sobre o nível de protecção adequado dos dados pessoais contidos nos registos de passageiros aéreos (Passenger Name Record) transferidos para o serviço de fronteiras canadiano (Canada Border Services Agency)

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1), nomeadamente o n.o 6 do seu artigo 25.o,

Para efeitos do n.o 2 do artigo 25.o da Directiva 95/46/CE, considera-se que o Canadian Customs Border Services Agency (em seguida referido como CBSA) assegura um nível adequado de protecção dos dados dos PNR transferidos a partir da Comunidade no que diz respeito a voos com destino ao Canadá, em conformidade com a Declaração de Compromisso que figura no Anexo.

A presente decisão diz respeito ao nível adequado de protecção assegurado pelo CBSA, a fim de dar cumprimento ao disposto no n.o 1 do artigo 25.o da Directiva 95/46/CE, e não afectará outras condições ou restrições à aplicação de outras disposições da referida directiva relativas ao tratamento de dados pessoais nos Estados-Membros.

1. Sem prejuízo dos poderes das autoridades competentes dos Estados-Membros no que se refere à adopção de medidas para garantir o respeito das disposições nacionais adoptadas por força de outras disposições para além das previstas no artigo 25.o da Directiva 95/46/CE, as referidas autoridades podem exercer os poderes de que dispõem para suspender a transferência de dados para o CBSA, a fim de proteger as pessoas no que respeita ao tratamento dos seus dados pessoais, quando:

2. A suspensão cessará assim que o respeito das normas de protecção estiver assegurado e as autoridades competentes do Estado Membro em questão sejam disso informadas.

1. Os Estados-Membros devem informar imediatamente a Comissão da adopção de medidas ao abrigo do artigo 3.o

2. Os Estados-Membros e a Comissão devem ainda manter-se mutuamente informados de qualquer alteração nas normas de protecção e dos casos em que os organismos responsáveis por assegurar o cumprimento, pelo CBSA, das normas de protecção constantes do anexo não assegurem convenientemente esse mesmo cumprimento.

3. Se a informação recolhida nos termos do artigo 3.o e dos n.os 1 e 2 do presente artigo demonstrar que os princípios básicos necessários a um nível adequado de protecção das pessoas singulares não estão a ser respeitados, ou que os organismos responsáveis por assegurar o cumprimento das normas de protecção pelo CBSA não desempenham eficazmente as suas funções, o CBSA deverá ser informado e, se necessário, o procedimento referido no n.o 2 do artigo 31.o da Directiva 95/46/CE será aplicado, com vista a revogar ou suspender a presente decisão.

A aplicação da presente decisão deverá ser avaliada e quaisquer conclusões pertinentes serão comunicadas ao comité criado em conformidade com o artigo 31.o da Directiva 95/46/CE, nomeadamente todas as provas que possam afectar a afirmação do artigo 1.o da presente decisão, segundo a qual o nível de protecção dos dados pessoais contidos nos PNR dos passageiros transferidos para o CBSA é adequado, na acepção do artigo 25.o da Directiva 95/46/CE.

Os Estados-Membros tomarão todas as medidas necessárias para dar cumprimento à presente decisão, no prazo de quatro meses após a data da sua notificação.

A presente decisão expirará três anos e seis meses após a data da sua notificação, a menos que seja prorrogada nos termos do procedimento definido no n.o 2 do artigo 31.o da Directiva 95/46/CE.

(2) Para efeitos da presente decisão, o termo «PNR» inclui dados provenientes do Advance Passenger Information (API) como previsto na secção 4 do documento Commitments do CBSA.

(3) Passenger Information (Customs) Regulations e Regulation 269 das Immigration and Refugee Protection Regulations.

