10.12.2016   

PT

Jornal Oficial da União Europeia

L 336/3


TRADUÇÃO

ACORDO

entre os Estados Unidos da América e a União Europeia sobre a proteção dos dados pessoais no âmbito da prevenção, investigação, deteção e repressão de infrações penais

ÍNDICE

Preâmbulo

Artigo 1.o

Objeto do Acordo

Artigo 2.o

Definições

Artigo 3.o

Âmbito de aplicação

Artigo 4.o

Não discriminação

Artigo 5.o

Efeitos do Acordo

Artigo 6.o

Limitação das finalidades e da utilização

Artigo 7.o

Transferência ulterior

Artigo 8.o

Manutenção da qualidade e da integridade dos dados

Artigo 9.o

Segurança dos dados

Artigo 10.o

Notificação de incidentes relativos à segurança dos dados

Artigo 11.o

Conservação de registos

Artigo 12.o

Prazo de conservação de registos

Artigo 13.o

Categorias especiais de dados pessoais

Artigo 14.o

Responsabilização

Artigo 15.o

Decisões automatizadas

Artigo 16.o

Acesso

Artigo 17.o

Retificação

Artigo 18.o

Recurso administrativo

Artigo 19.o

Recurso judicial

Artigo 20.o

Transparência

Artigo 21.o

Supervisão eficaz

Artigo 22.o

Cooperação entre as autoridades de supervisão

Artigo 23.o

Reexame conjunto

Artigo 24.o

Notificação

Artigo 25.o

Consulta

Artigo 26.o

Suspensão

Artigo 27.o

Âmbito de aplicação territorial

Artigo 28.o

Vigência do Acordo

Artigo 29.o

Entrada em vigor e cessação da vigência


CONSCIENTES de que os Estados Unidos e a União Europeia estão empenhados em assegurar um elevado nível de proteção dos dados pessoais intercambiados no contexto da prevenção, investigação, deteção e repressão de infrações penais, incluindo o terrorismo;

PRETENDENDO criar um regime jurídico duradouro para facilitar o intercâmbio de dados, essencial para prevenir, investigar, detetar e reprimir as infrações penais, incluindo o terrorismo, a fim de proteger as suas sociedades democráticas e os seus valores comuns;

PRETENDENDO, em especial, estabelecer normas de proteção para o intercâmbio de dados pessoais, com base nos acordos existentes ou futuros, entre os EUA e a UE e os seus Estados-Membros, no domínio da prevenção, investigação, deteção e repressão de infrações penais, incluindo o terrorismo;

RECONHECENDO que alguns acordos em vigor entre as Partes relativos ao tratamento de dados pessoais conferem um nível adequado de proteção dos dados no âmbito de aplicação de tais acordos, as Partes afirmam que o presente Acordo não deve ser interpretado no sentido de alterar, condicionar ou derrogar esses acordos; considerando, no entanto, que as obrigações previstas no artigo 19.o do presente Acordo relativo ao recurso judicial serão aplicáveis a todas as transferências de dados abrangidas pelo presente Acordo, e que tal não prejudica uma eventual futura revisão ou alteração daqueles acordos em conformidade com as respetivas disposições;

RECONHECENDO a longa tradição de ambas as Partes de respeito pela vida privada, designadamente tal como refletida nos princípios sobre a proteção da privacidade e dos dados pessoais para efeitos de aplicação coerciva da lei enunciados pelo Grupo de Contacto de Alto Nível UE-EUA sobre o intercâmbio de informações e a proteção da vida privada e dos dados pessoais, na Carta dos Direitos Fundamentais da União Europeia e na legislação da UE aplicável, na constituição dos Estados Unidos e na legislação dos EUA aplicável, bem como nos princípios de práticas de informação justas da Organização de Cooperação e de Desenvolvimento Económicos; e

RECONHECENDO os princípios da proporcionalidade e da necessidade, e da relevância e razoabilidade, tal como estabelecidos pelas Partes nas respetivas ordens jurídicas;

OS ESTADOS UNIDOS DA AMÉRICA E A UNIÃO EUROPEIA ACORDARAM NO SEGUINTE:

Artigo 1.o

Objetivo

1.   O presente Acordo tem como objetivo garantir um elevado nível de proteção dos dados pessoais e reforçar a cooperação entre os Estados Unidos e a União Europeia e os seus Estados-Membros em matéria de prevenção, investigação, deteção ou repressão de infrações penais, incluindo o terrorismo.

