COMISSÃO EUROPEIA
Bruxelas, 11.5.2023
COM(2023) 244 final
2023/0143(COD)
Proposta de
REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO
que altera a Decisão 2009/917/JAI do Conselho a fim de a harmonizar com as normas da União em matéria de proteção de dados pessoais
EXPOSIÇÃO DE MOTIVOS
1.CONTEXTO DA PROPOSTA
•Razões e objetivos da proposta
A Diretiva (UE) 2016/680 1 (Diretiva sobre a Proteção de Dados na Aplicação da Lei, Diretiva PDAL) entrou em vigor em 6 de maio de 2016, devendo os Estados‑Membros transpô-la para o direito nacional até 6 de maio de 2018. Revogou e substituiu a Decisão-Quadro 2008/977/JAI do Conselho 2 , mas é um instrumento de proteção de dados pessoais muito mais abrangente. Nomeadamente, a diretiva é aplicável tanto ao tratamento nacional como transnacional de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e prevenção de ameaças à segurança pública (artigo 1.º, n.º 1).
Nos termos do artigo 62.º, n.º 6, da Diretiva PDAL, a Comissão deve reexaminar, até 6 de maio de 2019, outros atos jurídicos adotados pela UE que regulem o tratamento de dados pessoais pelas autoridades competentes para efeitos de aplicação coerciva da lei, a fim de avaliar a necessidade de os harmonizar com a diretiva, apresentando, se for caso disso, as propostas necessárias à alteração desses atos, de forma a assegurar uma abordagem coerente da proteção de dados pessoais no âmbito da diretiva.
A Comissão apresentou os resultados desse reexame na comunicação «Ações futuras para alinhar o acervo do antigo terceiro pilar com as regras de proteção de dados» (de 24 de junho de 2020) 3 , tendo especificado dez atos jurídicos a harmonizar com a Diretiva PDAL. A lista inclui a Decisão 2009/917/JAI do Conselho relativa à utilização da informática no domínio aduaneiro 4 .
A proposta visa harmonizar as disposições de proteção de dados contidas na Decisão 2009/917/JAI do Conselho com os princípios e normas estabelecidos na Diretiva PDAL, a fim de criar na União um quadro de proteção de dados sólido e coerente.
•Coerência com as disposições existentes da mesma política setorial
O Sistema de Informação Aduaneiro (SIA), criado pela Decisão 2009/917/JAI do Conselho, é um sistema comum de informação automatizado para fins aduaneiros destinado a ajudar a prevenir, investigar e reprimir infrações graves à legislação nacional, tornando os dados mais rapidamente disponíveis e reforçando a eficácia das administrações aduaneiras. A proposta visa harmonizar as disposições de proteção de dados da Decisão 2009/917/JAI do Conselho com os princípios e normas estabelecidos na Diretiva PDAL, a fim de criar na União um quadro de proteção de dados sólido e coerente.
•Coerência com outras políticas da União
Não aplicável
2.BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE
•Base jurídica
A proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais é um direito fundamental consagrado no artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («Carta»).
A proposta baseia-se no artigo 16.º, n.º 2, do Tratado sobre o Funcionamento da União Europeia (TFUE), que constitui a base jurídica mais adequada, uma vez que tanto o objetivo como o conteúdo da alteração proposta se limitam claramente à proteção dos dados pessoais.
O artigo 16.º, n.º 2, do TFUE, permite a adoção de regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes dos Estados-Membros no exercício de atividades de prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais abrangidas pelo âmbito de aplicação do direito da União. Permite igualmente a adoção de regras relativas à livre circulação de dados pessoais, incluindo no que diz respeito ao intercâmbio de dados pessoais pelas autoridades competentes na UE.
Nos termos do artigo 2.º-A do Protocolo n.º 22 relativo à posição da Dinamarca, anexo ao TUE e ao TFUE, a Dinamarca não ficará vinculada pelas normas estabelecidas com base no artigo 16.º do TFUE relativas ao tratamento de dados pessoais no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título IV, capítulos 4 e 5, do TFUE. Por conseguinte, a Dinamarca não ficará vinculada pelo regulamento agora proposto e continuará a aplicar a decisão do Conselho na sua versão atual, ou seja, sem as alterações agora propostas.