(4) Parecer 3/2004 sobre o nível de protecção garantido no Canadá para a transferência de dados dos passageiros (PNR) e de dados provenientes do Advance Passenger Information provenientes das companhias aéreas, adoptado pelo Grupo de Trabalho em 11 de Fevereiro de 2004, disponível em: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp88_en.pdf

Parecer 1/2005 sobre o nível de protecção garantido no Canadá para a transferência de dados dos passageiros (PNR) e de dados provenientes do Advance Passenger Information provenientes das companhias aéreas, adoptado pelo Grupo de Trabalho em 19 de Janeiro de 2005, disponível em: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp103_en.pdf

ANEXO

DECLARAÇÃO DE COMPROMISSO DO CANADA BORDER SERVICE AGENCY SOBRE A APLICAÇÃO DO SEU PROGRAMA RELATIVO AOS DADOS PNR

Autoridade Jurídica para recolher informação dos API e dos PNR

Nos termos da legislação canadiana, todas as companhias aéreas têm que apresentar ao CBSA (Canada Border Services Agency) informação sobre os API (Advance Passenger Information) e os PNR (Passenger Name Record) relacionada com todas as pessoas a bordo de voos com destino ao Canadá. A competência jurídica do CBSA para obter e recolher tais informações é regulamentada na secção 107.1 da lei Customs Act, e dos regulamentos Passenger Information (Customs) Regulations adoptados ao abrigo desse diploma, e no ponto 148(1)(d) da lei Immigration and Refugee Protection Act e do regulamento 269 da lei Immigration and Refugee Protection Regulations adoptado em sua aplicação.

Finalidades da recolha de dados API e PNR

Os dados API e PNR só serão recolhidos pelo CBSA relativamente aos voos com destino para o Canadá. O CBSA usará dados API e PNR recolhidos de companhias aéreas europeias e outras para identificar pessoas que representem um risco potencial de transportar artefactos relacionados com o terrorismo, ou para impedir pessoas de entrar em território canadiano porque representam um risco potencial em termos de terrorismo e crimes conexos ou outros crimes graves, incluindo o crime organizado, que são, por natureza, transnacionais.

Os dados API e PNR serão usados pelo CBSA para identificar pessoas que serão submetidas a interrogação ou exame mais pormenorizados à sua chegada ao Canadá, ou que requerem investigação mais aprofundada, para uma das finalidades descritas na secção 2. Os funcionários do CBSA ou de outra autoridade canadiana de aplicação da lei não tomarão medidas coercivas apenas decorrentes do mero tratamento automatizado de dados API ou PNR.

Dados API e PNR recolhidos

A lista dos elementos de dados API que serão recolhidos pelo CBSA para os efeitos definidos na secção 2 encontra-se definida no ponto 3, (a) a (f), dos regulamentos Passenger Information (Customs) Regulations em aplicação da lei Customs Act (1). A lista dos elementos dos dados PNR que serão recolhidos pelo CBSA para os efeitos definidos na secção 2 encontra-se no apêndice A. Para mais garantia, os elementos «sensíveis» na acepção do n.o 1 do artigo 8.o da Directiva 95/46/CE (em seguida referida como a Directiva), e todos os campos de texto «aberto» ou de carácter «geral», não serão incluídos nestes 25 elementos de dados.

O CBSA não exige a uma companhia que recolha informação PNR que esta não regista para sua própria utilização, nem que recolha informação adicional com a finalidade de a veicular ao CBSA. Assim, o CBSA reconhece que apenas recolhe os elementos listados no apêndice A na medida em que são recolhidos por uma companhia e se encontram nos respectivos sistemas automatizados de reservas e de controlo de partidas (DCS).

O CBSA consultará e chegará a acordo com a Comissão Europeia no que toca à revisão dos 25 elementos de dados PNR exigidos definidos no apêndice A, antes de efectuar qualquer revisão nesse sentido,

(a)	se o CBSA tiver conhecimento de qualquer elemento adicional dos dados PNR e considerar que esse elemento é necessário para as finalidades estabelecidas na secção 2, ou

(b)	se o CBSA tiver conhecimento em qualquer altura de que um elemento particular dos dados PNR já não é necessário para as finalidades definidas na secção 2.

