REGULAMENTO DE EXECUÇÃO (UE) 2024/3210 DA COMISSÃO

de 18 de dezembro de 2024

que estabelece as regras de execução do Regulamento (UE) 2023/956 do Parlamento Europeu e do Conselho no que diz respeito ao registo CBAM

(Texto relevante para efeitos do EEE)

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta o Regulamento (UE) 2023/956 do Parlamento Europeu e do Conselho, de 10 de maio de 2023, que cria um mecanismo de ajustamento carbónico fronteiriço (1), nomeadamente o artigo 14.o, n.o 6,

Considerando o seguinte:

(1)

O Regulamento (UE) 2023/956 obriga a Comissão a estabelecer, a nível da União, uma base de dados eletrónica normalizada e segura para a gestão dos certificados CBAM, as declarações CBAM, os pedidos de obtenção do estatuto de declarante CBAM autorizado, o registo dos operadores e das instalações nos países terceiros («operadores»), que permita o acesso e o tratamento dos processos, garantindo simultaneamente a confidencialidade das informações. A Comissão já adquiriu experiência na criação de um registo para efeitos do CBAM quando implementou o Registo Transitório CBAM no âmbito do Regulamento de Execução (UE) 2023/1773 da Comissão (2).

(2)	Em conformidade com o Regulamento (UE) 2023/956, a Comissão deve adotar atos de execução para o funcionamento do registo CBAM.

(3)

O registo CBAM deve ser o sistema de apresentação e gestão das declarações CBAM, incluindo verificações, avaliações indicativas e procedimentos de exame. O registo CBAM deve conter dados sobre os declarantes CBAM autorizados, os requerentes que apresentam um pedido de concessão do estatuto de declarante CBAM autorizado («requerentes»), os operadores e os verificadores CBAM acreditados. As informações sobre os operadores devem constar de uma secção separada do registo CBAM. O registo CBAM deve também incluir a infraestrutura informática necessária para permitir as tarefas analíticas inerentes às funções de análise de risco CBAM a desempenhar pela Comissão.

(4)

A fim de assegurar uma avaliação rigorosa das obrigações de comunicação de informações, proporcionar às autoridades aduaneiras o acesso aos dados CBAM para efeitos da verificação das formalidades CBAM durante o desalfandegamento aduaneiro e apoiar a análise de risco e o acompanhamento das práticas de evasão, incluindo as investigações, em conformidade com os artigos 15.o, 19.o e 27.o do Regulamento (UE) 2023/956, o registo CBAM deve ser interoperável com os sistemas aduaneiros existentes e, em especial, proceder ao intercâmbio dos dados recolhidos através da vigilância em conformidade com o artigo 56.o, n.o 5, do Regulamento (UE) n.o 952/2013 do Parlamento Europeu e do Conselho (3). Por conseguinte, o registo CBAM deve utilizar intercâmbios de dados normalizados com os sistemas aduaneiros existentes.

(5)

A fim de garantir um sistema de comunicação de informações eficaz e uniforme, devem ser estabelecidas as disposições técnicas do funcionamento do registo CBAM. Essas disposições incluem disposições para o desenvolvimento do registo CBAM, as interfaces, a proteção de dados, a atualização de dados, a limitação do tratamento de dados, a propriedade e a segurança do sistema, bem como os testes e a implementação, a manutenção e potenciais alterações dos sistemas. Estas disposições devem ser compatíveis com o princípio da proteção de dados desde a conceção e por defeito previsto no artigo 27.o do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (4) e no artigo 25.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (5), bem como com a segurança do tratamento prevista no artigo 33.o do Regulamento (UE) 2018/1725 e no artigo 32.o do Regulamento (UE) 2016/679.

(6)

Para garantir o acesso ao registo CBAM, o sistema de Gestão Uniforme dos Utilizadores e Assinatura Digital (UUM&DS), a que se refere o artigo 16.o do Regulamento de Execução (UE) 2023/1070 da Comissão (6), deve ser utilizado para gerir o processo de autenticação e verificação do acesso dos requerentes, dos declarantes CBAM autorizados e dos representantes das autoridades competentes. Para fins técnicos, os requerentes do estatuto de declarantes CBAM autorizados, os declarantes CBAM autorizados ou as pessoas para as quais o estatuto de declarantes CBAM autorizados tenha sido revogado devem ser autorizados a delegar o acesso numa pessoa que atue por sua conta, permanecendo simultaneamente responsáveis pelo cumprimento das obrigações estabelecidas no Regulamento (UE) 2023/956.