Tal implica, nomeadamente, que a Autoridade Comum de Controlo a que se refere o artigo 25.º da Decisão do Conselho continue formalmente a existir, apenas em relação à Dinamarca. Ao mesmo tempo, devido à proposta de supressão desse artigo e à proposta de alteração do artigo 26.º que introduz o modelo de supervisão coordenada estabelecido no artigo 62.º do Regulamento (UE) 2018/1725, a referida existência não tem efeitos em relação aos outros Estados-Membros ou ao Sistema de Informação Aduaneiro enquanto tal. Uma vez que a presente proposta se limita a alinhar a decisão do Conselho com a Diretiva PDAL, este resultado é uma consequência inevitável do exercício de alinhamento exigido ao abrigo da diretiva e dos condicionalismos resultantes do Protocolo n.º 22. Quando, no futuro, se justificar uma avaliação mais ampla da decisão do Conselho, a Comissão analisará esta questão.
Nos termos do artigo 6.º-A do Protocolo n.º 21 relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, a Irlanda não fica vinculada pelas regras estabelecidas com base no artigo 16.º do TFUE, caso não esteja vinculada pelas regras que regulam as formas de cooperação judiciária em matéria penal ou de cooperação policial no âmbito das quais devam ser observadas as disposições definidas com base no artigo 16.º do TFUE. Uma vez que a Irlanda participa na Decisão 2009/917/JAI do Conselho, também participará na adoção da presente proposta.
•Subsidiariedade (no caso de competência não exclusiva)
O objeto do presente regulamento é da competência exclusiva da União, uma vez que só a União pode adotar regras que regulem o tratamento de dados pessoais pelas autoridades competentes para efeitos de aplicação da lei. Só a União pode alinhar os atos da UE com as regras estabelecidas na Diretiva PDAL. Portanto, só a União pode adotar um ato legislativo que altere a Decisão 2009/917/JAI do Conselho.
•Proporcionalidade
A presente proposta limita-se ao estritamente necessário para harmonizar a Decisão 2009/917/JAI do Conselho com a legislação da União em matéria de proteção de dados pessoais (nomeadamente a Diretiva PDAL), sem alterar o âmbito de aplicação dessa decisão. O presente regulamento não excede o necessário para atingir os seus objetivos, em conformidade com o artigo 5.º, n.º 4, do Tratado da União Europeia.
•Escolha do instrumento
A proposta visa alterar uma decisão do Conselho que foi adotada antes da entrada em vigor do Tratado de Lisboa em 2009. As disposições da Decisão 2009/917/JAI do Conselho, que estabelece o Sistema de Informação Aduaneiro e as regras do seu funcionamento e utilização, são diretamente aplicáveis.
Por conseguinte, o instrumento mais adequado para alterar esta decisão do Conselho, nos termos do artigo 16.º, n.º 2, do TFUE, é um regulamento do Parlamento Europeu e do Conselho.