Método de acesso aos dados dos API e dos PNR

7.	O sistema de informação dos passageiros do CBSA Passenger Information System (referido de agora em diante como «PAXIS») foi configurado para receber dados API e PNR enviados por companhias aéreas.

Conservação e acesso aos dados dos API e dos PNR

Sempre que a informação API e PNR diga respeito a uma pessoa que não é objecto de investigação no Canadá por qualquer razão descrita na secção 2, será arquivada no sistema PAXIS durante um período máximo de três anos e meio. Durante este período, a informação será progressivamente despersonalizada, da seguinte maneira:

(a)

Nas primeiras 72 horas a partir da sua recepção, toda a informação API e PNR disponível será acessível apenas a um número limitado de funcionários encarregados de funções confidenciais e agentes dos serviços de informações do CBSA para identificar os passageiros que requerem investigação aprofundada à chegada ao Canadá, para uma das finalidades definidas na secção 2.

(b)

Desde o fim deste período de 72 horas até dois anos depois da chegada da informação, o registo PNR de uma pessoa será mantido no sistema PAXIS mas só os agentes dos serviços de informações do CBSA adstritos aos aeroportos internacionais do Canadá ou os dos serviços centrais nacionais do CBSA em Otava terão acesso a ele. O nome da pessoa a que a informação se refere não será acessível a estes funcionários e agentes, a não ser que isso seja necessário para continuar uma investigação em território canadiano por uma das razões descritas na secção 2. O registo PNR voltará a ser personalizado se o funcionário considerar, com motivos razoavelmente justificados, que o nome da pessoa é necessário para continuar a investigação. Durante este período, a despersonalização da informação será usada pelos analistas dos serviços de informações do CBSA para efectuar análises de tendências e definir indicadores de riscos futuros relacionados com as finalidades definidas na secção 2.

(c)

Dois anos após a chegada da informação, o registo PNR será mantido no sistema PAXIS por um período máximo de um ano e meio, mas todos os dados que podem levar à identificação da pessoa a quem a informação se refere só serão acessíveis se o Presidente do CBSA o aprovar para as finalidades definidas na secção 2. Durante este período, a informação despersonalizada será usada pelos analistas dos serviços de informações do CBSA para efectuar análises de tendências e definir indicadores de riscos futuros relacionados com as finalidades definidas na secção 2.

(d)

Os dados API serão arquivados em separado dos dados PNR no sistema PAXIS. Os dados API serão retidos no sistema PAXIS por um período máximo de três anos e meio, mas durante esse tempo a informação relacionada com uma pessoa não será usada para aceder à informação PNR sobre essa mesma pessoa, se o registo PNR não voltar a ser personalizado nas circunstâncias descritas em (b).

Sempre que a informação API e PNR diga respeito a uma pessoa que é objecto de investigação no Canadá por qualquer razão descrita na secção 2, será registada numa base de investigação do CBSA. Estas bases contêm apenas informação relativa a pessoas investigadas ou objecto de medidas de aplicação da lei, em cumprimento da legislação do CBSA. O acesso a estas bases só é possível aos funcionários do CBSA cujas funções o exijam e é cuidadosamente controlado. A informação API e PNR transferida para estas bases de investigação será mantida no sistema o tempo exclusivamente necessário, e nunca por períodos superiores a seis anos, prazo após o qual será destruída, a menos que seja necessária por um período adicional, por força da lei sobre a privacidade (Privacy Act) ou da lei relativa ao acesso à informação (Access to Information Act), como explicado no ponto 10 b.

10.