(7)

Para efeitos da identificação dos requerentes e dos declarantes CBAM autorizados com os respetivos números de Registo e Identificação dos Operadores Económicos (EORI), o registo CBAM deve ser interoperável e proceder ao intercâmbio de dados pertinentes com o sistema EORI a que se refere o artigo 30.o do Regulamento de Execução (UE) 2023/1070. Essa interoperabilidade deve também garantir uma avaliação rigorosa das obrigações CBAM e apoiar a realização da análise de risco, da análise e do acompanhamento das práticas de evasão.

(8)

De modo a obter as informações relativas às declarações aduaneiras de importação das mercadorias enumeradas no anexo I do Regulamento (UE) 2023/956 e as informações relativas a essas mercadorias e a fim de realizar verificações das declarações CBAM e do cumprimento das obrigações CBAM para efeitos da análise de risco, da análise e do acompanhamento das práticas de evasão a que se referem os artigos 15.o, 19.o e 27.o do Regulamento (UE) 203/956, o registo CBAM deve estar interligado com o sistema de vigilância, desenvolvido através da Vigilância 3 no âmbito do CAU (SURV3) a que se refere o artigo 99.o do Regulamento de Execução (UE) 2023/1070. Essas informações devem incluir as casos a que se refere o artigo 2.o, n.o 2, do Regulamento (UE) 2023/956.

(9)

A fim de verificar que as mercadorias só são importadas por um declarante CBAM autorizado e que as obrigações foram cumpridas em relação às mercadorias ou aos produtos a que se refere o artigo 2.o, n.o 2, do Regulamento (UE) 2023/956, o registo CBAM deve estar interligado com o Ambiente de Janela Única da UE, criado em conformidade com o artigo 3.o do Regulamento (UE) 2022/2399 do Parlamento Europeu e do Conselho (7).

(10)

Para efeitos de verificação e de comunicação de informações, juntamente com a análise de risco, o acompanhamento das práticas de evasão e a análise, em conformidade com os artigos 15.o, 19.o e 27.o do Regulamento (UE) 2023/956, os sistemas aduaneiros nacionais devem fornecer as informações exigidas sobre as importações e reexportações, tal como referido na Decisão de Execução (UE) 2023/2879 da Comissão (8). Quando os sistemas aduaneiros nacionais não puderem fornecer as informações através de um intercâmbio automático, o registo CBAM deve permitir a comunicação das informações diretamente no registo CBAM. Essas informações devem incluir as informações sobre a importação das mercadorias enumeradas no anexo I do Regulamento (UE) 2023/956, as informações sobre as mercadorias sujeitas ao regime de aperfeiçoamento ativo, as informações sobre a introdução em livre prática de produtos transformados com mercadorias CBAM como matérias de base e as informações relativas às mercadorias ou aos produtos transformados a que se refere o artigo 2.o, n.o 2, do Regulamento (UE) 2023/956.

(11)	Para identificar as mercadorias importadas enumeradas no anexo I do Regulamento (UE) 2023/956, deve ser utilizada a classificação dessas mercadorias na Nomenclatura Combinada («NC») estabelecida no Regulamento (CEE) n.o 2658/87 do Conselho (9).

(12)

Para efeitos do intercâmbio de informações sobre riscos e de resultados das análises de risco entre as autoridades aduaneiras e as autoridades competentes e a Comissão, o registo CBAM deve estar interligado com o Sistema de Gestão dos Riscos Aduaneiros (SGRA2) a que se refere o artigo 36.o do Regulamento de Execução (UE) 2015/2447 da Comissão (10) e o artigo 69.o do Regulamento de Execução (UE) 2023/1070.

(13)	A fim de assegurar a continuidade do sistema a todo o momento, é importante prever soluções alternativas a aplicar em caso de falha temporária do registo CBAM. Para o efeito, a Comissão deve estabelecer um plano de continuidade das atividades do CBAM.

