1.   O presente regulamento, juntamente com o Regulamento (UE) 2019/817 do Parlamento Europeu e do Conselho (28), estabelece um regime destinado a assegurar a interoperabilidade entre o Sistema de Entrada/Saída (SES), o Sistema de Informação sobre Vistos (VIS), o Sistema Europeu de Informação e Autorização de Viagem (ETIAS), o Eurodac, o Sistema de Informação Schengen (SIS) e o Sistema Europeu de Informação sobre os Registos Criminais de nacionais de países terceiros (ECRIS-TCN).

2.   O regime inclui os seguintes componentes de interoperabilidade:

3.   O presente regulamento inclui também disposições sobre os requisitos de qualidade dos dados, um formato de mensagem universal (UMF), um repositório central para a elaboração de relatórios e estatísticas (CRRS), e as responsabilidades dos Estados-Membros e da Agência europeia para a gestão operacional de sistemas informáticos de grande escala no espaço da liberdade, segurança e justiça (eu-LISA), no que diz respeito à conceção, ao desenvolvimento e ao funcionamento dos componentes de interoperabilidade.

4.   O presente regulamento adapta igualmente os procedimentos e condições que regem o acesso das autoridades designadas e da Agência da União Europeia para a Cooperação Policial (Europol) ao SES, ao VIS, ao ETIAS e ao Eurodac para fins de prevenção, deteção ou investigação de infrações terroristas ou de outras infrações penais graves.

5.   O presente regulamento estabelece igualmente um regime de verificação da identidade e da identificação de pessoas.

1.   Assegurando a interoperabilidade, o presente regulamento tem os seguintes objetivos:

2.   Os objetivos referidos no n.o 1 devem ser alcançados mediante:

1.   O presente regulamento aplica-se ao Eurodac, ao SIS e ao ECRIS-TCN.

2.   O presente regulamento aplica-se aos dados da Europol na medida em que permita consultá-los em simultâneo com os sistemas de informação da UE a que se refere o n.o 1.

3.   O presente regulamento aplica-se às pessoas cujos dados pessoais possam ser processados nos sistemas de informação da UE a que se refere o n.o 1 e nos dados da Europol referidos no n.o 2.

1.   É criado um portal europeu de pesquisa (ESP) para facilitar o acesso rápido, contínuo, eficiente, sistemático e controlado das autoridades dos Estados-Membros e das agências da União aos sistemas de informação da UE, aos dados da Europol e às bases de dados da Interpol para o desempenho das suas funções e em conformidade com os respetivos direitos de acesso ao SES, ao VIS, ao ETIAS, ao Eurodac, ao SIS e ao ECRIS-TCN e com os objetivos e finalidades dos mesmos.

2.   O ESP é composto por:

3.   A eu-LISA deve desenvolver o ESP, ficando responsável pela sua gestão técnica.

1.   A utilização do ESP está reservada às autoridades dos Estados-Membros e às agências da União que dispõem de acesso a, pelo menos, um dos sistemas de informação da UE, de acordo com os atos jurídicos que regem esses sistemas de informação da UE, ao CIR, ao MID, de acordo com o presente regulamento, aos dados da Europol de acordo com o Regulamento (UE) 2016/794 ou às bases de dados da Interpol de acordo com o direito da União ou o direito nacional aplicável ao referido acesso.

As referidas autoridades dos Estados-Membros e agências da União podem utilizar o ESP e os dados por ele fornecidos unicamente para os objetivos e finalidades previstos nos atos jurídicos que regem esses sistemas de informação da UE, no Regulamento (UE) 2016/794 e no presente regulamento.

2.   As autoridades dos Estados-Membros e as agências da União referidas no n.o 1 devem utilizar o ESP para pesquisar dados relativos a pessoas ou aos seus documentos de viagem nos sistemas centrais do Eurodac e do ECRIS-TCN, em conformidade com os seus direitos de acesso, como referido nos atos jurídicos que regem esses sistemas de informação da UE e no direito nacional. Essas autoridades e agências devem igualmente utilizar o ESP para consultar o CIR em conformidade com os respetivos direitos de acesso nos termos do presente regulamento para os efeitos referidos nos artigos 20.o, 21.o e 22.o.

3.   As autoridades dos Estados-Membros referidas no n.o 1 podem utilizar o ESP para pesquisar dados relativos a pessoas ou aos seus documentos de viagem no SIS Central referido nos Regulamentos (UE) 2018/1860 e (UE) 2018/1861.

4.   Quando previsto pelo direito da União, as agências da União a que se refere o n.o 1 devem utilizar o ESP para pesquisar dados relativos a pessoas ou aos seus documentos de viagem no SIS Central.

5.   As autoridades dos Estados-Membros e as agências da União referidas no n.o 1 podem utilizar o ESP para pesquisar dados relativos a pessoas ou aos seus documentos de viagem nos dados da Europol, em conformidade com os seus direitos de acesso ao abrigo do direito da União e nacional.

1.   Para utilizar o ESP, a eu-LISA deve criar, em cooperação com os Estados-Membros, um perfil baseado na categoria de utilizador do ESP e nas finalidades das consultas, em conformidade com os pormenores técnicos e os direitos de acesso a que se refere o n.o 2. Cada perfil deve incluir, nos termos do direito da União e do direito nacional, a seguinte informação:

2.   A Comissão deve adotar atos de execução, a fim de especificar os pormenores técnicos dos perfis referidos no n.o 1 em conformidade com os direitos de acesso dos utilizadores do ESP, conforme previsto nos atos jurídicos que regem os sistemas de informação da UE e de acordo com o direito nacional. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.

3.   Os perfis referidos no n.o 1 devem ser revistos periodicamente pela eu-LISA, em cooperação com os Estados-Membros, pelo menos uma vez por ano e, se necessário, atualizados.

1.   Os utilizadores do ESP iniciam uma consulta introduzindo dados alfanuméricos ou biométricos no ESP. Ao iniciar-se uma consulta, o ESP consulta o SES, o ETIAS, o VIS, o SIS, o Eurodac, o ECRIS-TCN e o CIR, os dados da Europol e as bases de dados da Interpol, utilizando simultaneamente os dados introduzidos pelo utilizador do ESP e de acordo com o perfil do utilizador.

2.   As categorias de dados utilizados para iniciar uma consulta através do ESP correspondem às categorias de dados relacionados com pessoas ou documentos de viagem que podem ser utilizados para consultar os vários sistemas de informação da UE, os dados da Europol e as bases de dados da Interpol, em conformidade com os atos jurídicos que lhes são aplicáveis.

3.   A eu-LISA deve desenvolver, em cooperação com os Estados-Membros, um documento de controlo das interfaces para o ESP baseado no UMF referido no artigo 38.o.

4.   Em resposta a uma consulta de um utilizador do ESP, o SES, o ETIAS, o VIS, o SIS, o Eurodac, o ECRIS-TCN, o CIR e o MID, os dados da Europol e as bases de dados da Interpol, devem responder à consulta, fornecendo os dados em sua posse.

Sem prejuízo do artigo 20.o, a resposta do ESP deve indicar qual o sistema de informação ou base de dados da UE a que os dados pertencem.

O ESP não fornece informações relativas aos dados dos sistemas de informação da UE, aos dados da Europol e nem às bases de dados da Interpol aos quais o utilizador não tem acesso nos termos do direito da União e do direito nacional aplicáveis.

5.   As consultas das bases de dados da Interpol lançadas através do ESP devem ser efetuadas de molde a não revelar qualquer informação ao proprietário do alerta da Interpol.

6.   O ESP deve fornecer respostas ao utilizador assim que os dados de um dos sistemas de informação da UE, os dados da Europol ou as bases de dados da Interpol estiverem disponíveis. Essas respostas devem conter apenas os dados aos quais o utilizador tem acesso ao abrigo do direito da União e do direito nacional.

7.   A Comissão deve adotar um ato de execução para especificar o procedimento técnico para as consultas do ESP nos sistemas de informação da UE, nos dados da Europol e nas bases de dados da Interpol e o formato das respostas do ESP. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.

1.   Sem prejuízo do disposto nos artigos 12.o e 18.o do Regulamento (UE) 2018/1862, no artigo 29.o do Regulamento (UE) 2019/816 e no artigo 40.o do Regulamento (UE) 2016/794, a eu-LISA deve conservar registos de todas as operações de tratamento de dados realizadas no ESP. Esses registos devem incluir o seguinte:

2.   Cada Estado-Membro deve manter registos das consultas feitas pelas suas autoridades e pelo pessoal devidamente autorizado dessas autoridades a utilizar o ESP. Cada agência da União deve manter registos das consultas feitas pelo seu pessoal devidamente autorizado a utilizar o ESP.

3.   Os registos referidos no n.o 1 e no n.o 2 só podem ser utilizados para controlar a proteção de dados, incluindo para verificar a admissibilidade de um pedido e a legalidade do tratamento dos dados, e para garantir a segurança e a integridade dos dados. Esses registos devem estar protegidos por medidas adequadas contra acesso não autorizado e ser apagados um ano após a sua criação. Se, no entanto, forem necessários para procedimentos de controlo que já tenham sido iniciados, devem, nesse caso, ser apagados logo que deixarem de ser necessários para o efeito.

1.   No caso de impossibilidade técnica de utilizar o ESP para consultar um ou vários sistemas de informação da UE ou o CIR, devido a uma falha do ESP, os utilizadores do ESP devem ser notificados pela eu-LISA de forma automatizada.

2.   Em caso de impossibilidade técnica de utilizar o ESP para consultar um ou vários sistemas de informação da UE ou o CIR, devido a uma falha da infraestrutura nacional de um Estado-Membro, esse Estado-Membro deve notificar a eu-LISA e a Comissão de forma automatizada.

3.   Nos casos referidos nos n.os 1 ou 2 do presente artigo, e até que a falha técnica seja resolvida, a obrigação referida no artigo 7.o, n.os 2 e 4, não se aplica e os Estados-Membros devem aceder aos sistemas de informação da UE ou ao CIR diretamente, caso o direito da União ou o direito nacional o preveja.

4.   Em caso de impossibilidade técnica de utilizar o ESP para consultar um ou vários sistemas de informação da União ou o CIR, devido a uma falha da infraestrutura de uma agência da União, a agência em causa notifica a eu-LISA e a Comissão de forma automatizada.

1.   É criado um serviço partilhado de correspondências biométricas (serviço partilhado BMS) onde são armazenados modelos biométricos obtidos com base nos dados biométricos referidos no artigo 13.o armazenados no CIR e no SIS, e que permite consultar vários sistemas de informação da UE usando dados biométricos, para efeitos de apoio do CIR e do MID e dos objetivos do SES, do VIS, do Eurodac, do SIS e do ECRIS-TCN.

2.   O serviço partilhado BMS é composto por:

3.   A eu-LISA deve desenvolver o serviço partilhado BMS, ficando responsável pela sua gestão técnica.

1.   O serviço partilhado BMS armazena os modelos biométricos, que obtém dos seguintes dados biométricos:

Os modelos biométricos são armazenados no serviço partilhado BMS, separados de forma lógica de acordo com o sistema de informação de onde provêm os dados.