3.RESULTADOS DAS AVALIAÇÕES EX POST, DAS CONSULTAS DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO
•Avaliações ex post/balanços de qualidade da legislação existente
A presente proposta é apresentada no seguimento do reexame efetuado pela Comissão ao abrigo do artigo 62.º, n.º 6, da Diretiva PDAL, cujos resultados são descritos na comunicação de 2020 intitulada «Ações futuras para alinhar o acervo do antigo terceiro pilar com as regras de proteção de dados». Esta comunicação enumera seis pontos específicos em que é necessário alinhar a Decisão 2009/917/JAI do Conselho com a Diretiva PDAL, a saber:
–Em relação às «infrações graves» a que se aplica a decisão do Conselho;
–Clarificar as condições de recolha e registo dos dados pessoais e exigir que os dados pessoais só possam ser introduzidos no SIA se existirem motivos razoáveis, nomeadamente com base em atividades ilegais anteriores, para sugerir que a pessoa em causa cometeu, está a cometer ou irá cometer uma infração penal;
–Prever requisitos adicionais relacionados com a segurança do tratamento, alinhando a lista de medidas de segurança exigidas com o artigo 29.º da Diretiva PDAL, ou seja, aditando requisitos em matéria de recuperação, fiabilidade e integridade do sistema;
–Restringir o tratamento subsequente de dados pessoais registados no SIA para fins diferentes dos que motivaram a sua recolha, salvo se estiverem reunidas as condições previstas na Diretiva PDAL;
–Sujeitar o tratamento de dados pessoais ao abrigo da Decisão 2009/917/JAI do Conselho ao modelo de supervisão coordenada previsto no artigo 62.º do Regulamento (UE) 2018/1725 5 . A decisão do Conselho é o único ato jurídico em que o controlo do tratamento de dados pessoais continua a ser realizado pela Autoridade Comum de Controlo, que está atualmente obsoleta;
–Atualizar a remissão geral para a Decisão-Quadro 2008/977/JAI do Conselho, substituindo-a por uma remissão para a Diretiva PDAL. Qualquer disposição que se sobreponha à Diretiva PDAL (como definições ou disposições sobre os direitos dos titulares dos dados, ou a disponibilidade de ação judicial e responsabilidade) deve ser revogada por estar desatualizada e obsoleta. As remissões para disposições específicas da Decisão-Quadro 2008/977/JAI do Conselho devem ser substituídas pelas remissões específicas correspondentes para a Diretiva PDAL.
A proposta limita-se ao necessário para abordar os pontos acima referidos.
•Consultas das partes interessadas
Não aplicável
•Recolha e utilização de conhecimentos especializados
No reexame efetuado ao abrigo do artigo 62.º, n.º 6, da Diretiva PDAL, a Comissão teve em conta o estudo levado a cabo no âmbito do projeto‑piloto «Exame dos instrumentos e programas de recolha de dados da UE do ponto de vista dos direitos fundamentais» 6 . Esse estudo identificou os atos da União que são abrangidos pelo artigo 62.º, n.º 6, da Diretiva PDAL, bem como as disposições em matéria de proteção de dados que poderão ter de ser harmonizadas.
•Avaliação de impacto
O impacto da presente proposta é limitado ao tratamento de dados pessoais pelas autoridades competentes nos casos específicos regulados pela Decisão 2009/917/JAI do Conselho. O impacto das novas obrigações decorrentes da Diretiva PDAL foi avaliado no quadro dos trabalhos preparatórios dessa diretiva. Afigura-se desnecessário, por conseguinte, proceder a uma avaliação de impacto específica da presente proposta.
•Adequação da regulamentação e simplificação
A proposta não faz parte do programa para a adequação e a eficácia da regulamentação (REFIT).
•Direitos fundamentais
O direito à proteção dos dados pessoais está previsto no artigo 8.º da Carta dos Direitos Fundamentais da União Europeia e no artigo 16.º do TFUE. Como foi salientado pelo Tribunal de Justiça da União Europeia 7 , o direito à proteção de dados pessoais não é absoluto, devendo ser ponderado tendo em conta a sua função na sociedade 8 . A proteção dos dados pessoais também está intimamente relacionada com o respeito pela vida privada e familiar, protegido pelo artigo 7.º da Carta.
A proposta garante que qualquer operação de tratamento de dados pessoais efetuada ao abrigo da Decisão 2009/917/JAI do Conselho fica sujeita aos princípios e regras «horizontais» da legislação da UE em matéria de proteção de dados, reforçando assim a aplicação do artigo 8.º da Carta. Esta legislação visa assegurar um elevado nível de proteção dos dados pessoais. Clarificar a aplicação das regras da Diretiva PDAL, bem como especificar a forma como se aplicam ao tratamento de dados pessoais ao abrigo da decisão do Conselho, terá um impacto positivo para os direitos fundamentais à privacidade e à proteção dos dados pessoais.
4.INCIDÊNCIA ORÇAMENTAL
Não aplicável.