(14)

As autoridades competentes e a Comissão tratam os dados pessoais registados no registo CBAM em conformidade com as suas funções especificadas no Regulamento (UE) 2023/956 e, como tal, para a gestão do registo CBAM, das declarações e dos certificados CBAM, atuam como responsáveis pelo tratamento dos dados, na aceção do artigo 26.o do Regulamento (UE) 2016/679 e do artigo 28.o do Regulamento (UE) 2018/1725. Os dados pessoais devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas por um período não superior ao necessário para as finalidades para as quais são tratados. A este respeito, o período de conservação dos dados no registo CBAM deve ser limitado a sete anos a contar do registo no registo CBAM, a fim de permitir a análise do funcionamento do CBAM, nomeadamente a análise das conclusões retiradas a partir da análise das declarações CBAM.

(15)	O presente regulamento diz respeito à prestação de um serviço público para facilitar o acesso transfronteiriço às informações reguladas pelo CBAM e a sua gestão e respeitará os requisitos do Regulamento (UE) 2024/903 do Parlamento Europeu e do Conselho (11), relativo à Europa Interoperável.

(16)	As opções relativas à estratégia de desenvolvimento e contratação de tecnologias de informação serão sujeitas a aprovação prévia do Conselho das Tecnologias da Informação e da Cibersegurança da Comissão Europeia.

(17)	A fim de permitir a sua aplicação atempada, o presente regulamento deve entrar em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

(18)	A Autoridade Europeia para a Proteção de Dados foi consultada em conformidade com o artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 e emitiu parecer em 27 de novembro de 2024.

(19)	As medidas previstas no presente regulamento estão em conformidade com o parecer do Comité CBAM,

ADOTOU O PRESENTE REGULAMENTO:

CAPÍTULO I

OBJETO E DEFINIÇÕES

Artigo 1.o

Objeto

O presente regulamento estabelece as regras relativas às infraestruturas e aos processos e procedimentos específicos do registo CBAM.

Artigo 2.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)	«Componente nacional», um componente dos sistemas eletrónicos desenvolvido à escala nacional que está disponível no Estado-Membro que o criou;

2)	«Sistema transeuropeu», um conjunto de sistemas de colaboração cujas responsabilidades são distribuídas pelas administrações nacionais e pela Comissão, desenvolvido em cooperação com a Comissão;

3)	«Requerente», um importador, ou representante aduaneiro indireto, que solicita o estatuto de declarante CBAM autorizado.

CAPÍTULO II

REGISTO CBAM

SECÇÃO 1

Registo CBAM

Artigo 3.o

Funções do registo CBAM

1. O registo CBAM deve ser uma base de dados eletrónica normalizada e segura que contém elementos de dados das contas CBAM, das declarações CBAM, dos pedidos de obtenção do estatuto de declarantes CBAM, do registo de operadores, dos relatórios de verificação emitidos pelos verificadores acreditados, e que proporciona o acesso, o tratamento de processos e a confidencialidade.

2. O registo CBAM deve permitir a comunicação, a notificação, o registo, os controlos e os intercâmbios de informações entre a Comissão, as autoridades competentes, as autoridades aduaneiras e os declarantes CBAM autorizados, os requerentes, as pessoas às quais foi revogado o estatuto de declarantes CBAM autorizados e os operadores.

3. O registo CBAM deve permitir as tarefas analíticas inerentes às funções de análise de risco CBAM a desempenhar pela Comissão.

4. A Comissão é proprietária do registo CBAM.

Artigo 4.o

Estrutura do registo CBAM

1. O registo CBAM deve ser constituído pelos seguintes componentes:

a)	O Portal dos Declarantes CBAM (PD CBAM);

b)	O Portal das Autoridades Nacionais Competentes CBAM (ANC CBAM);

c)	O Portal da Comissão Europeia CBAM (COM CBAM);

d)	O Portal dos Operadores CBAM (Operador CBAM).

2. A autoridade competente do Estado-Membro de estabelecimento do declarante CBAM autorizado e a autoridade competente responsável de uma pessoa que não seja um declarante CBAM autorizado que introduza mercadorias no território aduaneiro da União nos casos previstos no artigo 26.o, n.o 2, do Regulamento (UE) 2023/956, deve comunicar à Comissão as decisões relativas às sanções através do registo CBAM.

