8.2.2012   

PT

Jornal Oficial da União Europeia

C 34/1

1.

Em 19 de abril de 2011, a Comissão adotou uma Comunicação sobre abertura e neutralidade da Internet na Europa (4).

2.

O presente parecer deve ser entendido como a reação da AEPD a esta comunicação e visa contribuir para o debate político atualmente em curso na UE sobre a neutralidade da Internet, nomeadamente sobre os aspectos relacionados com a proteção de dados e a privacidade.

3.

O parecer baseia-se na resposta (5) da AEPD à consulta pública da Comissão sobre a abertura e a neutralidade da Internet na Europa, que precedeu a comunicação da Comissão. A AEPD teve igualmente em conta o recente projeto de conclusões do Conselho sobre a neutralidade da Internet (6).

4.

A neutralidade da Internet diz respeito a um debate em curso sobre a questão de os fornecedores de serviços Internet [«FSI (7)»] serem autorizados a limitar, filtrar ou bloquear o acesso à Internet ou afetar o seu desempenho por outro meio. O conceito de neutralidade da Internet baseia-se no pressuposto de que a informação na Internet deve ser transmitida de forma imparcial, independentemente do conteúdo, destino ou origem, e de que os utilizadores devem poder decidir que aplicações, serviços e hardware pretendem utilizar. Tal significa que os FSI não podem, por sua livre iniciativa, dar prioridade ou abrandar o acesso a determinados serviços ou aplicações como, por exemplo, Peer-to-Peer («P2P»), etc. (8).

5.

A filtragem, o bloqueio e a inspeção do tráfego de rede suscita questões importantes, frequentemente excluídas ou marginalizadas, no que respeita à confidencialidade das comunicações e ao respeito pela privacidade das pessoas singulares e pelos seus dados pessoais quando utilizam a Internet. Por exemplo, determinadas técnicas de inspeção envolvem a monitorização de conteúdos de comunicações, sítios Internet visitados, correio eletrónico enviado e recebido, a hora em que ocorreram estas atividades, etc., o que permite a filtragem das comunicações.

6.

Através da inspeção dos dados das comunicações, os FSI podem violar a confidencialidade das comunicações, a qual constitui um direito fundamental garantido pelo artigo 8.o da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais (a «CEDH») e pelos artigos 7.o e 8.o da Carta dos Direitos Fundamentais da União Europeia (a «Carta»). A confidencialidade está ainda protegida no direito derivado da UE, nomeadamente o artigo 5.o da Diretiva ePrivacidade.

7.

A AEPD considera que um debate político sério sobre a neutralidade da Internet deve abordar a confidencialidade das comunicações, bem como outras implicações em matéria de privacidade e proteção de dados.

8.

O presente parecer contribui para o debate em curso na União Europeia. Visa três aspetos:

9.

A AEPD está ciente de que a neutralidade da Internet suscita outras questões, pormenorizadas adiante, como as relacionadas com o acesso à informação. Existem questões que apenas são abordadas porque estão relacionadas ou têm impacto sobre a proteção de dados e a privacidade.

10.

O parecer está estruturado como segue. A Secção II apresenta uma breve descrição das práticas dos FSI em matéria de filtragem. A Secção III apresenta uma perspetiva do quadro jurídico da União Europeia em matéria de neutralidade da Internet. A Secção IV apresenta uma descrição técnica e uma avaliação das implicações sobre a privacidade, dependendo da técnica utilizada. A Secção V analisa os pormenores práticos relativos à aplicação do atual quadro jurídico europeu em matéria de privacidade e proteção de dados. Com base na análise, a Secção VI contém sugestões para futuras medidas e identifica os domínios em que poderá ser necessário clarificar e melhorar o quadro jurídico. A Secção VII contém as conclusões.

11.

Tradicionalmente, os FSI executavam atividades de monitorização e condicionamento do tráfego de rede apenas em circunstâncias limitadas. Por exemplo, os FSI aplicavam técnicas de inspeção e restringiam fluxos de informação para preservar a segurança da rede, nomeadamente para combater vírus. Por conseguinte, de uma forma geral, a Internet cresceu mantendo simultaneamente um elevado grau de neutralidade.

12.

Nos últimos anos, no entanto, alguns FSI demonstraram interesse em inspecionar o tráfego de rede a fim de diferenciar e aplicar políticas distintas, por exemplo, para bloquear serviços específicos ou dar acesso preferencial a outros. Estas práticas são por vezes mencionadas como «políticas de gestão do tráfego» (9).

13.

Os motivos que levam os FSI a inspecionar e diferenciar o tráfego são muito diversos. Por exemplo, as políticas de gestão de tráfego podem ajudar os FSI a gerir o tráfego durante períodos de elevado congestionamento, através da atribuição de prioridade a determinado tráfego sensível ao tempo, como o fluxo vídeo, e o abrandamento de outros tipos de tráfego que podem ser menos sensíveis ao tempo, como os serviços P2P (10). Além disso, a gestão do tráfego pode constituir um meio para os FSI obterem um potencial fluxo de receitas com origem em fontes diferentes. Por um lado, os FSI podem, por exemplo, cobrar taxas aos fornecedores de conteúdos cujos serviços exigem a utilização de maior largura de banda, dando-lhes prioridade (e, por consequência, velocidade). Tal significaria que o acesso a um determinado serviço, por exemplo, um serviço de fornecimento de vídeos a pedido, seria mais rápido do que o acesso a um serviço idêntico que não tenha contratado uma transmissão de alta velocidade. Também seria possível obter receitas de assinantes interessados em pagar taxas mais elevadas (ou mais baixas) por determinados tipos de assinaturas diferenciadas. Por exemplo, uma assinatura sem acesso a um serviço P2P poderia ser mais barata do que uma assinatura com acesso ilimitado.

14.

Além dos motivos do próprio FSI para a utilização de políticas de gestão do tráfego, outras partes poderão igualmente estar interessadas em que os FSI utilizem políticas de gestão do tráfego. Se os FSI efetuarem a gestão das suas redes e executarem atividades de inspeção dos conteúdos que atravessam os seus equipamentos, é provável que aumentem a sua capacidade para detetar alegadas utilizações ilegais, por exemplo, violação de direitos de autor ou utilização de pornografia.

15.

Esta tendência deu origem a um debate sobre a legitimidade deste tipo de práticas e, mais especificamente, sobre se a legislação deve prever outras obrigações específicas em matéria de neutralidade da Internet.

16.

O reforço da utilização de políticas de gestão do tráfego por parte dos FSI poderia limitar o acesso à informação. Se este comportamento se tornasse prática comum e não fosse possível (ou tivesse custos muito elevados) os utilizadores terem total acesso à Internet da forma que conhecemos, tal prejudicaria o acesso à informação e a capacidade de os utilizadores enviarem e receberem os conteúdos que pretendem utilizando as aplicações ou os serviços da sua preferência. Um princípio juridicamente vinculativo em matéria de neutralidade da Internet poderia evitar este problema.

17.

Essa situação confronta a AEPD com as implicações em matéria de proteção de dados e de privacidade quando os FSI executam a gestão do tráfego. Mais especificamente:

18.

Até 2009, os instrumentos legislativos da UE não continham disposições que proibissem explicitamente os FSI de executar atividades de filtragem ou bloqueio ou de cobrar custos adicionais aos assinantes pelo acesso aos serviços. Ao mesmo tempo, não continham disposições que reconhecessem explicitamente esta prática. A situação era, em certa medida, incerta.

19.

O pacote de reforma das telecomunicações, de 2009, alterou esta situação ao incluir disposições que favorecem a abertura da Internet. Por exemplo, o artigo 8.o, n.o 4, da Diretiva relativa a um quadro regulamentar comum para as redes e serviços de comunicações electrónicas («diretiva-quadro») estabelece que as autoridades reguladoras devem fomentar a capacidade de os utilizadores finais acederem aos conteúdos, aplicações ou serviços à sua escolha (12). Esta disposição aplica-se à rede como um todo e não individualmente aos fornecedores. O recente projecto de conclusões do Conselho salientou igualmente a necessidade de manter a abertura da Internet (13).

20.

A Diretiva relativa ao serviço universal (14) contém obrigações mais concretas. Os artigos 20.o e 21.o estabelecem requisitos de transparência no que respeita às limitações de acesso e/ou de utilização de serviços e aplicações. A diretiva estabelece igualmente níveis de qualidade mínima de serviço.

21.

No que respeita às práticas dos FSI que implicam a inspeção das comunicações das pessoas singulares, o considerando 28 da diretiva que altera a Diretiva relativa ao serviço universal e a Diretiva ePrivacidade (15) salienta que «em função da tecnologia utilizada e do tipo de limitação, essas limitações poderão exigir o consentimento do utilizador» nos termos da Diretiva ePrivacidade. Assim, o considerando 28 relembra a necessidade de consentimento, em conformidade com o artigo 5.o, n.o 1, da Diretiva ePrivacidade, no que respeita a quaisquer limitações baseadas na monitorização das comunicações. A Secção IV adiante analisa a aplicação do artigo 5.o, n.o 1, e o quadro jurídico global em matéria de proteção de dados e privacidade.

22.

Por último, o artigo 22.o, n.o 3, da Diretiva relativa ao serviço universal confere às autoridades reguladoras nacionais poderes para, se necessário, impor aos FSI requisitos de qualidade mínima de serviço, a fim de evitar a degradação dos serviços e a obstrução ou abrandamento do tráfego nas redes públicas.

23.