5.OUTROS ELEMENTOS
•Planos de execução e acompanhamento, avaliação e prestação de informações
Não aplicável.
•Explicação pormenorizada das disposições específicas da proposta
O artigo 1.º identifica as disposições da Decisão 2009/917/JAI do Conselho que têm de ser alteradas com base no reexame efetuado pela Comissão nos termos do artigo 62.º, n.º 6, da Diretiva PDAL e apresentado na sua Comunicação de 2020. Tais disposições são as seguintes:
·Artigo 1.º — o n.º 2 é alterado a fim de substituir o conceito de «infrações graves à legislação nacional» pela referência a «infrações penais previstas no direito nacional», para o clarificar e alinhar com a Diretiva PDAL.
·Artigo 2.º — o ponto 2, relativo à definição de «dados pessoais», é revogado, uma vez que se aplica a definição de dados pessoais do artigo 3.º, ponto 1, da Diretiva PDAL.
·Artigo 3.º — o n.º 2 é alterado para clarificar os papéis respetivos da Comissão e dos Estados-Membros no que diz respeito aos dados pessoais. É igualmente introduzido um considerando para este efeito.
·Artigo 4.º — o n.º 5 é atualizado de modo a substituir a referência à lista de determinadas categorias de dados pessoais que não podem ser introduzidos no sistema ao abrigo da Decisão-Quadro 2008/977/JAI por uma referência à lista correspondente da Diretiva PDAL.
·Artigo 5.º – o n.º 2 é atualizado para clarificar as condições de recolha e registo dos dados pessoais e exigir que os dados pessoais só possam ser introduzidos no SIA se existirem motivos razoáveis, nomeadamente com base em atividades ilegais anteriores, para sugerir que a pessoa em causa cometeu, está a cometer ou irá cometer uma infração penal.
·Artigo 7.º — o n.º 3 é atualizado para clarificar as condições em que o acesso ao SIA por parte de organizações internacionais ou regionais pode ser autorizado ao abrigo da Diretiva PDAL.
·Artigo 8.º — o n.º 1 é atualizado para limitar o tratamento subsequente dos dados pessoais registados no SIA, em conformidade com o princípio da limitação da finalidade, tal como regulamentado pela Diretiva PDAL. Clarifica ainda as condições em que os dados não pessoais podem ser tratados para outros fins. O n.º 4 é reformulado para clarificar as condições em que as transmissões e as transferências internacionais de dados pessoais e não pessoais podem ser efetuadas.
·O artigo 14.º sobre a conservação de dados pessoais é atualizado a fim de introduzir um período máximo de conservação em conformidade com o artigo 4.º, n.º 1, alínea e), da Diretiva PDAL e para simplificar o procedimento anterior. É igualmente introduzido um considerando para explicar melhor a fundamentação desta atualização.
·Artigo 15.º — o n.º 3 é alterado a fim de substituir o conceito de «infrações graves à legislação nacional» pela referência a «infrações penais previstas no direito nacional», tal como introduzidos pelo artigo 1.º, n.º 2.
·Artigo 20.º — este artigo é substituído para atualizar a remissão geral para a Decisão-Quadro 2008/977/JAI do Conselho, substituindo-a por uma remissão para a Diretiva PDAL.
·O artigo 22.º relativo aos direitos de acesso, retificação, apagamento ou bloqueio é revogado por estar desatualizado e obsoleto.
·O artigo 23.º sobre os direitos dos titulares dos dados a nível nacional é revogado por estar desatualizado e obsoleto.
·O artigo 24.º relativo à designação de uma ou mais autoridades nacionais de controlo é revogado por estar desatualizado e obsoleto.
·O artigo 25.º, que estabelece a Autoridade Comum de Controlo, é revogado por estar desatualizado e obsoleto.
·O artigo 26.º é atualizado para sujeitar o tratamento de dados pessoais ao modelo de supervisão coordenada previsto no artigo 62.º do Regulamento (UE) 2018/1725.