Artigo 5.o

Interoperabilidade com os sistemas aduaneiros

1. O registo CBAM deve ser interoperável com os seguintes sistemas:

O sistema de Gestão Uniforme dos Utilizadores e Assinatura Digital (UUM&DS) para o registo e a gestão do acesso dos utilizadores referido no artigo 16.o do Regulamento de Execução (UE) 2023/1070 para os Estados-Membros, a Comissão, os declarantes CBAM autorizados, os requerentes e as pessoas titulares de uma autorização revogada;

b)	O sistema de Registo e Identificação dos Operadores Económicos (EORI), a que se refere o artigo 30.o do Regulamento de Execução (UE) 2023/1070, permitindo o controlo cruzado dos dados EORI estabelecidos no anexo I do presente regulamento;

c)	O sistema Vigilância, desenvolvido através do Vigilância 3 no âmbito do CAU (SURV3) referido no artigo 99.o do Regulamento de Execução (UE) 2023/1070;

d)	A Pauta Integrada da União Europeia (TARIC), referida no Regulamento (CEE) n.o 2658/87;

e)	O Sistema de Gestão dos Riscos Aduaneiros referido no artigo 36.o do Regulamento de Execução (UE) 2015/2447 e referido no artigo 69.o do Regulamento de Execução (UE) 2023/1070.

2. O registo CBAM permite a cooperação digital através do Ambiente de Janela Única Aduaneira da UE referido no artigo 3.o do Regulamento (UE) 2022/2399.

Artigo 6.o

Pontos de contacto para os sistemas eletrónicos

A Comissão e as autoridades competentes designam pontos de contacto para cada um dos componentes e sistemas eletrónicos referidos nos artigos 4.o e 5.o com vista ao intercâmbio de informações, a fim de assegurar o desenvolvimento, a gestão e a manutenção coordenados desses componentes. As autoridades competentes podem utilizar os pontos de contacto existentes.

A Comissão e os Estados-Membros comunicam-se mutuamente os dados dos pontos de contacto e informam-se mutuamente, de imediato, sobre quaisquer alterações desses dados.

Artigo 7.o

Termos de colaboração no registo CBAM

A Comissão propõe os termos de colaboração, os acordos de nível de serviço e um plano de segurança, que estão sujeitos ao acordo das autoridades competentes. A Comissão deve gerir o registo CBAM em conformidade com os termos de colaboração.

SECÇÃO 2

Gestão do acesso e portais de acesso

Artigo 8.o

Gestão de Acessos de Utilizadores do Registo CBAM

1. A autenticação e a verificação do acesso dos declarantes CBAM autorizados, dos requerentes e das pessoas às quais foi revogado o estatuto de declarantes CBAM autorizados, para efeitos de acesso aos componentes do registo CBAM, são efetuadas utilizando o sistema UUM&DS.

2. A Comissão presta os serviços de autenticação que permitem aos utilizadores do registo CBAM aceder de forma segura ao registo.

3. A Comissão utiliza o sistema UUM&DS para autorizar e conceder o acesso ao registo CBAM ao seu pessoal.

4. A autoridade competente de um Estado-Membro utiliza o sistema UUM&DS para autorizar e conceder o acesso ao registo CBAM ao seu pessoal, aos declarantes CBAM autorizados, aos requerentes e às pessoas às quais foi revogado o estatuto de declarante CBAM autorizado que estejam estabelecidos nesse Estado-Membro.

5. A autoridade competente de um Estado-Membro pode utilizar um sistema de gestão da identificação e do acesso criado nesse Estado-Membro (sistema eIDAS aduaneiro nacional) para fornecer as credenciais necessárias para aceder ao registo CBAM.

6. O requerente, o declarante CBAM autorizado ou as pessoas às quais foi revogado o estatuto de declarantes CBAM autorizados podem delegar o acesso ao registo CBAM em pessoas que atuem por sua conta. Os delegantes continuam a ser responsáveis pelo cumprimento das suas obrigações estabelecidas no Regulamento (UE) 2023/956.