2.   Para cada conjunto de dados a que se refere o n.o 1, o serviço partilhado BMS inclui em cada modelo biométrico uma referência aos sistemas de informação da UE onde estão armazenados os dados biométricos correspondentes e uma referência aos registos efetivos nesses sistemas de informação da UE.

3.   Os modelos biométricos são introduzidos no serviço partilhado BMS somente após um controlo automatizado da qualidade dos dados biométricos adicionados a um dos sistemas de informação da UE. Esse controlo é efetuado pelo serviço partilhado BMS para determinar se cumprem as normas mínimas em termos de qualidade de dados.

4.   O armazenamento dos dados referido no n.o 1 deve cumprir as normas de qualidade referidas no artigo 37.o, n.o 2.

5.   A Comissão deve estabelecer, por meio de um ato de execução, requisitos de desempenho e disposições práticas para monitorizar o desempenho do serviço partilhado BMS, a fim de assegurar que a eficácia das pesquisas biométricas respeita os procedimentos urgentes, como os controlos nas fronteiras e as identificações. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.

1.   Sem prejuízo do disposto nos artigos 12.o e 18.o do Regulamento (UE) 2018/1862 e no artigo 29.o do Regulamento (UE) 2019/816, a eu-LISA deve conservar registos de todas as operações de tratamento de dados realizadas no serviço partilhado BMS. Esses registos devem incluir o seguinte:

2.   Cada Estado-Membro deve manter registos das consultas feitas pelas suas autoridades e pelo pessoal devidamente autorizado dessas autoridades a utilizar o serviço partilhado BMS. Cada agência da União deve manter registos das consultas feitas pelo seu pessoal devidamente autorizado a utilizar o serviço partilhado BMS.

3.   Os registos referidos no n.o 1 e no n.o 2 só podem ser utilizados para controlar a proteção de dados, incluindo para verificar a admissibilidade de uma consulta e a legalidade do tratamento dos dados, e para garantir a segurança e a integridade dos dados. Esses registos devem estar protegidos por medidas adequadas contra acesso não autorizado e ser apagados um ano após a sua criação. No entanto, caso sejam necessários para procedimentos de controlo que já tenham sido iniciados, devem ser apagados logo que deixarem de ser necessários para esse efeito.

1.   É criado um repositório comum de dados de identificação (CIR), que estabelece um processo individual para cada pessoa registada no SES, no VIS, no ETIAS, no Eurodac ou no ECRIS-TCN e contém os dados referidos no artigo 18.o, com o objetivo de facilitar e apoiar a identificação correta das pessoas registadas no SES, no VIS, no ETIAS, no Eurodac e no ECRIS-TCN, nos termos do artigo 20.o, de apoiar o funcionamento do MID nos termos do artigo 21.o e de facilitar e simplificar o acesso das autoridades designadas e da Europol ao SES, ao VIS, ao ETIAS e ao Eurodac, sempre que tal for necessário para efeitos de prevenção, deteção ou investigação de infrações terroristas ou outras infrações penais graves nos termos do artigo 22.o.

2.   O CIR é composto por:

3.   A eu-LISA deve desenvolver o CIR, ficando responsável pela sua gestão técnica.

4.   Caso seja tecnicamente impossível consultar o CIR, devido a uma falha do CIR, para efeitos de identificação de uma pessoa nos termos do artigo 20.o, de deteção de identidades múltiplas nos termos do artigo 21.o ou de prevenção, deteção ou investigação de infrações terroristas ou outras infrações penais graves nos termos do artigo 22.o, os utilizadores do CIR devem ser notificados pela eu-LISA de forma automatizada.

5.   A eu-LISA deve, em cooperação com os Estados-Membros, desenvolver para o CIR um documento de controlo das interfaces baseado no UMF referido no artigo 38.o.

1.   O CIR deve armazenar os dados a seguir indicados, separados segundo um método lógico, de acordo com o sistema de informação de onde os dados são originários: os dados referidos no artigo 5.o, n.o 1, alínea b) e n.o 2, e os seguintes dados do artigo 5.o, n.o 1, alínea a), do Regulamento (UE) 2019/816: apelidos; nomes próprios, data de nascimento, local de nascimento (localidade e país), nacionalidade ou nacionalidades, sexo, nomes anteriores e, se aplicável, pseudónimos ou outros nomes, bem como, se estiverem disponíveis, informações sobre os documentos de viagem.

2.   Para cada série de dados a que se refere o n.o 1, o CIR deve incluir uma referência aos sistemas de informação da UE a que os dados pertencem.

3.   As autoridades que acedem ao CIR devem fazê-lo em conformidade com os seus direitos de acesso, tal como referido nos atos jurídicos que regem os sistemas de informação da UE e no direito nacional e em conformidade com os seus direitos de acesso nos termos do presente regulamento para os efeitos referidos nos artigos 20.o, 21.o e 22.o.

4.   Para cada série de dados a que se refere o n.o 1, o CIR deve incluir uma referência ao registo efetivo nos sistemas de informação da UE a que os dados pertencem.

5.   O armazenamento dos dados referido no n.o 1 deve cumprir as normas de qualidade referidas no artigo 37.o, n.o 2.

1.   Sempre que se adicionarem, alterarem ou eliminarem dados no Eurodac ou no ECRIS-TCN, os dados referidos no artigo 18.o armazenados no processo individual do CIR devem ser adicionados, alterados ou eliminados, em conformidade, de uma forma automatizada.

2.   Caso seja criada uma ligação branca ou vermelha no MID nos termos dos artigos 32.o e 33.o entre os dados de dois ou mais dos sistemas de informação da UE que constituem o CIR, em vez de criar um processo individual novo, o CIR deve adicionar os dados novos ao processo individual dos dados ligados.

1.   As consultas do CIR devem ser realizadas por uma autoridade policial nos termos dos n.os 2 e 5 apenas nas seguintes circunstâncias:

Essas consultas não são autorizadas quando se trate de menores de 12 anos, salvo se forem feitas no superior interesse da criança.

2.   Sempre que se verifique uma das circunstâncias previstas no n.o 1 e uma autoridade policial tenha sido habilitada para o efeito por medidas legislativas nacionais, tal como referido no n.o 5, pode, exclusivamente para efeitos de identificação de uma pessoa, consultar o CIR usando os dados biométricos dessa pessoa que foram obtidos em tempo real durante um controlo de identidade, desde que o procedimento tenha sido iniciado na presença dessa pessoa.

3.   Sempre que a consulta indicar que os dados relativos a essa pessoa estão armazenados no CIR, a autoridade policial do Estado-Membro deve ter acesso para consultar os dados referidos no artigo 18.o, n.o 1.

Sempre que não seja possível utilizar os dados biométricos da pessoa, ou se a consulta com esses dados falhar, a consulta deve ser efetuada com os dados de identificação dessa pessoa combinados com os dados dos documentos de viagem ou com os dados de identificação fornecidos por essa pessoa.

4.   Sempre que uma autoridade policial tenha sido habilitada para o efeito por medidas legislativas nacionais, a que se refere o n.o 6, pode, em caso de catástrofe natural, de acidente ou de um atentado terrorista, e exclusivamente para efeitos de identificação de pessoas desconhecidas que não sejam capazes de se identificar ou de restos mortais humanos não identificados, consultar o CIR usando os dados biométricos dessas pessoas.

5.   Os Estados-Membros que pretendam usar a possibilidade prevista no n.o 2 devem adotar medidas legislativas nacionais. Ao fazê-lo, os Estados-Membros devem ter em conta a necessidade de evitar qualquer discriminação contra nacionais de países terceiros. Essas medidas legislativas devem especificar exatamente os objetivos da identificação referidos no artigo 2.o, n.o 1, alíneas b) e c), designar as autoridades policiais competentes e estabelecer os procedimentos, as condições e os critérios desses controlos de identidade.

6.   Os Estados-Membros que pretendam aplicar o n.o 4 devem adotar medidas legislativas nacionais que estabeleçam os procedimentos, as condições e os critérios para o efeito.

1.   Sempre que uma consulta do CIR se traduzir numa ligação amarela, nos termos do artigo 28.o, n.o 4, a autoridade responsável pela verificação manual das diferentes identidades, nos termos do artigo 29.o, deve ter acesso, unicamente para efeitos dessa verificação, aos dados referidos no artigo 18.o, n.os 1 e 2, armazenados no CIR associados a uma ligação amarela.

2.   Sempre que uma consulta do CIR se traduzir numa ligação vermelha, nos termos do artigo 32.o, as autoridades referidas no artigo 26.o, n.o 2, devem ter acesso, unicamente para efeitos do combate à fraude de identidade, aos dados referidos no artigo 18.o, n.os 1 e 2, armazenados no CIR associados a uma ligação vermelha.

1.   Num caso específico, sempre que existam motivos razoáveis para crer que a consulta dos sistemas de informação da UE contribuirá para a prevenção, deteção ou investigação de infrações terroristas ou outras infrações penais graves, nomeadamente caso haja indícios de que o suspeito, autor ou vítima de uma infração terrorista ou de outras infrações penais graves é uma pessoa cujos dados estão armazenados no Eurodac, as autoridades designadas e a Europol podem consultar o CIR para obter informações sobre se existem dados sobre uma determinada pessoa no Eurodac.

2.   Sempre que, em resposta a uma consulta, o CIR indicar a presença de dados sobre essa pessoa no Eurodac, o CIR deve fornecer às autoridades designadas e à Europol uma resposta sob a forma de uma referência a que se refere o artigo 18.o, n.o 2, indicando que o Eurodac contém os dados das correspondências. O CIR deve responder de forma a não comprometer a segurança dos dados.

A resposta com a indicação de que existem dados relativos a essa pessoa no Eurodac só pode ser utilizada para efeitos de apresentação de um pedido de acesso pleno, no respeito das condições e dos procedimentos definidos nos atos jurídicos que regem esse acesso.

Em caso de correspondência ou de correspondências múltiplas, a autoridade designada ou a Europol devem solicitar um acesso pleno a, pelo menos, um dos sistemas de informação para os quais foi gerada uma correspondência.

No caso, excecional, de não ser solicitado esse acesso pleno, as autoridades designadas devem registar a justificação fornecida para não efetuar o pedido, a qual deve ser rastreável até ao processo nacional. A Europol deve registá-la no processo correspondente.

3.   O pleno acesso aos dados contidos no Eurodac para efeitos de prevenção, deteção ou investigação de infrações terroristas ou outras infrações penais graves continua sujeito às condições e procedimentos estabelecidos nos atos jurídicos que regem esse acesso.

1.   Os dados referidos no artigo 18.o, n.os 1, 2 e 4 devem ser eliminados do CIR de uma forma automatizada em conformidade com as disposições em matéria de conservação de dados do Regulamento (UE) 2019/816.