2.   Para esse efeito, o presente Acordo estabelece o regime jurídico da proteção de dados pessoais aquando da sua transferência entre os Estados Unidos da América, por um lado, e a União Europeia e os seus Estados-Membros, por outro.

3.   O presente Acordo não constitui, em si, a base legal de eventuais transferências de dados pessoais. Será sempre necessária uma base legal para que tais transferências possam ser efetuadas.

Artigo 2.o

Definições

Para efeitos do presente Acordo, entende-se por:

1)

«Dados pessoais», uma informação relativa a uma pessoa singular identificada ou identificável. É considerada identificável qualquer pessoa que possa ser identificada, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

2)

«Tratamento de dados pessoais», uma operação ou conjunto de operações que implique a recolha, conservação, utilização, alteração, organização ou estruturação, divulgação ou difusão, ou disponibilização desses dados;

3)

«Partes», a União Europeia e os Estados Unidos da América;

4)

«Estado-Membro», um Estado-Membro da União Europeia;

5)

«Autoridade competente», no caso dos Estados Unidos, uma autoridade nacional com poderes coercivos, responsável pela prevenção, investigação, deteção ou repressão de infrações penais, incluindo o terrorismo, e, no caso da União Europeia, uma autoridade da União Europeia, ou uma autoridade de um Estado-Membro, responsáveis pela prevenção, investigação, deteção ou repressão de infrações penais, incluindo o terrorismo.

Artigo 3.o

Âmbito de aplicação

1.   O presente Acordo é aplicável aos dados pessoais transferidos entre as autoridades competentes de uma das Partes e as autoridades competentes da outra Parte, ou transferidos de outro modo nos termos de um acordo celebrado entre os Estados Unidos e a União Europeia ou os seus Estados-Membros, para efeitos de prevenção, deteção, investigação ou repressão de infrações penais, incluindo o terrorismo.

2.   O presente Acordo não afeta nem prejudica as transferências ou outras formas de cooperação entre as autoridades responsáveis pela garantia da segurança nacional nos Estados-Membros e nos Estados Unidos, com exceção daquelas a que se refere o artigo 2.o, ponto 5.

Artigo 4.o:

Não discriminação

Cada Parte deve cumprir as obrigações que lhe incumbem por força do presente Acordo, para efeitos da proteção dos dados pessoais dos seus próprios cidadãos e dos cidadãos da outra Parte, independentemente da sua nacionalidade e sem qualquer discriminação arbitrária e injustificada.

Artigo 5.o

Efeitos do Acordo

1.   O presente Acordo completa, quando tal se justifique, mas não substitui, as disposições em matéria de proteção de dados pessoais constantes dos acordos internacionais celebrados entre as Partes ou entre os Estados Unidos e os Estados-Membros que incidam sobre as matérias abrangidas pelo presente Acordo.

2.   As Partes devem tomar todas as medidas necessárias à aplicação do presente Acordo, incluindo, em especial, as relativas às respetivas obrigações nele estabelecidas em matéria de acesso, retificação e recurso administrativo e judicial a favor das pessoas singulares. As pessoas singulares e as pessoas coletivas beneficiam das medidas de proteção e das vias de recurso contempladas no presente Acordo em conformidade com a legislação nacional aplicável de cada uma das Partes. Relativamente aos Estados Unidos, as medidas tomadas no cumprimento das suas obrigações são aplicáveis no respeito dos princípios fundamentais do federalismo dos Estados Unidos.

3.   Para efeitos da aplicação do disposto no n.o 2, considera-se que o tratamento de dados pessoais pelos Estados Unidos ou pela União Europeia e os seus Estados-Membros, nas matérias abrangidas pelo presente Acordo, é conforme com as respetivas legislações sobre a proteção de dados que limitam ou condicionam as transferências internacionais de dados pessoais, não sendo necessária qualquer outra autorização ao abrigo dessas legislações.