Tal significa que, a nível da UE, existe uma clara vontade de assegurar uma Internet aberta (ver o artigo 8.o, n.o 4, da diretiva-quadro). No entanto, este objetivo de política, aplicável à Internet como um todo, não está diretamente associado a proibições ou obrigações dos FSI individualmente. Por outras palavras, um FSI pode aplicar políticas de gestão de tráfego que excluam o acesso a determinadas aplicações, desde que os utilizadores sejam informados de forma completa e expressem o seu consentimento de forma livre, específica e inequívoca.

24.

Esta situação pode variar em função do Estado-Membro. Em alguns Estados-Membros, os FSI podem, em condições específicas, aplicar políticas de gestão de tráfego, por exemplo, para bloquear aplicações como VoIP (como parte de uma assinatura mais barata da Internet), desde que as pessoas singulares tenham dado o seu consentimento informado, livre, específico e inequívoco. Outros Estados-Membros optaram por reforçar o princípio da neutralidade da Internet. Por exemplo, em julho de 2011, o Parlamento holandês aprovou uma lei que, de uma forma geral, proíbe os fornecedores de obstruírem ou abrandarem aplicações ou serviços na Internet (por exemplo, VoIP), a menos que tal seja necessário para minimizar os efeitos de congestionamento, por motivos de integridade ou de segurança, para combater as comunicações não solicitadas ou em cumprimento de uma ordem judicial (16).

25.

Na sua comunicação sobre a neutralidade da Internet (17), a Comissão Europeia concluiu que a situação em matéria de neutralidade da Internet deve ser objeto de acompanhamento e de uma análise mais profunda. A sua política tem sido a de aguardar a evolução da situação («esperar para ver») antes de ponderar a adoção de outras medidas regulamentares.

26.

A comunicação da Comissão reconheceu que quaisquer outras medidas regulamentares deveriam ser objeto de uma análise profunda dos aspetos relacionados com a proteção de dados e a privacidade. O projeto de conclusões do Conselho sublinha as questões em matéria de proteção de dados e privacidade que estão em causa (18).

27.

A questão a analisar, do ponto de vista da proteção de dados e da privacidade, é se esta política de aguardar a evolução da situação é suficiente. Embora o quadro jurídico relativo à proteção de dados e à privacidade contemple atualmente algumas proteções, em especial através do princípio da confidencialidade das comunicações, parece ser necessário efetuar um maior controlo do nível de conformidade e emitir orientações sobre vários aspectos que não são particularmente claros. Além disso, devem ser propostas ideias para clarificar e melhorar o quadro jurídico, à luz dos desenvolvimentos tecnológicos. Se a monitorização revelar que o mercado está a evoluir para uma inspeção massiva e em tempo real das comunicações e que existem problemas relacionados com a conformidade com o quadro jurídico, serão necessárias medidas legislativas. A este respeito, são apresentadas sugestões concretas na Secção VI.

28.

Antes de abordar o tema de forma mais profunda, é importante conhecer melhor as técnicas de inspeção que os FSI podem utilizar na gestão do tráfego e a forma como essas técnicas podem afetar o princípio da neutralidade da Internet. As implicações em matéria de privacidade e proteção de dados decorrentes dessas técnicas variam substancialmente, dependendo da(s) técnica(s) utilizadas(s). O conhecimento destes aspetos técnicos é necessário para compreender e aplicar adequadamente o quadro jurídico em matéria de proteção de dados descrito na Secção V. Todavia, deve notar-se que se trata de um domínio complexo e em constante evolução. Por conseguinte, a descrição seguinte não pretende ser exaustiva e totalmente atualizada, mas apenas fornecer as informações técnicas que são indispensáveis para compreender a argumentação jurídica.

29.

Quando um utilizador transmite uma comunicação através da Internet, a informação transmitida é dividida em pacotes. Esses pacotes são transmitidos do remetente para o destinatário através da Internet. Cada pacote contém, nomeadamente, informações sobre a origem e o destino. Além disso, os FSI podem incorporar esses pacotes em protocolos e camadas adicionais (19), que serão utilizados para gerir os diferentes fluxos de tráfego nas suas redes.

30.

Voltando à analogia da carta de correio, a utilização de um protocolo de transmissão em rede é equivalente à inclusão do conteúdo de uma carta de correio num sobrescrito com um endereço de destino que é lido e entregue pelos serviços postais. Os serviços postais podem utilizar protocolos adicionais nos seus trânsitos internos a fim de gerir todos os sobrescritos a entregar, tendo como objetivo que cada sobrescrito seja entregue no seu destinatário, conforme pretendido originalmente pelo remetente. Utilizando esta analogia, cada pacote é constituído por duas partes, o payload de IP e o cabeçalho IP. O payload de IP contém o conteúdo da comunicação e é equivalente à carta. Contém informação destinada exclusivamente ao destinatário. A segunda parte do pacote, o cabeçalho IP, inclui, entre outras informações, os endereços do destinatário e do remetente e é equivalente ao sobrescrito. O cabeçalho IP permite aos FSI e outros intermediários encaminhar o payload desde o endereço de origem até ao endereço de destino.

31.

Os FSI e outros intermediários asseguram que os pacotes IP viajam ao longo da rede através de nós que lêem a informação do cabeçalho IP e a verificam em tabelas de encaminhamento e, em seguida, encaminham os pacotes para o nó seguinte no percurso até ao destino. Este processo é executado em toda a rede utilizando uma abordagem «best effort memoryless» (melhor esforço sem memória), uma vez que todos os pacotes que chegam a um nó são tratados de uma forma neutra. Depois de serem encaminhados para o nó seguinte, não é necessário manter as informações no encaminhador (router) (20).

32.

Conforme demonstrado acima, os FSI lêem os cabeçalhos IP com a finalidade de os encaminhar para o seu destino. No entanto, tal como salientado acima, a análise do tráfego (que envolve cabeçalhos IP e payloads de IP) pode ser executada para outros fins e com diferentes tipos de tecnologias. Podem, por exemplo, ser utilizadas técnicas de abrandamento de determinadas aplicações usadas pelos utilizadores, como P2P, ou de aumento da velocidade do tráfego para determinados serviços, como os serviços de vídeo a pedido para assinantes de serviços premium. Embora, do ponto de vista técnico, todas as técnicas de inspeção executem inspeção de pacotes, estas envolvem diferentes níveis de intrusão. Existem duas categorias principais de técnicas de inspeção. Uma é baseada apenas no cabeçalho IP, a outra baseia-se também no payload de IP.

Técnicas baseadas na informação do cabeçalho IP. A inspeção do cabeçalho de um pacote IP revela alguns campos que podem permitir aos FSI aplicar várias políticas específicas para gerir o tráfego. Estas técnicas baseadas apenas na inspeção dos cabeçalhos IP processam dados que, em princípio, se destinam ao encaminhamento da informação para uma finalidade diferente (por exemplo, diferenciar tráfego). Ao analisar o endereço do IP de origem, o FSI pode associá-lo a um assinante específico e aplicar políticas específicas como, por exemplo, encaminhar o pacote através de uma ligação mais rápida ou mais lenta. Ao analisar o endereço IP de destino, o FSI pode igualmente aplicar políticas específicas como, por exemplo, bloquear ou filtrar o acesso a sítios Internet específicos.

Técnicas baseadas numa inspeção mais profunda. A inspeção profunda de pacotes permite ao FSI aceder a informação dirigidas apenas ao destinatário da comunicação. Voltando novamente ao exemplo do serviço postal, esta abordagem é equivalente a abrir o sobrescrito e ler a carta contida no seu interior para realizar uma análise do conteúdo da comunicação (encapsulada nos pacotes IP) a fim de aplicar uma política de rede específica. As duas formas existentes de executar a inspeção apresentam, cada uma, diferentes ameaças para a pessoa em causa.

33.

As técnicas de inspeção baseadas nos cabeçalhos IP e, mais especificamente, as baseadas na inspeção de pacotes envolvem a monitorização e filtragem desses dados e têm sérias implicações em termos de privacidade e proteção de dados. Podem ainda estar em conflito com o direito à confidencialidade das comunicações.

34.

A análise das comunicações das pessoas singulares, por si só, tem sérias implicações em termos de privacidade e proteção de dados. Contudo, o problema é mais abrangente, uma vez que, dependendo dos efeitos pretendidos com a monitorização e a interceção, as implicações em termos de privacidade podem aumentar. Na verdade, inspecionar as comunicações apenas para assegurar que o sistema funciona corretamente, por exemplo, não é a mesma coisa que fazê-lo para aplicar políticas que podem ter impacto sobre as pessoas singulares. Se as políticas de tráfego e de seleção apenas pretenderem evitar o congestionamento da rede, não existirão normalmente implicações significativas para a privacidade das pessoas singulares. No entanto, as políticas de gestão de tráfego podem visar o bloqueio da informação de alguns conteúdos ou influenciar a comunicação, por exemplo através de publicidade comportamental. Nesses casos, os efeitos são mais invasivos. A preocupação agrava-se caso se conclua que este tipo de informação seria recolhido não apenas para um pequeno grupo de pessoas mas antes numa base generalizada, para todos os clientes dos FSI (25). Se todos os FSI adotarem técnicas de filtragem, tal pode conduzir a uma monitorização generalizada da utilização da Internet. Por outro lado, se atentarmos no tipo de informação processada, os riscos para a privacidade são obviamente elevados, uma vez que muita da informação recolhida pode ser muito sensível e, após a recolha, está disponível para os FSI e todos aqueles que procuram informações a partir destes. Além disso, a informação pode igualmente ser muito valiosa em termos comerciais. Por si só, tal representa um elevado risco de desvio de funções em que as finalidades iniciais podem facilmente evoluir para a exploração comercial ou outra da informação recolhida.