·Artigo 28.º — o n.º 2 é alterado para prever requisitos adicionais relacionados com a segurança do tratamento, alinhando a lista de medidas de segurança exigidas com o artigo 29.º da Diretiva PDAL, ou seja, aditando requisitos em matéria de recuperação, fiabilidade e integridade do sistema.
·Artigo 30.º — o n.º 1 é revogado por estar desatualizado e obsoleto.
O artigo 2.º fixa a data de entrada em vigor do regulamento.
2023/0143 (COD)
Proposta de
REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO
que altera a Decisão 2009/917/JAI do Conselho a fim de a harmonizar com as normas da União em matéria de proteção de dados pessoais
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.º, n.º 2,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Deliberando de acordo com o processo legislativo ordinário,
Considerando o seguinte:
(1)A Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho 9 estabelece normas harmonizadas para a proteção e a livre circulação de dados pessoais tratados para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças contra a segurança pública. A Diretiva exige que a Comissão reexamine os outros atos jurídicos relevantes do direito da União a fim de avaliar a necessidade de os harmonizar com a referida diretiva e apresente, se for caso disso, as propostas necessárias à sua alteração, de forma a assegurar uma abordagem coerente da proteção de dados pessoais no âmbito da diretiva.
(2)A Decisão 2009/917/JAI do Conselho 10 relativa à utilização da informática no domínio aduaneiro, estabelece o Sistema de Informação Aduaneiro (SIA) para ajudar a prevenir, investigar e reprimir infrações graves à legislação nacional, tornando os dados mais rapidamente disponíveis e reforçando a eficácia das administrações aduaneiras. A fim de assegurar uma abordagem coerente da proteção dos dados pessoais na União, esta decisão deverá ser alterada para que seja alinhada com Diretiva (UE) 2016/680. Em especial, as regras de proteção de dados pessoais devem respeitar o princípio da especificação da finalidade, limitar-se a categorias específicas de titulares de dados e categorias de dados pessoais, respeitar os requisitos de segurança dos dados, incluir uma proteção adicional para categorias especiais de dados pessoais e respeitar as condições para o tratamento subsequente. Além disso, deve ser prevista a aplicação do modelo de supervisão coordenada estabelecido no artigo 62.º do Regulamento (UE) 2018/1725 11 .
(3)Em especial, a fim de assegurar uma abordagem clara e coerente que garanta uma proteção adequada dos dados pessoais, a expressão «infrações graves» deve ser substituída por «infrações penais», tendo em conta que o facto de um determinado comportamento ser proibido pelo direito penal de um Estado-Membro implica, por si só, um certo grau de gravidade da infração. Além disso, o objetivo do SIA deverá continuar a limitar-se à prestação de assistência no âmbito da prevenção, investigação, deteção ou repressão de infrações penais ao abrigo da legislação nacional, tal como definida na Decisão 2009/917/JAI do Conselho, ou seja, das legislações nacionais em relação às quais as administrações aduaneiras nacionais são competentes e que, por conseguinte, são especialmente relevantes no contexto aduaneiro. Assim, embora a qualificação como infração penal seja um requisito necessário, nem todas as infrações penais devem ser consideradas abrangidas. A título de exemplo, as infrações penais abrangidas incluem o tráfico de droga, o tráfico de armas e o branqueamento de capitais. Para além da introdução do termo «infrações penais», a presente alteração não deverá ser entendida como afetando os requisitos específicos estabelecidos nessa decisão do Conselho para o estabelecimento e o envio de uma lista de infrações penais ao abrigo da legislação nacional que satisfazem determinadas condições, requisitos esses que dizem respeito apenas à finalidade específica do ficheiro de identificação dos processos de inquérito aduaneiro.
(4)É necessário clarificar os papéis da Comissão e dos Estados-Membros no que diz respeito aos dados pessoais. A Comissão é considerada o subcontratante que atua em nome das autoridades nacionais designadas por cada Estado-Membro, que são consideradas responsáveis pelo tratamento dos dados pessoais.