2.   O processo individual deve permanecer armazenado no CIR apenas enquanto os dados correspondentes permanecerem armazenados em, pelo menos, um dos sistemas de informação da UE cujos dados estão contidos no CIR. A criação de uma ligação não afeta o período de conservação de cada um dos elementos dos dados ligados.

1.   Sem prejuízo do disposto no artigo 29.o do Regulamento (UE) 2019/816, a eu-LISA deve conservar registos de todas as operações de tratamento de dados realizadas no CIR nos termos dos n.os 2, 3 e 4 do presente artigo.

2.   A eu-LISA deve conservar, nos termos do artigo 20.o, registos de todas as operações de tratamento de dados realizadas no CIR. Esses registos devem incluir o seguinte:

3.   A eu-LISA deve conservar, nos termos do artigo 21.o, registos de todas as operações de tratamento de dados realizadas no CIR. Esses registos devem incluir o seguinte:

4.   A eu-LISA deve conservar registos, nos termos do artigo 22.o, de todas as operações de tratamento de dados realizadas no CIR. Esses registos devem incluir o seguinte:

Os registos desse acesso devem ser verificados periodicamente pela autoridade de controlo competente, nos termos do artigo 41.o da Diretiva (UE) 2016/680 ou pela Autoridade Europeia para a Proteção de Dados, nos termos do artigo 43.o do Regulamento (UE) 2016/794, a intervalos não superiores a seis meses, a fim de verificar se os procedimentos e condições estabelecidos no artigo 22.o, n.o 1 e n.o 2 do presente regulamento são cumpridos.

5.   Cada Estado-Membro deve manter registos das consultas efetuadas pelas suas autoridades e pelo pessoal devidamente autorizado dessas autoridades a utilizar o CIR, nos termos dos artigos 20.o, 21.o e 22.o. Cada agência da União deve manter registos das consultas efetuadas pelo seu pessoal devidamente autorizado a utilizar o CIR, nos termos dos artigos 21.o e 22.o.

Além disso, para qualquer acesso ao CIR nos termos do artigo 22.o, cada Estado-Membro deve conservar os seguintes registos:

6.   Em conformidade com o Regulamento (UE) 2016/794, para qualquer acesso ao CIR nos termos do artigo 22.o do presente regulamento, a Europol deve conservar registos da identificação de utilizador único do funcionário que efetuou a consulta e do funcionário que a ordenou.

7.   Os registos referidos nos n.os 2 a 6 só podem ser utilizados para controlar a proteção de dados, incluindo para verificar a admissibilidade de uma consulta e a legalidade do tratamento dos dados, e para garantir a segurança e a integridade dos dados. Esses registos devem estar protegidos por medidas adequadas contra acesso não autorizado e ser apagados um ano após a sua criação. Se, no entanto, se forem necessários para procedimentos de controlo que já tenham sido iniciados, devem ser apagados logo que deixarem de ser necessários para o efeito.

8.   A eu-LISA deve armazenar os registos relacionados com o histórico dos dados nos processos individuais. A eu-LISA deve apagar esses registos de forma automatizada, assim que os dados forem apagados.

1.   É criado um detetor de identidades múltiplas (MID) que cria e armazena ficheiros de confirmação da identidade, como referido no artigo 34.o, que contém ligações entre os dados nos sistemas de informação da UE que fazem parte do CIR e do SIS e que permite detetar identidades múltiplas, com o duplo objetivo de facilitar os controlos de identidade e lutar contra a fraude de identidade, com o objetivo de apoiar o funcionamento do CIR e os objetivos do SES, do VIS, do ETIAS, do Eurodac, do SIS e do ECRIS-TCN.

2.   O MID é composto por:

3.   A eu-LISA deve desenvolver o MID, ficando responsável pela sua gestão técnica.

1.   Para efeitos de verificação manual das diferentes identidades a que se refere o artigo 29.o, deve ser concedido às entidades abaixo indicadas acesso aos dados referidos no artigo 34.o, armazenados no MID:

2.   As autoridades dos Estados-Membros e as agências da UE que tenham acesso a, pelo menos, um sistema de informação da UE incluído no CIR ou ao SIS devem ter acesso aos dados referidos no artigo 34.o, alíneas a) e alínea b), sobre quaisquer ligações vermelhas, tal como referido no artigo 32.o.

3.   As autoridades dos Estados-Membros e as agências da União devem ter acesso às ligações brancas a que se refere o artigo 33.o, caso tenham acesso aos dois sistemas de informação da UE que contêm dados entre os quais foi criada a ligação branca.

4.   As autoridades dos Estados-Membros e as agências da União devem ter acesso às ligações verdes a que se refere o artigo 31.o, caso tenham acesso aos dois sistemas de informação da UE que contêm dados entre os quais foi criada a ligação verde e uma consulta a esses sistemas de informação tenha revelado uma correspondência com os dois conjuntos de dados ligados.

1.   Deve ser iniciada uma deteção de identidades múltiplas no CIR e no SIS se:

2.   Se os dados contidos num sistema de informação da UE a que se refere o n.o 1 contiverem dados biométricos, o CIR e o SIS Central devem utilizar o serviço partilhado BMS a fim de realizar a deteção de identidades múltiplas. O serviço partilhado BMS deve comparar os modelos biométricos obtidos a partir de quaisquer novos dados biométricos com os modelos biométricos já constantes do serviço partilhado BMS para verificar se os dados pertencentes à mesma pessoa se encontram ou não já armazenados no CIR ou no SIS Central.

3.   Para além do processo a que se refere o n.o 2, o CIR e o SIS Central devem utilizar o ESP para pesquisar os dados armazenados no SIS Central e no CIR, respetivamente, utilizando os seguintes dados:

4.   Para além do processo a que se referem os n.os 2 e 3, o CIR e o SIS Central devem utilizar o ESP para pesquisar os dados armazenados no SIS Central e no CIR, respetivamente, utilizando os dados do documento de viagem.

5.   A deteção de identidades múltiplas só deve ser lançada para comparar os dados disponíveis num sistema de informação da UE com os dados disponíveis de outros sistemas de informação da UE.

1.   Nos casos em que as consultas referidas no artigo 27.o, n.os 2, 3 e 4, não indicarem qualquer correspondência, os procedimentos a que se refere o artigo 27.o, n.o 1, devem continuar de acordo com os atos jurídicos que os regem.

2.   Se a pesquisa referida no artigo 27.o, n.os 2, 3 e 4, indicar uma ou várias respostas, o CIR e, se for caso disso, o SIS devem criar uma ligação entre os dados utilizados para lançar a pesquisa e os dados que desencadearam a correspondência.

Quando são comunicadas várias correspondências deve ser criada uma ligação entre todos os dados que desencadearam a correspondência. Quando os dados já se encontram ligados, a ligação existente será alargada aos dados utilizados para lançar a pesquisa.

3.   Se a pesquisa referida no artigo 27.o, n.os 2, 3 e 4, indicar uma ou várias correspondências e os dados de identificação dos ficheiros ligados forem os mesmos ou semelhantes, deve ser criada uma ligação branca nos termos do artigo 33.o.

4.   Se a pesquisa referida no artigo 27.o, n.os 2, 3 e 4, detetar uma ou várias correspondências e os dados de identificação dos processos ligados não puderem ser considerados similares, deve ser criada uma ligação amarela em conformidade com o artigo 30.o e aplicar-se o procedimento previsto no artigo 29.o.

5.   A Comissão deve adotar delegados nos termos do artigo 69.o que estabelecem os procedimentos para determinar os casos em que dados de identificação podem ser considerados os mesmos ou similares

6.   As ligações devem ser conservadas no processo de confirmação de identidade a que se refere o artigo 34.o.

7.   A Comissão deve estabelecer, em cooperação com a eu-LISA, as regras técnicas necessárias para a criação de ligações entre os dados de diferentes sistemas de informação da UE, através de atos de execução. Os referidos atos de execução são dotados pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.

1.   Sem prejuízo do disposto no n.o 2, a autoridade responsável pela verificação manual das diferentes identidades deve ser:

O MID deve indicar a autoridade responsável pela verificação manual das diferentes identidades no processo de confirmação da identidade.

2.   A autoridade responsável pela verificação manual das diferentes identidades no processo de confirmação de identidade é o gabinete SIRENE do Estado-Membro que criou a indicação quando é estabelecida uma ligação com os dados contidos numa indicação relativa a:

3.   A autoridade responsável pela verificação manual das diferentes identidades deve ter acesso aos dados ligados contidos no ficheiro de confirmação de identidade pertinente e aos dados de identificação ligados nos sistemas de informação pertinentes e, se for caso disso, no SIS. A referida autoridade deve avaliar sem demora as diversas identidades. Uma vez concluída a avaliação, deve atualizar a ligação, em conformidade com os artigos 31.o, 32.o e 33.o e adicioná-la ao processo de confirmação de identidade sem demora.

4.   No caso de mais de uma ligação, a autoridade responsável pela verificação das diferentes identidades deve avaliar cada ligação separadamente.

5.   Quando os dados que comunicam uma correspondência já foram ligados, a autoridade responsável pela verificação manual das diferentes identidades deve ter em consideração as ligações existentes ao avaliar a criação de novas ligações.

1.   Quando a verificação manual das diferentes identidades não tiver sido feita, deve ser classificada a amarelo uma ligação entre os dados de dois ou mais sistemas de informação da UE em qualquer dos seguintes casos:

2.   Quando uma ligação é classificada a amarelo, nos termos do disposto no n.o 1, deve aplicar-se o procedimento previsto no artigo 29.o.

1.   Uma ligação entre os dados de dois ou mais sistemas de informação da UE deve ser classificada como verde se:

2.   Quando o CIR ou o SIS são consultados e se existe uma ligação verde entre dados em dois ou mais sistemas de informação da UE, o MID indica que os dados de identificação dos dados ligados não correspondem à mesma pessoa.

3.   A autoridade de um Estado-Membro deve verificar os dados pertinentes armazenados no CIR e no SIS e, se necessário, retificar ou apagar sem demora a ligação do MID, caso tenha indícios de que uma ligação verde foi registada de forma incorreta no MID, ou que uma ligação verde está desatualizada ou de que foram tratados dados no MID ou nos sistemas de informação da UE em violação do presente regulamento. Essa autoridade do Estado-Membro deve informar sem demora o Estado-Membro responsável pela verificação manual das diferentes identidades.

1.   Uma ligação entre os dados de dois ou mais sistemas de informação da UE deve ser classificada a vermelho, em qualquer dos seguintes casos:

2.   Quando o CIR ou o SIS são consultados e existe uma ligação vermelha entre dados de dois ou mais sistemas de informação da UE, o MID indica os dados referidos no artigo 34.o. O seguimento de uma ligação vermelha deve ter lugar em conformidade com a legislação da União e nacional, e as eventuais consequências jurídicas para a pessoa baseiam-se apenas nos dados pertinentes sobre essa pessoa. Nenhuma consequência jurídica deverá advir para a pessoa com base, exclusivamente, na existência de uma ligação vermelha.