Artigo 6.o

Limitação das finalidades e da utilização

1.   A transferência de dados pessoais deve ser efetuada para as finalidades específicas autorizadas pela base legal da transferência referida no artigo 1.o.

2.   O tratamento posterior desses dados pessoais por uma das Partes deve ser compatível com as finalidades para as quais foram transmitidos. Por tratamento compatível, entende-se um tratamento em conformidade com os acordos internacionais em vigor e os enquadramentos internacionais consagrados por escrito em matéria de prevenção, deteção, investigação ou repressão de crimes graves. O referido tratamento de dados pessoais por outras autoridades nacionais com poderes coercivos, por autoridades regulamentares ou administrativas deve respeitar as restantes disposições do presente Acordo.

3.   O presente artigo não prejudica a capacidade de a autoridade competente que procede à transferência impor condições adicionais num caso específico, na medida em que o regime jurídico aplicável à transferência o permita. Tais condições não podem consistir em condições genéricas de proteção de dados, isto é, condições sem qualquer relação com os factos em causa. Se a transferência de dados for subordinada a determinadas condições, a autoridade competente destinatária dos dados deve respeitar essas condições. A autoridade competente que disponibiliza os dados pode também exigir ao destinatário que forneça informações sobre a utilização das informações transferidas.

4.   No caso de os Estados Unidos, por um lado, e a União Europeia ou um Estado-Membro, por outro, celebrarem um acordo sobre a transmissão de dados pessoais, diferentes dos dados relacionados com casos, investigações ou processos penais concretos, as finalidades específicas para as quais os dados são transferidos e tratados devem ser estabelecidas no referido acordo.

5.   As Partes devem assegurar, em aplicação das respetivas legislações, que os dados pessoais são tratados de uma forma que é diretamente relevante e não excessiva ou demasiado geral tendo em conta as finalidades do tratamento.

Artigo 7.o

Transferência ulterior

1.   No caso de uma autoridade competente de uma Parte ter transferido dados pessoais relativos a um caso específico a uma autoridade competente da outra Parte, essas informações só podem ser transferidas para um Estado ou para uma instituição internacional não vinculados pelo presente Acordo com o consentimento prévio da autoridade competente que procedeu à transferência inicial.

2.   Ao conceder o seu consentimento para uma transferência em conformidade com o disposto no n.o 1, a autoridade competente que procedeu à transferência inicial deve ter devidamente em conta todos os fatores relevantes, designadamente a gravidade da infração, a finalidade para a qual os dados foram inicialmente transferidos e se o Estado ou o organismo internacional não vinculados pelo presente Acordo asseguram um nível adequado de proteção dos dados pessoais. Pode igualmente sujeitar essa transferência a condições específicas.

3.   No caso de os Estados Unidos, por um lado, e a União Europeia ou um Estado-Membro, por outro, celebrarem um acordo sobre a transmissão de dados pessoais, diferentes dos dados relacionados com casos, investigações ou processos penais concretos, a transferência ulterior de dados pessoais fica subordinada ao respeito de condições específicas estabelecidas no acordo que justifiquem devidamente a referida transferência. O acordo deve prever igualmente regras de informação adequadas entre as autoridades competentes.

4.   Nenhuma disposição do presente artigo pode ser interpretada de uma forma que afete qualquer exigência, obrigação ou prática nos termos da qual o consentimento prévio da autoridade competente que procedeu à transferência inicial deve ser obtido antes da transferência ulterior para um Estado ou organismo vinculado pelo presente Acordo, desde que o nível de proteção dos dados nesse Estado ou organismo não justifique a oposição à referida transferência ou a sua subordinação ao respeito de condições específicas.