Quando o CBSA usa informação pessoal para tomar decisões que afectam os interesses dos titulares desses dados, essa informação deve ser mantida no CBSA durante dois anos a partir da data em que é usada, para que o titular dos dados possa conhecer os elementos da decisão tomada a seu respeito, a não ser que tenha dado o seu consentimento para a eliminação desses dados, ou quando tiver sido apresentado um pedido de acesso a essa informação, ou durante o tempo necessário para que a pessoa tenha a oportunidade de exercer todos os seus direitos consagrados na lei Privacy Act ou na lei Access to Information Act.

(a)	No caso da informação mantida na base PAXIS, este requisito de dois anos será transformado no período máximo de três anos e meio durante o qual a informação será retida nessa base.

(b)

No caso da informação mantida nas bases de investigação, os dados API e PNR podem ser mantidos por períodos não superiores a seis anos, se o CBSA precisar deles para os efeitos de investigação descritos na secção 9 e, em seguida, por um período adicional máximo de dois anos, durante o qual estarão acessíveis aos titulares dos dados, de acordo com a lei Privacy Act ou a lei Access to Information Act, mas não poderão ser utilizados para fins administrativos pelo CBSA.

11.	Os dados API e PNR serão destruídos, no fim dos prazos para a sua manutenção previstos nas secções 8 a 10, de acordo com as disposições da lei sobre os arquivos nacionais (National Archives Act) (2).

Divulgação dos dados API e PNR a outros departamentos e agências canadianas

12.

A divulgação dos dados API e PNR pelo CBSA está regulada no Privacy Act, no Access to Information Act e na própria legislação do CBSA. Embora o Privacy Act e o Access to Information Act assegurem um direito de acesso aos registos quando, regra geral, não se apliquem derrogações ou exclusões, estas leis não prevêem qualquer obrigatoriedade de divulgação dos dados API e PNR. No website do CBSA será colocado à disposição do público um documento sobre a sua política administrativa em matéria de divulgação, acesso e utilização da informação API e PNR (Memorandum D-1-16-3) com o título Interim Administrative Guidelines for the Disclosure, Access to and Use of Passenger Name Record (PNR) Data (em seguida «política do CBSA em matéria de divulgação dos dados PNR»). Esta política, descrita na secção 37 da Declaração de Compromisso, define que a informação API e PNR pode ser partilhada com outros departamentos governamentais canadianos para os fins exclusivos definidos na secção 2, a não ser que a divulgação seja efectuada para cumprir uma intimação ou mandado judicial, ou uma ordem emitida por um tribunal, uma pessoa ou organismo com jurisdição no Canadá para obrigar à emissão da informação para procedimentos judiciais.

13.

A informação API e PNR não será divulgada em bloco. O CBSA só emitirá informação API e PNR seleccionada numa base casuística e só depois de analisada a relevância dessa informação específica a divulgar. Apenas podem ser fornecidos os elementos API e PNR específicos que se possa claramente demonstrar serem necessários nessas circunstâncias particulares. Em qualquer dos casos, será sempre divulgada a quantidade mínima de informação possível.

14.

O CBSA só divulgará informação API e PNR quando os destinatários propostos se comprometem a respeitar a mesma protecção que o CBSA. Os serviços governamentais canadianos que recebem dados PNR são também obrigados a respeitar os requisitos da lei Privacy Act na medida em que se encontram inscritos no Schedule da referida lei. A Privacy Act aplica-se à informação pessoal sobre um indivíduo identificável, registada de alguma forma, e sob controlo de um departamento ou de uma agência do Governo federal canadiano abrangidos pelo âmbito da lei. Tais departamentos ou agências não podem recolher informações pessoais que não estejam «directamente relacionadas com programas ou actividades operacionais da própria instituição».

15.	O CBSA exige, como condição prática precedente à divulgação, que as autoridades canadianas federais ou provinciais de aplicação da lei se comprometam a não divulgar posteriormente a informação recebida, sem autorização do CBSA, a menos que tal seja exigido por lei.