35.

A aplicação correta de técnicas de monitorização, inspeção e filtragem deve ser efetuada em conformidade com as garantias aplicáveis em matéria de proteção de dados e privacidade, que estabelecem limites ao que pode ser feito e em que circunstâncias. A seguir, é apresentada uma descrição das garantias aplicáveis no âmbito do atual quadro jurídico europeu em matéria de proteção de dados e privacidade.

36.

O quadro jurídico europeu de proteção de dados é neutro do ponto de vista tecnológico; como tal, não regulamenta técnicas de inspeção específicas como as descritas acima. A Diretiva ePrivacidade regulamenta a privacidade na prestação de serviços de comunicações electrónicas em redes públicas (normalmente acesso à Internet e telefonia) (26) e a Diretiva Proteção de Dados regulamenta o tratamento de dados em geral. No seu conjunto, este quadro jurídico estabelece obrigações diferentes que são aplicáveis aos FSI que tratam e monitorizam o tráfego e os dados das comunicações.

37.

Nos termos da legislação relativa à proteção de dados, o tratamento de dados pessoais como, no caso presente, o tratamento de dados de tráfego e de comunicações, exige uma fundamentação jurídica adequada. Além deste requisito geral, podem ser aplicáveis requisitos específicos em determinados casos.

38.

Neste caso, o tipo de dados pessoais que são tratados pelos FSI refere-se aos dados de tráfego e ao conteúdo das comunicações. O conteúdo das comunicações e os dados de tráfego estão ambos protegidos pelo direito à confidencialidade da correspondência, que é garantido pelo artigo 8.o da CEDH e pelos artigos 7.o e 8.o da Carta. Mais especificamente, o artigo 5.o, n.o 1, da Diretiva ePrivacidade, com o título «confidencialidade das comunicações», estabelece que os Estados-Membros garantirão […] a confidencialidade das comunicações e respetivos dados de tráfego realizadas através de redes públicas e de serviços de comunicações electrónicas publicamente disponíveis. Ao mesmo tempo, o artigo 5.o, n.o 1, da Diretiva ePrivacidade prevê que o tratamento de dados de tráfego e de conteúdo pelos FSI pode ser permitido, em circunstâncias específicas, com o consentimento dos utilizadores. Para isso, deve estabelecer-se uma proibição de«escuta, instalação de dispositivos de escuta, armazenamento ou outras formas de interceção ou vigilância de comunicações e dos respetivos dados de tráfego por pessoas que não os utilizadores, sem o consentimento dos utilizadores em causa, exceto quando legalmente autorizados a fazê-lo, de acordo com o disposto no n.o 1 do artigo 15.o». Este aspeto é desenvolvido adiante.

39.

Além do consentimento dos utilizadores em causa, a Diretiva ePrivacidade prevê outros fundamentos que podem legitimar o tratamento de dados de tráfego e de comunicações por parte dos FSI. Os fundamentos jurídicos pertinentes para o tratamento de dados, neste caso, são: i) a prestação do serviço; ii) a garantia da segurança do serviço, e iii) a minimização do congestionamento. No ponto iv) são debatidos outros fundamentos possíveis para legitimar as políticas de gestão baseadas nos dados de tráfego ou de comunicações.

40.

Conforme demonstrado na Secção IV, os FSI processam a informação existente nos cabeçalhos IP com a finalidade de encaminhar cada pacote IP para o seu destino. O artigo 6.o, n.os 1 e 2, da Diretiva ePrivacidade, permite o tratamento de dados de tráfego com a finalidade de envio de uma comunicação. Assim, os FSI podem processar a informação que é necessária para a prestação do serviço.

41.

Nos termos do artigo 4.o da Diretiva ePrivacidade, os FSI têm a obrigação geral de adoptar as medidas adequadas para garantir a segurança dos seus serviços. A prática da filtragem de vírus pode envolver o tratamento de cabeçalhos IP e de payload de IP. Tendo em conta que o artigo 4.o da Diretiva ePrivacidade determina que os FSI devem assegurar a segurança da rede, esta disposição legitima as técnicas de inspeção baseadas nos cabeçalhos IP e no conteúdo que visam estritamente atingir esse objetivo. Na prática, tal significa que, dentro dos limites estabelecidos pelo princípio da proporcionalidade (ver Secção V.3), os FSI podem executar atividades de monitorização e filtragem de dados de comunicações para combater vírus e garantir a segurança da rede (27).

42.

A justificação para este fundamento jurídico encontra-se no considerando 22 da Diretiva ePrivacidade, que explica a proibição relativa ao armazenamento das comunicações prevista no artigo 5.o, n.o 1. Esta disposição não proíbe qualquer armazenamento automático, intermédio e transitório, desde que esse armazenamento se efetue com o propósito exclusivo de realizar a transmissão e desde que as informações não sejam armazenadas por um período de tempo superior ao necessário para a transmissão e para fins de gestão de tráfego e se encontre garantida a confidencialidade das comunicações.

43.

Se existir um congestionamento, coloca-se a questão de saber se o FSI pode ponderar aleatoriamente a interrupção ou o abrandamento do tráfego ou, pelo contrário, abrandar as comunicações que não são sensíveis ao tempo, por exemplo, tráfego de correio eletrónico ou P2P, permitindo, por exemplo, a passagem do tráfego de voz com uma qualidade aceitável.

44.

Tendo em conta o interesse social global de garantir uma rede de comunicações eficaz, os FSI podem argumentar que dar prioridade ou condicionar o tráfego para solucionar um congestionamento é uma medida legítima que é necessária para prestar um serviço adequado. Isto significa que, nestes casos e para este efeito, existiria um fundamento jurídico geral para o tratamento de dados pessoais e não seria necessário o consentimento específico dos utilizadores.

45.

Ao mesmo tempo, a capacidade de interferir desta forma não está isenta de restrições. Caso necessitem de inspecionar as comunicações, os FSI devem, na perspectiva da confidencialidade e aplicando estritamente o princípio da proporcionalidade, utilizar o método menos invasivo disponível para atingir o objetivo (evitando a inspeção profunda de pacotes) e aplicá-lo apenas durante o tempo necessário para resolver o congestionamento.

46.

Os FSI podem igualmente pretender inspecionar dados de tráfego e de conteúdo para outros fins, por exemplo, para oferecer assinaturas direcionadas (nomeadamente, uma assinatura que limita o acesso a P2P ou uma assinatura que aumenta a velocidade para determinadas aplicações). A inspeção e posterior utilização de dados de tráfego e de comunicação para fins que não sejam a prestação do serviço ou a garantia da sua segurança e o não congestionamento apenas são permitidas em condições restritas, em conformidade com o quadro jurídico.

47.

O quadro jurídico é constituído essencialmente pelo artigo 5.o, n.o 1, da Diretiva ePrivacidade, que exige o consentimento dos utilizadores em causa para a escuta, a instalação de dispositivos de escuta, o armazenamento ou outras formas de interceção ou vigilância de comunicações e dos respetivos dados de tráfego. Na prática, tal significa que é necessário o consentimento dos utilizadores envolvidos numa comunicação para legitimar o tratamento dos dados de tráfego e de comunicações nos termos do artigo 5.o, n.o 1.

48.

Conforme explicado acima, a aplicação de técnicas de inspeção e filtragem é baseada ou em cabeçalhos IP, que constituem dados de tráfego, ou na inspeção profunda de pacotes, o que implica igualmente payloads de IP e constitui dados de comunicação. Por conseguinte, em princípio, a aplicação dessas técnicas para fins que não sejam a prestação do serviço ou a segurança seria proibida, a menos que o tratamento seja permitido por um motivo legítimo, por exemplo, um consentimento (artigo 5.o, n.o 1). Um exemplo de aplicação do artigo 5.o, n.o 1, seria o caso em que um FSI decidisse oferecer aos clientes uma tarifa reduzida de acesso à Internet como contrapartida da receção de publicidade comportamental, utilizando a inspeção profunda de pacotes e, por conseguinte, de dados de comunicação, para esse fim. Nos termos do artigo 5.o, n.o 1, é necessário o consentimento livre, específico e informado.

49.

Além disso, o artigo 6.o da Diretiva ePrivacidade, com o título «dados de tráfego», estabelece determinadas regras aplicáveis especificamente aos dados de tráfego. Prevê nomeadamente a possibilidade de os FSI tratarem dados de tráfego com base no consentimento dos utilizadores para receberem serviços de valor acrescentado (28). Esta disposição específica o requisito de consentimento previsto no artigo 5.o, n.o 1, quando estão em causa dados de tráfego.

50.

Na prática, nem sempre será fácil determinar, por exemplo, os casos em que é necessário consentimento e os casos em que a segurança da rede pode legitimar o tratamento, em especial se as técnicas de inspeção tiverem fins duplos (por exemplo, evitar o congestionamento e prestar serviços de valor acrescentado). Deve salientar-se que o consentimento não pode ser considerado uma forma simples e sistémica de assegurar a conformidade com os princípios de proteção de dados.

51.

A experiência sobre a aplicação do quadro jurídico e, em especial, sobre os vários aspetos salientados acima, é escassa. Este domínio necessita de orientações suplementares, tal como especificado na Secção VI. Além disso, existem outros aspetos pertinentes relacionados com a obtenção do consentimento que exigem especial consideração. Esses aspetos são descritos a seguir.

52.