Artigo 9.o

Portal dos Declarantes CBAM

1. O Portal dos Declarantes CBAM é o ponto de entrada único do registo CBAM para os declarantes CBAM autorizados e para os requerentes. O portal está acessível na Internet.

2. O Portal dos Declarantes CBAM é utilizado para as seguintes ações:

a)	Pedidos de estatuto de declarante CBAM autorizado e de revogação desse estatuto;

b)	Apresentação das declarações CBAM;

c)	Notificações e comunicações relacionadas com as obrigações do CBAM, incluindo a gestão das declarações CBAM.

3. O acesso ao Portal dos Declarantes CBAM é gerido em conformidade com o artigo 8.o.

Artigo 10.o

Portal dos Operadores CBAM

1. O Portal dos Operadores CBAM é o ponto de entrada único do registo CBAM para os operadores. O portal é acessível a partir da Internet.

2. O Portal dos Operadores CBAM é utilizado pelos operadores em conformidade com o artigo 10.o do Regulamento (UE) 2023/956 para as seguintes ações:

a)	Registar as informações relativas a esse operador e às suas instalações;

b)	Registar as informações sobre as mercadorias produzidas por uma instalação;

c)	Registar os dados relativos às emissões e relatórios de verificação;

d)	Receber notificações e comunicações relativas ao seu registo e à utilização de informações no registo CBAM.

3. O operador apresenta à Comissão um pedido para que lhe seja atribuído um perfil para aceder ao Portal dos Operadores CBAM. Esse pedido é acompanhado de documentos comprovativos do registo legal do operador ou de prova de atividade no país terceiro de estabelecimento, incluindo o nome, o endereço, as informações de contacto e o número nacional de registo da empresa. Esse pedido é acompanhado de provas que demonstrem que a pessoa que apresenta o pedido está autorizada a atuar por conta do operador e de documentos comprovativos da sua identidade. Quando os documentos comprovativos forem suficientes para atestar a exatidão das informações apresentadas, a Comissão atribui o perfil solicitado ao operador requerente.

4. O operador utiliza o serviço central de acesso da UE gerido pela Comissão para solicitar o acesso ao registo CBAM.

Artigo 11.o

Portal das Autoridades Nacionais Competentes CBAM

1. O Portal das Autoridades Nacionais Competentes CBAM é o ponto de entrada único do registo CBAM para as autoridades competentes. O portal é acessível a partir da Internet.

2. O Portal das Autoridades Nacionais Competentes CBAM deve ser utilizado pelas autoridades competentes para desempenhar as funções previstas no Regulamento (UE) 2023/956, que incluem as notificações e a comunicação.

3. O registo CBAM deve permitir a transferência dos dados necessários para o registo e a partir deste, a fim de permitir que as autoridades competentes cumpram as suas obrigações.

4. O acesso ao Portal das Autoridades Nacionais Competentes do CBAM é gerido em conformidade com o artigo 8.o.

Artigo 12.o

Portal da Comissão Europeia CBAM

1. O Portal da Comissão Europeia CBAM é o ponto de entrada único do registo CBAM para a Comissão.

2. O Portal da Comissão Europeia CBAM é utilizado pela Comissão para desempenhar as funções previstas no Regulamento (UE) 2023/956.

3. O acesso ao Portal da Comissão Europeia CBAM é gerido em conformidade com o artigo 8.o.

Artigo 13.o

Sistemas de gestão de identidade e de acesso dos Estados-Membros

Os Estados-Membros criam um novo sistema de gestão da identidade e do acesso UUM&DS ou utilizam o seu próprio sistema aduaneiro UUM&DS existente para as seguintes funções:

a)	Registo e armazenamento seguros dos dados de identificação dos declarantes CBAM autorizados, dos requerentes e de outras pessoas que tenham acesso ao registo CBAM;

b)	Intercâmbio seguro de dados de identificação assinados e encriptados dos declarantes CBAM autorizados, dos requerentes e de outras pessoas que tenham acesso ao registo CBAM.

SECÇÃO 3

Funcionamento do registo CBAM

Artigo 14.o

Desenvolvimento, teste, implementação e gestão do registo CBAM

1. Os componentes do registo CBAM são desenvolvidos, testados, implementados e geridos pela Comissão e podem ser testados pelos Estados-Membros.

