento. Por exemplo, o capítulo 1 das regras de execução fixa as definições dos termos utilizados na decisão do Conselho relativa ao Tratado de Prüm. Além disso, as regras de execução estabelecem disposições comuns em matéria de intercâmbio de dados (capítulo 2), definindo depois as características específicas do intercâmbio de dados de ADN (capítulo 3), de dados dactiloscópicos (capítulo 4) e de dados relativos ao registo de veículos (capítulo 5). As disposições finais do capítulo 6 contêm disposições importantes sobre a adopção de regras de execução complementares sob a forma de manual, bem como sobre a avaliação da aplicação da decisão.

11.

Ademais, o anexo será analisado na medida em que contribui, ou deveria contribuir, para definir as características do sistema proposto e as garantias das pessoas em causa.

IV.   OBSERVAÇÕES DE CARÁCTER GERAL

Margem de manobra limitada

12.

A AEPD assinala que também neste caso o facto de já existirem previamente regras de execução em vigor para a Convenção de Prüm parece reduzir fortemente a verdadeira margem de manobra do Conselho. Na verdade, lê-se no considerando 3 e no artigo 18.o da iniciativa que a decisão de execução e o manual se deverão basear no acordo de execução de 5 de Dezembro de 2006 relativo à execução administrativa e técnica do Tratado de Prüm. Por conseguinte, de acordo com a presente iniciativa, os 27 Estados-Membros terão de seguir o caminho já traçado pelos 7 Estados-Membros que assinaram o Tratado de Prüm.

13.

Esta abordagem dificulta o desenvolvimento de um processo legislativo verdadeiramente transparente e democrático, já que reduz consideravelmente a possibilidade de se proceder a um amplo debate e de ter efectivamente em conta o papel legislativo do Parlamento Europeu, bem como o papel consultivo de outras instituições, como a AEPD. Esta autoridade recomenda que se debata abertamente a iniciativa e o seu anexo, tirando eficazmente partido dos contributos de todos os intervenientes institucionais, atendendo ainda ao papel de co-legislador de pleno direito que o Parlamento Europeu desempenhará neste domínio, quando entrar em vigor o Tratado Reformador assinado em Lisboa em 13 de Dezembro.

Quadro jurídico da protecção de dados e relações com o projecto de decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar

14.

O quadro jurídico aplicável em matéria de protecção de dados é complexo e ambíguo. Com efeito, o capítulo 6 da iniciativa de Prüm estabelece algumas garantias e regras específicas sobre a protecção de dados. Todavia, essas regras não são autónomas e, para funcionarem correctamente, têm de se basear num quadro completo e geral em matéria de protecção de dados pessoais tratados pelas autoridades policiais e judiciárias. Actualmente, o artigo 25.o da iniciativa de Prüm remete para a Convenção n.o 108 do Conselho da Europa. Todavia, a AEPD salientou repetidas vezes que é necessário especificar melhor os princípios consagrados nessa Convenção, assegurando desse modo um nível elevado e harmonizado de protecção de dados que seja adequado para garantir os direitos dos cidadãos e a eficácia da aplicação da lei num espaço de liberdade, segurança e justiça (4).

15.

Nesta perspectiva, a Comissão já propôs um instrumento geral em Outubro de 2005, o projecto de decisão-quadro do Conselho relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal («projecto de decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar»). Esta proposta ainda não foi aprovada pelo Conselho, pelo que ainda está a ser analisada, estando sujeita a eventuais alterações, já para não falar do atraso na sua aprovação e aplicação. Todavia, já está patente que esta decisão-quadro, na sua versão actual, só seria aplicável aos dados pessoais trocados com outros Estados-Membros e não ao tratamento de dados a nível nacional (5).

16.

Ademais, o actual texto do projecto de decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar apenas oferece uma harmonização e garantias mínimas, embora tenha por objectivo assegurar um nível elevado de protecção de dados. Significa isso que alguns instrumentos, como é o caso da actual iniciativa, que poderiam ter beneficiado de um amplo quadro geral em matéria de protecção de dados, se defrontam agora com as lacunas deixadas pelo projecto de decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar.

17.