O consentimento exigido nos termos dos artigos 5.o e 6.o da Diretiva ePrivacidade tem a mesma aceção que o consentimento da pessoa em causa tal como definido e especificado na Diretiva 95/46/CE (29). Nos termos do artigo 2.o, alínea h), da Diretiva Proteção de Dados, entende-se por consentimento da pessoa em causa «qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento». Recentemente, a função do consentimento e os requisitos para a sua validade foram abordados pelo Grupo de Trabalho do Artigo 29.o, no seu Parecer 15/2011 sobre o consentimento (30).

53.

Os FSI que necessitam de consentimento para realizar atividades de inspeção e filtragem de dados de tráfego e de conteúdo devem, por conseguinte, assegurar que esse consentimento é livre e especificado e deve constituir uma indicação totalmente informada do desejo da pessoa singular, através da qual esta manifesta o seu acordo para que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. O considerando 17 da Diretiva ePrivacidade reafirma que «(…) O consentimento do utilizador pode ser dado por qualquer forma adequada que permita obter uma indicação comunicada de livre vontade, específica e informada sobre os seus desejos, incluindo por via informática ao visitar um sítio na Internet». Seguem-se alguns exemplos práticos do significado de consentimento livre, específico e informado neste contexto.

54.

Livre consentimento. Os utilizadores não devem ser alvo de restrições que associem o consentimento à assinatura da Internet que pretendem subscrever.

55.

O consentimento das pessoas singulares não seria prestado livremente se tivessem de consentir a monitorização dos seus dados de comunicações para obterem acesso a um serviço de comunicações. Tal seria ainda mais verdadeiro se todos os fornecedores de um dado mercado realizassem actividades de gestão de tráfego para fins que não sejam a segurança da rede. A única opção que restaria seria não assinar qualquer serviço da Internet. Tendo em conta que a Internet se tornou uma ferramenta essencial tanto para fins profissionais como de lazer, não assinar nenhum serviço da Internet não constitui uma alternativa válida. O resultado seria que as pessoas singulares não teriam qualquer poder real de escolha, ou seja, não poderiam prestar livremente o seu consentimento (31).

56.

A AEPD considera que é evidente a necessidade de a Comissão e as autoridades nacionais monitorizarem o mercado, especialmente para determinar se este cenário — os fornecedores associarem os serviços de telecomunicações à monitorização das comunicações — se torna frequente. Os fornecedores devem oferecer serviços alternativos, incluindo uma assinatura da Internet não sujeita a gestão de tráfego, sem impor custos elevados às pessoas singulares.

57.

Consentimento específico. A necessidade de um consentimento específico exige, neste caso, que os FSI obtenham de forma clara e inequívoca o consentimento para monitorizar dados de tráfego e de comunicações. Nos termos do Grupo de Trabalho do Artigo 29.o, «… para ser específico, o consentimento deve ser inteligível: deve fazer referência, de forma clara e precisa, ao âmbito e consequências do tratamento de dados. Não pode aplicar-se a um conjunto aberto de atividades de tratamento. Significa isto, por outras palavras, que o consentimento se aplica a um contexto limitado». O consentimento específico dificilmente será obtido se o consentimento para a inspeção de dados de tráfego e de comunicações for «incorporado» no consentimento global para subscrever o serviço. Em alternativa, a especificidade deve ser objeto de meios destinados a obter o consentimento como, por exemplo, um formulário de consentimento específico ou uma caixa de texto separada claramente dedicados ao objetivo de monitorização (em vez de inserir a informação nas condições gerais do contrato e solicitar a assinatura do contrato tal como está).

58.

Consentimento informado. Para que seja válido, o consentimento tem de ser informado. A necessidade de prestar informações prévias adequadas decorre não só da Diretiva ePrivacidade e da Diretiva Proteção de Dados, mas também dos artigos 20.o e 21.o da Diretiva relativa ao serviço universal, alterada pela Diretiva 2009/136/CE (32). A necessidade de informação e consentimento foi expressamente confirmada no considerando 28 da Diretiva 2009/136/CE: «Os utilizadores deverão, em qualquer caso, ser informados de forma completa sobre quaisquer limitações impostas à utilização dos serviços de comunicações eletrónicas pelo prestador de serviço e/ou rede. Essa informação deverá, por opção do prestador, especificar o tipo de conteúdo, aplicação ou serviço em questão, ou aplicações ou serviços individuais, ou ambos». Especifica também que: «Em função da tecnologia utilizada e do tipo de limitação, essas limitações poderão exigir o consentimento do utilizador nos termos da Diretiva 2002/58/CE».

59.

Tendo em conta a complexidade destas técnicas de monitorização, a prestação de informações prévias pertinentes é uma das principais dificuldades para obter um consentimento válido. Os consumidores devem ser informados de forma a serem capazes de identificar a informação que está a ser tratada, como está a ser utilizada e o impacto sobre a experiência do utilizador, bem como o nível de invasão da privacidade associado às técnicas.

60.

Tal significa não só que a própria informação deve ser clara e compreensível para os utilizadores comuns como também que a informação deve ser prestada diretamente às pessoas singulares de uma forma clara para que não possam ignorá-la.

61.

Indicação de desejos. No âmbito do quadro jurídico aplicável, o consentimento exige igualmente uma ação afirmativa por parte do utilizador para manifestar o seu acordo. O consentimento implícito não cumpre esta norma. Esta afirmação confirma a necessidade de utilizar meios dedicados para obter o consentimento que permite aos FSI inspecionar dados de tráfego e de comunicações no contexto das políticas de gestão de tráfego aplicáveis. No seu recente parecer sobre o consentimento, o Grupo de Trabalho do Artigo 29.o salientou a necessidade de detalhe na obtenção do consentimento no que respeita aos diferentes elementos que constituem o tratamento de dados.

62.

Pode argumentar-se que, se as partes envolvidas numa comunicação não pretenderem que os FSI intercetem essa comunicação a fim de aplicar políticas de gestão de tráfego, podem sempre encriptar a comunicação. Esta abordagem pode ser considerada útil em termos práticos, mas exige algum esforço e conhecimentos técnicos e não pode ser equiparada a um consentimento livre, específico e informado. De igual modo, a utilização de técnicas de encriptação não preserva totalmente a confidencialidade da comunicação, uma vez que o FSI terá, pelo menos, acesso à informação do cabeçalho IP a fim de encaminhar a comunicação e estará igualmente em condições de aplicar uma análise estatística.

63.

Nos termos do artigo 51.o, n.o 1, da Diretiva ePrivacidade, deve ser obtido o consentimento dos utilizadores em causa. Em muitos casos, o utilizador será simultaneamente o assinante, o que permite o consentimento no momento da assinatura do serviço de telecomunicações. Noutros casos, nomeadamente aqueles em que podem estar envolvidas pelo menos duas pessoas, o consentimento dos utilizadores em causa deve ser obtido separadamente. Esta situação pode colocar questões de ordem prática, conforme indicado a seguir.

64.

O artigo 5.o, n.o 1, prevê o consentimento do utilizador para legitimar o tratamento de dados. Deve ser obtido o consentimento de todos os utilizadores envolvidos numa comunicação. A justificação subjacente é que a comunicação diz normalmente respeito a, pelo menos, duas pessoas (o remetente e o destinatário). Por exemplo, se um FSI examinar payloads de IP que fazem referência a uma mensagem de correio eletrónico, está a inspecionar informações relacionadas quer com o remetente quer com o destinatário da mensagem.

65.

Ao monitorizar e intercetar tráfego e comunicações (por exemplo, algum tráfego da Internet), a obtenção do consentimento do utilizador, ou seja, do assinante, pode ser suficiente para os FSI. Tal deve-se ao facto de a outra parte da comunicação, neste caso, um sítio Internet visitado, poder não ser considerada um «utilizador interessado» (33). No entanto, a situação pode ser mais complexa quando essa monitorização envolve a inspeção do conteúdo de mensagens de correio eletrónico e, consequentemente, das informações pessoais do remetente e do destinatário da mensagem, que poderão não ter ambos uma relação contratual com o mesmo FSI. Com efeito, nestes casos, o FSI estaria a tratar dados pessoais (nome, endereço de correio eletrónico e dados de conteúdos potencialmente sensíveis) de não clientes. De um ponto de vista prático, a obtenção do consentimento dessas pessoas singulares pode ser mais difícil, uma vez que deve ser efectuada numa base casuística e não no momento da assinatura do serviço de telecomunicações. Também não seria realista pressupor que o consentimento do assinante foi igualmente prestado em nome de outros utilizadores, como é frequentemente o caso de agregados privados.

66.

Neste contexto, a AEPD considera que os FSI devem respeitar os requisitos legais existentes e implementar políticas que não envolvam a monitorização e inspeção da informação. Este aspeto é ainda mais importante no que respeita aos serviços de comunicações que envolvem terceiros que não podem prestar o seu consentimento à monitorização, em especial no que respeita ao correio eletrónico enviado e recebido (não se aplica se a finalidade for baseada em considerações de segurança).

67.

Ao mesmo tempo, deve notar-se que a legislação nacional que dá execução ao artigo 5.o, n.o 1, da Diretiva ePrivacidade, pode não ser sempre satisfatória a este respeito, e que, em geral, parece ser necessária uma melhor orientação quanto aos requisitos da Diretiva ePrivacidade neste contexto. Por conseguinte, a AEPD exorta a Comissão a ser mais ativa nesta matéria e a adotar uma iniciativa que possa beneficiar das conclusões das autoridades de supervisão reunidas no Grupo de Trabalho do Artigo 29.o e de outras partes interessadas. Se necessário, a Comissão poderá recorrer ao Tribunal de Justiça para que a aceção e as consequências do artigo 5.o, n.o 1, sejam totalmente clarificadas.