Divulgação dos dados API e PNR a outros países

16.	O CBSA pode partilhar informação API e PNR com o Governo de um país estrangeiro, nos termos das disposições ou dos acordos previstos na subsecção 8(2) da lei Privacy Act e da subsecção 107(8) da lei Customs Act.

17.

Tais disposições ou acordos podem incluir um memorando de compromisso especialmente criado para os fins do programa do CBSA relativo aos dados PNR, ou um tratado que consagre que as autoridades do CBSA têm que prestar assistência e informação. Em qualquer dos casos, a informação só será partilhada para os fins relevantes previstos na secção 2, e apenas se o país destinatário se comprometer a respeitar a protecção nas modalidades previstas na presente Declaração de Compromisso. Em qualquer dos casos, só será divulgada a outros países a menor quantidade possível de informação.

18.	A informação API e PNR constante do PAXIS só será partilhada com um país cujo nível de protecção tenha sido considerado adequado nos termos da directiva, ou seja abrangido pelo seu âmbito de aplicação.

19.

A informação API e PNR mantida nas bases de investigação descritas na secção 9 pode ser partilhada de acordo com as obrigações previstas no tratado, ao abrigo de um acordo de auxílio alfandegário mútuo ou auxílio judiciário mútuo. Neste caso, os dados API e PNR só serão partilhados numa base casuística, desde que o CBSA tenha a prova de que se relacionam directamente com a investigação ou a prevenção dos crimes referidos na secção 2 e desde que sejam absolutamente necessários para prosseguir a investigação em curso.

Divulgação dos dados API e PNR para protecção dos interesses vitais do titular desses dados

20.

Nenhuma disposição da presente declaração de compromisso pode impedir o CBSA de divulgar dados API e PNR aos departamentos e agências estatais canadianas competentes, quando tal divulgação for essencial para a protecção dos interesses vitais do titular dos dados ou de outras pessoas, nomeadamente no caso de riscos sanitários graves.

Notificação do titular dos dados

21.

O CBSA dará conhecimento aos passageiros das exigências relativas aos API e aos PNR e das questões ligadas à sua utilização, incluindo informação geral relativa à entidade responsável pela recolha dos dados, finalidade dessa recolha, protecção concedida aos dados, modalidades e extensão da partilha dos dados, identidade dos funcionários responsáveis, vias de recurso disponíveis e pontos de contacto para apresentação de perguntas ou problemas.

Mecanismos de revisão jurídica do programa do CBSA relativo aos dados PNR

22.	O programa PNR pode ser sujeito a revisões de conformidade e a investigações das instâncias responsáveis por estas questões, o Privacy Commissioner do Canadá e o Office of the Auditor General do Canadá.

23.

A autoridade independente de protecção dos dados do Canadá, o Privacy Commissioner, pode investigar se os departamentos e as agências governamentais cumprem a Privacy Act, e pode ainda avaliar o próprio CBSA, no que diz respeito ao cumprimento da sua Declaração de Compromisso. Depois de estipulados os critérios e os objectivos aceitáveis, o serviço Privacy Practices and Review do gabinete do Privacy Commissioner pode proceder a revisões de conformidade e a investigações. O Privacy Commissioner do Canadá pode divulgar informação que considera necessária para conduzir uma investigação prevista na lei ou definir as bases da elaboração de conclusões e recomendações apresentadas nos relatórios elaborados em cumprimento da Lei.

24.	O Office of the Auditor General do Canadá conduz auditorias independentes às actividades do Governo federal canadiano. Estas auditorias facultam aos membros do Parlamento e ao público informação objectiva necessária à avaliação do desempenho e à responsabilização do Governo do país.

25.

A versão final dos relatórios do Privacy Commissioner e do Auditor General é anualmente apresentada ao Parlamento que a disponibiliza ou não, conforme entenda, ao grande público através da Internet. O CBSA facultará à Comissão os exemplares desses relatórios que de alguma maneira digam respeito ao programa dos dados PNR.

