17.12.2016

Jornal Oficial da União Europeia

L 344/83

DECISÃO DE EXECUÇÃO (UE) 2016/2295 DA COMISSÃO

de 16 de dezembro de 2016

que altera as Decisões 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE e Decisões de Execução 2012/484/UE, 2013/65/UE, relativas ao nível adequado de proteção dos dados pessoais em certos países, nos termos do artigo 25.o, n.o 6, da Diretiva 95/46/CE do Parlamento Europeu e do Conselho

[notificada com o número C(2016) 8353]

(Texto relevante para efeitos do EEE)

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1), nomeadamente o artigo 25.o, n.o 6,

Após consulta da Autoridade Europeia para a Proteção de Dados,

Considerando o seguinte:

(1)

No acórdão proferido em 6 de outubro de 2015 no processo C-362/14, Maximillian Schrems/Data Protection Commissioner (2), o Tribunal de Justiça da União Europeia considerou que, ao adotar o artigo 3.o da Decisão 2000/520/CE (3), a Comissão ultrapassou a competência que lhe é atribuída pelo artigo 25.o, n.o 6, da Diretiva 95/46/CE, lido à luz da Carta dos Direitos Fundamentais da União Europeia, tendo declarado inválido o artigo 3.o da referida decisão.

(2)

O artigo 3.o, n.o 1, primeiro parágrafo, da Decisão 2000/520/CE estabelece condições restritivas, ao abrigo das quais as autoridades nacionais de controlo podem decidir suspender as transferências de dados para uma empresa autocertificada dos EUA, independentemente da verificação de adequação da Comissão.

(3)

No acórdão Schrems, o Tribunal de Justiça esclareceu que as autoridades nacionais de controlo continuam a ser competentes para supervisionar a transferência de dados pessoais para um país terceiro que tenha sido objeto de uma decisão de adequação da Comissão e que a Comissão não pode limitar os seus poderes nos termos do artigo 28.o da Diretiva 95/46/CE. Nos termos desse artigo, essas autoridades dispõem, nomeadamente, de poderes de inquérito, tais como o poder de recolher todas as informações necessárias ao desempenho das suas funções de controlo, de poderes efetivos de intervenção, como o de proibir temporária ou definitivamente o tratamento dos dados, ou, ainda, do poder de intervir em processos judiciais (4).

(4)

O Tribunal de Justiça recordou no acórdão Shrems que, em conformidade com o artigo 25.o, n.o 6, segundo parágrafo, da Diretiva 95/46/CE, os Estados-Membros e os respetivos organismos devem tomar as medidas necessárias para dar cumprimento aos atos das instituições da União, uma vez que se presume que estes últimos são legais e, em conformidade, produzem efeitos legais até ao momento em que são revogados, anulados num recurso de anulação ou declarados inválidos na sequência de um pedido de decisão prejudicial ou uma exceção de ilegalidade.

(5)

Consequentemente, uma decisão de adequação adotada pela Comissão nos termos do artigo 25.o, n.o 6, da Diretiva 95/46/CE é vinculativa para todos os organismos dos Estados-Membros aos quais se destina, nomeadamente para as suas autoridades independentes de supervisão, na medida em que tem por efeito autorizar transferências de dados pessoais do respetivo Estado-Membro para o país terceiro visado pela mesma (5). Daqui resulta que as autoridades nacionais de controlo não podem adotar medidas que contrariem uma decisão de adequação da Comissão, nomeadamente declarar inválida essa decisão ou estabelecer, com efeitos vinculativos, que o país terceiro abrangido pela decisão em causa não assegura um nível de proteção adequado. Tal como foi clarificado no acórdão Schrems, este facto não impede uma autoridade nacional de controlo de apreciar um pedido de uma pessoa singular relativo ao nível de proteção dos dados pessoais assegurado por um país terceiro objeto de uma decisão de adequação da Comissão e, se o considerar procedente, intentar uma ação judicial perante os tribunais nacionais, para que estes, caso partilhem das dúvidas suscitadas quanto à validade da decisão da Comissão, procedam a um reenvio prejudicial para efeitos da apreciação da validade dessa decisão (6).