2. A Comissão concebe e mantém as especificações comuns das interfaces enumeradas nos artigos 4.o, 5.o e 11.o em estreita cooperação com os Estados-Membros.

3. Se for caso disso, a Comissão define as especificações técnicas comuns em estreita cooperação com as autoridades competentes e sujeitas a exame por estas, tendo em vista a sua implementação na devida altura. A Comissão e os Estados-Membros colaboram igualmente com os declarantes CBAM, os requerentes e outras partes interessadas.

4. Em colaboração com as autoridades competentes, a Comissão procede a testes e validação da interoperabilidade entre o registo CBAM e os sistemas a que se refere o artigo 5.o, a fim de garantir que os dados são cruzados com exatidão, eficiência e confidencialidade.

Artigo 15.o

Manutenção do registo CBAM e respetivas alterações

1. A Comissão procede à manutenção do registo CBAM.

2. A Comissão atualiza os componentes do registo CBAM para corrigir anomalias e pode acrescentar novas funcionalidades ou alterar as existentes.

3. A Comissão informa antecipadamente as autoridades competentes, os declarantes CBAM autorizados e os operadores das alterações e atualizações dos componentes do registo CBAM.

Artigo 16.o

Falha temporária do registo CBAM

1. Em caso de falha temporária do registo CBAM, os declarantes CBAM e os requerentes apresentam as informações necessárias para cumprir as suas obrigações relacionadas com as obrigações CBAM por força do Regulamento (UE) 2023/956 através dos meios especificados no plano de continuidade das atividades do CBAM.

2. A Comissão informa as autoridades competentes sobre qualquer indisponibilidade importante do registo CBAM que possa ter impacto nos níveis de disponibilidade definidos nos acordos de nível de serviço a que se refere o artigo 7.o.

3. A Comissão informa os declarantes CBAM autorizados e os operadores CBAM autorizados sobre os requisitos, as principais atualizações e a indisponibilidade duradoura do registo CBAM, em conformidade com o plano de continuidade das atividades do CBAM.

Artigo 17.o

Formação e apoio à utilização e ao funcionamento do registo CBAM

1. A Comissão apoia as autoridades competentes na utilização e no funcionamento dos componentes do registo CBAM, através do fornecimento de material de formação e de comunicação.

2. As autoridades competentes prestam apoio ao serviço nacional de assistência aos declarantes CBAM autorizados e aos requerentes.

CAPÍTULO III

SEGURANÇA DO REGISTO CBAM E PROTEÇÃO DE DADOS

Artigo 18.o

Proteção de dados pessoais

Os dados pessoais registados no registo CBAM e os componentes dos sistemas eletrónicos desenvolvidos a nível nacional são tratados pelas autoridades competentes e pela Comissão para os seguintes fins:

a)	Autenticação e gestão do acesso;

b)	Tratamento e gestão dos pedidos;

c)	Apresentação e gestão das declarações CBAM;

d)	Monitorização, controlo e análise das declarações CBAM;

e)	Gestão do operador e do verificador;

f)	Gestão dos certificados CBAM;

g)	Comunicação e notificações;

h)	Garantia do cumprimento;

i)	Funcionamento da infraestrutura informática, incluindo a interoperabilidade com os sistemas nacionais e com os sistemas descentralizados por força do presente regulamento;

j)	Estatísticas e análise do funcionamento do Regulamento (UE) 2023/956;

k)	Análise de risco e acompanhamento das práticas de evasão;

l)	Verificação de que a importação de mercadorias e a reexportação de mercadorias, nos casos previstos no artigo 2.o, n.o 2, do Regulamento (UE) 2023/956, são efetuadas por um declarante CBAM autorizado.

Artigo 19.o

Papel específico da Comissão e das autoridades competentes

1. A Comissão é responsável pelo tratamento no que respeita:

a)	Ao tratamento de dados pessoais para a gestão do acesso do Portal da Comissão em conformidade com o artigo 12.o do presente regulamento;

b)	Ao tratamento de dados pessoais registados no Portal dos Operadores CBAM;

c)	À utilização, validação e recuperação de dados EORI ou de outros dados para efeitos da análise de risco e do acompanhamento das práticas de evasão previstos nos artigos 15.o e 27.o do Regulamento (UE) 2023/956.