Por isso, a AEPD reitera, por um lado, que as decisões do Conselho relativas a Prüm não devem entrar em vigor enquanto os Estados-Membros não aplicarem uma decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar. Esta condição deveria constar especificamente da iniciativa e ser submetida a uma verificação prévia adequada do correcto funcionamento das garantias em matéria de protecção de dados no âmbito do sistema de intercâmbio de dados. Neste contexto, também é essencial garantir que as relações entre os instrumentos jurídicos sejam clarificadas, a fim de assegurar que a decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar actue como «lex generalis», ao mesmo tempo que permita a aplicabilidade de mais garantias específicas e das normas específicas mais rígidas estabelecidas na iniciativa de Prüm (6).

18.

Por outro lado, o legislador deveria clarificar que as regras específicas em matéria de protecção de dados referentes aos dados de ADN, impressões digitais e registo de veículos que constam do capítulo 6 da iniciativa de Prüm se aplicam não só ao intercâmbio desses dados, mas também à sua recolha, conservação e tratamento a nível nacional, bem como ao fornecimento de outros dados pessoais no âmbito da decisão do Conselho. Esta clarificação estaria em consonância com o n.o 2 do artigo 24.o da iniciativa de Prüm e seria uma consequência lógica da obrigação que impende sobre os Estados-Membros de recolherem, armazenarem e partilharem os referidos tipos de dados.

19.

Isto ainda é mais importante quando se considera que o âmbito de aplicação do projecto de decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar provavelmente não se aplicará ao tratamento de dados pessoais a nível nacional. O Conselho tomou essa decisão mas ao mesmo tempo especificou que essa opção não limita a possibilidade de a base jurídica abranger esse tipo de operações de tratamento de dados. Neste contexto, dado que o actual pacote de iniciativas — que inclui a iniciativa de Prüm e as regras de execução — impõe a obrigação de criar e manter determinadas bases de dados (como a base de dados de ADN), também deveria incluir garantias relativas às operações de tratamento — nomeadamente, à recolha e ao armazenamento de perfis de ADN — decorrentes da recolha e da conservação de dados. Caso contrário, se a sua aplicação se limitasse aos dados intercambiados, esses instrumentos jurídicos não conteriam as disposições adequadas em matéria de protecção de dados pessoais a que deve estar sujeita toda a acção baseada na alínea b) do n.o 1 do artigo 30.o do Tratado UE.

20.

A AEPD apela ao legislador para que assegure, nos termos da alínea b) do n.o 1 do artigo 30.o do Tratado UE, um quadro jurídico completo no tocante à protecção de dados — que combine diferentes instrumentos jurídicos com disposições gerais e garantias específicas — antes da entrada em vigor da actual iniciativa.

21.

No presente parecer, a AEPD aludirá, pois, se oportuno, às questões que não foram (completamente) tratadas pelo projecto de decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar e que devem ser examinadas na aplicação do sistema previsto na actual iniciativa.

Transparência do processo de decisão e das regras de execução

22.

A AEPD salienta que a transparência é um elemento essencial tanto no processo de decisão como na aplicação das regras, pelo que, por um lado, deve permitir uma participação plena e efectiva de todos os intervenientes institucionais pertinentes e, por outro, fomentar o debate público e a informação adequada dos cidadãos.

23.

Infelizmente, neste caso há uma série de circunstâncias que afectam a transparência: não existe qualquer exposição de motivos que explique as razões subjacentes às medidas propostas, a sua eficácia e as eventuais alternativas; o texto do anexo continua incompleto — por exemplo, ainda não foi publicado no Jornal Oficial, não está traduzido em todas as línguas oficiais, as referências ao articulado e à terminologia são amiúde imprecisas e as declarações dos Estados-Membros sobre o conteúdo das bases de dados de ADN não estão disponíveis; a própria iniciativa não prevê obrigações nem mecanismos para informar adequadamente os cidadãos sobre as medidas tomadas e as alterações a essas medidas.

24.

Por isso, a AEPD recomenda que se melhore a transparência das medidas, mediante a apresentação de uma versão definitiva do anexo o mais rapidamente possível e a criação de mecanismos destinados a informar os cidadãos sobre as características dos sistemas, os seus direitos e como exercê-los. As últimas campanhas de informação deveriam figurar explicitamente na iniciativa ou no seu anexo.

Dimensão do sistema

25.