Revisão conjunta do programa do CBSA relativo aos dados PNR

26.	Além dos procedimentos de revisão acima mencionados, previsto na legislação canadiana, o CBSA participará numa base anual ou outra adequada, e conforme acordado com a Comissão, numa revisão conjunta do programa PNR em relação com as transferências de dados API e PNR para o CBSA.

Reparação

Quadro jurídico

27.

A lei canadiana sobre direitos e liberdades (Charter of Rights and Freedoms), que faz parte da Constituição do Canadá, aplica-se a todas as acções do governo, incluindo a legislação. A secção 8 da Charter prevê o direito de protecção contra a busca e a apreensão injustificadas e protege uma expectativa razoável de privacidade. A secção 24 da Charter permite que uma pessoa cujos direitos foram violados solicite a um tribunal de jurisdição competente a reparação que o tribunal considere apropriada e justa naquelas circunstâncias.

28.

O direito de um cidadão estrangeiro de aceder a registos sob o controlo de um departamento do governo federal canadiano é concedido a todas as pessoas presentes no Canadá, em virtude da Extension Order Number 1 da lei Access to Information Act. Sob reserva de isenções previstas na lei, um cidadão estrangeiro presente no Canadá ou, alternativamente, uma pessoa presente no Canadá pode, com o consentimento do cidadão estrangeiro não presente no Canadá, fazer um pedido ao abrigo da lei sobre o acesso à informação relativamente a registos referentes ao cidadão estrangeiro e ter acesso a esses registos, sob reserva de isenções e exclusões específicas e restritas contidas na lei.

29.

Ao abrigo do Privacy Act, o direito de aceder a informações pessoais e de solicitar correcções ou anotações é alargado, em virtude da Extension Order Number 2, a qualquer pessoa presente no Canadá. Assim, sob reserva de isenções previstas nas lei, um cidadão estrangeiro pode exercer estes direitos como se estivesse presente no Canadá.

Quadro administrativo

30.

Adicionalmente, no entanto, o departamento governamental que detenha informações pessoais sobre uma pessoa pode conceder administrativamente os direitos de acesso, correcção e anotação a cidadãos estrangeiros que não estejam presentes no Canadá. O CBSA alargará estes direitos, no que diz respeito aos dados API e PNR em seu poder, aos cidadãos da UE ou a outras pessoas não presentes no Canadá, desde que a divulgação seja, por qualquer outra via, permitida por lei.

31.

O Privacy Commissioner pode introduzir uma queixa se estiver «convencido de que há motivos justificados para investigar uma questão no âmbito da lei [da privacidade]» e tem amplos poderes de investigação relativamente a qualquer queixa. Além disso, o Privacy Commissioner pode tratar as queixas que lhe sejam remetidas pelas autoridades responsáveis pela protecção dos dados (APD) de qualquer dos Estados-Membros da União Europeia em nome de um residente da UE, desde que este residente tenha autorizado essas autoridades a agir em seu nome e considere que a sua queixa em matéria de protecção dos dados API e PNR não foi adequadamente tratada pelo CBSA, em conformidade com o n.o 30 supra. O Privacy Commissioner comunicará as suas conclusões e aconselhará a(s) APD(s) quanto às medidas tomadas, se for esse o caso.

32.	O Privacy Commissioner tem também poderes especiais para investigar até que ponto os departamentos e as agências governamentais canadianas cumprem o Privacy Act no que diz respeito à recolha, retenção, utilização, divulgação e eliminação de dados pessoais.

Segurança das informações

33.

O acesso ao sistema PAXIS só será facultado a um número restrito de operadores ou agentes dos serviços de informações do CBSA adstritos a unidades de tratamento de dados de passageiros nos serviços regionais canadianos ou nos serviços centrais do CBSA em Otava, Canadá. Estes agentes terão acesso ao sistema PAXIS em locais de trabalho seguros que sejam inacessíveis ao público.

34.

