9.6.2022   

PT

Jornal Oficial da União Europeia

C 225/6


Síntese do parecer da Autoridade Europeia para a Proteção de Dados sobre a proposta de regulamento relativo ao intercâmbio automatizado de dados para efeitos de cooperação policial («Prüm II»)

(O texto integral do presente parecer encontra-se disponível em inglês, francês e alemão no sítio Web da AEPD em www.edps.europa.eu)

(2022/C 225/04)

Em 8 de dezembro de 2021, a Comissão Europeia adotou uma proposta de regulamento do Parlamento Europeu e do Conselho relativo ao intercâmbio automatizado de dados para efeitos de cooperação policial («Prüm II»), que altera as Decisões 2008/615/JAI e 2008/616/JAI do Conselho e os Regulamentos (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 do Parlamento Europeu e do Conselho (as chamadas «Decisões Prüm»). A proposta faz parte de um pacote legislativo mais vasto, designado «Código de Cooperação Policial da UE», que inclui igualmente uma proposta de diretiva do Parlamento Europeu e do Conselho relativa ao intercâmbio de informações entre as autoridades de aplicação da lei dos Estados-Membros (sob reserva de um parecer separado da AEPD) e a proposta de recomendação do Conselho sobre a cooperação policial operacional.

A proposta visa reforçar a cooperação policial e, em particular, o intercâmbio de informações entre as autoridades competentes responsáveis pela prevenção ou deteção de infrações penais e pelas investigações nessa matéria, estabelecendo as condições e os procedimentos para a consulta automatizada de perfis de ADN, dados dactiloscópicos (impressões digitais), imagens faciais, ficheiros policiais e determinados dados de registo de veículos, bem como para o intercâmbio de dados na sequência de uma correspondência.

Embora compreenda a necessidade de as autoridades de aplicação da lei beneficiarem dos melhores instrumentos jurídicos e técnicos possíveis para a deteção, investigação e prevenção de crimes, a AEPD observa que o novo quadro jurídico de Prüm proposto não estabelece claramente os elementos fundamentais do intercâmbio de dados, tais como os tipos de crimes, que podem justificar uma consulta, bem como não é claro o suficiente no que respeita ao âmbito dos titulares de dados afetados pelo intercâmbio automático de dados, por exemplo, se as bases de dados, objeto de uma consulta, contêm dados apenas de suspeitos e/ou criminosos condenados ou se contêm também dados de outros titulares de dados, como vítimas ou testemunhas.

Em particular, a AEPD considera que a consulta automatizada de perfis de ADN e imagens faciais apenas deve ser possível no contexto de investigações concretas de crimes graves ao invés de qualquer infração penal, conforme previsto na proposta. Além disso, a AEPD considera necessário introduzir na proposta requisitos e condições comuns no que diz respeito aos dados nas bases de dados nacionais que ficam acessíveis para consultas automatizadas, tendo em devida conta a obrigação, prevista no artigo 6.o da Diretiva (UE) 2016/680 sobre a Proteção de Dados na Aplicação da Lei (Diretiva PDAL), de estabelecer uma distinção entre diferentes categorias de titulares de dados (ou seja, criminosos condenados, suspeitos, vítimas, etc.).

A AEPD está igualmente preocupada com as implicações para os direitos fundamentais das pessoas em causa decorrentes da consulta automatizada e do intercâmbio automatizado de ficheiros policiais que são propostos. Considera que a necessidade da consulta automatizada e do intercâmbio automatizado de ficheiros policiais que são propostos não ficou suficientemente demonstrada. Caso tal medida seja, no entanto, adotada, mesmo que voluntariamente, então seriam necessárias garantias sólidas adicionais para respeitar o princípio da proporcionalidade. Em particular, tendo em conta os desafios em matéria de qualidade dos dados, o futuro regulamento deve, nomeadamente, definir explicitamente os tipos e/ou a gravidade dos crimes que poderão justificar uma consulta automatizada dos ficheiros policiais nacionais.

No que diz respeito à inclusão da Europol no quadro jurídico de Prüm, a AEPD considera que as observações e recomendações constantes do Parecer 4/2021 sobre a proposta de alteração do Regulamento Europol continuam inteiramente válidas no contexto da cooperação no âmbito do quadro jurídico de Prüm, designadamente as relacionadas com o chamado «desafio dos megadados», ou seja, o tratamento de séries de dados complexas e volumosas por parte da Agência. A AEPD gostaria de recordar duas das principais mensagens do parecer sobre a Europol: o reforço das competências deve estar sempre aliado ao reforço da supervisão e, igualmente importante, não devemos permitir que quaisquer exceções aplicáveis sob a forma de derrogações se tornem a regra.

