DECISÃO (UE) 2019/236 DA COMISSÃO

de 7 de fevereiro de 2019

que estabelece regras internas relativas à comunicação de informações aos titulares de dados e à limitação de alguns dos seus direitos, no contexto do tratamento de dados pessoais pela Comissão Europeia, para efeitos da segurança interna das instituições da União

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 249.o, n.o 1,

Considerando o seguinte:

(1)

A Comissão tem de funcionar num ambiente seguro e protegido. Para tal, precisa de uma abordagem coerente e integrada no que diz respeito à sua segurança, proporcionando níveis adequados de proteção das pessoas, dos ativos e das informações em função dos riscos identificados e garantindo uma prestação eficiente e atempada da segurança. A Comissão enfrenta ameaças e desafios importantes no domínio da segurança, em especial no que se refere ao terrorismo, aos ciberataques e à espionagem política e comercial.

(2)

A fim de garantir a segurança das pessoas, dos ativos e da informação, a Comissão, nomeadamente através da sua Direção de Segurança da Direção-Geral dos Recursos Humanos e da Segurança, toma medidas como previsto na Decisão (UE, Euratom) 2015/443 da Comissão (1), que envolvem o tratamento de várias categorias de dados pessoais. Essas medidas incluem a realização de verificações de antecedentes no domínio da segurança nos termos do artigo 7.o, n.o 5, avaliações de risco nos termos do artigo 12.o e inquéritos de segurança nos termos do artigo 13.o da Decisão (UE, Euratom) 2015/443. No âmbito do seu mandato de inquérito, a Comissão recolhe informações de interesse para o inquérito, incluindo dados pessoais, provenientes de várias fontes — autoridades públicas e pessoas singulares — e intercambia tais informações com as outras instituições, órgãos, organismos e agências da União, com as autoridades competentes dos Estados-Membros e de países terceiros e com organizações internacionais, antes, durante e após as atividades de inquérito ou de coordenação.

(3)

As categorias de dados pessoais tratados pela Comissão são, por exemplo, dados de identificação, dados de contacto, dados profissionais e dados relacionados com o objeto da verificação dos antecedentes de segurança, da avaliação das ameaças ou de um inquérito sobre segurança, ou apresentados em relação com o mesmo. Os dados pessoais são armazenados num ambiente eletrónico seguro para impedir o acesso ou a transferência ilegais de dados a pessoas exteriores à Comissão. Os dados pessoais são conservados nos serviços da Comissão responsáveis pelo inquérito até ao final do mesmo. São aplicáveis diferentes períodos de conservação às diferentes atividades de tratamento, consoante a categoria do inquérito, nomeadamente se ocorrerem no domínio das suspeitas de infrações penais, da contrainformação ou da luta contra o terrorismo. No final do período de conservação, as informações relativas ao processo, incluindo os dados pessoais, são eliminadas (2).

(4)

No exercício das suas funções, a Comissão é obrigada a respeitar os direitos das pessoas singulares no que se refere ao tratamento de dados pessoais, consagrados no artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia e no artigo 16.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia, bem como os direitos enunciados no Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (3). Ao mesmo tempo, a Comissão deve respeitar regras estritas em matéria de confidencialidade, em conformidade com o artigo 9.o do Regulamento (UE, Euratom) 2015/443.

(5)

Em determinadas circunstâncias, é necessário conciliar os direitos dos titulares de dados nos termos do Regulamento (UE) 2018/1725 com a necessidade de a Comissão desempenhar efetivamente as suas funções de garantir a segurança das pessoas, dos ativos e das informações na Comissão, nos termos da Decisão (UE, Euratom) 2015/443, em especial os inquéritos de segurança, bem como no pleno respeito dos direitos e liberdades fundamentais de outros titulares de dados. Para o efeito, o artigo 25.o, n.o 1, alíneas c), d) e h), do Regulamento (UE) 2018/1725 confere à Comissão a possibilidade de limitar a aplicação dos artigos 14.o a 17.o, 19.o, 20.o e 35.o, bem como do princípio da transparência previsto no artigo 4.o, n.o 1, alínea a), na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 17.o, 19.o e 20.o do referido regulamento.