3.   Nos casos em que é criada uma ligação vermelha entre os dados do SES, do VIS, ETIAS, Eurodac ou do ECRIS-TCN, o processo individual, guardado no CIR deve ser atualizado em conformidade com o artigo 19.o, n.o 2.

4.   Sem prejuízo das disposições relativas ao tratamento de indicações no SIS referidas nos Regulamentos (UE) 2018/1860, (UE) 2018/1861 e (UE) 2018/1862, e sem prejuízo das restrições necessárias para proteger a segurança e a ordem pública, prevenir o crime e garantir que qualquer investigação nacional não será prejudicada, sempre que uma ligação vermelha é criada, a autoridade responsável pela verificação manual das diferentes identidades deve informar a pessoa em causa da existência de múltiplos dados de identificação ilegais e fornecer-lhe, por escrito, um número de identificação único, tal como referido no artigo 34.o, alínea c), do presente regulamento, uma referência à autoridade responsável pela verificação manual das diferentes identidades, tal como referido no artigo 34.o, alínea d), do presente regulamento, e o endereço do portal Web criado nos termos do artigo 49.o do presente regulamento.

5.   A informação a que se refere o n.o 4, deve ser dada por escrito pela autoridade responsável pela verificação manual das diferentes identidades por meio de um formulário normalizado. A Comissão determina o conteúdo e apresentação desse formulário através de atos de execução. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.

6.   Nos casos em que uma ligação vermelha é criada, o MID notifica as autoridades responsáveis pelos dados ligados de forma automatizada.

7.   Se uma autoridade de um Estado-Membro ou uma agência da União com acesso ao CIR ou ao SIS tiver indícios de que uma ligação vermelha foi registada de forma incorreta no MID ou de que os dados tratados no MID, no CIR ou no SIS foram tratados em violação do presente regulamento, essa autoridade ou agência deve verificar os dados relevantes armazenados no CIR e no SIS e deve:

Caso o gabinete SIRENE seja contactado nos termos da alínea a), do primeiro parágrafo, o gabinete deve verificar os elementos de prova fornecidos pela autoridade do Estado-Membro ou a agência da União e, se for caso disso, retificar ou apagar imediatamente a ligação do MID.

A autoridade do Estado-Membro que obtém os elementos de prova deve informar sem demora a autoridade do Estado-Membro responsável pela verificação manual das diferentes identidades, indicando, se for caso disso, uma eventual retificação ou apagamento de uma ligação vermelha.

1.   Uma ligação entre os dados de dois ou mais sistemas de informação da UE deve ser classificada a branco em qualquer dos seguintes casos:

2.   Quando o CIR ou o SIS são consultados e existe uma ligação branca entre dados de um ou mais dos sistemas de informação da UE, o MID indica que os dados de identificação de dados ligados correspondem à mesma pessoa. Os sistemas de informação da UE consultados respondem indicando, se for caso disso, todos os dados ligados sobre a pessoa, desencadeando assim uma correspondência em relação aos dados que são objeto da ligação branca, se a autoridade que lança a consulta tem acesso aos dados ligados ao abrigo do direito da União ou do direito nacional.

3.   Nos casos em que é criada uma ligação branca entre os dados do SES, do VIS, do ETIAS, do Eurodac ou do ECRIS-TCN, o processo individual, guardado no CIR deve ser atualizado em conformidade com o artigo 19.o, n.o 2.

4.   Sem prejuízo das disposições relativas ao tratamento de indicações no SIS constantes dos Regulamentos (UE) 2018/1860, (UE) 2018/1861 e (UE) 2018/1862, e sem prejuízo das restrições necessárias para proteger a segurança e a ordem pública, prevenir o crime e garantir que nenhuma investigação nacional será prejudicada, sempre que é criada uma ligação branca na sequência de uma verificação manual das diferentes identidades, a autoridade responsável pela verificação das diferentes identidades deve informar a pessoa em causa sobre a existência de dados de identificação similares ou diferentes e fornecer-lhe um número de identificação único, tal como referido no artigo 34.o, alínea c), do presente regulamento, uma referência à autoridade responsável pela verificação manual das diferentes identidades, tal como referido no artigo 34.o, alínea d), do presente regulamento e o endereço do portal Web criado nos termos do artigo 49.o do presente regulamento.

5.   A autoridade de um Estado-Membro deve verificar os dados pertinentes armazenados no CIR e no SIS e, se necessário, retificar ou apagar sem demora a ligação do MID, caso tenha indícios de que uma ligação branca foi registada de forma incorreta no MID, ou que uma ligação branca está desatualizada ou de que foram tratados dados no MID ou nos sistemas de informação da UE em violação do presente regulamento. Essa autoridade do Estado-Membro deve informar sem demora o Estado-Membro responsável pela verificação manual das diferentes identidades.

6.   A informação a que se refere o n.o 4 deve ser dada por escrito pela autoridade responsável pela verificação manual das diferentes identidades por meio de um formulário normalizado. A Comissão determina o conteúdo e a apresentação desse formulário através de atos de execução. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.

1.   A eu-LISA deve conservar os registos de todas as operações de tratamento de dados efetuadas pelo MID. Esses registos devem incluir o seguinte:

2.   Cada Estado-Membro deve manter registos das consultas feitas pelas suas autoridades e pelo pessoal das autoridades devidamente autorizado a utilizar o MID. Cada agência da União deve manter registos das consultas feitas pelo seu pessoal devidamente autorizado a utilizar o MID.

3.   Os registos referidos nos n.os 1 e 2 só podem ser utilizados para controlo da proteção de dados, incluindo a verificação da admissibilidade de uma consulta e da legalidade do tratamento dos dados, bem como para garantir a sua segurança e integridade. Esses registos devem estar protegidos por medidas adequadas contra o acesso não autorizado e apagados um ano após a sua criação. Se, no entanto, forem necessários para procedimentos de controlo que já tenham tido início, esses registos devem ser apagados logo que deixarem de ser necessários para o efeito.

1.   Sem prejuízo das responsabilidades dos Estados-Membros em matéria de qualidade dos dados introduzidos nos sistemas, a eu-LISA deve criar mecanismos e procedimentos automatizados de controlo de qualidade de dados sobre os dados armazenados no SIS, Eurodac, ECRIS-TCN, serviço partilhado BMS e no CIR.

2.   A eu-LISA deve implementar mecanismos para avaliar a exatidão do serviço partilhado BMS, indicadores comuns de qualidade dos dados e as normas mínimas de qualidade para armazenar os dados no SIS, Eurodac, ECRIS-TCN, serviço partilhado BMS e CIR.

Só os dados que cumpram as normas mínimas de qualidade podem ser introduzidos no SIS, Eurodac, ECRIS-TCN, serviço partilhado BMS, no CIR e no MID.

3.   A eu-LISA deve apresentar aos Estados-Membros relatórios periódicos sobre os mecanismos e procedimentos automatizados de controlo de qualidade de dados e os indicadores comuns sobre a qualidade dos dados. A eu-LISA deve também apresentar um relatório periódico à Comissão sobre os problemas encontrados e os Estados-Membros em causa. A eu-LISA deve também facultar o referido relatório ao Parlamento Europeu e ao Conselho, mediante pedido. Os relatórios apresentados nos termos do presente número não podem conter quaisquer dados pessoais.

4.   As informações pormenorizadas relativas aos mecanismos e procedimentos automatizados de controlo da qualidade e indicadores comuns de qualidade dos dados e normas mínimas de qualidade para armazenar os dados no SIS, Eurodac, ECRIS-TCN, no serviço partilhado BMS e no CIR, em especial no que se refere aos dados biométricos, devem ser estabelecidos em atos de execução. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.

5.   Um ano após a criação dos mecanismos e procedimentos automatizados de controlo da qualidade dos dados, indicadores comuns da qualidade dos dados e normas mínimas de qualidade dos dados e, posteriormente, todos os anos, a Comissão deve avaliar a execução por parte dos Estados-Membros da qualidade dos dados e formular as recomendações necessárias. Os Estados-Membros devem apresentar à Comissão um plano de ação destinado a corrigir as deficiências identificadas no relatório de avaliação e, em especial, os problemas de qualidade dos dados devido a dados erróneos armazenados nos sistemas de informação da UE. Os Estados-Membros comunicam periodicamente à Comissão quaisquer progressos na aplicação deste plano de ação até que seja plenamente aplicado.

A Comissão deve transmitir o relatório de avaliação ao Parlamento Europeu, ao Conselho, à Autoridade Europeia para a Proteção de Dados, ao Comité Europeu para a Proteção de Dados e à Agência dos Direitos Fundamentais da União Europeia, criada pelo Regulamento (CE) n.o 168/2007 do Conselho (37).

1.   O presente artigo estabelece a norma relativa ao Formato de Mensagem Universal (UMF). A UMF define as normas relativas a determinado conteúdo de intercâmbio de informações transfronteiriço, entre sistemas de informação, autoridades ou organizações no domínio da Justiça e Assuntos Internos.

2.   A norma UMF deve ser utilizada no desenvolvimento do Eurodac, do ECRIS-TCN, do ESP, do CIR, do MID e, sempre que viável e, se for caso disso, no desenvolvimento pela eu-LISA ou por qualquer outra agência da União de novos modelos de intercâmbio de informações e de sistemas de informação da União no domínio da Justiça e Assuntos Internos.

3.   A Comissão deve adotar um ato de execução para estabelecer e desenvolver a norma UMF referida no n.o 1 do presente artigo. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.

1.   É criado um repositório central para a elaboração de relatórios e estatísticas (CRRS) para efeitos de apoio aos objetivos do Eurodac, do SIS e do ECRIS-TCN, em conformidade com os respetivos atos jurídicos que regem esses sistemas, e para fornecer dados estatísticos intersistemas e relatórios analíticos para fins políticos, operacionais e para efeitos de qualidade dos dados.

2.   A eu-Lisa deve criar, implementar e alojar o CRRS nas suas instalações técnicas, contendo os dados e as estatísticas referidos no artigo 74.o do Regulamento (UE) 2018/1862 e no artigo 32.o do Regulamento (UE) 2019/816, logicamente separados pelo sistema de informação da UE. O acesso ao CRRS deve ser concedido mediante um acesso seguro com controlo do acesso e perfis de utilizador específicos, unicamente com a finalidade de elaboração de relatórios e estatísticas, às autoridades a que se refere o artigo 74.o do Regulamento (UE) 2018/1862 e o artigo 32.o do Regulamento (UE) 2019/816.

3.   A eu-LISA deve tornar os dados anónimos e registá-los no CRRS. O processo de tornar os dados anónimos deve ser automatizado.

Os dados contidos no CRRS não podem permitir a identificação de pessoas.

4.   O CRRS é constituído por:

5.   A Comissão deve adotar um ato delegado nos termos do artigo 69.o a fim de estabelecer regras pormenorizadas sobre o funcionamento do CRRS, incluindo garantias específicas para o tratamento dos dados pessoais a que se referem os n.os 2 e 3 do presente artigo e regras de segurança aplicáveis ao repositório.