Artigo 8.o

Manutenção da qualidade e da integridade dos dados

As Partes devem tomar as medidas razoáveis para assegurar que os dados pessoais são mantidos com a exatidão, pertinência, atualidade e exaustividade necessárias e adequadas para o seu tratamento lícito. Para esse efeito, as autoridades competentes devem estabelecer procedimentos destinados a garantir a qualidade e a integridade dos dados pessoais, nomeadamente:

a)

As medidas referidas no artigo 17.o;

b)

No caso de a autoridade competente tomar conhecimento de dúvidas significativas sobre a pertinência, atualidade, exaustividade ou exatidão dos referidos dados pessoais ou de uma avaliação que transferiu, deve, sempre que possível, informar a autoridade competente destinatária;

c)

No caso de a autoridade competente destinatária dos dados tomar conhecimento de dúvidas significativas sobre a pertinência, atualidade, exaustividade ou exatidão dos dados pessoais recebidos de uma autoridade pública, ou de uma avaliação realizada pela autoridade competente que procede à transferência quanto à exatidão das informações ou da fiabilidade de uma fonte, deve, sempre que possível, informar a autoridade competente que efetua a transferência.

Artigo 9.o

Segurança dos dados

As Partes devem garantir que são adotadas medidas técnicas, de segurança e organizativas para proteger os dados pessoais contra os seguintes riscos:

a)

Destruição acidental ou ilícita;

b)

Perda acidental; e

c)

Divulgação, alteração, acesso ou qualquer outro tipo de tratamento não autorizado.

Essas medidas devem prever garantias adequadas no que se refere à autorização exigida para aceder a dados pessoais.

Artigo 10.o

Notificação de incidentes relativos à segurança dos dados

1.   Na sequência da descoberta de um incidente que envolva a perda ou destruição acidental de dados pessoais, o acesso não autorizado a tais dados ou a sua divulgação ou alteração, que possa representar um risco significativo de causar danos, a autoridade competente destinatária deve avaliar imediatamente a probabilidade e a dimensão dos danos causados às pessoas e à integridade do programa de transferência de dados pessoais da autoridade competente que procedeu à transferência, adotando rapidamente medidas adequadas para reduzir esses danos.

2.   As medidas adotadas para reduzir os danos devem incluir a notificação do incidente à autoridade competente que procede à transferência. No entanto, a notificação pode:

a)

Prever restrições adequadas quanto à transmissão ulterior da notificação;

b)

Ser adiada ou omitida quando seja suscetível de pôr em risco a segurança nacional;

c)

Ser adiada quando seja suscetível de pôr em risco operações de segurança pública.

3.   As medidas destinadas a reduzir os danos devem também prever a notificação do incidente à pessoa em causa, sempre que as circunstâncias do incidente o justifiquem, a menos que a referida notificação seja suscetível de pôr em risco:

a)

A ordem pública ou a segurança nacional;

b)

Os inquéritos, investigações ou procedimentos oficiais;

c)

A prevenção, deteção, investigação ou repressão de infrações penais;

d)

Os direitos e liberdades de terceiros, nomeadamente a proteção das vítimas e das testemunhas.

4.   As autoridades competentes envolvidas na transferência de dados pessoais podem consultar-se sobre o incidente e sobre a resposta a adotar.

Artigo 11.o

Conservação de registos

1.   As Partes devem estabelecer métodos eficazes para demonstrar a licitude do tratamento de dados pessoais, que podem incluir a utilização de registos cronológicos ou de outro tipo.

2.   As autoridades competentes podem utilizar tais registos cronológicos ou de outro tipo para assegurar o correto funcionamento das bases de dados ou dos ficheiros em causa, garantir a integridade e a segurança dos dados e, sempre que necessário, cumprir procedimentos de salvaguarda.

Artigo 12.o

Prazos de conservação de registos

1.   As Partes devem prever nas respetivas ordens jurídicas prazos específicos de conservação dos registos que contenham informações pessoais, a fim de garantir que tais informações não são conservadas por mais tempo do que o necessário e adequado. Os prazos de conservação devem ter em conta a finalidade do tratamento, a natureza dos dados e a autoridade responsável pelo tratamento, o impacto nos direitos e interesses das pessoas afetadas e outras considerações de ordem jurídica aplicáveis.

2.   No caso de os Estados Unidos, por um lado, e a União Europeia ou um Estado-Membro, por outro, celebrarem um acordo sobre a transmissão de dados pessoais, diferentes dos dados relacionados com casos, investigações ou processos penais concretos, tal acordo deve incluir uma disposição específica e mutuamente aceite sobre o prazo de conservação dos registos.

3.   As Partes devem prever procedimentos de revisão periódica do prazo de conservação de registos, a fim de determinar se a alteração de algumas circunstâncias exige uma alteração ulterior do prazo aplicável.