(6)

A fim de assegurar que a Comissão exerce efetivamente as suas funções de garantir a segurança das pessoas, dos ativos e das informações na Comissão nos termos da Decisão (UE, Euratom) 2015/443, em especial os seus inquéritos de segurança, respeitando simultaneamente as normas de proteção de dados pessoais ao abrigo do Regulamento (UE) 2018/1725, é necessário adotar regras internas ao abrigo das quais a Comissão pode limitar os direitos dos titulares de dados em conformidade com o artigo 25.o, n.o 1, alíneas c), d) e h), do Regulamento (UE) 2018/1725.

(7)

Essas regras internas devem abranger todas as operações de tratamento realizadas pela Comissão no exercício das suas funções, a fim de garantir a segurança das pessoas, dos ativos e das informações na Comissão, em conformidade com a Decisão (UE, Euratom) 2015/443, em especial a sua função de inquérito no domínio da segurança. Essas regras deverão ser aplicáveis a operações de tratamento realizadas antes da abertura de um inquérito, no decurso dos inquéritos e durante o controlo do seguimento dado ao resultado dos inquéritos.

(8)

A fim de dar cumprimento aos artigos 14.o, 15.o e 16.o do Regulamento (UE) 2018/1725, a Comissão deve informar todos as pessoas das suas atividades que envolvam o tratamento dos seus dados pessoais e dos seus direitos, de modo transparente e coerente, através da publicação de anúncios sobre a proteção de dados no sítio Web da Comissão.

(9)

Além disso, a Comissão deve informar individualmente, de forma adequada, os titulares dos dados envolvidos num inquérito de segurança, ou seja, as pessoas em causa e as testemunhas. Além disso, a Comissão deve informar individualmente as pessoas cujos dados são tratados no contexto das medidas de segurança tomadas ao abrigo do artigo 7.o, n.o 5, e do artigo 12.o, n.o 1, alíneas d) e e), da Decisão (UE, Euratom) 2015/443, nomeadamente buscas nas instalações da Comissão e em sistemas e equipamentos de comunicação e de informação.

(10)

Com base no artigo 25.o do Regulamento (UE) 2018/1725, pode ser necessário que a Comissão restrinja a prestação de informações aos titulares de dados e o exercício de outros direitos dos titulares dos dados, a fim de proteger, nomeadamente, um inquérito de segurança, os seus instrumentos e métodos de inquérito, procedimentos e inquéritos de segurança de outras autoridades públicas, bem como os direitos de terceiros relacionados com esse inquérito, investigações e/ou procedimentos de segurança.

(11)

Nalguns casos, a prestação de informações específicas aos titulares dos dados ou a revelação da existência de um inquérito ou de medidas de segurança tomadas nos termos do artigo 12.o, n.o 1, alínea d), e alínea e), da Decisão (UE, Euratom) 2015/443, a saber, buscas nas instalações da Comissão e nos sistemas e equipamentos de comunicação e informação, pode tornar impossível ou prejudicar gravemente o objetivo do inquérito e a capacidade da Comissão para garantir a sua segurança e, em especial, realizar inquéritos de segurança de forma eficaz no futuro.

(12)

Além disso, a fim de manter uma cooperação eficaz, tal como referido no artigo 17.o, n.os 2 e 3, da Decisão (UE, Euratom) 2015/443, pode ser necessário que a Comissão limite a aplicação dos direitos dos titulares dos dados, a fim de proteger as operações de tratamento de outras instituições e outros órgãos e organismos da União ou das autoridades competentes dos Estados-Membros. Para o efeito, a Comissão deverá consultar essas instituições e esses órgãos e organismos, e essas autoridades sobre os motivos relevantes para a imposição de limitações, e sobre a necessidade e a proporcionalidade das referidas limitações.