1.   No que respeita ao tratamento dos dados no serviço partilhado BMS, as autoridades dos Estados-Membros que são responsáveis pelo tratamento de dados do Eurodac, SIS e ECRIS-TCN, respetivamente, devem ser igualmente consideradas responsáveis pelo tratamento dos dados, em conformidade com o artigo 4.o, ponto 7, do Regulamento (UE) 2016/679 ou o artigo 3.o, ponto 8, da Diretiva (UE) 2016/680, no que diz respeito aos modelos biométricos obtidos a partir dos dados referidos no artigo 13.o do presente regulamento introduzidos nos sistemas respetivos, sendo responsáveis pelo tratamento dos modelos biométricos no serviço partilhado BMS.

2.   No que respeita ao tratamento de dados no CIR, as autoridades dos Estados-Membros que são responsáveis pelo tratamento de dados para o Eurodac e o ECRIS-TCN, respetivamente, devem ser responsáveis pelo tratamento dos dados, em conformidade com o artigo 4.o, ponto 7, do Regulamento (UE) 2016/679 ou o artigo 3.o, ponto 8 da Diretiva (UE) 2016/680, no respeitante aos dados referidos no artigo 18.o do presente regulamento introduzidos nos sistemas respetivos, sendo responsáveis pelo tratamento desses dados pessoais no CIR.

3.   No que respeita ao tratamento dos dados no MID:

4.   Para efeitos de controlo da proteção de dados, nomeadamente para verificação da admissibilidade de uma consulta e da legalidade do tratamento dos dados, os responsáveis pelo tratamento devem ter acesso aos registos referidos nos artigos 10.o, 16.o, 24.o e 36.o para fins de autocontrolo, como referido no artigo 44.o.

1.   A eu-LISA, a unidade central do ETIAS, a Europol e as autoridades dos Estados-Membros devem garantir que a segurança do tratamento dos dados pessoais decorre de acordo com o presente regulamento. A eu-LISA, a unidade central do ETIAS, a Europol e as autoridades dos Estados-Membros devem cooperar em tarefas relacionadas com a segurança.

2.   Sem prejuízo do artigo 33.o do Regulamento (UE) 2018/1725, a eu-LISA deve adotar as medidas necessárias para garantir a segurança dos componentes de interoperabilidade e da respetiva infraestrutura de comunicação conexa.

3.   Em especial, a eu-LISA deve adotar as medidas necessárias, incluindo um plano de segurança, um plano de continuidade das atividades e um plano de recuperação na sequência de catástrofes, a fim de:

4.   Os Estados-Membros, a Europol e a unidade central do ETIAS devem adotar medidas equivalentes às referidas no n.o 3 no que respeita à segurança relativamente ao tratamento dos dados pessoais por parte das autoridades com direitos de acesso a qualquer dos componentes de interoperabilidade.

1.   Qualquer acontecimento que tenha ou possa ter impacto na segurança dos componentes de interoperabilidade e que possa causar-lhes danos ou perda de dados armazenados nos mesmos é considerado um incidente de segurança, nomeadamente na eventualidade de ter havido acesso não autorizado aos dados ou quando a disponibilidade, integridade ou confidencialidade dos dados tenha ou possa ter sido posta em causa.

2.   Os incidentes de segurança devem ser geridos por forma a assegurar uma resposta rápida, eficaz e adequada.

3.   Sem prejuízo da notificação e comunicação da violação de dados pessoais ao abrigo do disposto no artigo 33.o do Regulamento (UE) 2016/679, no artigo 30.o da Diretiva (UE) 2016/680, ou em ambos, os Estados-Membros devem notificar sem demora a Comissão, a eu-LISA, as autoridades de controlo competentes e a Autoridade Europeia para a Proteção de Dados de quaisquer incidentes de segurança.

Sem prejuízo dos artigos 34.o e 35.o do Regulamento (UE) 2018/1725 e do artigo 34.o do Regulamento (UE) 2016/794, a unidade central do ETIAS e a Europol devem notificar sem demora a Comissão, a eu-LISA e a Autoridade Europeia para a Proteção de Dados de quaisquer incidentes de segurança.

Em caso de incidente de segurança em relação aos componentes de interoperabilidade da infraestrutura central, a eu-LISA deve notificar sem demora a Comissão e a Autoridade Europeia para a Proteção de Dados.

4.   As informações relativas a um incidente de segurança que tenha ou possa ter impacto no funcionamento dos componentes de interoperabilidade ou na disponibilidade, integridade ou confidencialidade dos dados devem ser facultadas sem demora aos Estados-Membros, à unidade central do ETIAS e à Europol, e comunicadas em conformidade com o plano de gestão de incidentes fornecido pela eu-LISA.

5.   Os Estados-Membros em causa, a unidade central do ETIAS, a Europol e a eu-LISA devem cooperar em caso de incidente de segurança. A Comissão deve estabelecer as especificações deste processo de cooperação por meio de atos de execução. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.

1.   Sem prejuízo do direito à indemnização e das obrigações do responsável pelo tratamento dos dados ou do subcontratante nos termos do Regulamento (UE) 2016/679, da Diretiva (UE) 2016/680 e do Regulamento (UE) 2018/1725:

O Estado-Membro em causa, a Europol, a Agência Europeia da Guarda de Fronteiras e Costeira ou a eu-LISA ficam, total ou parcialmente, exonerados da sua responsabilidade por força do primeiro parágrafo, se provarem que o evento que deu origem ao dano não lhes é imputável.

2.   Se o incumprimento por um Estado-Membro das obrigações que lhe incumbem por força do presente regulamento causar danos aos componentes de interoperabilidade, esse Estado-Membro é responsável pelos danos, a menos e na medida em que a eu-LISA ou outro Estado-Membro vinculado pelo presente regulamento não tenha tomado medidas razoáveis para prevenir os danos ou minimizar o seu impacto.

3.   Os pedidos de indemnização a um Estado-Membro pelos danos referidos nos n.os 1 e 2 são regulados pelo direito interno do Estado-Membro requerido. Os pedidos de indemnização apresentados ao responsável pelo tratamento dos dados ou à eu-LISA pelos danos referidos nos n.os 1 e 2 ficam sujeitos às condições previstas nos Tratados.

1.   A autoridade responsável pela recolha de dados das pessoas cujos dados são conservados no serviço partilhado BMS, no CIR ou no MID deve facultar às pessoas cujos dados são recolhidos as informações previstas nos termos dos artigos 13.o e 14.o do Regulamento (UE) 2016/679, dos artigos 12.o e 13.o da Diretiva (UE) 2016/680 e dos artigos 15.o e 16.o do Regulamento (UE) 2018/1725. A autoridade deve fornecer as informações no momento da recolha desses dados.

2.   Todas as informações devem ser disponibilizadas em linguagem clara e simples, numa versão linguística que a pessoa em causa compreenda ou que se espere, de forma razoável, que compreenda. Tal deve incluir o fornecimento de informações de uma maneira adequada à idade dos titulares de dados que sejam menores.

3.   As regras sobre o direito à informação constantes das disposições sobre a proteção de dados da União são aplicáveis aos dados pessoais registados no ECRIS-TCN e tratados para efeitos do presente regulamento.

1.   A fim de exercer os seus direitos ao abrigo dos artigos 15.o a 18.o do Regulamento (UE) 2016/679, dos artigos 17.o a 20.o do Regulamento (UE) 2018/1725 e dos artigos 14.o a 16.o da Diretiva (UE) 2016/680, qualquer pessoa tem o direito de se dirigir à autoridade competente de qualquer Estado-Membro, que deve examinar e responder ao pedido.

2.   O Estado-Membro que examina o pedido deve responder sem demora injustificada e, em qualquer caso, no prazo de 45 dias a contar da receção do pedido. Esse prazo pode ser prorrogado por 15 dias, se necessário, tendo em conta a complexidade e o número de pedidos. O Estado-Membro que examina o pedido deve informar o titular dos dados de qualquer prorrogação e dos motivos da demora, no prazo de 45 dias a contar da data de receção do pedido. Os Estados-Membros podem decidir que estas respostas sejam dadas pelos serviços centrais.

3.   Se for apresentado um pedido de retificação ou apagamento de dados pessoais a um Estado-Membro diferente do Estado-Membro responsável pela verificação manual das diferentes identidades, o Estado-Membro ao qual foi apresentado o pedido deve contactar as autoridades do Estado-Membro responsável pela verificação manual das diferentes identidades no prazo de sete dias. O Estado-Membro responsável pela verificação manual das diferentes identidades deve verificar a exatidão dos dados e a legalidade do tratamento dos dados sem demora injustificada e, em qualquer caso, no prazo de 30 dias a contar desse contacto. Esse prazo pode ser prorrogado por mais 15 dias, se necessário, tendo em conta a complexidade e o número de pedidos. O Estado-Membro responsável pela verificação manual das diferentes identidades informa o Estado-Membro, ao qual foi apresentado o pedido, da prorrogação do prazo bem como a sua fundamentação. O Estado-Membro que contactou a autoridade do Estado-Membro responsável pela verificação manual das diferentes identidades informa a pessoa em causa sobre o procedimento subsequente.

4.   Se for apresentado um pedido de retificação ou apagamento de dados pessoais a um Estado-Membro em que a unidade central do ETIAS foi responsável pela verificação manual das diferentes identidades, o Estado-Membro ao qual foi apresentado o pedido deve contactar a unidade central do ETIAS no prazo de sete dias para solicitar que emita parecer sem demora injustificada. A unidade central do ETIAS emite parecer, sem demora injustificada, qualquer caso, no prazo de 30 dias a contar desse contacto. Esse prazo pode ser prorrogado por mais 15 dias, se necessário, tendo em conta a complexidade e o número de pedidos. O Estado-Membro que contactou a autoridade do Estado-Membro responsável pela verificação manual das diferentes identidades informa a pessoa em causa sobre o procedimento subsequente.

5.   Sempre que, na sequência de um exame, se concluir que os dados armazenados no MID são inexatos ou foram registados ilegalmente, o Estado-Membro responsável pela verificação manual das diferentes identidades ou, caso não tenha havido um Estado-Membro responsável pela verificação manual das diferentes identidades ou se a unidade central do ETIAS tiver sido responsável pela verificação manual das diferentes identidades, o Estado-Membro ao qual foi apresentado o pedido, deve proceder à sua retificação ou ao seu apagamento sem demora injustificada. A pessoa em causa deve ser informada por escrito de que os seus dados foram retificados ou apagados.

6.   Caso os dados armazenados no MID sejam alterados por um Estado-Membro durante o respetivo período de conservação, esse Estado-Membro deve proceder ao tratamento previsto no artigo 27.o e, quando aplicável, no artigo 29.o, a fim de determinar se os dados alterados devem ser ligados. Se o tratamento não detetar qualquer correspondência, o Estado-Membro em causa deve apagar os dados do processo de confirmação de identidade. Sempre que o tratamento automatizado comunicar uma ou várias correspondências, o Estado-Membro em causa deve criar ou atualizar a ligação em questão em conformidade com as disposições aplicáveis do presente regulamento.