(6)

As Decisões 2000/518/CE (7), 2002/2/CE (8), 2003/490/CE (9), 2003/821/CE (10), 2004/411/CE (11), 2008/393/CE (12), 2010/146/UE (13), 2010/625/UE (14), 2011/61/UE (15) e e Decisões de Execução 2012/484/UE (16) e 2013/65/UE (17) da Comissão, que são decisões de adequação, preveem uma limitação dos poderes das autoridades nacionais de controlo comparável à prevista no artigo 3.o, n.o 1, primeiro parágrafo da Decisão 2000/520/CE, que o Tribunal de Justiça considerou inválido.

(7)	À luz do acórdão Schrems e em conformidade com o artigo 266.o do Tratado, as disposições das referidas decisões que limitam os poderes das autoridades nacionais de controlo devem por conseguinte, ser substituídas.

(8)

No acórdão Schrems, o Tribunal de Justiça esclareceu ainda que, atendendo ao facto de o nível de proteção assegurado por um país terceiro ser suscetível de evoluir, incumbe à Comissão, após a adoção de uma decisão nos termos do artigo 25.o, n.o 6, da Diretiva 95/46/CE, verificar periodicamente se a constatação relativa ao nível de proteção adequado assegurado pelo país terceiro em causa se continua a justificar de facto e de direito (18). Tendo em conta as conclusões do referido acórdão no que se refere ao acesso aos dados pessoais por parte das autoridades públicas, as normas e práticas que regem esse acesso devem ser igualmente controladas.

(9)

Por conseguinte, para os países em relação aos quais tenham sido adotadas decisões de adequação, a Comissão deve, de uma forma continuada, acompanhar os desenvolvimentos, tanto em termos de legislação como na prática, que sejam suscetíveis de afetar a aplicação dessas decisões, inclusivamente no que respeita ao acesso a dados pessoais por parte das autoridades públicas.

(10)	A fim de facilitar o acompanhamento eficaz da aplicação das decisões de adequação em vigor, a Comissão deve ser informada pelos Estados-Membros das medidas pertinentes adotadas pelas autoridades nacionais de controlo.

(11)	O Grupo de Proteção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais, instituído nos termos do artigo 29.o da Diretiva 95/46/CE, emitiu um parecer, que foi tido em conta na elaboração da presente decisão.

(12)	As medidas previstas pela presente decisão estão em conformidade com o parecer do Comité instituído pelo artigo 31.o, n.o 1, da Diretiva 95/46/CE.

(13)	As Decisões 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE e Decisões de Execução 2012/484/UE e 2013/65/UE devem, por conseguinte, ser alteradas em conformidade,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

A Decisão 2000/518/CE é alterada do seguinte modo:

O artigo 3.o passa a ter a seguinte redação:

«Artigo 3.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para a Suíça a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.»

É aditado o seguinte artigo 3.o-A:

«Artigo 3.o-A

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica da Suíça que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim avaliar se o país continua a assegurar um nível adequado de proteção dos dados pessoais.

2. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção na Suíça não garantam esse mesmo cumprimento.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas suíças responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade suíça competente e, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 2.o

A Decisão 2002/2/CE é alterada do seguinte modo:

O artigo 3.o passa a ter a seguinte redação:

«Artigo 3.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para um destinatário no Canadá cujas atividades sejam abrangidas pela lei canadiana intitulada Personal Information Protection and Electronic Documents Act, a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.»

É aditado o seguinte artigo 3.o-A:

«Artigo 3.o-A

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica do Canadá que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim de avaliar se o país continua a assegurar um nível adequado de proteção dos dados pessoais.

2. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção no Canadá não garantam esse mesmo cumprimento.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas canadianas responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade canadiana competente e, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 3.o

A Decisão 2003/490/CE é alterada do seguinte modo:

O artigo 3.o passa a ter a seguinte redação:

«Artigo 3.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para a Argentina a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.»

É aditado o seguinte artigo 3.o-A:

«Artigo 3.o-A

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica da Argentina que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim avaliar se o país continua a assegurar um nível adequado de proteção dos dados pessoais.

2. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção na Argentina não garantam esse mesmo cumprimento.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas argentinas responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade argentina competente e, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 4.o

Os artigos 3.o e 4.o da Decisão 2003/821/CE passam a ter a seguinte redação:

«Artigo 3.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para o Bailiado de Guernsey, a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 4.o

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica de Guernsey que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim de avaliar se Guernsey continua a assegurar um nível adequado de proteção dos dados pessoais.

2. Os Estados-Membros e a Comissão devem ainda manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção em Guernsey não garantam esse mesmo cumprimento.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas de Guernsey responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade competente de Guernsey e, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 5.o

Os artigos 3.o e 4.o da Decisão 2004/411/CE passam a ter a seguinte redação:

«Artigo 3.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para a Ilha de Man, a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 4.o

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica da Ilha de Man que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim de avaliar se a Ilha de Man continua a assegurar um nível adequado de proteção dos dados pessoais.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas da Ilha de Man responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade competente da Ilha de Man e, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 6.o

Os artigos 3.o e 4.o da Decisão 2008/393/CE passam a ter a seguinte redação:

«Artigo 3.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para Jersey, a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 4.o

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica de Jersey que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim avaliar se Jersey continua a assegurar um nível adequado de proteção dos dados pessoais.

2. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção em Jersey não garantam esse mesmo cumprimento.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas de Jersey responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade competente de Jersey e, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 7.o

Os artigos 3.o e 4.o da Decisão 2010/146/UE passam a ter a seguinte redação:

«Artigo 3.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para um destinatário nas Ilhas Faroé cujas atividades sejam abrangidas pela Lei sobre o tratamento de dados pessoais das Ilhas Faroé, a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 4.o

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica das Ilhas Faroé que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim de avaliar se as Ilhas Faroé continuam a assegurar um nível adequado de proteção dos dados pessoais.

2. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção nas Ilhas Faroé não garantam esse mesmo cumprimento.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas das Ilhas Faroé responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade competente das Ilhas Faroé e, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 8.o

Os artigos 3.o e 4.o da Decisão 2010/625/UE passam a ter a seguinte redação:

«Artigo 3.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para Andorra, a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 4.o

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica de Andorra que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim de avaliar se Andorra continua a assegurar um nível adequado de proteção dos dados pessoais.

2. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção em Andorra não garantam esse mesmo cumprimento.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas de Andorra responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade competente de Andorra e, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 9.o

Os artigos 3.o e 4.o da Decisão 2011/61/UE passam a ter a seguinte redação:

«Artigo 3.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para o Estado de Israel, a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 4.o

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica de Israel que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim de avaliar se o Estado de Israel continua a assegurar um nível adequado de proteção dos dados pessoais.

2. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção no Estado de Israel não garantam esse mesmo cumprimento.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas de Israel responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade competente de Israel, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 10.o

Os artigos 2.o e 3.o da Decisão de Execução 2012/484/UE passam a ter a seguinte redação:

«Artigo 2.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para a República Oriental do Uruguai, a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 3.o

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica da República Oriental do Uruguai que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim de avaliar se o país continua a assegurar um nível adequado de proteção dos dados pessoais.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas uruguaias responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade uruguaia competente, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 11.o

Os artigos 2.o e 3.o da Decisão de Execução 2013/65/UE passam a ter a seguinte redação:

«Artigo 2.o

Sempre que as autoridades competentes dos Estados-Membros exerçam os seus poderes nos termos do artigo 28.o, n.o 3, da Diretiva 95/46/CE, conduzindo assim à suspensão ou proibição definitiva dos fluxos de dados para a Nova Zelândia, a fim de proteger pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, o Estado-Membro em causa deve, sem demora, informar a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 3.o

1. A Comissão deve acompanhar regularmente os desenvolvimentos ocorridos na ordem jurídica da Nova Zelândia que possam afetar a aplicação da presente decisão, inclusivamente no que respeita ao acesso a dados pessoais pelas autoridades públicas, a fim avaliar se o país continua a assegurar um nível adequado de proteção dos dados pessoais.

2. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de proteção na Nova Zelândia não garantam esse mesmo cumprimento.