68.

O artigo 6.o, alínea c), da Diretiva Proteção de Dados estabelece o princípio da proporcionalidade (34), aplicável aos FSI, uma vez que são controladores de dados, na aceção desta diretiva, quando realizam atividades de monitorização e filtragem.

69.

De acordo com aquele princípio, os dados pessoais podem ser objeto de tratamento apenas se forem «adequados, pertinentes e não excessivos em relação às finalidades prosseguidas com a recolha e/ou o tratamento». A aplicação deste princípio implica a necessidade de avaliar se os meios utilizados para o tratamento dos dados e os tipos de dados pessoais utilizados são adequados e têm possibilidades razoáveis de atingir os seus objetivos. Caso a conclusão aponte para a necessidade de recolha de mais dados, então o princípio não é cumprido.

70.

A conformidade com o princípio da proporcionalidade de determinados tipos de técnicas de inspeção deve ser avaliada numa base casuística. Não é possível chegar a conclusões in abstracto. No entanto, é possível apontar vários aspetos concretos que devem ser analisados ao avaliar a conformidade com o princípio da proporcionalidade.

71.

O volume de informação objeto de tratamento. A vigilância das comunicações dos clientes dos FSI nos níveis mais profundos possíveis será, na maior parte dos casos, excessiva e ilegal. O facto de que essa vigilância pode ser feita por meios que não são aparentes para as pessoas singulares e que estas poderão ter dificuldade em compreender o que está a acontecer aumenta o impacto na sua privacidade. Os FSI devem avaliar quais os meios menos invasivos que podem estar disponíveis para atingir o resultado pretendido. Por exemplo, a monitorização dos cabeçalhos IP pode obter o resultado pretendido em vez da inspeção profunda de pacotes? Mesmo utilizando a inspeção profunda de pacotes, a identificação de apenas determinados protocolos pode proporcionar as informações necessárias. A aplicação de garantias em matéria de proteção de dados, nomeadamente a «pseudo-anonimização», também pode ser pertinente. O resultado da avaliação deve confirmar que o tratamento dos dados é proporcional.

72.

Os efeitos do tratamento (diretamente associados aos fins). A proporcionalidade pode não existir nos casos em que os FSI utilizam políticas de gestão de tráfego que excluem o acesso a determinados serviços sem permitir, em troca, uma distribuição justa dos benefícios aos utilizadores.

73.

É importante recordar que o princípio da proporcionalidade continua a ser aplicável mesmo que tenham sido cumpridos outros requisitos legais, nomeadamente se um FSI tiver, por exemplo, obtido o consentimento de pessoas singulares para realizar atividades de monitorização de conteúdos. Tal significa que o tratamento de dados realizado através da monitorização de conteúdos pode ainda ser ilegal se violar o princípio fundamental da proporcionalidade subjacente.

74.

O artigo 4.o da Diretiva ePrivacidade exige explicitamente que os FSI adoptem medidas técnicas e organizativas adequadas para garantir: i) que aos dados pessoais apenas possa ter acesso pessoal autorizado, para fins autorizados a nível legal; ii) a proteção dos dados pessoais contra o tratamento acidental ou ilegal, e iii) a aplicação de uma política de segurança relativa ao tratamento de dados pessoais. Autoriza ainda as autoridades nacionais competentes a realizar auditorias sobre essas medidas.

75.

Além disso, nos termos do artigo 4.o, n.os 2 e 3, da Diretiva ePrivacidade, os FSI estão igualmente obrigados a notificar as autoridades nacionais competentes, no caso de violação de dados, e as pessoas singulares afetadas, caso a divulgação dos dados possa ter consequências negativas para essas pessoas.

76.

O tratamento de informações pessoais contidas em comunicações com a finalidade de aplicar políticas de gestão de tráfego pode proporcionar aos FSI acesso a dados ainda mais sensíveis do que os dados de tráfego.

77.

Por conseguinte, as políticas de segurança desenvolvidas pelos FSI devem incorporar garantias específicas para assegurar que as medidas adotadas são adequadas a esses riscos. Ao mesmo tempo, as autoridades nacionais competentes que realizam a auditoria dessas medidas devem ser especialmente exigentes. Por último, deve assegurar-se que são executados procedimentos de notificação eficazes a fim de informar as pessoas em causa cujas informações foram comprometidas e podem, assim, ter sido afetadas negativamente.

78.

As técnicas de inspeção baseadas no tráfego de dados e a inspeção de payloads de IP, ou seja, do conteúdo das comunicações, podem revelar a atividade dos utilizadores na Internet: sítios Internet visitados e atividades realizadas nesses sítios, utilização de aplicações P2P, ficheiros descarregados, correio eletrónico enviado e recebido, de quem, sobre que assunto e em que termos, etc. Os FSI podem pretender utilizar estas informações para dar prioridade a algumas comunicações sobre outras como, por exemplo, vídeo a pedido. Podem pretender utilizá-las para identificar vírus ou criar perfis com o intuito de fornecer publicidade comportamental. Essas ações interferem com o direito à confidencialidade das comunicações.

79.

Dependendo das técnicas utilizadas e das especificidades do caso, as implicações em matéria de privacidade aumentarão. Quanto mais profunda for a interceção e a análise das informações recolhidas, maior será o conflito com o princípio da confidencialidade das comunicações. As finalidades da monitorização realizada e as garantias de proteção dos dados que têm sido aplicadas são igualmente elementos essenciais para determinar o grau de invasão da privacidade e dos dados pessoais das pessoas singulares. O bloqueio e a monitorização para efeitos de combate de programas malévolos (malware), com limitações rigorosas no que respeita à retenção e utilização dos dados inspecionados, não podem ser comparados com situações em que as informações são registadas para criar perfis individuais com vista a fornecer publicidade comportamental.

80.

Em princípio, a AEPD considera que o atual quadro jurídico europeu em matéria de privacidade e proteção de dados, se for interpretado, aplicado e executado corretamente, será adequado para garantir que o direito à confidencialidade é respeitado e, em geral, que a privacidade e a proteção dos dados das pessoas singulares não são comprometidas (35). Os FSI não devem utilizar esses mecanismos, a menos que tenham aplicado corretamente o quadro jurídico. Mais especificamente, os elementos pertinentes do quadro jurídico que os FSI devem considerar e respeitar são:

81.

Embora o quadro jurídico contenha atualmente condições e garantias pertinentes, é necessário prestar especial atenção ao cumprimento efetivo dos requisitos legais por parte dos FSI, se estes fornecem as informações necessárias aos consumidores para que estes possam fazer escolhas com o conhecimento adequado e se observam o princípio da proporcionalidade. A nível nacional, as autoridades competentes para aplicação do acima exposto incluem, por um lado, as autoridades nacionais de telecomunicações e, por outro, as autoridades nacionais de proteção de dados. A nível da UE, os organismos pertinentes incluem o ORECE (Organismo de Reguladores Europeus das Comunicações Eletrónicas). A AEPD pode também desempenhar um papel neste contexto.

82.

Além do acompanhamento do atual nível de conformidade, e dado que a possibilidade de realização de um elevado número de inspeções de comunicações em tempo real é relativamente recente, alguns aspetos relacionados com a aplicação do quadro jurídico que foram debatidos no presente parecer exigem uma análise mais profunda e uma clarificação posterior. São necessárias orientações especialmente pertinentes em vários domínios, nomeadamente:

83.

Tendo em conta que as competências neste domínio são nacionais e europeias, a AEPD considera essencial a partilha de opiniões e experiências com vista a encontrar abordagens harmonizadas. Para esse efeito, a AEPD sugere a criação de uma plataforma ou de um grupo de peritos que deve reunir representantes das autoridades reguladoras nacionais, o Grupo de Trabalho do Artigo 29.o, a AEPD e o ORECE. O primeiro objetivo desta plataforma seria o de desenvolver orientações, pelo menos sobre os aspetos acima identificados, a fim de assegurar abordagens sólidas e harmonizadas e condições equitativas. A AEPD exorta a Comissão a organizar esta iniciativa.

84.

Por último, tanto as autoridades nacionais como as suas homólogas europeias, incluindo o ORECE e a Comissão Europeia, devem prestar especial atenção aos desenvolvimentos de mercado neste domínio. Do ponto de vista da proteção de dados e da privacidade, um cenário no qual os FSI aplicassem regularmente políticas de gestão de tráfego com a oferta de assinaturas baseadas na filtragem do acesso a conteúdos e aplicações seria extremamente problemático. Se esse cenário alguma vez acontecesse, seria necessário elaborar legislação para resolver esta situação.

85.

A crescente dependência dos FSI de técnicas de monitorização e inspeção interfere com a neutralidade da Internet e a confidencialidade das comunicações. Esta situação suscita sérias questões no que respeita à proteção da privacidade e dos dados pessoais dos utilizadores.

86.

Embora a Comunicação da Comissão sobre abertura e neutralidade da Internet na Europa aborde resumidamente estas questões, a AEPD considera que é necessário adotar medidas adicionais para desenvolver uma política satisfatória quanto ao rumo a seguir. No presente parecer, a AEPD contribuiu para o debate político em curso sobre a neutralidade da Internet, em especial sobre os aspetos relacionados com a proteção de dados e a privacidade.

87.

A AEPD considera que é necessário que as autoridades nacionais e o ORECE acompanhem a situação do mercado. Este acompanhamento deve resultar numa perspetiva clara que permita determinar se o mercado está a evoluir para uma inspeção massiva e em tempo real das comunicações e identificar as questões relacionadas com o cumprimento do quadro jurídico.