De modo a aceder ao sistema PAXIS, os agentes deverão utilizar dois nomes de acesso (logins) diferentes, utilizando uma identificação pessoal de utilizador (user ID) e uma palavra passe (password) geradas pelo sistema. O primeiro login facultará o acesso à rede local (Local Area Network) do CBSA, e o segundo facultará o acesso à plataforma do sistema integrado de alfândegas (Integrated Customs System), que por sua vez permitirá o acesso à aplicação PAXIS. O acesso à rede do CBSA e a quaisquer dados contidos no sistema PAXIS será rigorosamente controlado e limitado a um grupo seleccionado de utilizadores, e qualquer busca ou revisão dos dados contidos no sistema relativos aos passageiros será objecto de auditoria. O registo de auditoria gerado conterá o nome do utilizador, o seu local de trabalho, a data e a hora de acesso, bem com o número de localizador do ficheiro do PNR para a informação acedida. O CBSA também limitará o acesso a elementos específicos dos dados API e PNR dentro do sistema à «necessidade de saber» (tipo/perfil do utilizador). Estes controlos assegurarão que o acesso aos dados API e PNR seja facultado apenas às pessoas descritas na secção 33, para as finalidades indicadas na secção 2.

35.

O acesso, a utilização e a divulgação de dados API e PNR são regidos pelo Privacy Act, pelo Access to Information Act e pela secção 107 do Customs Act, bem como pela política administrativa descrita na secção 37 da presente Declaração de Compromisso, que reflecte as protecções e salvaguardas delineadas no presente documento. A secção 160 do Customs Act e os códigos de conduta internos prevêem sanções penais e outras, caso as referidas políticas não sejam respeitadas, tendo o Privacy Commissioner, como já referido, poderes para dar início a uma investigação relativamente à divulgação de informações pessoais, ao abrigo do Privacy Act.

36.

A política de divulgação dos dados PNR do CBSA fixa os procedimentos que devem ser seguidos pelos funcionários do CBSA que têm acesso aos dados API e PNR. A política do CBSA visa proteger a confidencialidade das informações e geri-las em conformidade com a política das autoridades canadianas em matéria de legislação, bem como com as políticas do CBSA e do Governo do Canadá relacionadas com a gestão e a segurança das informações, como descrito na secção 38.

37.

A política de divulgação dos dados PNR do CBSA prevê:

(a)	que um funcionário só possa divulgar, permitir o acesso ou utilizar dados API e PNR quando autorizado a fazê-lo por lei e em conformidade com a política;

(b)	que os funcionários tomem todas as medidas adequadas para assegurar que só sejam divulgados a terceiras partes dados essenciais;

(c)	que os dados só sejam divulgados com uma finalidade específica autorizada e limitados à quantidade mínima requerida para essa finalidade;

(d)	que os dados só sejam facultados a — ou acedidos por — indivíduos na posse de uma exigência operacional nesse sentido; e

(e)	que, sob reserva do Privacy Act, do Access to Information Act e do National Archives Act, quaisquer dados divulgados sejam destruídos ou devolvidos assim que forem utilizados, em conformidade com as políticas de gestão da informação do CBSA e do Treasury Board of Canada.

38.

A política de divulgação dos dados PNR do CBSA faz parte de uma série de políticas do CBSA para a protecção e gestão de informações recolhidas ao abrigo dos vários diplomas administrados pelo CBSA. Além disso, todos os funcionários do CBSA estão vinculados pelas políticas de segurança do Governo do Canadá, no que diz respeito à protecção dos sistemas electrónicos e à protecção de dados (3).

39.	Todos os funcionários do CBSA conhecem estas políticas e as consequências do não cumprimento, sendo a aceitação das mesmas uma condição para a obtenção do posto que ocupam.

Reciprocidade

40.