(13)

A Comissão pode igualmente ter de limitar a comunicação de informações aos titulares dos dados e a aplicação de outros direitos dos titulares dos dados, no que diz respeito aos dados pessoais recebidos de países terceiros ou de organizações internacionais, a fim de cumprir o seu dever de cooperação com esses países ou organizações e, dessa forma, salvaguardar um importante objetivo de interesse público geral da União. No entanto, em determinadas circunstâncias, o interesse ou os direitos fundamentais do titular dos dados podem prevalecer sobre o interesse da cooperação internacional.

(14)	A Comissão deve tratar todas as limitações de forma transparente e registar cada aplicação de limitações no sistema de registo correspondente.

(15)

Nos termos do artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725, os responsáveis pelo tratamento podem adiar, omitir ou recusar comunicar ao titular de dados informações sobre os motivos que levaram à aplicação de uma limitação, desde que essas informações possam, de qualquer modo, comprometer a finalidade da limitação. Tal é, em especial, o caso das limitações de direitos previstas nos artigos 16.o e 35.o do Regulamento (UE) 2018/1725.

(16)

A Comissão deverá reexaminar regularmente as limitações impostas, a fim de assegurar que os direitos do titular dos dados a comunicar em conformidade com os artigos 16.o e 35.o do Regulamento (UE) 2018/1725 são limitados apenas enquanto tais limitações forem necessárias para permitir que a Comissão garanta a sua segurança e, em especial, proceder a inquéritos de segurança.

(17)	Sempre que outros direitos dos titulares dos dados sejam limitados, o responsável pelo tratamento deverá avaliar, caso a caso, se a comunicação da limitação comprometeria a sua finalidade.

(18)	O responsável pela proteção de dados da Comissão deve proceder a uma análise independente da aplicação das limitações, a fim de assegurar o cumprimento da presente decisão.

(19)	A Autoridade Europeia para a Proteção de Dados emitiu um parecer em 10 de dezembro de 2018,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

Objeto e âmbito de aplicação

1. A presente decisão estabelece as regras a seguir pela Comissão a fim de informar os titulares de dados do tratamento dos seus dados em conformidade com os artigos 14.o, 15.o e 16.o do Regulamento (UE) 2018/1725 no âmbito da realização de todas as suas tarefas em conformidade com a Decisão (UE, Euratom) 2015/443.

Estabelece igualmente as condições em que a Comissão pode limitar a aplicação dos artigos 4.o, 14.o a 17.o, 19.o, 20.o e 35.o do Regulamento (UE) 2018/1725 em conformidade com o artigo 25.o, n.o 1, alíneas c), d) e h), do referido regulamento.

2. A presente decisão aplica-se ao tratamento de dados pessoais, por parte da Comissão, para efeitos ou relacionado com as atividades realizadas para garantir a segurança das pessoas, dos ativos e das informações, de acordo com a Decisão (UE, Euratom) 2015/443.

Artigo 2.o

Exceções e limitações aplicáveis

1. Sempre que a Comissão exercer as suas funções, no que diz respeito aos direitos dos titulares de dados, nos termos do Regulamento (UE) 2018/1725, deve considerar se se aplicam quaisquer exceções previstas nesse regulamento.

2. Sob reserva do disposto nos artigos 3.o a 7.o da presente decisão, a Comissão pode limitar a aplicação dos artigos 14.o a 17.o, 19.o, 20.o e 35.o do Regulamento (UE) 2018/1725, bem como o princípio da transparência previsto no artigo 4.o, n.o 1, alínea a), na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 17.o, 19.o e 20.o do Regulamento (UE) 2018/1725, sempre que o exercício desses direitos e obrigações ponha em perigo a segurança interna das instituições e outros órgãos e organismos da União incluindo as suas redes de comunicações eletrónicas, ao revelar por exemplo os instrumentos e métodos de investigação num contexto de inquéritos de segurança, ou prejudique os direitos e as liberdades de outros titulares dos dados.