A actual iniciativa reflecte de perto as regras de execução estabelecidas no Tratado de Prüm. Todavia, como já foi referido no parecer sobre a iniciativa de Prüm (§ 33-35), os mecanismos destinados ao intercâmbio de informações entre alguns Estados-Membros não são necessariamente adequados — podendo, pois, precisar de ser adaptados — quando aplicados a um sistema de uma dimensão muito maior, como é o caso do intercâmbio de informações entre 27 Estados-Membros.

26.

Com efeito, a pequena escala favorece contactos estreitos entre os Estados-Membros envolvidos, tanto no que respeita à aplicação da lei como ao controlo dos riscos para a protecção de dados pessoais das pessoas em causa. O mesmo não acontece num sistema maior, em que as práticas nacionais e os sistemas jurídicos divergem muito no que respeita à recolha, à conservação e ao tratamento de dados, especialmente os referentes aos perfis de ADN e às impressões digitais. Além disso, a utilização de línguas diferentes e de diferentes conceitos jurídicos pode afectar a exactidão dos intercâmbios de dados entre países com tradições jurídicas diferentes. Por isso, a AEPD convida o legislador a tomar na devida conta a dimensão do sistema, quando prosseguir o exame da actual iniciativa, velando por que o aumento do número de Estados-Membros participantes não implique uma menor eficácia. Em especial, há que estabelecer nas regras de execução formatos específicos para a comunicação de dados, atendendo igualmente às diferenças linguísticas, e controlar permanentemente a exactidão dos intercâmbios de dados.

Participação das autoridades de protecção de dados

27.

A iniciativa deve reconhecer o importante papel a desempenhar pelas autoridades de controlo independentes no âmbito de intercâmbios transfronteiras de dados em grande escala e colocá-las em condições de exercerem eficazmente as suas funções.

28.

Antes de mais, o actual quadro jurídico não prevê nenhuma consulta nem a participação das autoridades de controlo competentes no que respeita às alterações das regras de execução e dos seus anexos (artigo 18.o da iniciativa), à aplicação das regras aplicáveis à protecção de dados pelos Estados-Membros (artigo 20.o), ou à avaliação do intercâmbio de dados (artigo 21.o). Por exemplo, é particularmente lamentável que o capítulo IV do anexo, que estabelece em pormenor as regras destinadas a avaliar a aplicação, não faça nenhuma referência às autoridades competentes em matéria de protecção de dados. A AEPD recomenda que o papel consultivo essencial desempenhado por essas autoridades seja explicitamente reconhecido nos artigos acima referidos.

29.

Em segundo lugar, a iniciativa deve assegurar que os Estados-Membros facultem às autoridades responsáveis pela protecção de dados os recursos (adicionais) necessários para realizarem as tarefas de controlo decorrentes da aplicação do sistema proposto.

30.

Em terceiro lugar, a iniciativa deve estipular que as autoridades competentes em matéria de protecção de dados se reúnam periodicamente a nível da UE, a fim de coordenarem as suas actividades e harmonizarem a aplicação desses instrumentos. A conveniência dessas reuniões deveria figurar expressamente na iniciativa, na medida em que a decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar não estabelece um fórum mais geral de autoridades de protecção de dados a nível da UE.

V.   QUESTÕES ESPECÍFICAS

Definições

31.

Do artigo 2.o da iniciativa consta uma série de definições, que em parte reflectem as que constam da decisão do Conselho. Em primeiro lugar, há que sublinhar que as definições que constam do artigo 2.o da iniciativa não correspondem exactamente às que figuram na decisão do Conselho, nomeadamente no seu artigo 24.o. O legislador deverá harmonizar a formulação dos dois textos para evitar problemas de aplicação.

32.

Em segundo lugar, já no seu parecer sobre a iniciativa de Prüm, a AEPD lamentou a ausência de uma definição clara de dados pessoais (§ 41-43). Esta ausência ainda é mais lamentável nas regras de execução que são propostas, quando já está claro que o projecto de decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar não será aplicável à recolha e ao tratamento de dados pessoais a nível nacional, nomeadamente aos perfis de ADN. Por conseguinte, a AEPD exorta uma vez mais o legislador a introduzir uma definição clara e inclusiva de dados pessoais.

33.