4.   As Partes devem publicar ou tornar público de outra forma os prazos de conservação.

Artigo 13.o

Categorias especiais de dados pessoais

1.   O tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas e as convicções religiosas ou de outro tipo, a filiação sindical ou informações pessoais relativas à saúde ou à vida sexual só pode realizar-se com salvaguardas adequadas, em conformidade com a lei. Tais salvaguardas adequadas podem consistir em: limitar as finalidades para as quais os dados podem ser tratados, permitindo, por exemplo, o tratamento apenas numa base casuística; mascarar, suprimir ou bloquear a informação depois de a finalidade para a qual foram tratados ter sido alcançada; restringir o pessoal autorizado a aceder à informação; exigir uma formação especializada ao pessoal que tiver acesso à informação; subordinar o acesso a essa informação à autorização de uma autoridade de controlo; ou outras medidas de proteção. As referidas salvaguardas devem ter devidamente em conta a natureza da informação, o seu caráter particularmente sensível e a finalidade para a qual é tratada.

2.   No caso de os Estados Unidos, por um lado, e a União Europeia ou um Estado-Membro, por outro, celebrarem um acordo sobre a transmissão de dados pessoais, diferentes dos dados relacionados com casos, investigações ou processos penais concretos, tal acordo deve especificar as normas e condições em que tais dados podem ser tratados, tendo devidamente em conta a natureza e a finalidade a que se destina.

Artigo 14.o

Responsabilização

1.   As Partes devem adotar medidas para promover a responsabilização no que respeita ao tratamento de dados pessoais no âmbito do presente Acordo pelas respetivas autoridades competentes e qualquer outra autoridade a quem tenham sido transferidos dados pessoais. Essas medidas devem incluir a notificação das salvaguardas aplicáveis às transferências de dados pessoais ao abrigo do presente Acordo e das condições eventualmente impostas pela autoridade competente que procede à transferência, nos termos do artigo 6.o, n.o 3. As faltas graves devem ser objeto de sanções penais, civis ou administrativas adequadas e dissuasivas.

2.   As medidas enunciadas no n.o 1 devem incluir, se for caso disso, a interrupção da transferência de dados pessoais para as autoridades das entidades territoriais das Partes não abrangidas pelo presente Acordo que não tenham protegido de forma eficaz os dados pessoais, tendo em conta o objeto do presente Acordo e, em especial, as suas disposições relativas à limitação das finalidades e da utilização e à transferência ulterior.

3.   Caso seja alegada a execução inadequada do presente artigo, uma Parte pode solicitar à outra informações a este propósito, designadamente, se for caso disso, sobre as medidas tomadas ao abrigo do presente artigo.

Artigo 15.o

Decisões automatizadas

As decisões suscetíveis de produzir efeitos prejudiciais significativos contra interesses relevantes da pessoa envolvida não podem basear-se exclusivamente no tratamento automatizado dos dados pessoais sem qualquer intervenção humana, a menos que tal seja autorizado pelo direito nacional e sejam previstas garantias adequadas que contemplem a possibilidade de requerer uma intervenção humana.

Artigo 16.o

Acesso

1.   As Partes devem assegurar que qualquer pessoa tenha o direito de solicitar o acesso aos seus dados pessoais e, sob reserva das restrições previstas no n.o 2, que o possa obter. Esse acesso deve ser solicitado e obtido junto de uma autoridade competente, em conformidade com o quadro jurídico aplicável do Estado onde for requerido.

2.   A obtenção dessas informações num caso concreto pode estar sujeita a restrições razoáveis previstas no direito nacional, tendo em conta os interesses legítimos da pessoa singular em causa, de modo a:

a)

Proteger os direitos e liberdades de terceiros, nomeadamente a sua privacidade;

b)

Salvaguardar a ordem pública e a segurança nacional;

c)

Proteger informações sensíveis na posse das autoridades com poderes coercivos;

d)

Impedir que obstem a inquéritos, investigações, ou procedimentos oficiais ou judiciais;

e)

Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

f)

Proteger de qualquer outra forma os interesses previstos na legislação em matéria de liberdade de informação e de acesso do público a documentos.