O Aeronautics Act permite que as companhias aéreas canadianas que efectuem voos provenientes de qualquer país, ou qualquer companhia que efectue voos com partida do Canadá, forneçam a países estrangeiros informações respeitantes a pessoas a bordo desses voos e com destino a esses países, se a lei desses países exigir o fornecimento dessas informações.

41.

Caso a Comunidade Europeia, a União Europeia ou qualquer um dos seus Estados-Membros, decida adoptar um sistema de identificação dos passageiros das companhias aéreas e aprove legislação que obrigue as companhias aéreas a proporcionar às autoridades europeias acesso aos dados API e PNR dos passageiros cuja viagem em curso inclua um voo com destino à União Europeia, a secção 4.83 do Aeronautics Act permite que as companhias aéreas cumpram este requisito.

Revisão e expiração da Declaração de Compromisso

42.

A presente Declaração de Compromisso é aplicável por um período de três anos e seis meses a contar da data da entrada em vigor de um acordo entre o Canadá e a Comunidade Europeia autorizando o tratamento de dados API e PNR pelas companhias aéreas e sua transferência para o CBSA, em conformidade com a directiva. Após dois anos e seis meses de vigência da presente Declaração de Compromisso, o CBSA encetará discussões com a Comissão no intuito de prorrogar a presente Declaração de Compromisso e quaisquer eventuais disposições conexas, em condições aceitáveis para ambas as partes. Se não for possível celebrar um acordo aceitável para ambas as partes antes da expiração da presente Declaração de Compromisso, esta deixará de se aplicar a quaisquer dados recolhidos a partir desse momento. Os dados recolhidos enquanto a Declaração de Compromisso estiver em vigor permanecerão protegidos pelas disposições da declaração até que os mesmos sejam eliminados.

43.	O CBSA dá cumprimento à Declaração de Compromisso mediante a aplicação da legislação canadiana vigente ou, quando a disposição não esteja já incorporada nessa legislação, através de regulamentos formulados especificamente para esse fim ou através de processos administrativos.

(1) O n.o 3 (a) a (f) contém os seguintes dados API: (a) apelido, nome próprio e outros nomes; (b) data de nascimento; (c) género; (d) cidadania ou nacionalidade; (e) título de viagem, nome do país de emissão do título de viagem e número desse documento; (f) número do registo de reserva no localizador, se for o caso, e no caso das pessoas responsáveis pelo transporte comercial ou outro membro da tripulação sem número de reserva no localizador, notificação do seu estatuto enquanto membro da tripulação.

(2) Esta lei define as formalidades a cumprir para a destruição dos documentos governamentais.

(3) As políticas referidas incluem: a Government Security Policy, publicada pelo Secretariado do Treasury Board of Canada, em 1 de Fevereiro de 2002, e a Operational Security Standard: Management of Information Technology Security (MITS), publicada pelo Secretariado do Treasury Board of Canada, em 31 de Maio de 2004.

APÊNDICE «A»

DADOS DOS PNR EXIGIDOS ÀS COMPANHIAS AÉREAS PELO CBSA

1.	Denominação

Dados API

3.	Código localizador do PNR

4.	Data prevista da viagem

5.	Data da reserva

6.	Data da emissão do bilhete

7.	Agências de viagens

8.	Agente de viagens

9.	Informação sobre os números de telefone de contacto

10.	Endereço de facturação

11.	Todas as formas de informação sobre o pagamento

12.	Informação sobre passageiros frequentes

13.	Informações sobre a emissão dos bilhetes

14.	Número do bilhete

15.	Informação do PNR separada/dividida

16.	Passageiro de último minuto sem reserva (Go show information)

17.	Relato de não comparência

18.	Informação sobre o itinerário completo

19.	Informação sobre espera (Standby Information)

20.	Outros nomes que figuram no PNR

21.	Ordem de check in

22.	Números das etiquetas das bagagens

23.	Informações sobre o lugar sentado

24.	Número do lugar sentado

25.	Bilhetes só de ida