7.   Sempre que o Estado-Membro responsável pela verificação manual das diferentes identidades ou, se for caso disso, o Estado-Membro ao qual foi apresentado o pedido não considerar que os dados armazenados no MID são inexatos ou foram registados ilegalmente, deve adotar uma decisão administrativa, explicando por escrito e sem demora à pessoa em causa as razões pelas quais não está disposto a retificar ou a apagar os dados que lhe dizem respeito.

8.   A decisão a que se refere o n.o 7 deve informar também o interessado sobre a possibilidade de impugnar a decisão tomada relativamente ao pedido de acesso, retificação, apagamento ou limitação do tratamento de dados pessoais e, se for caso disso, sobre a forma de intentar uma ação ou apresentar uma reclamação junto das autoridades ou tribunais competentes, e informar sobre um eventual auxílio, inclusivamente por parte das autoridades de controlo competentes.

9.   Qualquer pedido de acesso, retificação, apagamento ou limitação do tratamento de dados pessoais deve incluir as informações necessárias para identificar a pessoa em causa. Essas informações devem ser utilizadas exclusivamente para permitir o exercício dos direitos referidos no presente artigo, após o que serão imediatamente apagadas.

10.   O Estado-Membro responsável pela verificação manual das diferentes identidades ou, se for caso disso, o Estado-Membro ao qual foi apresentado o pedido, deve conservar um registo relativo à apresentação de um pedido de acesso, retificação, apagamento ou limitação do tratamento de dados pessoais, e disponibilizar sem demora esse registo às autoridades de controlo.

11.   O presente artigo aplica-se sem prejuízo das limitações e restrições aos direitos previstos no presente artigo nos termos do Regulamento (UE) 2016/679 e da Diretiva (UE) 2016/680.

1.   É criado um portal Web com o objetivo de facilitar o exercício dos direitos de acesso, retificação, apagamento ou de limitação do tratamento de dados pessoais.

2.   O portal Web deve conter informações sobre os direitos e procedimentos referidos nos artigos 47.o e 48.o e uma interface do utilizador que permita às pessoas cujos dados são tratados através do MID e que foram informadas da presença de uma ligação vermelha, em conformidade com o artigo 32.o, n.o 4, receber os dados de contacto da autoridade competente do Estado-Membro responsável pela verificação manual das identidades diferentes.

3.   A fim de obter os dados de contacto da autoridade competente do Estado-Membro responsável pela verificação manual das diferentes identidades, a pessoa cujos dados são tratados através do MID deve inserir a referência à autoridade responsável pela verificação manual das diferentes identidades referidas no artigo 34.o, alínea d). O portal Web deve utilizar esta referência para obter os dados de contacto da autoridade competente do Estado-Membro responsável pela verificação manual das diferentes identidades. O portal Web deve também incluir um modelo de mensagem de correio eletrónico para facilitar a comunicação entre o utilizador do portal e a autoridade competente do Estado-Membro responsável pela verificação manual das diferentes identidades. Essa mensagem deve incluir um campo relativo ao número de identificação único referido no artigo 34.o, alínea c), a fim de permitir à autoridade competente do Estado-Membro responsável pela verificação manual das diferentes identidades a identificação dos dados em causa.

4.   Os Estados-Membros devem fornecer à eu-LISA os dados de contacto de todas as autoridades competentes para examinar e responder a qualquer pedido, tal como referido nos artigos 47.o e 48.o, bem como avaliar regularmente se esses dados de contacto estão atualizados.

5.   A eu-LISA deve desenvolver o portal Web, ficando responsável pela sua gestão técnica.

6.   A Comissão deve adotar um ato delegado, nos termos do artigo 69.o, a fim de estabelecer regras pormenorizadas sobre o funcionamento do portal Web, incluindo a interface do utilizador, as línguas em que o portal deve estar disponível e o modelo de correio eletrónico.

1.   Cada Estado-Membro assegura que as autoridades de controlo controlam de forma independente a licitude do tratamento dos dados pessoais referidos no presente regulamento pelo Estado-Membro em causa, incluindo a sua transmissão aos componentes de interoperabilidade e a partir dos mesmos.

2.   Cada Estado-Membro assegura que as disposições nacionais legislativas, regulamentares e administrativas adotadas em virtude da Diretiva (UE) 2016/680 sejam igualmente aplicáveis, se for caso disso, ao acesso aos componentes de interoperabilidade pelas autoridades policiais e pelas autoridades designadas, inclusive no que respeita aos direitos das pessoas a cujos dados se tem assim acesso.

3.   As autoridades de controlo devem garantir a realização de uma auditoria às operações de tratamento de dados pessoais pelas autoridades nacionais competentes para efeitos do presente regulamento em conformidade com as normas internacionais de auditoria aplicáveis, pelo menos de quatro em quatro anos.

As autoridades de controlo publicam anualmente o número de pedidos de retificação, apagamento, ou limitação do tratamento de dados pessoais, as medidas subsequentemente tomadas e o número de retificações, apagamentos e limitações de tratamento que tiveram lugar na sequência dos pedidos pelas pessoas em causa.

4.   Os Estados-Membros devem assegurar que as autoridades de controlo dispõem dos meios e dos conhecimentos especializados necessários para cumprir as tarefas que lhes são confiadas no âmbito do presente regulamento.

5.   Os Estados-Membros comunicam todas as informações solicitadas por qualquer uma das autoridades de controlo referidas no artigo 51.o, n.o 1, do Regulamento (UE) 2016/679 e, em especial, fornecem-lhe informações relativas às atividades desenvolvidas no âmbito das suas responsabilidades estabelecidas pelo presente regulamento. Os Estados-Membros concedem às autoridades de controlo referidas no artigo 51.o, n.o 1, do Regulamento (UE) 2016/679 o acesso aos seus registos referidos nos artigos 10.o, 16.o, 24.o e 36.o, do presente regulamento, às suas justificações referidas no artigo 22.o, n.o 2, do presente regulamento, e permitem-lhes o acesso, a qualquer momento, a todas as suas instalações utilizadas para fins de interoperabilidade.

1.   As autoridades de controlo e a Autoridade Europeia para a Proteção de Dados, agindo cada uma no âmbito das respetivas competências, cooperam ativamente no âmbito das respetivas responsabilidades e asseguram a supervisão coordenada da utilização dos componentes de interoperabilidade e a aplicação das restantes disposições do presente regulamento, em particular se a Autoridade Europeia para a Proteção de Dados ou uma autoridade de controlo detetar discrepâncias relevantes entre as práticas dos Estados-Membros ou detetar transferências potencialmente ilegais através dos canais de comunicação dos componentes de interoperabilidade.

2.   Nos casos referidos no n.o 1 do presente artigo, o controlo coordenado deve ser assegurado nos termos do artigo 62.o do Regulamento (UE) 2018/1725.

3.   O Comité Europeu para a Proteção de Dados deve enviar um relatório de atividades nos termos do presente artigo conjunto ao Parlamento Europeu, ao Conselho, à Comissão, à Europol, à Agência Europeia da Guarda de Fronteiras e Costeira e à eu-LISA até 12 de junho de 2021 e, posteriormente, de dois em dois anos. O referido relatório deve incluir um capítulo sobre cada Estado-Membro, elaborado pela respetiva autoridade de controlo.

1.   A eu-LISA deve garantir o funcionamento das infraestruturas centrais dos componentes de interoperabilidade em conformidade com o presente regulamento.

2.   Os componentes de interoperabilidade devem ser alojados pela eu-LISA nas suas instalações técnicas e fornecerem as funcionalidades estabelecidas no presente regulamento, em conformidade com as condições de segurança, de disponibilidade, de qualidade e de desempenho a que se refere o artigo 55.o, n.o 1.

3.   A eu-LISA é responsável pelo desenvolvimento dos componentes de interoperabilidade, de quaisquer adaptações necessárias para estabelecer a interoperabilidade entre os sistemas centrais do SES, VIS, ETIAS, SIS, do Eurodac, e do ECRIS-TCN, e o ESP, o serviço partilhado BMS, o CIR, o MID e o CRRS.

Sem prejuízo do disposto no artigo 62.o, não tem acesso a nenhum dos dados pessoais tratados através do ESP, do serviço partilhado BMS, do CIR e do MID.

A eu-LISA deve definir a conceção da arquitetura física dos componentes de interoperabilidade, incluindo as infraestruturas de comunicação e especificações técnicas e a respetiva evolução no que diz respeito à infraestrutura central e à infraestrutura de comunicação segura, que será adotada pelo Conselho de Administração, sob reserva do parecer favorável da Comissão. A eu-LISA deve também implementar quaisquer adaptações necessárias do SIS, Eurodac ou ECRIS-TCN decorrentes do estabelecimento da interoperabilidade e previstas pelo presente regulamento.

A eu-LISA deve desenvolver e implementar os componentes de interoperabilidade assim que possível após a entrada em vigor do presente regulamento e a adoção pela Comissão das medidas previstas no artigo 8.o, n.o 2, artigo 9.o, n.o 7, artigo 28.o, n.os 5 e 7, artigo 37.o, n.o 4, artigo 38.o, n.o 3, artigo 39.o, n.o 5, artigo 43.o, n.o 5 e no artigo 74.o, n.o 10.

O desenvolvimento deve consistir na elaboração e implementação das especificações técnicas, nos testes e na gestão e coordenação globais do projeto.

4.   Durante a fase de conceção e desenvolvimento deve ser criado um Conselho de Gestão do Programa, constituído por um máximo de 10 membros. Este órgão é constituído por sete membros nomeados pelo Conselho de Administração da eu-LISA de entre os seus membros ou suplentes, pelo presidente do Grupo Consultivo da Interoperabilidade referido no artigo 71.o, por um membro em representação da eu-LISA nomeado pelo seu Diretor Executivo e por um membro nomeado pela Comissão. Os membros nomeados pelo Conselho de Administração da eu-LISA devem ser escolhidos apenas entre os Estados-Membros que estejam plenamente vinculados pelo direito da União pelos atos jurídicos que regem o desenvolvimento, o estabelecimento, o funcionamento e a utilização de todos os sistemas de informação da UE e que irão participar nos componentes de interoperabilidade.

5.   O Conselho de Gestão do Programa deve reunir-se periodicamente e pelo menos três vezes por trimestre. O Conselho de Gestão do Programa deve garantir a gestão adequada da fase de conceção e desenvolvimento dos componentes de interoperabilidade.

O Conselho de Gestão do Programa deve apresentar todos os meses ao Conselho de Administração da eu-LISA relatórios escritos sobre os progressos do projeto. O Conselho de Gestão do Programa não dispõe de qualquer poder de decisão nem qualquer mandato para representar os membros do Conselho de Administração da eu-LISA.