88.

O acompanhamento do mercado deve ser antecedido de uma análise pormenorizada dos efeitos das novas práticas sobre a proteção de dados e a privacidade na Internet. O presente parecer salienta alguns domínios que beneficiariam de uma clarificação. Embora as agências e os organismos europeus como o ORECE, o Grupo de Trabalho do Artigo 29.o e a AEPD possam estar em boa posição para clarificar as condições de aplicação do quadro jurídico, a AEPD considera que a Comissão tem o dever de coordenar e orientar o debate. Por conseguinte, exorta a Comissão a adotar uma iniciativa que reúna todas as partes interessadas numa plataforma ou num grupo de trabalho com este objetivo. Entre as questões que necessitam de uma análise mais profunda, salientam-se os seguintes aspetos:

89.

Dependendo destas conclusões, poderão ser necessárias medidas legislativas adicionais. Nesse caso, a Comissão deve apresentar medidas que visem reforçar o quadro jurídico e garantir a segurança jurídica. As novas medidas devem clarificar as consequências práticas do princípio da neutralidade da Internet, uma vez que esta clarificação já foi efetuada em alguns Estados-Membros, e assegurar que os utilizadores podem exercer um poder real de escolha, nomeadamente forçando os FSI a oferecer ligações não monitorizadas.

8.2.2012   

PT

Jornal Oficial da União Europeia

C 34/18

1.

Em 4 de maio de 2011, a Comissão publicou uma Comunicação sobre a migração (3) («a Comunicação»). Em conformidade com o artigo 41.o do Regulamento (CE) n.o 45/2001, a AEPD emite o presente parecer por iniciativa própria.

2.

A AEPD não foi consultada antes da adoção da Comunicação. É de lamentar este facto, pois alguns dos problemas apontados no presente parecer poderiam ter sido evitados com observações formuladas numa fase anterior do processo.

3.

O objetivo da Comunicação consiste em enquadrar propostas de política recentes e futuras num quadro que tenha em conta todos os aspetos pertinentes da migração e evitar «uma abordagem de curto prazo que se limite ao controlo das fronteiras sem ter em conta as questões de longo prazo» (4). Foi redigida sobretudo em resposta a acontecimentos recentes no norte de África, em especial o conflito na Líbia.

4.

Para esse efeito, a Comunicação incide sobre a ajuda humanitária, a gestão das fronteiras, os vistos, o asilo, a necessidade económica de imigração e a integração. Faz referência a uma série de propostas legislativas, algumas das quais são novas, ao passo que outras já foram apresentadas. Muitas destas propostas versam a gestão das fronteiras, que é uma parte importante da Comunicação. Algumas das propostas implicam o tratamento de dados pessoais em grande escala.

5.

A Comunicação é apenas a primeira de uma série de comunicações e propostas que serão divulgadas num futuro próximo, cada uma delas sobre aspetos específicos da presente Comunicação. Neste contexto, as Conclusões do Conselho Europeu de 23 e 24 de junho de 2011 (5) referem que os «esforços também serão intensificados fazendo “fronteiras inteligentes”, de modo a garantir que as novas tecnologias sejam aproveitadas para fazer face aos desafios do controlo das fronteiras. Em especial, deverá ser criado um sistema de entrada/saída e um programa de viajantes registados. O Conselho Europeu congratula-se com o acordo alcançado a respeito da Agência para a gestão operacional de sistemas informáticos de grande escala no espaço de liberdade, segurança e justiça».

6.

Embora a proteção de dados não seja a matéria principal da Comunicação, são mencionadas várias iniciativas e propostas no domínio do controlo de fronteiras, como o sistema de entrada/saída e o programa de viajantes registados, que terão um forte impacto no direito fundamental à proteção de dados. Neste contexto, a Comunicação salienta que os controlos fronteiriços são muito importantes do ponto de vista da luta contra a criminalidade e faz referência à Estratégia de Segurança Interna, apresentada pela Comissão em 2010 (6).

7.

Muitas das propostas e iniciativas serão aprofundadas no futuro; por conseguinte, a presente Comunicação constitui uma oportunidade para formular observações sobre essas iniciativas numa fase preliminar. Em relação às iniciativas que já foram apresentadas, como a proposta de regulamento que altera o Regulamento Frontex (7), constitui uma oportunidade para reiterar algumas das principais observações formuladas em anteriores ocasiões, antes da aprovação final pelo Conselho e pelo Parlamento Europeu.

8.

O presente parecer não tem como objetivo analisar todos os domínios temáticos abrangidos nem todas as propostas mencionadas na Comunicação, pretendendo antes:

9.

Neste contexto, o parecer encontra-se dividido em duas partes principais. A primeira parte centra-se na abordagem geral da Comunicação e contém considerações de caráter transversal, como a necessidade de avaliação e as implicações dos direitos fundamentais na conceção dos sistemas de TI. A segunda parte contém observações específicas sobre propostas e iniciativas concretas (8).

10.

A AEPD saúda o objetivo da Comissão de evitar «uma abordagem de curto prazo que se limite ao controlo das fronteiras sem ter em conta as questões de longo prazo» (9). Uma abordagem global e eficaz à emigração não se pode limitar ao controlo das fronteiras, devendo integrar também outros aspetos.

11.

Uma abordagem global deve respeitar os direitos fundamentais dos migrantes e dos refugiados, incluindo o seu direito à proteção de dados. Este respeito é tanto mais importante devido à posição vulnerável em que estes grupos muitas vezes se encontram.

12.

Neste contexto, a Comunicação refere que o duplo objetivo da União deve consistir em manter um elevado nível de segurança, ao mesmo tempo que simplifica a passagem das fronteiras «para os que devem ser admitidos, no pleno respeito dos seus direitos fundamentais» (10). Esta formulação pode dar a impressão que de que não é necessário respeitar os direitos fundamentais das pessoas que, pelas mais diversas razões, não devem ser admitidas. Segundo a AEPD, é óbvio que os interesses dessas pessoas não incluem necessariamente o direito a fixarem-se na UE. Nesse caso, poderá ser necessário tomar medidas adequadas, como operações de repatriação, mas sempre no respeito dos direitos fundamentais.

13.

Note-se que, no que se refere ao controlo de fronteiras, a Comunicação advoga uma abordagem fortemente baseada no uso de meios tecnológicos. Entre outros, é favorável a um reforço da vigilância nas fronteiras (ver o Sistema Europeu de Vigilância das Fronteiras «Eurosur» proposto) (11). Além disso, prevê o estudo da criação de novos sistemas de TI de larga escala para o tratamento de informação sobre viajantes (um sistema de entrada/saída e um programa de viajantes registados) (12). Por último, advoga o alargamento dos atuais sistemas a novos utilizadores (ou seja, o Eurodac) (13). Este enfoque nos meios tecnológicos é um reflexo de uma tendência geral observada nos últimos anos.

14.

Por diversas ocasiões, a AEPD salientou que os instrumentos existentes devem ser avaliados antes de serem propostos novos instrumentos (14). Neste contexto, e evocando a jurisprudência do Tribunal Europeu dos Direitos do Homem (15) e do Tribunal de Justiça da União Europeia (16), a AEPD salienta que as interferências na vida privada devem cumprir a norma de serem «necessárias numa sociedade democrática» e respeitar o princípio da proporcionalidade. O conceito de necessidade implica uma fundamentação mais exigente do que a mera «utilidade» (17), ou seja, quaisquer propostas pertinentes devem ser acompanhadas de provas claras da sua necessidade e proporcionalidade.

15.

Essas provas devem ser apresentadas sob a forma de uma avaliação de impacto na privacidade (18) e devem estar adequadamente fundamentadas (19). Não basta uma utilização seletiva de estatísticas e estimativas. A AEPD tem consciência de que recolher informação fiável sobre fenómenos como a migração irregular é difícil, mas as avaliações de impacto devem também contemplar soluções alternativas para os problemas encontrados, a fim de minimizar o impacto nos direitos fundamentais (20). O simples facto de as soluções tecnológicas serem viáveis não significa que sejam necessárias e proporcionais.

16.

Se uma avaliação levar à conclusão de que são necessários novos sistemas de TI de grande escala, o conceito de «proteção da vida privada na conceção da tecnologia» deve ser tido em conta na conceção desses sistemas. Os controladores devem estar em condições de demonstrar que foram tomadas medidas adequadas para assegurar o cumprimento dos requisitos de privacidade na conceção dos seus sistemas. Deste modo, será possível limitar o impacto negativo das novas medidas na privacidade (ou reforçar o impacto positivo). Esta abordagem mereceu o apoio da Comissão (21). A aplicação do princípio de «proteção da vida privada na conceção da tecnologia» no âmbito de sistemas como o sistema de entrada/saída mencionado na Comunicação permitiria restringir a recolha de dados pessoais ao mínimo necessário, limitar os prazos de conservação e tornar o tratamento de dados compatível com a privacidade e transparente para as pessoas em causa.

17.

Além disso, é necessário respeitar o princípio da limitação da finalidade. É importante prevenir o desvirtuamento da função. Por exemplo, a Comunicação prevê a reintrodução da iniciativa de dar às autoridades responsáveis pela aplicação da lei acesso ao sistema Eurodac (22), o que parece confirmar a tendência para conceder às autoridades responsáveis pela aplicação da lei acesso aos sistemas de grande escala da UE e levanta a questão do alargamento da finalidade original do sistema. A concessão de acesso às bases de dados a mais autoridades pode levantar sérias questões a nível do impacto: uma base de dados considerada proporcional para uma determinada utilização pode tornar-se desproporcionada se, posteriormente, vier a ser alargada a outras utilizações (23).