3. Sob reserva do disposto nos artigos 3.o a 7.o, a Comissão pode limitar os direitos e obrigações referidos no n.o 2 do presente artigo, no que respeita aos dados pessoais obtidos junto de outras instituições e de outros órgãos e organismos da União, de autoridades competentes dos Estados-Membros ou de países terceiros ou de organizações internacionais, nas seguintes circunstâncias:

Sempre que o exercício desses direitos e obrigações possa ser limitado por outras instituições, órgãos e organismos da União, com base noutros atos previstos no artigo 25.o do Regulamento (UE) 2018/1725 ou em conformidade com o capítulo IX do referido regulamento, ou em conformidade com o Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho (4) ou com o Regulamento (UE) 2017/1939 do Conselho (5);

Sempre que o exercício desses direitos e obrigações possa ser limitado pelas autoridades competentes dos Estados-Membros com base nos atos referidos no artigo 23.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (6), ou em medidas nacionais de transposição do artigo 13.o, n.o 3, do artigo 15.o, n.o 3, ou do artigo 16.o, n.o 3, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (7);

c)	Sempre que o exercício desses direitos e obrigações possa pôr em causa a cooperação da Comissão com países terceiros ou organizações internacionais no que respeita ao intercâmbio de informações sobre potencial contraespionagem e antiterrorismo, bem como na condução dos seus inquéritos de segurança.

Antes de aplicar limitações nas circunstâncias referidas nas alíneas a) e b) do primeiro parágrafo, a Comissão deve consultar as instituições, órgãos e organismos da União ou as autoridades competentes dos Estados-Membros, a menos que seja claro para a Comissão que a aplicação de uma limitação está prevista num dos atos referidos nessas alíneas ou essa consulta comprometa a finalidade das suas atividades no âmbito da Decisão (UE, Euratom) 2015/443.

A alínea c) do primeiro parágrafo do presente número não se aplica caso os interesses ou direitos fundamentais e liberdades dos titulares de dados prevaleçam sobre o interesse da Comissão em cooperar com países terceiros ou com organizações internacionais.

4. Os n.os 1, 2 e 3 não prejudicam a aplicação de outras decisões da Comissão que estabeleçam regras internas relativas à comunicação de informações aos titulares de dados e à limitação de determinados direitos ao abrigo do artigo 25.o do Regulamento (UE) 2018/1725 e do artigo 23.o do Regulamento Interno da Comissão.

Artigo 3.o

Comunicação de informações aos titulares dos dados

1. A Comissão deve publicar no seu sítio Web anúncios sobre a proteção de dados que informem todos os titulares de dados das atividades da Comissão que envolvam o tratamento dos seus dados pessoais que a Comissão realiza a fim de cumprir as suas tarefas em conformidade com a Decisão (UE, Euratom) 2015/443.

2. A Comissão informa individualmente as testemunhas e as pessoas em causa num inquérito de segurança relativamente ao tratamento dos seus dados pessoais, de forma adequada. Deve também informar individualmente as pessoas cujos dados são tratados no contexto das medidas de segurança tomadas ao abrigo do artigo 7.o, n.o 5, e do artigo 12.o, n.o 1, alíneas d) e e), da Decisão (UE, Euratom) 2015/443, nomeadamente buscas nas instalações da Comissão e em sistemas e equipamentos de comunicação e de informação.

3. Se a Comissão limitar, total ou parcialmente, a prestação de informações aos titulares de dados a que se refere o n.o 2 do presente artigo, deve documentar e registar os motivos da limitação, em conformidade com o artigo 6.o da presente decisão.

Artigo 4.o

Direito de acesso dos titulares de dados, direito ao apagamento e direito à limitação do tratamento

1. Sempre que a Comissão limitar, total ou parcialmente, o direito de acesso aos dados por parte dos titulares dos dados, o direito ao apagamento ou o direito à limitação do tratamento, a que se referem, respetivamente, os artigos 17.o, 19.o e 20.o do Regulamento (UE) 2018/1725, deve informar o titular dos dados em causa, na sua resposta ao pedido de acesso, apagamento ou limitação do tratamento, da limitação aplicada e dos principais motivos para tal, bem como da possibilidade de apresentar reclamações à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça da União Europeia.

2. A comunicação de informações sobre os motivos da limitação a que se refere o n.o 1 do presente artigo pode ser diferida, omitida ou recusada caso prejudique a finalidade da limitação.