(5)A fim de assegurar a preservação ótima dos dados, reduzindo simultaneamente os encargos administrativos para as autoridades competentes, o procedimento que rege a conservação de dados pessoais no SIA deve ser simplificado, suprimindo a obrigação de rever os dados anualmente e fixando um período máximo de conservação de cinco anos, que pode ser prorrogado, mediante justificação, por um período adicional de dois anos. Este período de conservação é necessário e proporcionado tendo em conta a duração típica dos processos penais e a necessidade dos dados para a condução das operações aduaneiras conjuntas e dos inquéritos.
(6)Nos termos do artigo 6.º-A do Protocolo n.º 21 relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao Tratado da União Europeia (TUE) e ao TFUE, a Irlanda está vinculada pela Decisão 2009/917/JAI do Conselho e, por conseguinte, participa na adoção do presente regulamento.
(7)Nos termos dos artigos 1.º, 2.º e 2.º-A do Protocolo n.º 22 relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, a Dinamarca não participa na adoção do presente regulamento e não fica por ele vinculada nem sujeita à sua aplicação.
(8)A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.º do Regulamento (UE) 2018/1725 tendo emitido parecer em XX.XX.202X.
(9)A Decisão 2009/917/JAI do Conselho deverá, por conseguinte, ser alterada em conformidade,
ADOTARAM O PRESENTE REGULAMENTO:
Artigo 1.º
A Decisão 2009/917/JAI do Conselho é alterada do seguinte modo:
(1)O artigo 1.º, n.º 2, passa a ter a seguinte redação:
«2. Nos termos da presente decisão, o Sistema de Informação Aduaneiro tem por objetivo ajudar as autoridades competentes dos Estados-Membros a prevenir, investigar, detetar e reprimir infrações penais previstas no direito nacional, tornando os dados mais rapidamente disponíveis e reforçando, assim, a eficácia dos procedimentos de cooperação e controlo das administrações aduaneiras dos Estados-Membros.»
(2)No artigo 2.º, é suprimido o n.º 2.
(3)Após o primeiro período do n.º 2 do artigo 3.º, é aditado um novo período com a seguinte redação:
«Relativamente ao tratamento de dados pessoais no Sistema de Informação Aduaneiro, a Comissão é considerada subcontratante, na aceção do artigo 3.º, n.º 12, do Regulamento (UE) 2018/1725, agindo em nome das autoridades nacionais designadas por cada Estado-Membro, que são consideradas responsáveis pelo tratamento dos dados pessoais.»
(4)No artigo 4.º, o n.º 5 passa a ter a seguinte redação:
«5. Os dados pessoais enumerados no artigo 10.º da Diretiva (UE) 2016/680 não podem, em caso algum, ser introduzidos no Sistema de Informação Aduaneiro.»
(5)No artigo 5.º, o n.º 2 passa a ter a seguinte redação:
«2. Para efeitos das ações a que se refere o n.º 1, os dados pessoais abrangidos por qualquer uma das categorias enumeradas no n.º 1 do artigo 3.º só podem ser introduzidos no Sistema de Informação Aduaneiro se existirem motivos razoáveis, especialmente com base em antecedentes de atividades ilegais, que levem a crer que a pessoa em causa cometeu, está a cometer ou virá a cometer infrações penais previstas no direito nacional.»
(6)No artigo 7.º, o n.º 3 passa a ter a seguinte redação:
«3. Não obstante os n.os 1 e 2, o Conselho pode, excecionalmente, deliberando por unanimidade e após consulta do Comité Europeu para a Proteção de Dados, permitir o acesso de organizações internacionais ou regionais ao Sistema de Informação Aduaneiro, desde que estejam preenchidas cumulativamente as duas condições seguintes:
(a)O acesso respeita os princípios gerais aplicáveis às transferências de dados pessoais estabelecidos no artigo 35.º ou, quando aplicável, no artigo 39.º da Diretiva (UE) 2016/680;
(b)O acesso tem por base uma decisão de adequação adotada nos termos do artigo 36.º da referida diretiva ou está sujeito a garantias adequadas nos termos do artigo 37.º da mesma.»