18.

Por conseguinte, a AEPD solicita que todas as propostas (novas e atuais) que impliquem restrições ao direito fundamental à proteção de dados sejam acompanhadas por uma demonstração clara da sua necessidade (24). Além disso, sempre que forem considerados necessários sistemas de TI, o conceito de «proteção da vida privada na conceção da tecnologia» deve ser tido em devida conta na conceção desses sistemas. Acresce ainda que as medidas aplicadas devem ser avaliadas com uma periodicidade regular, a fim de determinar se continuam a ser necessárias.

19.

A Comunicação refere-se ao acesso das autoridades responsáveis pela aplicação da lei ao sistema Eurodac, afirmando que o Eurodac deve continuar a apoiar a eficácia do Regulamento Dublim, embora também «satisfazendo outras necessidades das autoridades responsáveis pela aplicação da lei» (25).

20.

A proposta de reformulação do regulamento relativo ao Eurodac de dezembro de 2008 (26) não continha disposições relativas ao acesso das autoridades responsáveis pela aplicação da lei. Essas disposições foram incluídas numa proposta apresentada pela Comissão em setembro de 2009 (27). Em outubro de 2010, a Comissão adotou uma proposta alterada (28) que já não continha disposições relativas ao acesso das autoridades responsáveis pela aplicação da lei, à semelhança da proposta original.

21.

No seu parecer de 15 de dezembro de 2010 sobre o sistema «Eurodac», a AEPD congratulou-se com a exclusão da possibilidade de concessão de acesso ao Eurodac às forças de aplicação da lei (29), relembrando que a utilização do sistema para uma finalidade diferente se deve basear em provas convincentes da existência de um nexo entre os requerentes de asilo e o terrorismo ou a grande criminalidade. Além disso, a situação precária dos requerentes de asilo deve ser tida em conta na avaliação da necessidade e da proporcionalidade do acesso à informação contida no sistema.

22.

A reformulação do regulamento relativo ao «Eurodac» está integrada na criação de um sistema comum de asilo que, segundo o Programa de Estocolmo, deverá estar em funcionamento até 2012 (30). Uma das razões apontadas pela Comissão para a exclusão da possibilidade de concessão de acesso ao Eurodac às forças de aplicação da lei na proposta de Outubro de 2010 foi o facto de a exclusão dessa medida controversa facilitar uma adoção mais célere do pacote relativo ao asilo (31). Outra razão prende-se com a criação da Agência para a gestão operacional de sistemas informáticos de grande escala no espaço de liberdade, segurança e justiça (32).

23.

Perante estes factos e tendo em conta anteriores observações, a AEPD considera que, até agora, não foram produzidas provas suficientemente claras e fiáveis da necessidade da reintrodução do acesso ao Eurodac pelas forças de aplicação da lei. Só após uma nova avaliação de impacto, que tenha em conta as preocupações em matéria de privacidade, será possível equacionar essa reintrodução. Além disso, a inclusão do acesso das forças de aplicação da lei exigiria importantes alterações à base de dados Eurodac, a fim de proporcionar um acesso seguro a essas autoridades. Seria igualmente necessária uma nova avaliação de impacto para aferir as implicações técnicas e financeiras do acesso (33).

24.

Além disso, a reintrodução da proposta poderia ter um impacto significativo nos prazos do pacote relativo ao asilo. A Comissão não menciona uma data para a apresentação de uma eventual nova proposta, nem indica se essa proposta seria acompanhada de uma nova avaliação de impacto.

25.

Na Comunicação é anunciada uma comunicação sobre as fronteiras inteligentes com data de publicação prevista para setembro de 2011. Essa comunicação deverá aprofundar a análise das iniciativas relativas ao sistema de entrada/saída e ao programa de viajantes registados. A Comissão admite que esses projetos exigiriam um «investimento substancial» para «assegurar elevadas normas de proteção dos dados pessoais» (34).

26.

No que respeita ao sistema de entrada/saída, a Comissão justifica esta iniciativa com o argumento de que a «ultrapassagem do período de estada autorizada» constitui «a principal fonte de imigração irregular na UE» (35). Na Comunicação não é dada outra explicação sobre a finalidade deste sistema.

27.

É certo que a redução do número de pessoas que ultrapassam o período de estada autorizado pode ter efeitos positivos. A AEPD compreende que um sistema de entrada/saída pode evitar que cidadãos de países terceiros ultrapassem o período de estada autorizado, se souberem que existe uma forte probabilidade de serem identificados automaticamente assim que expirar o seu visto. Subsistem, no entanto, diversas questões.

28.

Até à data, não existe uma política coerente no que se refere ao fenómeno da ultrapassagem do período de estada autorizada nos Estados-Membros. O conceito de «ultrapassagem do período de estada autorizada» não se encontra, em geral, bem definido, e chegar a uma definição comum do termo seria um primeiro passo necessário para um entendimento claro dessa matéria (36).

29.

Além disso, os números disponíveis até ao momento não passam de estimativas (37). Clarificar a dimensão do problema é uma condição necessária para uma avaliação circunstanciada da necessidade.

30.

Os alertas previstos no artigo 96.o da Convenção de Aplicação do Acordo de Schengen são uma medida já existente, que se destina a evitar que determinadas pessoas entrem no espaço Schengen. Estes alertas podem ser utilizados para impedir a reentrada de pessoas que ultrapassam o período de estada autorizado (38). Numa comunicação recente, a Comissão instou os Estados-Membros a darem o máximo uso a esta possibilidade (39). Este argumento implica que a medida não é ainda utilizada na sua plenitude.

31.

É provável que o sistema de entrada/saída recorresse a dados biométricos. Embora a AEPD reconheça as eventuais vantagens da utilização de dados biométricos, importa salientar os seus pontos fracos. Qualquer utilização de dados biométricos deve ser acompanhada de rigorosas salvaguardas, devendo igualmente ser tido em conta o risco de erro (40). Neste contexto, a AEPD incentiva à criação de um conjunto de critérios mínimos no que se refere à utilização de dados biométricos, como, por exemplo, a fiabilidade dos dados biométricos, uma avaliação específica do impacto da utilização de dados biométricos, a sua precisão e um procedimento de recuperação de falhas (41). Além disso, uma parte da população visada não tem impressões digitais que possam ser lidas por um sistema desse tipo (42). Se o sistema de entrada/saída incluir dados biométricos, terá de contemplar procedimentos alternativos de recuperação de falhas para estes viajantes (43).

32.

A AEPD pretende ainda chamar a atenção para as experiências com o US-VISIT (United States Visitor and Immigrant Status Indicator Technology), um sistema semelhante adotado nos EUA. Ao abrigo do US-VISIT, a maioria dos cidadãos de países terceiros é obrigada a fornecer dados biométricos ao entrar no território dos EUA. A parte de «saída» do sistema ainda está a ser desenvolvida. Em 2009, realizaram-se dois testes-piloto sobre a recolha de dados biométricos para esta parte do sistema (44). O Departamento de Segurança Interna reconheceu que os resultados destes testes foram «empolados devido a limitações do sistema relacionadas com casos em que os registos ADIS não reflectiam um estado atualizado do viajante em virtude de alterações recentes ou prorrogações do estado» (45). Nesses testes, os dados dos passageiros também foram comparados com várias listas de vigilância, mas «nenhum dos […] resultados positivos impediu a partida» (46). No total, o Departamento de Segurança Interna gastou cerca de 1,3 mil milhões de USD para desenvolver a componente de entrada do US-VISIT (47). Valores desta ordem levantam a dúvida sobre a eficácia, em relação aos custos, de um sistema de entrada/saída para reduzir a «ultrapassagem do período de estada autorizada».

33.

Em suma, nem a finalidade de um sistema desse tipo nem o seu desenvolvimento e aplicação são suficientemente claros. No que toca à necessidade de ação, não existe uma definição clara do termo central de «ultrapassagem do período de estada autorizada»; por conseguinte, não existem estatísticas fiáveis sobre a dimensão do problema. No que se refere às medidas a tomar, é provável que os instrumentos atualmente existentes para impedir a reentrada de pessoas que ultrapassam o período de estada autorizado não estejam a ser plenamente utilizados; além disso, a componente biométrica do sistema de entrada/saída suscita dúvidas. Em relação à viabilidade e ao custo do sistema, as experiências levadas a cabo nos EUA indicam que um sistema de entrada/saída tem uma aplicação dispendiosa. Estes pontos levantam dúvidas sobre a necessidade e a eficácia, em relação aos custos, de um sistema de entrada/saída.

34.

A Comunicação também menciona a introdução de um programa de viajantes registados. Não é inteiramente claro qual seria o valor acrescentado deste sistema, por exemplo, em comparação com a utilização de um visto para entradas múltiplas com um prazo de validade longo. Os grupos-alvo seriam idênticos (viajantes frequentes). O facto de ainda haver «relutância» (48) em emitir vistos desse tipo não pode, por si só, justificar as novas medidas propostas, nomeadamente quando a plena utilização das medidas em vigor permitiria atingir os mesmos objetivos. Face ao atrás exposto, a AEPD não está plenamente convicta da real necessidade do sistema.

35.