3. Os Estados-Membros e a Comissão informam-se mutuamente sobre quaisquer informações de que as ingerências das autoridades públicas da Nova Zelândia responsáveis pela segurança nacional, o exercício de funções coercivas ou outros interesses públicos no direito das pessoas à proteção dos seus dados pessoais vão além do estritamente necessário ou de que não existe proteção jurídica eficaz contra tais ingerências.

4. Sempre que existam provas de que já não é assegurado um nível de proteção adequado, nomeadamente nas situações referidas nos n.os 2 e 3, a Comissão deve informar a autoridade competente da Nova Zelândia e, se necessário, apresentar um projeto de medidas, de acordo com o processo referido no artigo 31.o, n.o 2, da Diretiva 95/46/CE, a fim de revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.»

Artigo 12.o

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, 16 de dezembro de 2016.

Pela Comissão

Věra JOUROVÁ

Membro da Comissão

(1) JO L 281 de 23.11.1995, p. 31.

(2) ECLI:EU:C:2015:650.

(3) Decisão 2000/520/CE da Comissão, de 26 de julho de 2000, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa ao nível de proteção assegurado pelos princípios de «porto seguro» e pelas respetivas questões mais frequentes (FAQ) emitidos pelo Department of Commerce dos Estados Unidos da América (JO L 215 de 25.8.2000, p. 7).

(4) Acórdão Schrems, n.o 40 e seguintes, 101 a 103.

(5) Schrems, n.os 51, 52 e 62.

(6) Schrems, n.os 52, 62 e 65.

(7) Decisão 2000/518/CE da Comissão, de 26 de julho de 2000, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa ao nível de proteção adequado de dados pessoais na Suíça (JO L 215 de 25.8.2000, p. 1).

(8) Decisão 2002/2/CE da Comissão, de 20 de dezembro de 2001, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa à adequação do nível de proteção proporcionado pela lei canadiana sobre dados pessoais e documentos eletrónicos (Personal Information and Electronic Documents Act) (JO L 2 de 4.1.2002, p. 13).

(9) Decisão 2003/490/CE da Comissão, de 30 de junho de 2003, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa à adequação do nível de proteção de dados pessoais na Argentina (JO L 168 de 5.7.2003, p. 19).

(10) Decisão 2003/821/CE da Comissão, de 21 de novembro de 2003, relativa à adequação do nível de proteção de dados pessoais em Guernsey (JO L 308 de 25.11.2003, p. 27).

(11) Decisão 2004/411/CE da Comissão, de 28 de abril de 2004, relativa à adequação do nível de proteção de dados pessoais na Ilha de Man (JO L 151 de 30.4.2004, p. 48).

(12) Decisão 2008/393/CE da Comissão, de 8 de maio de 2008, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa à adequação do nível de proteção de dados pessoais em Jersey (JO L 138 de 28.5.2008, p. 21).

(13) Decisão 2010/146/UE da Comissão, de 5 de março de 2010, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa à adequação do nível de proteção assegurado pela Lei sobre o tratamento de dados pessoais das Ilhas Faroé (JO L 58 de 9.3.2010, p. 17).

(14) Decisão 2010/625/UE da Comissão, de 19 de outubro de 2010, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa à adequação do nível de proteção de dados pessoais em Andorra (JO L 277 de 21.10.2010, p. 27).

(15) Decisão 2011/61/UE da Comissão, de 31 de janeiro de 2011, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa à adequação do nível de proteção de dados pessoais pelo Estado de Israel no que se refere ao tratamento automatizado de dados (JO L 27 de 1.2.2011, p. 39).

(16) Decisão de Execução 2012/484/UE da Comissão, de 21 de agosto de 2012, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa à adequação do nível de proteção de dados pessoais pela República Oriental do Uruguai no que se refere ao tratamento automatizado de dados (JO L 227 de 23.8.2012, p. 11).

(17) Decisão de Execução 2013/65/UE da Comissão, de 19 de dezembro de 2012, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho e relativa à adequação do nível de proteção de dados pessoais pela Nova Zelândia (JO L 28 de 30.1.2013, p. 12).

(18) Schrems, n.o 76. De qualquer modo, tal verificação é necessária sempre que a Comissão obtenha informações que suscitem dúvidas justificadas a esse respeito.