2. A autoridade competente é responsável pelo tratamento:

a)	Dos dados pessoais para tomar decisões sobre a concessão e a revogação de autorizações de declarantes CBAM em conformidade com o Regulamento (UE) 2023/956;

b)	Dos dados pessoais para tomar decisões relativas às sanções em conformidade com o artigo 26.o do Regulamento (UE) 2023/956;

c)	Dos dados pessoais para a gestão do acesso dos declarantes estabelecidos no seu Estado-Membro em conformidade com os artigos 8.o, 11.o e 13.o do presente regulamento;

d)	Dos dados pessoais dos verificadores acreditados.

3. A autoridade competente e a Comissão são responsáveis conjuntos:

a)	Pela gestão do registo CBAM;

b)	Pelo tratamento dos dados pessoais para a gestão das declarações CBAM em conformidade com o Regulamento (UE) 2023/956;

c)	Pelo tratamento dos dados pessoais para a gestão dos certificados CBAM em conformidade com o Regulamento (UE) 2023/956.

Artigo 20.o

Responsabilidade dos responsáveis pelo tratamento perante os titulares dos dados

Quando um responsável pelo tratamento receber um pedido de um titular dos dados que não seja da sua responsabilidade nos termos do artigo 19.o, deve transmiti-lo prontamente e, o mais tardar, no prazo de três dias úteis a contar da sua receção, ao responsável pelo tratamento competente.

Artigo 21.o

Limitação do acesso aos dados, tratamento dos dados e confidencialidade

1. Todas as informações conservadas no registo CBAM são consideradas confidenciais.

Os declarantes CBAM autorizados e os requerentes podem aceder aos seus dados pessoais registados no registo CBAM após a sua inscrição no registo.

2. Os operadores podem aceder aos seus dados pessoais registados no registo CBAM após a sua inscrição no registo CBAM. Em conformidade com o artigo 10.o do Regulamento (UE) 2023/956, os declarantes CBAM autorizados podem aceder aos dados pessoais registados pelos operadores no registo CBAM ou tratá-los de outro modo, quando os operadores tiverem concedido autorização nesse sentido.

3. A Comissão e as autoridades competentes podem aceder aos dados pessoais e outros dados provenientes das declarações aduaneiras de importação para as mercadorias não enumeradas no anexo I do Regulamento (UE) 2023/956 e tratá-los de outro modo, em conformidade com os artigos 15.o, 19.o e 27.o do Regulamento (UE) 2023/956.

A Comissão e as autoridades competentes podem aceder aos dados provenientes do sistema EORI, e tratá-los de outro modo, em conformidade com os artigos 15.o, 19.o e 27.o do Regulamento (UE) 2023/956.

Artigo 22.o

Segurança do sistema

1. Após consulta das autoridades competentes, a Comissão aplica as medidas técnicas e organizativas adequadas para a segurança do sistema.

2. As autoridades competentes aplicam as medidas organizativas adequadas para a segurança do sistema.

3. As medidas técnicas e organizativas a que se referem os n.os 1 e 2 do presente artigo devem ser concebidas de modo a:

a)	Garantir a segurança, a integridade, a confidencialidade, a disponibilidade e a continuidade dos dados pessoais tratados;

b)	Proteger todos os dados pessoais na sua posse contra qualquer tratamento, alteração, perda, utilização, divulgação ou acesso não autorizados ou ilegais;

c)	Limitar a divulgação ou o acesso a dados pessoais a qualquer pessoa que não os destinatários previstos, em conformidade com o presente regulamento e o Regulamento (UE) 2023/956.

4. A Comissão e as autoridades competentes notificam-se mutuamente e prestam assistência em caso de incidentes críticos de segurança, ativando o plano de continuidade das atividades do CBAM quando esses incidentes implicarem uma violação de dados pessoais na aceção do artigo 4.o, n.o 12, do Regulamento (UE) 2016/679 e do artigo 3.o, n.o 16, do Regulamento (UE) 2018/1725.