3.   O acesso de uma pessoa singular aos seus dados pessoais não deve implicar encargos excessivos.

4.   Qualquer pessoa singular tem o direito de autorizar, sempre que a legislação nacional o permita, uma autoridade de supervisão ou outro representante a solicitar o acesso em seu nome.

5.   Se o acesso for recusado ou restringido, a autoridade competente requerida deve, sem demora injustificada, comunicar à pessoa singular ou ao seu representante devidamente autorizado, nos termos do n.o 4, os motivos da recusa ou da restrição do acesso.

Artigo 17.o

Retificação

1.   As Partes devem assegurar que qualquer pessoa singular possa solicitar a correção ou retificação dos seus dados pessoais que considere inexatos ou indevidamente tratados. A referida correção ou retificação podem consistir no aditamento, supressão, bloqueio ou quaisquer outras medidas ou métodos destinados a remediar imprecisões ou um tratamento inadequado, devendo ser solicitada e obtida junto de uma autoridade competente, em conformidade com o regime jurídico aplicável no Estado onde for requerida.

2.   Sempre que a autoridade competente destinatária concluir, na sequência:

a)

de um pedido ao abrigo do n.o 1;

b)

de uma notificação da entidade que prestou as informações; ou

c)

das suas próprias investigações ou inquéritos;

que as informações que recebeu ao abrigo do presente Acordo são incorretas ou foram indevidamente tratadas, deve tomar as medidas de aditamento, supressão, bloqueio ou outros métodos de correção ou retificação, consoante o caso.

3.   Qualquer pessoa singular pode autorizar, sempre que a legislação nacional o permita, uma autoridade de supervisão ou outro representante a solicitar a correção ou a retificação em seu nome.

4.   Se a correção ou retificação for recusada ou limitada, a autoridade competente requerida deve, sem demora injustificada, comunicar à pessoa singular ou ao seu representante devidamente autorizado, nos termos do n.o 3, os motivos da recusa ou da limitação da correção ou retificação.

Artigo 18.o

Recurso administrativo

1.   As Partes devem assegurar que qualquer pessoa singular pode interpor recurso administrativo quando considere que o seu pedido de acesso nos termos do artigo 16.o ou a retificação de informações inexatas ou objeto de tratamento inadequado nos termos do artigo 17.o foi indevidamente recusado. O recurso deve ser interposto junto de uma autoridade competente, em conformidade com o regime jurídico aplicável do Estado onde for interposto o recurso.

2.   Qualquer pessoa singular pode autorizar, sempre que a legislação nacional o permita, uma autoridade de supervisão ou outro representante a interpor um recurso administrativo em seu nome.

3.   A autoridade competente junto da qual o recurso é interposto procede aos inquéritos e verificações adequados e deve, sem demora injustificada, comunicar por escrito, nomeadamente por via eletrónica, as suas conclusões, incluindo eventuais melhorias ou correções. A notificação das outras vias de recurso administrativo deve ser efetuada em conformidade com o disposto no artigo 20.o.

Artigo 19.o

Recurso judicial

1.   As Partes devem prever nos respetivas ordens jurídicas que, sem prejuízo da obrigação de esgotar em primeiro lugar as vias de recurso administrativo, qualquer cidadão de uma das Partes pode interpor recurso judicial, em caso de:

a)

Recusa por parte de uma autoridade competente do acesso a registos que contenham dados pessoais da pessoa em causa;

b)

Recusa por parte de uma autoridade competente de alterar registos que contenham dados pessoais; e

c)

Divulgação ilícita desses dados, de forma deliberada ou intencional, caso em que pode ser exigida uma indemnização compensatória.

2.   O recurso judicial deve ser interposto em conformidade com o regime jurídico aplicável do Estado onde a reparação for requerida.

3.   Os n.os 1 e 2 são aplicáveis sem prejuízo de qualquer outro recurso judicial relativo ao tratamento de dados pessoais previsto na legislação do Estado em que o recurso for interposto.

4.   Em caso de suspensão ou de cessação da vigência do presente Acordo, os artigos 26.o, n.o 2, e 29.o, n.o 3, não podem constituir a base para a interposição de um recurso judicial que deixou de estar disponível ao abrigo da legislação da Parte em causa.