A proposta prevê uma arquitetura complexa para a consulta automatizada e o intercâmbio automatizado de ficheiros policiais no âmbito do quadro jurídico de Prüm com três soluções técnicas separadas, desenvolvidas e mantidas por três entidades diferentes. A AEPD considera que a proposta deve ser mais explícita quanto à responsabilidade pelo tratamento de dados pessoais, nomeadamente no Sistema Europeu de Informação sobre Veículos e Cartas de Condução (EUCARIS), que não se baseia no direito da União e tem caráter intergovernamental. Além disso, a AEPD é de opinião que, dada a amplitude e a sensibilidade do tratamento de dados pessoais, o modelo proposto de governação horizontal do quadro jurídico de Prüm não é adequado e deve ser ainda mais reforçado, por exemplo, atribuindo um papel de coordenação central a uma entidade da UE, tal como a Comissão.

Adicionalmente, no interesse da certeza jurídica, a AEPD considera que é necessário esclarecer explicitamente na proposta a relação das regras em matéria de proteção de dados com o quadro jurídico atual em matéria de proteção de dados na UE, nomeadamente a Diretiva PDAL e o Regulamento (UE) 2018/1725.

O parecer analisa e formula recomendações sobre uma série de outras questões específicas, tais como a ligação do quadro jurídico de Prüm com o quadro de interoperabilidade, a transferência de dados para países terceiros e organizações internacionais ou a supervisão das operações de tratamento para efeitos de cooperação no âmbito do quadro jurídico de Prüm.

1.   INTRODUÇÃO E CONTEXTO

1.

Em 8 de dezembro de 2021, a Comissão Europeia adotou uma proposta de regulamento do Parlamento Europeu e do Conselho relativo ao intercâmbio automatizado de dados para efeitos de cooperação policial («Prüm II»), que altera as Decisões 2008/615/JAI e 2008/616/JAI do Conselho e os Regulamentos (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 do Parlamento Europeu e do Conselho (doravante, «proposta») (1).

2.

A proposta faz parte de um pacote legislativo mais vasto, designado «Código de Cooperação Policial da UE», que inclui igualmente o seguinte:

Proposta de diretiva do Parlamento Europeu e do Conselho relativa ao intercâmbio de informações entre as autoridades de aplicação da lei dos Estados-Membros e que revoga a Decisão-Quadro 2006/960/JAI do Conselho (2), e

Proposta de recomendação do Conselho sobre a cooperação policial operacional (3).

3.

O objetivo do Código de Cooperação Policial da UE, tal como declarado pela Comissão, consiste em reforçar a cooperação policial nos Estados-Membros e, em particular, o intercâmbio de informações entre as autoridades competentes (4). A este respeito, a proposta estabelece as condições e os procedimentos para a consulta automatizada de perfis de ADN, dados dactiloscópicos (impressões digitais), imagens faciais, ficheiros policiais e determinados dados de registo de veículos, bem como para o intercâmbio de dados na sequência de uma correspondência entre as autoridades competentes responsáveis pela prevenção ou deteção de infrações penais e pelas investigações nessa matéria.

4.

A proposta – e, de um modo mais geral, o Código de Cooperação Policial da UE – está relacionada com os objetivos políticos de vários documentos estratégicos da UE no domínio da justiça e dos assuntos internos, em particular a estratégia da UE para a União da Segurança (5), a estratégia da UE para lutar contra a criminalidade organizada (2021-2025) (6) e a estratégia para um espaço Schengen plenamente funcional e resiliente, de 2021 (7). Além disso, as propostas que estabelecem o Código de Cooperação Policial devem ser consideradas à luz da reforma em curso da Europol e do papel cada vez mais importante da Agência enquanto plataforma central de informações criminais da União, recolhendo e tratando quantidades cada vez maiores de dados (8).

5.

Em 5 de janeiro de 2022, a Comissão consultou a AEPD sobre a proposta de Regulamento Prüm II, nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725. As observações e recomendações constantes do presente parecer limitam-se às disposições da proposta que são mais relevantes do ponto de vista da proteção de dados.

4.   CONCLUSÕES

73.

O novo quadro jurídico de Prüm proposto não estabelece claramente os elementos fundamentais do intercâmbio de dados, tais como os tipos de crimes, que podem justificar uma consulta, especialmente de perfis de ADN, ou seja, qualquer infração penal ou apenas crimes mais graves. Além disso, a proposta não é clara no que respeita ao âmbito dos titulares de dados afetados pelo intercâmbio automático de dados, isto é, se as bases de dados, objeto de uma consulta, contêm dados apenas de suspeitos e/ou criminosos condenados ou se contêm também dados de outros titulares de dados, como vítimas ou testemunhas.

74.

A fim de assegurar a necessidade e a proporcionalidade da ingerência no direito fundamental à proteção dos dados pessoais, à luz do artigo 52.o, n.o 1, da Carta, é essencial esclarecer o âmbito de aplicação pessoal e material das medidas, ou seja, as categorias de titulares de dados diretamente afetados e as condições objetivas que poderão justificar uma consulta automatizada nas respetivas bases de dados de outros Estados-Membros ou da Europol.

75.