(7)No artigo 8.º, o n.º 1 passa a ter a seguinte redação:
«1. Os Estados-Membros, a Europol e a Eurojust só podem utilizar os dados pessoais obtidos a partir do Sistema de Informação Aduaneiro para realizarem o objetivo referido no artigo 1.º, n.º 2, em conformidade com as regras aplicáveis do direito da União em matéria de tratamento de dados pessoais.
Os Estados-Membros, a Europol e a Eurojust podem utilizar os dados não pessoais obtidos a partir do Sistema de Informação Aduaneiro para realizarem o objetivo referido no artigo 1.º, n.º 2, ou para outros fins, incluindo administrativos, em conformidade com as condições impostas pelo Estado-Membro que introduziu os dados não pessoais nesse sistema.»
(8)No artigo 8.º, o n.º 4 passa a ter a seguinte redação:
«4. Os dados pessoais obtidos a partir do Sistema de Informação Aduaneiro podem ser, mediante autorização prévia do Estado-Membro que introduziu os dados no sistema e observando as condições por este impostas:
(a)Transmitidos e tratados posteriormente por autoridades nacionais diferentes das designadas nos termos do n.º 2, em conformidade com as regras aplicáveis do direito da União em matéria de tratamento de dados pessoais; ou
(b)Transferidos e tratados posteriormente pelas autoridades competentes de países terceiros e organizações internacionais ou regionais, em conformidade com o capítulo V da Diretiva (UE) 2016/680 e, se for caso disso, com o capítulo V do Regulamento (UE) 2018/1725.
Os dados não pessoais obtidos a partir do Sistema de Informação Aduaneiro podem ser transferidos e tratados posteriormente por autoridades nacionais diferentes das designadas nos termos do n.º 2, países terceiros e organizações internacionais ou regionais, em conformidade com as condições impostas pelo Estado-Membro que introduziu os dados não pessoais nesse sistema.»
(9)O artigo 14.º passa a ter a seguinte redação:
«Os dados pessoais introduzidos no Sistema de Informação Aduaneiro são conservados apenas durante o tempo necessário para realizarem o objetivo referido no artigo 1.º, n.º 2, e não podem ser conservados para além de um prazo de cinco anos. No entanto, excecionalmente, esses dados podem ser conservados por um período adicional máximo de dois anos, se e na medida em que tal seja estritamente necessário para alcançar esse objetivo num caso concreto.»
(10)No artigo 15.º, o n.º 3 passa a ter a seguinte redação:
«3. Para efeitos do ficheiro de identificação dos processos de inquérito aduaneiro, cada Estado-Membro envia aos outros Estados-Membros, à Europol, à Eurojust e ao Comité referido no artigo 27.º uma lista das infrações penais previstas na sua legislação nacional.
Essa lista só deve incluir as infrações penais puníveis com:
(a)Pena privativa de liberdade ou outra medida de segurança privativa de liberdade de duração máxima não inferior a 12 meses; ou
(b)Multa de valor não inferior a 15 000 EUR.»
(11)O artigo 20.º passa a ter a seguinte redação:
«A Diretiva (UE) 2016/680 aplica-se ao tratamento de dados pessoais ao abrigo da presente decisão.»
(12)São suprimidos os artigos 22.º, 23.º, 24.º e 25.º
(13)O artigo 26.º passa a ter a seguinte redação:
«A supervisão coordenada entre as autoridades nacionais de controlo e a Autoridade Europeia para a Proteção de Dados é realizada em conformidade com o artigo 62.º do Regulamento (UE) 2018/1725.»
(14)Ao artigo 28.º, n.º 2, são aditadas as seguintes alíneas:
«i) Assegurar que os sistemas utilizados possam ser restabelecidos em caso de interrupção;
j) Assegurar que o sistema funciona em perfeitas condições, que os erros de funcionamento são assinalados e que os dados pessoais conservados não podem ser falseados devido ao funcionamento defeituoso do sistema.»
(15)No artigo 30.º, é suprimido o n.º 1.
Artigo 2.º
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável nos Estados-Membros, em conformidade com os Tratados.
Feito em Bruxelas, em
Pelo Parlamento Europeu Pelo Conselho
A Presidente O Presidente