3. A Comissão deve documentar e registar os motivos da limitação em conformidade com o artigo 6.o da presente decisão.

4. Sempre que o direito de acesso for limitado total ou parcialmente, o titular de dados pode exercer o seu direito de acesso por intermédio da Autoridade Europeia para a Proteção de Dados, nos termos do artigo 25.o, n.os 6, 7 e 8, do Regulamento (UE) 2018/1725.

Artigo 5.o

Comunicação de violações de dados pessoais aos titulares dos dados

Sempre que limitar ao titular de dados a comunicação de uma violação de dados pessoais, nos termos do artigo 35.o do Regulamento (UE) 2018/1725, a Comissão deve registar os motivos da limitação, em conformidade com o artigo 6.o da presente decisão.

Artigo 6.o

Registo das limitações

1. A Comissão deve registar as razões de qualquer limitação aplicada nos termos da presente decisão, incluindo uma avaliação da necessidade e da proporcionalidade da limitação, tendo em conta os elementos pertinentes do artigo 25.o, n.o 2, do Regulamento (UE) 2018/1725.

Para o efeito, a documentação deve indicar de que forma o exercício desse direito comprometeria a finalidade das tarefas da Comissão realizadas em conformidade com a Decisão (UE, Euratom) 2015/443, ou das limitações aplicadas nos termos do artigo 2.o, n.os 2 ou 3, ou afetaria negativamente os direitos e as liberdades de outros titulares dos dados.

2. A documentação e, se for caso disso, os documentos que contenham elementos factuais e jurídicos subjacentes devem ser registados. São colocados à disposição da Autoridade Europeia para a Proteção de Dados, a pedido desta.

Artigo 7.o

Duração das limitações

1. As limitações referidas nos artigos 3.o, 4.o e 5.o da presente decisão devem continuar a ser aplicáveis enquanto as razões que as justificam se mantiverem.

2. Sempre que os motivos para uma limitação referida nos artigos 3.o ou 5.o da presente decisão deixem de existir, a Comissão deve levantar a limitação e expor os motivos da limitação ao titular de dados. Simultaneamente, a Comissão informa o titular dos dados da possibilidade de apresentar, em qualquer momento, uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia.

3. A Comissão deve reexaminar a aplicação das limitações referidas nos artigos 4.o e 6.o semestralmente a partir da sua aplicação e aquando do encerramento do inquérito pertinente. Posteriormente, a Comissão deve acompanhar a necessidade de manter qualquer limitação/adiamento numa base anual.

Artigo 8.o

Reexame pelo responsável pela proteção de dados

1. O responsável pela proteção de dados da Comissão deve ser informado, sem demora injustificada, sempre que os direitos dos titulares de dados forem limitados em conformidade com a presente decisão. Mediante pedido, o responsável pela proteção de dados deve ter acesso ao registo e a quaisquer documentos que contenham elementos factuais e jurídicos subjacentes.

2. O responsável pela proteção de dados da Comissão pode solicitar o exame das limitações. O responsável pela proteção de dados deve ser informado do resultado do reexame solicitado.

3. O intercâmbio de informações com o responsável pela proteção de dados durante todo o procedimento deve ser registado no formulário adequado.

Artigo 9.o

A presente decisão entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Feito em Bruxelas, em 7 de fevereiro de 2019.

Pela Comissão

O Presidente

Jean-Claude JUNCKER

(1) Decisão (UE, Euratom) 2015/443 da Comissão, de 13 de março de 2015, relativa à segurança na Comissão (JO L 72 de 17.3.2015, p. 41).

(2) A conservação dos ficheiros na Comissão é regulamentada pela lista de conservação comum, um documento regulamentar [última versão: SEC(2012) 713] sob a forma de um calendário de retenção que estabelece os períodos de retenção para os diferentes tipos de ficheiros da Comissão.

(3) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(4) Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO L 135 de 24.5.2016, p. 53).

(5) Regulamento (UE) 2017/1939 do Conselho, de 12 de outubro de 2017, que dá execução a uma cooperação reforçada para a instituição da Procuradoria Europeia (JO L 283 de 31.10.2017, p. 1).

(6) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(7) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de crimes ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).