Em particular, a AEPD considera que a consulta automatizada de perfis de ADN e imagens faciais apenas deve ser possível no contexto de investigações concretas de crimes graves e não de qualquer infração penal, conforme previsto na proposta. Além disso, em consonância com a obrigação prevista no artigo 6.o da Diretiva PDAL de estabelecer uma distinção entre diferentes categorias de titulares de dados, a proposta deve prever uma limitação das categorias de titulares de dados cujos perfis de ADN e imagens faciais, conservados nas bases de dados nacionais, devem ficar acessíveis para consultas automatizadas, considerando especialmente a limitação inerente à finalidade dos dados de outras categorias diferentes de criminosos condenados ou suspeitos.

76.

A AEPD considera que a necessidade da consulta automatizada e do intercâmbio automatizado de ficheiros policiais que são propostos não ficou suficientemente demonstrada. Caso tal medida seja, no entanto, adotada, mesmo que voluntariamente, então seriam necessárias garantias sólidas adicionais para respeitar o princípio da proporcionalidade. Em particular, tendo em conta os desafios em matéria de qualidade dos dados, que não podem ser resolvidos apenas com medidas técnicas como a pseudonimização, o futuro regulamento deve, no mínimo, estabelecer os tipos e/ou a gravidade dos crimes que poderão justificar uma consulta automatizada dos ficheiros policiais nacionais.

77.

No que diz respeito à inclusão da Europol no quadro jurídico de Prüm, a AEPD considera que as observações e recomendações constantes do Parecer 4/2021 sobre a proposta de alteração do Regulamento Europol continuam inteiramente válidas no contexto da cooperação no âmbito do quadro jurídico de Prüm, designadamente as relacionadas com o tratamento de séries de dados volumosas por parte da Agência. Além disso, a AEPD recomenda esclarecer o âmbito de aplicação pessoal, isto é, especificando as categorias de titulares de dados objeto de consultas ao abrigo dos artigos 49.o e 50.o, bem como o alinhamento dos períodos de conservação dos registos, a fim de assegurar a coerência com o Regulamento Europol.

78.

A proposta prevê uma arquitetura complexa para a consulta automatizada e o intercâmbio automatizado de ficheiros policiais no âmbito do quadro jurídico de Prüm com três soluções técnicas separadas, desenvolvidas e mantidas por três entidades diferentes. Além disso, uma delas, o EUCARIS, não se baseia no direito da União e tem caráter intergovernamental. Por conseguinte, a AEPD considera que a proposta deve abordar explicitamente a responsabilidade pelo tratamento de dados pessoais no EUCARIS. A AEPD considera ainda que, dada a amplitude e a sensibilidade do tratamento de dados pessoais, o modelo atual de governação horizontal do quadro jurídico de Prüm não é adequado e deve ser ainda mais reforçado, por exemplo, atribuindo um papel de coordenação central a uma entidade da UE, tal como a Comissão.

79.

Outro importante elemento da proposta, que requer uma análise cuidada das respetivas implicações para os direitos fundamentais, consiste no alinhamento do quadro jurídico de Prüm com o quadro de interoperabilidade dos sistemas informáticos da UE no domínio da justiça e dos assuntos internos. A AEPD convida os colegisladores a ter em consideração a necessidade de regras adicionais a este respeito (por exemplo, num ato delegado ou de execução), que deveriam abordar desafios específicos, tais como a qualidade e o desempenho dos algoritmos de correspondência para imagens faciais.

80.

Tendo em conta que a base jurídica da proposta inclui, entre outros, o artigo 16.o do TFUE, no interessa da clareza e da certeza, a AEPD recomenda especificar na proposta que as disposições em matéria de proteção de dados do capítulo 6 não prejudicam a aplicação da Diretiva PDAL e do Regulamento (UE) 2018/1725 no que diz respeito ao tratamento de dados pessoais no contexto da cooperação policial ao abrigo do quadro jurídico de Prüm.

81.

Além disso, a AEPD considera que o requisito de auditorias periódicas das operações de tratamento de dados pessoais para efeitos do Regulamento Prüm II deve ser alargado e abranger igualmente as operações de tratamento de dados pessoais a nível nacional. Neste contexto, a AEPD recomenda que o artigo 60.o, n.o 2, da proposta faça referência de um modo geral aos poderes da AEPD, nos termos do artigo 58.o do Regulamento (UE) 2018/1725, e não só a alguns deles.

Bruxelas, 2 de março de 2022

Wojciech Rafał WIEWIÓROWSKI


(1)  COM(2021) 784 final.

(2)  COM(2021) 782 final.

(3)  COM(2021) 780 final.

(4)  https://ec.europa.eu/home-affairs/news/boosting-police-cooperation-across-borders-enhanced-security-2021-12-08_en

(5)  Comunicação da Comissão sobre a Estratégia da UE para a União da Segurança, COM/2020/605 final.

(6)  Comunicação da Comissão sobre a estratégia da UE para lutar contra a criminalidade organizada (2021-2025), COM/2021/170 final.

(7)  Comunicação da Comissão «Estratégia para um espaço Schengen plenamente funcional e resiliente», COM/2021/277 final.

(8)  Para mais informações, consultar o Parecer 4/2021 da AEPD, https://edps.europa.eu/system/files/2021-03/21-03-08_opinion_europol_reform_en.pdf