Nesta perspectiva, as disposições de execução também devem clarificar a aplicabilidade das regras em matéria de protecção de dados aos perfis de ADN não identificados — que ainda não foram atribuídos a uma pessoa identificada. Com efeito, esses dados são recolhidos, trocados e cotejados a fim de serem atribuídos às pessoas a quem pertencem. Por conseguinte, visto que o sistema tem por objectivo identificar essas pessoas e que esses dados em princípio têm de ficar obrigatoriamente «não identificados» também devem ficar abrangidos pela maioria, senão mesmo por todas as disposições e garantias aplicáveis aos dados pessoais (7).

34.

Também no que respeita à definição de «parte não portadora de códigos de ADN» [alínea e) do artigo 2.o], a AEPD recorda uma vez mais (8) que a capacidade de certas zonas dos cromossomas determinarem características hereditárias sensíveis de um organismo pode melhorar com os avanços da ciência. Por isso, a definição de «parte não portadora de códigos de ADN» deveria ser dinâmica, incluindo a obrigação de se deixar de utilizar os marcadores de ADN que, graças à evolução da ciência, possam dar informações sobre determinadas características hereditárias (9).

Exactidão das consultas e comparações automatizadas

35.

O artigo 8.o da iniciativa regula a consulta e comparação automatizadas de perfis de ADN, determinando que a notificação automatizada de uma concordância «só pode ser efectuada se a consulta ou comparação automatizada tiver resultado na concordância de um número mínimo de loci». Esse número está fixado no capítulo I do anexo: cada Estado-Membro deve assegurar que os perfis de ADN disponibilizados contenham pelo menos 6 dos 7 loci padrão da UE (§ 1.1 do capítulo I do anexo); a comparação far-se-á entre os valores dos loci comparados que sejam comuns aos perfis de ADN requerente e solicitado (§ 1.2); haverá concordância se todos os valores dos loci comparados forem idênticos («concordância total» ou se apenas um valor for diferente («concordância aproximada») (§ 1.2); tanto as concordâncias totais como as aproximadas serão comunicadas (§ 1.3).

36.

No que respeita a este mecanismo, a AEPD assinala que a exactidão da concordância é uma condição essencial. Quanto maior for o número de loci que coincidem, menor é a probabilidade de uma falsa concordância entre os perfis de ADN comparados. No actual contexto da União Europeia, a existência e a estrutura das bases de dados de ADN variam de país para país. Nos diferentes países são utilizados números diferentes e conjuntos diferentes de loci. O anexo fixa em 6 o número mínimo de loci para a obtenção de uma concordância, sem dar informações sobre a taxa de erro prevista para este sistema. Em relação a esta questão, a AEPD constata que, em muitos países, se utiliza um número maior de loci para aumentar a exactidão das concordâncias e reduzir as falsas (10). Por isso, para avaliar correctamente o grau de exactidão do sistema previsto, seria essencial que fossem dadas informações sobre a taxa de erro prevista para cada número de loci comparados.

37.

Isto significa também que o número mínimo de loci é um elemento essencial, pelo que deveria figurar no texto da actual iniciativa e não no anexo (que, nos termos do artigo 18.o da iniciativa, pode ser alterado pelo Conselho deliberando por maioria qualificada, sem consulta ao Parlamento), para evitar que uma diminuição do número de loci possa afectar a exactidão. Há que ter na devida conta a possibilidade de erro e de falsas concordâncias, determinando que as concordâncias aproximadas sejam explicitamente comunicadas como tal (e desse modo alertando as autoridades receptoras para o facto de essas concordâncias não serem tão fiáveis como as totais).

38.

Além disso, a própria iniciativa reconhece a possibilidade de as consultas e comparações gerarem múltiplas concordâncias, como consta explicitamente do seu artigo 8.o no que se refere aos perfis de ADN e do capítulo 3 (ponto 1.2) do anexo em relação aos veículos. Em todos esses casos, deveria haver mais controlos e verificações a fim de determinar quais são as razões para uma concordância múltipla e quais dessas concordâncias são exactas, antes de se proceder a ulteriores intercâmbios de dados pessoais com base nessas concordâncias.

39.