Artigo 20.o

Transparência

1.   As Partes devem notificar o titular dos dados, eventualmente através das autoridades competentes por meio da publicação de notificações gerais ou através de uma notificação individual, na forma e na data prevista pela lei aplicável à autoridade que efetua a notificação, os seguintes elementos:

a)

Finalidades do tratamento de tais dados por essa autoridade;

b)

Finalidades para as quais os dados podem ser partilhados com outras autoridades;

c)

Disposições legislativas ou normas ao abrigo das quais o tratamento é efetuado;

d)

Terceiros a quem tais dados são divulgados; e

e)

Direitos da pessoa em causa em matéria de acesso, correção ou retificação, bem como as vias de recurso disponíveis.

2.   Esta obrigação de notificação está sujeita a restrições razoáveis ao abrigo do direito nacional, no que diz respeito aos domínios enunciados no artigo 16.o, n.o 2, alíneas a) a f).

Artigo 21.o

Supervisão eficaz

1.   As Partes devem dispor de uma ou mais autoridades públicas de supervisão que:

a)

Exerçam funções e competências de supervisão de forma independente, nomeadamente em matéria de revisão, investigação e intervenção, se necessário, por sua própria iniciativa;

b)

Sejam competentes para receber e intervir em caso de queixas apresentadas por pessoas singulares relativas às medidas de execução do presente Acordo; e

c)

Tenham competência para assinalar violações da legislação relacionada com o presente Acordo para efeitos de ação penal ou disciplinar, se for caso disso.

2.   A União Europeia efetua a supervisão nos termos do presente artigo, através das suas autoridades responsáveis pela proteção de dados e das autoridades dos Estados-Membros.

3.   Os Estados Unidos devem efetuar a supervisão nos termos do presente artigo de forma cumulativa, através de várias autoridades, que podem incluir, designadamente, os inspetores gerais (inspectors general), os diretores gerais responsáveis pela proteção da vida privada (chief privacy officers), o organismo de auditoria do Congresso (Government Accountability Office), a Comissão de Controlo da Privacidade e das Liberdades Cívicas (Privacy and Civil Liberties Oversight Board) e outros organismos executivos ou legislativos de supervisão do respeito da vida privada e das liberdades civis.

Artigo 22.o

Cooperação entre as autoridades de supervisão

1.   Se for caso disso, serão realizadas consultas entre as autoridades de supervisão referidas no artigo 21.o quanto ao exercício das funções relacionadas com o presente Acordo, tendo em vista garantir a execução eficaz do disposto nos artigos 16.o, 17.o e 18.o.

2.   As Partes devem criar pontos de contacto nacionais que ajudem a identificar a autoridade de supervisão competente num determinado caso.

Artigo 23.o

Reexame conjunto

1.   As Partes devem proceder periodicamente a um reexame conjunto das políticas e procedimentos de execução do presente Acordo e da sua eficácia. Esse reexame deve prestar especial atenção à aplicação eficaz das garantias previstas no artigo 14.o (responsabilização), no artigo 16.o (acesso), no artigo 17.o (retificação), no artigo 18.o (recurso administrativo) e no artigo 19.o (recurso judicial).

2.   O primeiro reexame conjunto deve ter lugar no prazo de três anos após a data de entrada em vigor do presente Acordo e, a partir de aí, a intervalos regulares. As Partes devem acordar previamente as modalidades e as condições desse reexame e comunicar entre si a composição das respetivas delegações, que devem incluir representantes das autoridades públicas de supervisão a que se refere o artigo 21.o sobre a supervisão eficaz, bem como das autoridades judiciais e policiais. As conclusões do reexame conjunto devem ser tornadas públicas.

3.   Caso as Partes, ou os Estados Unidos e um Estado-Membro, tenham celebrado um acordo cujo objeto seja igualmente abrangido pelo âmbito do presente Acordo, que preveja a realização de um reexame conjunto, tal reexame conjunto não deve constituir uma duplicação e, na medida em que sejam pertinentes, as respetivas conclusões devem ser integradas nas conclusões do reexame conjunto efetuado no âmbito do presente Acordo.