Além disso, a Comunicação faz referência ao conceito de viajantes de boa-fé (página 11), sobretudo em relação ao programa de viajantes registados. Implicitamente, esta formulação pode ser entendida como criando uma classe de viajantes de má-fé. Apenas os viajantes que se inscrevessem no programa de viajantes registados e fornecessem informações pessoais suplementares seriam considerados viajantes de boa-fé. Deixaria de se partir do princípio de que os viajantes, em geral, entram na União de boa-fé, exceto se existirem provas específicas que motivem suspeitas, e caberia aos viajantes ilibarem-se através do fornecimento de informações pessoais suplementares, mesmo na ausência de qualquer prova que motivasse suspeitas. Assim, ao considerar que apenas alguns viajantes estão de boa-fé, aqueles que não estejam dispostos a fornecer informações suplementares passam a ser efetivamente considerados viajantes de má-fé, não obstante essa recusa poder ter razões legítimas, por exemplo, o facto de viajarem com pouca frequência (49).

36.

A Comunicação faz referência a uma «cooperação estreita entre as diferentes agências», nomeadamente entre a Europol, Frontex, autoridades aduaneiras e policiais nacionais, a qual é considerada «essencial», especialmente entre as autoridades de controlo de fronteiras e as autoridades aduaneiras (50). Esta cooperação será apoiada por propostas relativas a boas práticas, que serão apresentadas em 2012. A Comissão anunciou também que apresentará uma proposta legislativa em 2011 para permitir que as autoridades dos Estados-Membros que realizam atividades de vigilância das fronteiras «partilhem informações operacionais e cooperem entre si e com a Agência Frontex» (51). Por último, a proposta de atualização do enquadramento jurídico da Frontex, para lhe permitir «ser mais eficaz em termos de capacidade operacional», está atualmente a ser negociada no Conselho e no Parlamento Europeu (52).

37.

Com vista a assegurar a coerência e a criar valor acrescentado de uma perspetiva de proteção de dados, as disposições respetivas nas bases jurídicas para a celebração de eventuais acordos de cooperação e o intercâmbio de dados pessoais entre a Frontex e as agências com as quais irá cooperar deverão ser coerentes e constantes, tendo em vista a plena cooperação entre os organismos no que diz respeito às regras de proteção de dados.

38.

A AEPD reitera ainda os pontos suscitados no seu parecer sobre a proposta de reformulação do Regulamento Frontex (53), mais especificamente a necessidade de uma base jurídica clara respeitante ao tratamento de dados pessoais. Se for atribuído à Frontex um mandato para o intercâmbio de dados pessoais, devem ser criadas disposições fortes e específicas sobre os direitos das pessoas em causa, assim como outras salvaguardas. Qualquer disposição que permita à Frontex o tratamento e/ou o intercâmbio de dados pessoais deve ser precisa e delineada com clareza.

39.

A Comissão anuncia também uma proposta legislativa que define o objetivo, o âmbito e o quadro técnico e operacional do Sistema Europeu de Vigilância das Fronteiras (Eurosur) para dezembro de 2011 (54). Esta proposta deverá assegurar uma «maior utilização de tecnologias modernas tanto nas fronteiras terrestres como nas marítimas» (55), assim como o intercâmbio de informações operacionais sobre qualquer incidente (56). Esta iniciativa está também relacionada com a Frontex, pois a Comissão planeia apresentar uma outra proposta para permitir que as autoridades dos Estados-Membros que realizam atividades de vigilância das fronteiras partilhem informações operacionais e cooperem entre si e com a Agência Frontex (57).

40.

Não é claro se essa proposta implica o tratamento de dados pessoais e, nesse caso, que tipo de tratamento está em causa (58). A AEPD convida a Comissão a esclarecer estas matérias em futuras propostas.

41.

A Comunicação refere que deve ser analisada a viabilidade de um sistema europeu de guardas de fronteira. O texto não permite concluir a forma que tomaria esse sistema. Segundo o texto, não implicaria «necessariamente» (59) o estabelecimento de uma administração centralizada, embora deixe em aberto a sua eventual existência. Caso não exista uma administração centralizada, a Comissão sugere — entre outros — a melhoria das «capacidades partilhadas» e da «cooperação prática» (60).

42.

Não é claro se é visada uma melhoria da aplicação de medidas existentes ou se é uma sugestão de propostas novas, que ainda não foram anunciadas. Tendo em conta que a «cooperação prática» provavelmente envolveria o intercâmbio de dados pessoais, para o qual é necessária uma base jurídica, essa base jurídica deve ser especificada em propostas futuras, caso o projeto avance.

43.

Em conformidade com a jurisprudência constante do Tribunal Europeu dos Direitos do Homem e do Tribunal de Justiça da União Europeia, a AEPD recorda a exigência de necessidade e proporcionalidade de todas as propostas (novas e atuais) que violem os direitos fundamentais à vida privada e à proteção de dados. A necessidade de cada proposta deve ser demonstrada através de uma avaliação do impacto na privacidade.

44.

O princípio da «proteção da vida privada na conceção da tecnologia» e o princípio da limitação da finalidade devem ser respeitados sempre que são propostos e concebidos novos sistemas de TI de grande escala.

45.

A AEPD insiste que qualquer utilização de dados biométricos deve ser acompanhada de rigorosas salvaguardas e procedimentos alternativos de recuperação de falhas para quem não possa inscrever-se. Em termos mais gerais, devem ser estabelecidas condições mínimas para a utilização de dados biométricos.

46.

Além disso, a AEPD insta a Comissão a clarificar o âmbito e o conteúdo das suas propostas mencionadas no presente parecer, nomeadamente as propostas legislativas anunciadas em relação ao sistema de entrada/saída, ao programa de viajantes registados, ao Eurosur, à Frontex e à cooperação entre agências, assim como à comunicação sobre as fronteiras inteligentes e à análise de um sistema europeu de guardas de fronteira.

47.

A AEPD exorta também a Comissão a não reintroduzir a proposta relativa ao acesso das autoridades responsáveis pela aplicação da lei ao Eurodac, salvo se uma nova avaliação de impacto demonstrar claramente a necessidade da proposta, incluindo as implicações técnicas e financeiras para o sistema.

48.

A AEPD acompanhará atentamente a evolução nesta matéria e, sempre que for adequado, formulará observações suplementares. A AEPD está disponível para outras consultas, num espírito de boa cooperação.

8.2.2012   

PT

Jornal Oficial da União Europeia

C 34/27

8.2.2012   

PT

Jornal Oficial da União Europeia

C 34/28

1.

A Posição Comum 2002/402/PESC (1) convida a União a congelar os fundos e recursos económicos dos membros da organização Al-Qaida, bem como de outras pessoas, grupos, empresas e entidades a eles associados, tal como referidos na lista elaborada em conformidade com as Resoluções 1267 (1999) e 1333 (2000) do Conselho de Segurança das Nações Unidas, regularmente atualizada pelo Comité das Nações Unidas criado nos termos da Resolução 1267 (1999) do Conselho de Segurança das Nações Unidas.

A lista elaborada pelo Comité das Nações Unidas inclui:

Os atos ou atividades que indiciam que uma pessoa, grupo, empresa ou entidade está «associado» à Al-Qaida incluem:

2.

O Comité das Nações Unidas decidiu, em 25 de janeiro de 2012, acrescentar Monir Chouka, Yassin Chouka e Mevlüt Kar à lista relevante. Estes podem apresentar, a qualquer momento, ao Provedor das Nações Unidas um pedido, eventualmente acompanhado por documentação de apoio, de reapreciação da decisão de inclusão na lista. Tal pedido deve ser enviado para o seguinte endereço:

Para mais informações, consultar http://www.un.org/sc/committees/1267/delisting.shtml

3.

Na sequência da decisão das Nações Unidas referida no ponto 2, a Comissão adotou o Regulamento (UE) n.o 97/2012 (2), que altera o anexo I do Regulamento (CE) n.o 881/2002 do Conselho que institui certas medidas restritivas específicas contra determinadas pessoas e entidades associadas à rede Al-Qaida (3). A alteração, efetuada nos termos do artigo 7.o, n.o 1, alínea a), e do artigo 7.o-A, n.o 1, do Regulamento (CE) n.o 881/2002, acrescenta Monir Chouka, Yassin Chouka e Mevlüt Kar à lista do anexo I desse regulamento («Anexo I»).

As seguintes medidas previstas no Regulamento (CE) n.o 881/2002 são aplicáveis às pessoas singulares e às entidades incluídas no anexo I:

4.

O artigo 7.o-A do Regulamento (CE) n.o 881/2002 (5) prevê um procedimento de revisão sempre que as pessoas incluídas na lista apresentem observações sobre os motivos da sua inclusão. As pessoas e entidades acrescentadas ao anexo I pelo Regulamento (UE) n.o 97/2012 podem solicitar à Comissão que lhes comunique os motivos que justificam a sua inclusão na lista. Este pedido deve ser enviado para:

5.

Chama-se igualmente a atenção das pessoas e entidades em causa para a possibilidade de contestarem o Regulamento (UE) n.o 97/2012 perante o Tribunal Geral da União Europeia, nas condições previstas nos quarto e sexto parágrafos do artigo 263.o do Tratado sobre o Funcionamento da União Europeia.

6.

Para efeitos de boa administração, chama-se a atenção das pessoas e entidades incluídas no anexo I para a possibilidade de apresentarem um pedido às autoridades competentes do(s) Estado(s)-Membro(s) relevante(s), enumeradas no anexo II do Regulamento (CE) n.o 881/2002, para serem autorizadas a utilizar os fundos e recursos económicos congelados para necessidades essenciais ou pagamentos específicos, nos termos do disposto no artigo 2.o-A deste regulamento.