Na mesma perspectiva, a AEPD recomenda que haja uma maior sensibilização, em especial dos agentes de aplicação da lei responsáveis por comparações e consultas de ADN, para o facto de os perfis de ADN não serem os únicos identificadores: até mesmo a coincidência total num determinado número de loci não exclui a possibilidade de falsas concordâncias, isto é, a possibilidade de uma pessoa ser erroneamente associada a um perfil de ADN. Com efeito, as comparações e consultas de perfis de ADN são passíveis de erros em diferentes fases: a fraca qualidade das amostras de ADN aquando da recolha, eventuais erros técnicos na análise do ADN, erros na introdução dos dados, ou simplesmente devido à ocorrência de uma concordância casual nos loci específicos considerados na comparação. Quanto ao último ponto, a taxa de erro é provavelmente superior quando o número de loci diminui e quando a base de dados é maior.

40.

Pode-se aplicar o mesmo raciocínio à exactidão da concordância de impressões digitais. O artigo 12.o da iniciativa determina que a digitalização dos dados dactiloscópicos e a respectiva transmissão se efectua de acordo com um formato de dados uniforme especificado no capítulo 2 do anexo da presente decisão. Além disso, cada Estado-Membro deve assegurar-se de que os dados dactiloscópicos que transmite são de qualidade suficiente tendo em vista uma comparação pelo Sistema Automático de Identificação Dactiloscópica (AFIS). O capítulo 2 do anexo dá indicações sobre o formato a utilizar. Neste contexto, a AEPD assinala que, a fim de assegurar a exactidão do processo de concordância, a iniciativa e o seu anexo deveriam harmonizar, tanto quanto possível, os diferentes sistemas automáticos de identificação dactiloscópica utilizados nos Estados-Membros e o modo como são utilizados, especialmente no que respeita à taxa de falsas rejeições. Segundo a AEPD, essa informação deveria constar do Manual criado nos termos do n.o 2 do artigo 18.o da iniciativa.

41.

Outro elemento crucial é o facto de se dever delimitar com precisão as bases de dados de ADN (e impressões digitais), porquanto podem conter, em função dos Estados-Membros, perfis de ADN ou impressões digitais de diferentes tipos de pessoas (criminosos, suspeitos, outras pessoas presentes no lugar do crime, etc.). Apesar dessas diferenças, a actual iniciativa não delimita os tipos de bases de dados que serão utilizadas por cada Estado-Membro e as declarações para o efeito ainda não estão incluídas no anexo. Por isso, podem ocorrer concordâncias entre os dados do ADN e das impressões digitais referentes a categorias não homogéneas, e por vezes não pertinentes, de pessoas em causa.

42.

Segundo a AEPD, a iniciativa deveria especificar os tipos de pessoas em causa que estarão implicadas nos intercâmbios de dados e de que modo a sua diferente situação será comunicada aos demais Estados-Membros no âmbito de uma comparação ou consulta. Por exemplo, a iniciativa poderia estabelecer a obrigação de, no relatório da concordância, serem incluídas informações sobre o tipo de pessoa em causa com o qual foram comparados os dados de ADN ou as impressões digitais, desde que as autoridades requeridas disponham dessas informações.

A avaliação do intercâmbio de dados

43.

A avaliação do intercâmbio de dados prevista no artigo 21.o da iniciativa e no capítulo 4 do anexo é acolhida com agrado. Todavia, essas disposições centram-se meramente na aplicação do ponto de vista administrativo, técnico e financeiro do intercâmbio automatizado de dados, sem mencionar sequer a avaliação da aplicação das regras de protecção de dados.

44.

Por isso, a AEPD sugere que se preste especial atenção à avaliação dos aspectos da protecção do intercâmbio de dados, nomeadamente aos fins a que se destinam, aos métodos de informação das pessoas em causa, à exactidão dos dados intercambiados e às falsas concordâncias, aos pedidos de acesso a dados pessoais, à duração dos períodos de conservação dos dados e à eficácia das medidas de segurança. Neste contexto, deve existir uma adequada participação das autoridades e dos peritos competentes em matéria de protecção de dados, determinando, por exemplo, a participação dos peritos nas visitas de avaliação previstas no capítulo 4 do anexo, bem como a transmissão do relatório de avaliação, a que se refere o artigo 20.o da iniciativa e o capítulo 4 do anexo, às autoridades competentes em matéria de protecção de dados.

Rede de comunicações e aspectos técnicos do sistema

45.