Artigo 24.o

Notificação

1.   Os Estados Unidos devem notificar à União Europeia qualquer designação efetuada pelas suas autoridades nos termos do artigo 19.o, bem como qualquer alteração nesta matéria.

2.   As Partes devem envidar esforços razoáveis no sentido de notificar mutuamente a adoção de disposições legislativas ou regulamentares suscetíveis de afetar substancialmente a execução do presente Acordo, se possível antes de estas entrarem em vigor.

Artigo 25.o:

Consulta

Os litígios decorrentes da interpretação ou da aplicação do presente Acordo devem ser objeto de consultas entre as Partes com vista a encontrar uma solução mutuamente aceitável.

Artigo 26.o

Suspensão

1.   Em caso de violação substancial do presente Acordo, qualquer das Partes pode suspendê-lo, total ou parcialmente, mediante notificação escrita à outra Parte por via diplomática. Tal notificação escrita só deve ser efetuada após as Partes terem procedido a consultas durante um período de tempo razoável e não terem conseguido encontrar uma solução. A suspensão produz efeitos vinte dias após a data de receção da referida notificação. A suspensão pode ser levantada pela Parte notificante, mediante nova notificação por escrito à outra Parte. A suspensão é levantada imediatamente após a receção da nova notificação.

2.   Não obstante a eventual suspensão do presente Acordo, os dados pessoais abrangidos pelo seu âmbito de aplicação e transferidos antes da eventual suspensão continuarão a ser tratados em conformidade com o disposto no presente Acordo.

Artigo 27.o

Âmbito de aplicação territorial

1.   O presente Acordo só se aplica à Dinamarca, ao Reino Unido ou à Irlanda se a Comissão Europeia notificar por escrito aos Estados Unidos que a Dinamarca, o Reino Unido ou a Irlanda decidiram que o presente Acordo lhes é aplicável.

2.   Se, antes da entrada em vigor do presente Acordo, a Comissão Europeia notificar aos Estados Unidos que o mesmo se aplica à Dinamarca, ao Reino Unido ou à Irlanda, o presente Acordo aplica-se estes Estados a partir da data da sua entrada em vigor.

3.   Se, depois da entrada em vigor do presente Acordo, a Comissão Europeia notificar aos Estados Unidos que o mesmo se aplica à Dinamarca, ao Reino Unido ou à Irlanda, o Acordo aplica-se a estes Estados a partir do primeiro dia do mês seguinte à receção da notificação pelos Estados Unidos.

Artigo 28.o

Vigência

O presente Acordo é celebrado por tempo indeterminado.

Artigo 29.o

Entrada em vigor e cessação da vigência

1.   O presente Acordo entra em vigor no primeiro dia do mês seguinte à data em que as Partes tiverem trocado notificações em que indiquem ter cumprido as respetivas formalidades internas para o efeito.

2.   Qualquer das Partes pode denunciar o presente Acordo mediante notificação escrita à outra Parte por via diplomática. A denúncia produz efeitos trinta dias a contar da data em que for recebida a notificação.

3.   Não obstante a eventual cessação da vigência do presente Acordo, os dados pessoais abrangidos pelo seu âmbito de aplicação e transferidos antes da eventual cessação da sua vigência continuarão a ser tratados em conformidade com o disposto no presente Acordo.

EM FÉ DO QUE os plenipotenciários abaixo assinados apuseram as suas assinaturas no final do presente Acordo.

Feito em Amesterdão aos dois dias do mês de junho do ano dois mil e dezasseis, em duplo exemplar, em língua inglesa. Em conformidade com a legislação da União Europeia, o presente Acordo é também redigido pela UE nas línguas alemã, búlgara, checa, croata, dinamarquesa, eslovaca, eslovena, espanhola, estónia, finlandesa, francesa, grega, húngara, italiana, letã, lituana, maltesa, neerlandesa, polaca, portuguesa, romena e sueca. Estas versões linguísticas adicionais podem ser autenticadas através de uma troca de notas diplomáticas entre os Estados Unidos e a União Europeia. Em caso de divergência entre versões linguísticas que façam fé, o texto em língua inglesa prevalece sobre os textos noutras línguas.

Pela União Europeia

Pelos Estados Unidos da América