6.   O Conselho de Administração da eu-LISA deve estabelecer o regulamento interno do Conselho de Gestão do Programa, que deve incluir, em particular, as regras sobre:

A presidência deve ser assumida por um Estado-Membro que esteja plenamente vinculado no quadro do direito da União pelos atos jurídicos que regem o desenvolvimento, o estabelecimento, o funcionamento e a utilização de todos os sistemas de informação da UE e que irão participar nos componentes de interoperabilidade

Todas as despesas de viagem e de estadia incorridas pelos membros do Conselho de Gestão do Programa devem ser suportadas pela eu-LISA, aplicando-se o artigo 10.o do regulamento interno da eu-LISA com as necessárias adaptações. A eu-LISA deve assegurar o secretariado ao Conselho de Gestão do Programa.

O Grupo Consultivo de Interoperabilidade, referido no artigo 71.o, deve reunir-se regularmente até à entrada em funcionamento do componente de interoperabilidade. Deve apresentar um relatório após cada reunião do Conselho de Gestão do Programa. O grupo deve fornecer os conhecimentos técnicos necessários para apoiar as atividades do Conselho de Gestão do Programa e proceder ao acompanhamento do nível de preparação dos Estados-Membros.

1.   Após a entrada em funcionamento de cada componente de interoperabilidade, a eu-LISA deve ser responsável pela gestão técnica da infraestrutura central dos componentes de interoperabilidade, incluindo a sua manutenção e integração dos desenvolvimentos tecnológicos. Em cooperação com os Estados-Membros, deve assegurar que seja usada a melhor tecnologia disponível, sob reserva de uma análise custo-benefício. A eu-LISA deve ser igualmente responsável pela gestão técnica da infraestrutura de comunicação a que se referem os artigos 6.o, 12.o, 17.o, 25.o e 39.o.

A gestão técnica dos componentes de interoperabilidade compreende todas as funções e soluções técnicas necessárias para manter o funcionamento dos componentes de interoperabilidade e que prestam serviços ininterruptos aos Estados-Membros e às agências da União 24 horas por dia e 7 dias por semana, em conformidade com o presente regulamento. A gestão técnica dos componentes de interoperabilidade deve incluir o trabalho de manutenção e as adaptações técnicas indispensáveis para garantir que os componentes funcionam a um nível de qualidade técnica satisfatório, em especial no que respeita ao tempo de resposta para efeitos de consulta das infraestruturas centrais, em conformidade com as especificações técnicas.

Todos os componentes de interoperabilidade devem ser desenvolvidos e geridos de forma a assegurar um acesso rápido, contínuo, eficiente e controlado, assim como a disponibilidade total e ininterrupta dos componentes e dos dados armazenados no MID, no serviço partilhado BMS e no CIR, e um tempo de resposta adaptado às necessidades operacionais das autoridades dos Estados-Membros e das agências da União.

2.   Sem prejuízo do disposto no artigo 17.o do Estatuto dos Funcionários da União Europeia, a eu-LISA deve aplicar as normas de sigilo profissional adequadas ou outras obrigações de confidencialidade equivalentes ao seu pessoal cujo trabalho envolva os dados armazenados nos componentes de interoperabilidade. Esta obrigação mantém-se depois de essas pessoas cessarem funções ou deixarem o emprego, ou após a cessação das suas atividades.

Sem prejuízo do artigo 62.o, a eu-LISA não tem acesso a nenhum dos dados pessoais tratados através do ESP, do serviço partilhado BMS, do CIR e do MID.

3.   A eu-LISA deve desenvolver e manter um mecanismo e procedimentos para a realização de controlos de qualidade dos dados armazenados no serviço partilhado BMS e no CIR em conformidade com o artigo 37.o.

4.   A eu-LISA deve realizar também tarefas relacionadas com a organização de formação sobre a utilização técnica dos componentes de interoperabilidade.

1.   Cada Estado-Membro é responsável pela:

2.   Cada Estado-Membro deve ligar as suas autoridades designadas ao CIR.

1.   A Europol deve assegurar o tratamento das consultas dos dados da Europol efetuadas pelo ESP. A Europol deve adaptar em consequência a sua interface de interrogação dos sistemas da Europol («Querying Europol Systems» — QUEST) para dados com o nível básico de proteção (BPL).

2.   A Europol deve ser responsável pela gestão e disposições relativas à utilização e acesso por parte do pessoal devidamente autorizado ao ESP e ao CIR em conformidade com o presente regulamento, e a criação e atualização periódica de uma lista dos membros do pessoal e respetivos perfis.

1.   O pessoal devidamente autorizado das autoridades competentes dos Estados-Membros, da Comissão e da eu-LISA deve ter acesso ao sistema para consultar, unicamente para efeitos da elaboração de relatórios e estatísticas, o número de consultas por utilizador do perfil ESP.

Os dados não podem permitir a identificação de pessoas.

2.   O pessoal devidamente autorizado das autoridades competentes dos Estados-Membros, da Comissão e da eu-LISA deve ter acesso ao sistema para consultar os seguintes dados relacionados com o CIR, unicamente para efeitos da elaboração de relatórios e estatísticas:

Os dados não podem permitir a identificação de pessoas.

3.   O pessoal devidamente autorizado das autoridades competentes dos Estados-Membros, da Comissão e da eu-LISA deve ter acesso ao sistema para consultar os seguintes dados relativos ao MID unicamente para efeitos da elaboração de relatórios e estatísticas:

Os dados não podem permitir a identificação de pessoas.

4.   O pessoal devidamente autorizado da Agência Europeia da Guarda de Fronteiras e Costeira, deve ter acesso ao sistema para consultar os dados referidos nos n.os 1, 2 e 3, do presente artigo, para efeitos de realização de análises de risco e avaliações da vulnerabilidade, tal como referido nos artigos 11.o e 13.o do Regulamento (UE) 2016/1624 do Parlamento Europeu e do Conselho (38).

5.   O pessoal devidamente autorizado da Europol tem acesso ao sistema para consultar os dados a que se referem os n.os 2 e 3, do presente artigo, para efeitos de realização de análises estratégicas, temáticas e operacionais referidas no artigo 18.o, n.o 2, alíneas b) e c), do Regulamento (UE) 2016/794.

6.   Para efeitos dos n.os 1, 2 e 3, a eu-LISA deve conservar os dados referidos nesses números no CRRS. Os dados incluídos no CRRS não podem permitir a identificação de pessoas, mas devem permitir às autoridades enumeradas nos n.os 1, 2 e 3 obter relatórios e dados estatísticos adaptáveis para melhorar a eficiência do controlo de fronteiras, para ajudar as autoridades no tratamento dos pedidos de visto e para apoiar a definição de políticas fundamentadas em provas em matéria de migração e de segurança na União.

7.   A pedido, a Comissão disponibiliza informações relevantes à Agência da União Europeia dos Direitos Fundamentais, a fim de avaliar o impacto do presente regulamento nos direitos fundamentais.

1.   Durante um prazo de dois anos a contar da data da entrada em funcionamento do ESP, as obrigações referidas no artigo 7.o, n.o 2 e n.o 4 não são aplicáveis e a utilização dos ESP é facultativa.

2.   Se uma avaliação da aplicação do ESP mostrar que é necessário prorrogar o prazo a que se refere o n.o 1 do presente artigo, em especial devido ao impacto da introdução do ESP na organização e na duração dos controlos de fronteira, a Comissão fica habilitada a adotar um ato delegado, nos termos do artigo 69.o, a fim de alterar o presente regulamento, prorrogando esse prazo uma única vez, por um período não superior a um ano.

1.   Por um período de um ano a contar da notificação pela eu-LISA da conclusão do teste do MID referido no artigo 68.o, n.o 4, alínea b) e antes do início do funcionamento do MID, a unidade central do ETIAS é responsável por efetuar uma deteção de identidades múltiplas entre os dados armazenados no SES, no VIS, no Eurodac e no SIS. As deteções de identidades múltiplas devem ser efetuadas utilizando apenas os dados biométricos.

2.   Se a consulta detetar uma ou várias correspondências s e os dados de identificação dos processos ligados forem idênticos ou similares deve ser criada uma ligação branca em conformidade com o artigo 33.o.

Se a consulta detetar uma ou várias correspondências e os dados de identificação dos processos ligados não puderem ser considerados similares, deve ser criada uma ligação amarela em conformidade com o artigo 30.o e aplicar-se o procedimento previsto no artigo 29.o.

Quando forem detetadas várias correspondências s, deve ser criada uma ligação para cada elemento de dados que desencadeou a correspondência.

3.   Sempre que for criada uma ligação amarela, o MID deve facultar acesso aos dados de identificação presentes nos diferentes sistemas de informação da UE para a unidade central do ETIAS.

4.   Quando for criada uma ligação a uma indicação no SIS, que não seja um alerta nos termos do artigo 3.o do Regulamento (UE) 2018/1860, dos artigos 24.o e 25.o do Regulamento (UE) 2018/1861 ou do artigo 38.o do Regulamento (UE) 2018/1862, o MID deve facultar ao gabinete SIRENE do Estado-Membro que criou a indicação acesso aos dados de identificação presentes nos diferentes sistemas de informação.

5.   A unidade central ETIAS ou, nos casos previstos no n.o 4 do presente artigo, o gabinete SIRENE do Estado-Membro que criou a indicação deve ter acesso aos dados constantes do processo de confirmação de identidade e avaliar as diferentes identidades, atualizando a ligação em conformidade com os artigos 31.o, 32.o e 33.o e adicionando-a ao processo de confirmação de identidade.

6.   A unidade central do ETIAS notifica apenas a Comissão, em conformidade com o artigo 67.o, n.o 3, logo que todas as ligações amarelas tenham sido verificadas manualmente e o seu estado tenha sido atualizado em ligações verdes, brancas ou vermelhas.

7.   Os Estados-Membros devem apoiar a unidade central do ETIAS, se for caso disso, na realização da deteção de identidades múltiplas referida no presente artigo.

8.   A Comissão fica habilitada a adotar um ato delegado, nos termos do artigo 69.o, a fim de alterar o presente regulamento e prorrogar o prazo referido no n.o 1 do presente artigo por um período de seis meses, renovável duas vezes por seis meses de cada vez. Essa prorrogação só é concedida se uma avaliação do prazo previsto para a conclusão da deteção de identidades múltiplas a que se refere o presente artigo evidenciar que a deteção de identidades múltiplas não pode ser concluída antes do termo do período previsto no n.o 1 do presente artigo ou da eventual prorrogação por razões alheias à vontade da unidade central do ETIAS e que não podem ser aplicadas quaisquer medidas corretivas. Essa avaliação é realizada o mais tardar três meses antes do termo desse prazo ou da prorrogação em curso.

1.   Os custos decorrentes da criação e funcionamento do ESP, do serviço partilhado BMS, do CIR e do MID ficam a cargo do orçamento geral da União.

2.   Os custos decorrentes da integração das infraestruturas nacionais existentes e respetiva ligação às interfaces uniformes nacionais, bem como decorrentes do alojamento das interfaces uniformes nacionais, são suportados pelo orçamento geral da União.