O artigo 4.o da iniciativa determina que todos os intercâmbios electrónicos de dados serão efectuados utilizando a rede de comunicações «TESTA II». Neste contexto, na página 76, ponto 54 do anexo pode ler-se: que «O sistema satisfaz as questões relativas à protecção de dados previstas no Regulamento (CE) n.o 45/2001 (artigos 21.o, 22.o e 23.o) e na Directiva 95/46/CE». A AEPD recomenda que se esclareça esta informação igualmente no que respeita ao papel que desempenharão as instituições comunitárias neste sistema. Neste contexto, há que ter devidamente em conta as funções de controlo e consultiva da AEPD decorrentes do Regulamento (CE) n.o 45/2001.

46.

Além disso, quando o anexo estiver concluído e dele constarem todos os pormenores e declarações que clarifiquem as características dos sistemas, a AEPD estudará a possibilidade de facultar também aconselhamento sobre os aspectos mais técnicos do sistema.

VI.   CONCLUSÕES

A AEPD recomenda que se debata abertamente a iniciativa e o seu anexo, tirando eficazmente partido dos contributos de todos os intervenientes institucionais, tendo igualmente em conta o papel de co-legislador de pleno direito que o Parlamento Europeu desempenhará neste domínio quando entrar em vigor o Tratado Reformador, assinado em Lisboa em 13 de Dezembro.

A AEPD apela ao legislador para que, nos termos da alínea b) do n.o 1 do artigo 30.o do Tratado UE, assegure um quadro jurídico claro, eficaz e geral no tocante à protecção de dados — que combine diferentes instrumentos jurídicos com disposições gerais e garantias específicas — antes da entrada em vigor da actual iniciativa.

Nesta perspectiva, a AEPD reitera, por um lado, que as decisões do Conselho relativas a Prüm não devem entrar em vigor enquanto os Estados-Membros não aplicarem a decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar que constitua uma «lex generalis», a par da qual se aplicariam as disposições da iniciativa de Prüm que assegurem garantias específicas e normas específicas mais estritas.

Por outro lado, o legislador deveria esclarecer que as regras específicas em matéria de protecção de dados referentes aos dados de ADN, impressões digitais e registo de veículos que constam do capítulo 6 da iniciativa de Prüm se aplicam não só ao intercâmbio desses dados, mas também à sua recolha, conservação e tratamento a nível nacional, bem como ao fornecimento de outros dados pessoais no âmbito da decisão do Conselho.

A AEPD recomenda que se melhore a transparência das medidas, mediante a apresentação de uma versão definitiva do anexo, o mais rapidamente possível, e a criação de mecanismos destinados a informar os cidadãos sobre as características dos sistemas, os seus direitos e o modo de os exercer.

A AEPD convida o legislador a tomar na devida conta a dimensão do sistema quando prosseguir o exame da actual iniciativa, assegurando que o aumento do número de Estados-Membros participantes não implica uma menor eficácia. Em especial, há que estabelecer nas regras de execução formatos específicos para a comunicação de dados, atendendo igualmente às diferenças linguísticas, e controlar permanentemente a exactidão dos intercâmbios de dados.

A AEPD recomenda que o papel consultivo essencial desempenhado pelas autoridades competentes em matéria de protecção de dados seja explicitamente reconhecido nos artigos sobre as alterações às regras de execução e aos seus anexos (artigo 18.o da iniciativa), sobre a aplicação das regras aplicáveis à protecção de dados pelos Estados-Membros (artigo 20.o) e sobre a avaliação do intercâmbio de dados (artigo 21.o). Além disso, a iniciativa deverá assegurar que os Estados-Membros facultem às autoridades responsáveis pela protecção de dados os recursos (adicionais) necessários para realizarem as tarefas de controlo decorrentes da aplicação do sistema proposto e que as autoridades competentes em matéria de protecção de dados se reúnam periodicamente a nível da UE, a fim de coordenarem as suas actividades e harmonizarem a aplicação desses instrumentos.

Por conseguinte, a AEPD exorta uma vez mais o legislador a introduzir uma definição clara e inclusiva de dados pessoais. Nesta perspectiva, as disposições de execução também devem clarificar a aplicabilidade das regras em matéria de protecção de dados aos perfis de ADN não identificados — que ainda não foram atribuídos a uma pessoa identificada. A AEPD recorda ainda que a definição de «parte não portadora de códigos de ADN» deveria ser dinâmica, incluindo a obrigação de se deixar de utilizar os marcadores de ADN que, graças à evolução da ciência, possam dar informações sobre determinadas características hereditárias.