5. A Comissão procede a avaliações regulares dos componentes do registo CBAM e analisam a segurança e a integridade desses componentes, bem como a confidencialidade dos dados tratados no âmbito desses componentes.

Artigo 23.o

Período de conservação dos dados

1. Ao tratarem dados pessoais para as finalidades enumeradas no artigo 18.o, as autoridades competentes e a Comissão conservam os dados apenas durante o tempo necessário para alcançar o objetivo e por um período máximo de 7 anos a contar do registo dos dados pessoais no registo CBAM.

2. Não obstante o disposto no n.o 1, quando tiver sido interposto recurso ou tiver sido iniciado um processo judicial que envolva dados armazenados no registo CBAM, esses dados são conservados até ao termo do processo de recurso ou do processo judicial e só serão utilizados para efeitos do referido recurso ou processo judicial.

CAPÍTULO IV

DISPOSIÇÕES FINAIS

Artigo 24.o

Entrada em vigor e aplicação

1. O presente regulamento entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. O presente regulamento é aplicável a partir de 31 de dezembro de 2024.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 18 de dezembro de 2024.

Pela Comissão

A Presidente

Ursula VON DER LEYEN

(1) JO L 130 de 16.5.2023, p. 52, ELI: http://data.europa.eu/eli/reg/2023/956/oj.

(2) Regulamento de Execução (UE) 2023/1773 da Comissão, de 17 de agosto de 2023, que estabelece as regras de aplicação do Regulamento (UE) 2023/956 do Parlamento Europeu e do Conselho no que respeita às obrigações de comunicação de informações para efeitos do mecanismo de ajustamento carbónico fronteiriço durante o período transitório (JO L 228 de 15.9.2023, p. 94, ELI: http://data.europa.eu/eli/reg_impl/2023/1773/oj).

(3) Regulamento (UE) n.o 952/2013 do Parlamento Europeu e do Conselho, de 9 de outubro de 2013, que estabelece o Código Aduaneiro da União (JO L 269 de 10.10.2013, p. 1, ELI: http://data.europa.eu/eli/reg/2013/952/oj).

(4) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(5) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6) Regulamento de Execução (UE) 2023/1070 da Comissão, de 1 de junho de 2023, relativo a disposições técnicas para desenvolver, manter e utilizar sistemas eletrónicos para o intercâmbio e armazenamento de informações no âmbito do Regulamento (UE) n.o 952/2013 do Parlamento Europeu e do Conselho (JO L 143 de 2.6.2023, p. 65, ELI: http://data.europa.eu/eli/reg_impl/2023/1070/oj).

(7) Regulamento (UE) 2022/2399 do Parlamento Europeu e do Conselho, de 23 de novembro de 2022, que estabelece o Ambiente de Janela Única Aduaneira da União Europeia e altera o Regulamento (UE) n.o 952/2013 (JO L 317 de 9.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2399/oj).

(8) Decisão de Execução (UE) 2023/2879 da Comissão, de 15 de dezembro de 2023, que estabelece o Programa de Trabalho para o desenvolvimento e a implementação dos sistemas eletrónicos previstos no Código Aduaneiro da União (JO L, 2023/2879, 22.12.2023, ELI: http://data.europa.eu/eli/dec_impl/2023/2879/oj).

(9) Regulamento (CEE) n.o 2658/87 do Conselho, de 23 de julho de 1987, relativo à nomenclatura pautal e estatística e à pauta aduaneira comum (JO L 256 de 7.9.1987, p. 1, ELI: http://data.europa.eu/eli/reg/1987/2658/oj).

(10) Regulamento de Execução (UE) 2015/2447 da Comissão, de 24 de novembro de 2015, que estabelece as regras de execução de determinadas disposições do Regulamento (UE) n.o 952/2013 do Parlamento Europeu e do Conselho que estabelece o Código Aduaneiro da União (JO L 343 de 29.12.2015, p. 558, ELI: http://data.europa.eu/eli/reg_impl/2015/2447/oj).

(11) Regulamento (UE) 2024/903 do Parlamento Europeu e do Conselho, de 13 de março de 2024, que estabelece medidas para um elevado nível de interoperabilidade do setor público em toda a União (Regulamento Europa Interoperável) (JO L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).