Estão excluídos os seguintes custos:

3.   Sem prejuízo de outros financiamento para este efeito a partir de outras fontes do orçamento geral da União Europeia, será mobilizado um montante de 32 077 000 EUR a partir da dotação de 791 000 000 EUR prevista no artigo 5.o, n.o 5, alínea b), do Regulamento (UE) n.o 515/2014, para cobrir os custos de aplicação do presente regulamento, tal como previsto nos n.os 1 e 2 do presente artigo.

4.   A partir do montante referido no n.o 3, 22 861 000 EUR são atribuídos à eu-LISA, 9 072 000 EUR são atribuídos à Europol e 144 000 EUR à Agência da União Europeia para a Formação Policial (CEPOL), para apoiar estas agências no desempenho das respetivas funções, em conformidade com os requisitos do presente regulamento. Esse financiamento é executado em regime de gestão indireta.

5.   Os custos incorridos pelas autoridades designadas são suportados, respetivamente, por cada Estado-Membro e pela Europol. Os custos da ligação das autoridades designadas ao CIR são suportados por cada Estado-Membro e pela Europol.

As despesas incorridas pela Europol, incluindo as relacionadas com o CIR, são suportadas pela Europol.

1.   Os Estados-Membros devem comunicar à eu-LISA as autoridades referidas nos artigos 7.o, 20.o, 21.o e 26.o que podem utilizar ou ter acesso ao ESP, ao CIR e ao MID, respetivamente.

Deve ser publicada uma lista consolidada das referidas autoridades no Jornal Oficial da União Europeia dentro de um prazo de três meses a contar da data em que cada componente de interoperabilidade iniciou a sua atividade em conformidade com o artigo 68.o. Em caso de alterações da lista, a eu-LISA deve publicar uma lista consolidada e atualizada uma vez por ano.

2.   A eu-LISA deve notificar à Comissão a conclusão com êxito do teste referido no artigo 68.o, n.o 1, alínea b), n.o 2, alínea b), n.o 3, alínea b), n.o 4, alínea b), n.o 5, alínea b) e n.o 6, alínea b).

3.   A unidade central ETIAS deve notificar à Comissão a conclusão com êxito do período transitório estabelecido no artigo 65.o.

4.   A Comissão deve disponibilizar as informações comunicadas nos termos do n.o 1 aos Estados-Membros e ao público, através de um sítio público constantemente atualizado.

1.   A Comissão deve fixar a data a partir da qual o ESP entra em funcionamento por meio de um ato de execução, logo que estejam preenchidas as seguintes condições:

O ESP só pode consultar as bases de dados da Interpol se as disposições técnicas permitirem o cumprimento do artigo 9.o, n.o 5. A impossibilidade de cumprimento desse artigo implica que a ESP não pode consultar as bases de dados da Interpol, mas não deve atrasar o início das operações do ESP.

A Comissão fixa a data a que se refere o primeiro parágrafo, que não pode ser posterior a 30 dias após da data de adoção do ato de execução.

2.   A Comissão deve determinar a data a partir da qual o serviço partilhado BMS entra em funcionamento, por meio de um ato de execução, logo que estejam preenchidas as seguintes condições:

A Comissão fixa a data a que se refere o primeiro parágrafo, que não pode ser posterior a 30 dias após a data de adoção do ato de execução.

3.   A Comissão deve fixar a data a partir da qual o CIR entra em funcionamento, por meio de um ato de execução, logo que estejam preenchidas as seguintes condições:

A Comissão fixa a data a que se refere o primeiro parágrafo, que não pode ser posterior a 30 dias após a data de adoção do ato de execução.

4.   A Comissão deve fixar a data a partir da qual o MID entra em funcionamento, por meio de um ato de execução, logo que estejam preenchidas as seguintes condições:

A Comissão fixa a data a que se refere o primeiro parágrafo, que não pode ser posterior a 30 dias após a data de adoção do ato de execução.

5.   A Comissão deve fixar por meio de atos de execução a data a partir da qual os mecanismos e procedimentos automatizados de controlo da qualidade, os indicadores comuns de qualidade dos dados e as normas mínimas de qualidade devem ser utilizados, logo que estejam reunidas as seguintes condições:

A Comissão fixa a data a que se refere o primeiro parágrafo, que não pode ser posterior a 30 dias após a data de adoção do ato de execução.

6.   A Comissão deve fixa a data a partir da qual o CRRS entra em funcionamento, por meio de um ato de execução, logo que reunidas as seguintes condições:

A Comissão fixa a data a que se refere o primeiro parágrafo, que não pode ser posterior a 30 dias após a data de adoção do ato de execução.

7.   A Comissão deve informar o Parlamento Europeu e o Conselho dos resultados do teste efetuado em conformidade com o n.o 1, alínea b), o n.o 2, alínea b), o n.o 3, alínea b), o n.o 4, alínea b), o n.o 5, alínea b) e o n.o 6, alínea b).

8.   Os Estados-Membros, a unidade central ETIAS e a Europol devem começar a utilizar os componentes de interoperabilidade a partir da data determinada pela Comissão em conformidade com os n.os 1, 2, 3 e 4, respetivamente.

1.   O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2.   O poder de adotar atos delegados referido no artigo 28.o, n.o 5, no artigo 39.o, n.o 5, no artigo 49.o, n.o 6, no artigo 63.o, n.o 2, e no artigo 65.o, n.o 8, é conferido à Comissão por um período de cinco anos a contar de 11 de junho de 2019. A Comissão elabora um relatório relativo à delegação de poderes pelo menos nove meses antes do final do prazo de cinco anos. A delegação de poderes é tacitamente prorrogada por períodos de igual duração, salvo se o Parlamento Europeu ou o Conselho a tal se opuserem o mais tardar três meses antes do final de cada período.

3.   A delegação de poderes referida no artigo 28.o, n.o 5, no artigo 39.o, n.o 5, no artigo 49.o, n.o 6, no artigo 63.o, n.o 2, e no artigo 65.o, n.o 8 pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.

4.   Antes de adotar um ato delegado, a Comissão consulta os peritos designados por cada Estado-Membro, em conformidade com os princípios estabelecidos no Acordo Interinstitucional, 13 de abril de 2016, sobre legislar melhor.

5.   Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

6.   Os atos delegados adotados em aplicação do disposto no artigo s termos do artigo 28.o, n.o 5, no artigo 39.o, n.o 5, no artigo 49.o, n.o 6, no artigo 63.o, n.o 2, e no artigo 65.o, n.o 8 só entram em vigor se nem o Parlamento Europeu nem o Conselho formularem objeções no prazo de quatro meses a contar da notificação do ato a estas duas instituições ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho informarem a Comissão de que não formularão objeções. O referido prazo pode ser prorrogado por dois meses por iniciativa do Parlamento Europeu ou do Conselho.

1.   A Comissão é assistida por um comité. O referido comité é um comité na aceção do Regulamento (UE) n.o 182/2011.

2.   Sempre que se remeta para o presente número, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

Na falta de parecer do comité, a Comissão não adota o projeto de ato de execução, aplicando-se o artigo 5.o, n.o 4, terceiro parágrafo, do Regulamento (UE) n.o 182/2011.

1.   A eu-LISA deve assegurar que são criados procedimentos para acompanhar o desenvolvimento de componentes de interoperabilidade e a ligação à interface uniforme nacional à luz dos objetivos relacionados com o planeamento e custos e controlar o funcionamento dos componentes de interoperabilidade à luz dos objetivos fixados em termos de resultados técnicos, relação custo-eficácia, segurança e qualidade do serviço.

2.   Até 12 de dezembro de 2019 e, posteriormente, de seis em seis meses, durante a fase de desenvolvimento dos componentes de interoperabilidade, a eu-LISA deve apresentar um relatório ao Parlamento Europeu e ao Conselho sobre o ponto da situação do desenvolvimento dos componentes de interoperabilidade e da sua ligação à interface uniforme nacional. Quando a fase de desenvolvimento estiver concluída, deve ser apresentado um relatório ao Parlamento Europeu e ao Conselho a explicar em pormenor a forma como os objetivos, em especial os objetivos relacionados com o planeamento e custos, foram alcançados, justificando igualmente eventuais divergências.

3.   Quatro anos após o início do funcionamento de cada componente de interoperabilidade nos termos do artigo 68.o e posteriormente de quatro em quatro anos, a eu-LISA deve apresentar ao Parlamento Europeu, ao Conselho e à Comissão um relatório sobre o funcionamento técnico dos componentes de interoperabilidade, incluindo sobre a sua segurança.

4.   Além disso, um ano após cada relatório da eu-LISA, a Comissão deve apresentar uma avaliação global dos componentes da interoperabilidade, incluindo uma:

A avaliação global a que se refere o primeiro parágrafo do presente número deve incluir quaisquer recomendações necessárias. A Comissão deve transmitir a avaliação ao Parlamento Europeu, ao Conselho, à Autoridade Europeia para a Proteção de Dados e à Agência dos Direitos Fundamentais da União Europeia.

5.   Até 12 de junho de 2020 e todos os anos após essa data até à adoção dos atos de execução da Comissão a que se refere o artigo 68.o, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre o ponto da situação dos preparativos para a plena execução do presente regulamento. Esse relatório deve também conter informações pormenorizadas sobre os custos incorridos e informações sobre quaisquer riscos que possam ter um impacto sobre os custos globais.

6.   Dois anos após o início do funcionamento do MID nos termos do artigo 68.o, n.o 4, a Comissão deve proceder a uma análise do impacto do MID no direito à não discriminação. Na sequência desse primeiro relatório, a análise do impacto do MID no direito à não discriminação deve fazer parte do exame referido no n.o 4, alínea b), do presente artigo.

7.   Os Estados-Membros e a Europol devem fornecer à eu-LISA e à Comissão as informações necessárias para a elaboração dos relatórios referidos nos n.os 3 a 6. Estas informações não podem pôr em causa os métodos de trabalho, nem incluir informações que revelem fontes, membros do pessoal ou investigações das autoridades designadas.

8.   A eu-LISA deve comunicar à Comissão as informações necessárias à elaboração das avaliações referidas no n.o 4.

9.   Respeitando as disposições de direito nacional sobre a publicação de informações sensíveis, e sem prejuízo das limitações necessárias para proteger a segurança e a ordem pública, prevenir a criminalidade e garantir que qualquer investigação nacional não seja posta em causa, cada Estado-Membro e a Europol devem elaborar relatórios anuais sobre a eficácia do acesso aos dados armazenados no CIR para efeitos de prevenção, deteção ou investigação de infrações terroristas ou outros crimes graves, contendo informações e estatísticas sobre:

Os relatórios anuais elaborados pelos Estados-Membros e pela Europol devem ser transmitidos à Comissão até 30 de junho do ano seguinte.

10.   É disponibilizada aos Estados-Membros uma solução técnica para gerir os pedidos de acesso dos utilizadores referidos no artigo 22.o e facilitar a recolha dos dados enumerados nos n.os 7 e 9, do presente artigo, para efeitos de produção de relatórios e das estatísticas referidas nesses números. A Comissão adota atos de execução relativos às especificações da solução técnica. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 70.o, n.o 2.