A AEPD recomenda que, no âmbito das consultas e comparações automatizadas, seja tida na devida conta a exactidão do processo de concordância.

Isso significa que, no que respeita às comparações e consultas de ADN, deveriam ser facultadas informações sobre a taxa de erro prevista para cada número de loci comparados, que as concordâncias aproximadas deveriam ser explicitamente comunicadas como tal, que deveriam ser efectuados mais controlos em caso de concordâncias múltiplas e que deveria haver uma maior sensibilização quanto ao facto de os perfis de ADN não serem os únicos identificadores. No tocante às impressões digitais, a iniciativa deveria harmonizar tanto quanto possível os diferentes sistemas automáticos de identificação dactiloscópica utilizados nos Estados-Membros e o modo como são utilizados, especialmente no que respeita à taxa de falsas rejeições.

Além disso, as bases de dados de ADN (e impressões digitais) deveriam ser delimitadas com precisão, porquanto podem conter, em função dos Estados-Membros, perfis de ADN ou impressões digitais de diferentes tipos de pessoas. A iniciativa deveria especificar os tipos de pessoas em causa que estarão implicadas nos intercâmbios de dados e de que modo a sua diferente situação será comunicada aos demais Estados-Membros no âmbito de uma comparação ou consulta.

A AEPD sugere que se preste especial atenção à avaliação dos aspectos da protecção de dados, no âmbito de intercâmbios de dados, nomeadamente aos fins a que se destinam, aos métodos de informação das pessoas em causa, à exactidão dos dados intercambiados e às falsas concordâncias, aos pedidos de acesso a dados pessoais, à duração dos períodos de conservação dos dados e à eficácia das medidas de segurança. Neste contexto, deverá existir uma adequada participação das autoridades e dos peritos competentes em matéria de protecção de dados.

A AEPD recomenda que se clarifique a utilização da rede de comunicações «TESTA II» e a sua conformidade com o Regulamento (CE) n.o 45/2001, igualmente no que respeita ao papel que desempenharão as instituições comunitárias neste sistema.

Feito em Bruxelas, em 19 de Dezembro de 2007.

Peter HUSTINX

Autoridade Europeia para a Protecção de Dados


(1)  JO C 267 de 9.11.2007, p. 4.

(2)  O anexo ainda não foi publicado no Jornal Oficial, mas está acessível ao público com a cota 11045/1/07 REV 1 ADD 1 no registo dos documentos do Conselho.

(3)  JO C 169 de 21.7.2007, p. 2.

(4)  Ver, mais recentemente, o parecer da AEPD sobre Prüm, § 57-76 e o terceiro parecer da AEPD, de 27 de Abril de 2007, sobre a proposta de decisão-quadro do Conselho relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal, § 14 (JO C 139 de 23.6.2007, p. 1).

(5)  A versão mais recente desta proposta consta do registo do Conselho com a cota 16397/07.

(6)  Em relação a este ponto, há que examinar cuidadosamente o texto do artigo 27.oB da versão mais recente do projecto de decisão-quadro sobre a protecção de dados no âmbito do terceiro pilar.

(7)  Sobre a aplicabilidade das regras em matéria de protecção de dados aos perfis de ADN, ver o parecer n.o 4/2007 do Grupo do artigo 29.o, sobre o conceito de dados pessoais, de 20 de Junho de 2007, WP136, p. 8-9; nesse mesmo parecer também são facultados esclarecimentos sobre o caso análogo da aplicabilidade das regras em matéria de protecção de dados aos endereços IP dinâmicos, p. 16-17.

(8)  Ver também o parecer da Autoridade Europeia para a Protecção de Dados de 28 de Fevereiro de 2006 sobre a proposta de decisão-quadro do Conselho relativa ao intercâmbio de informações com base no princípio da disponibilidade [COM(2005) 490 final], § 58-60 (JO C 116 de 17.5.2006).

(9)  Nesse mesmo sentido, ver o anexo I da Resolução do Conselho de 25 de Junho de 2001 relativa ao intercâmbio de resultados de análises de ADN (JO C 187 de 3.7.2001, p. 1).

(10)  Por exemplo, no Reino Unido a base de dados nacionais de ADN aumentou o número de loci utilizados para os perfis de ADN de 6 para 10 a fim de melhorar a fiabilidade do sistema.