Diretiva (UE) 2016/681 – Utilização dos Dados dos Registos de Identificação dos Passageiros (PNR)
Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave
https://eur-lex.europa.eu/eli/dir/2016/681/oj/por
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 82.o, n.o 1, alínea d), e o artigo 87.o, n.o 2, alínea a),
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comité Económico e Social Europeu (1),
Após consulta ao Comité das Regiões,
Deliberando de acordo com o processo legislativo ordinário (2),
Considerando o seguinte:
(1)
Em 6 de novembro de 2007, a Comissão adotou uma proposta de decisão-quadro do Conselho relativa à utilização dos dados dos registos de identificação dos passageiros (passenger name record — PNR) para fins policiais. No entanto, com a entrada em vigor do Tratado de Lisboa em 1 de dezembro de 2009, a proposta, que não fora adotada pelo Conselho até essa data, tornou-se obsoleta.
(2)
O «Programa de Estocolmo — Uma Europa aberta e segura que sirva e proteja os cidadãos» (3) convidou a Comissão a apresentar uma proposta relativa à utilização de dados PNR para fins de prevenção, deteção, investigação e repressão do terrorismo e da criminalidade grave.
(3)
Na sua comunicação intitulada «Abordagem global relativa à transferência dos dados do registo de identificação dos passageiros (PNR) para países terceiros», de 21 de setembro de 2010, a Comissão expôs vários elementos centrais de uma política da União neste domínio.
(4)
A Diretiva 2004/82/CE do Conselho (4) regula a transmissão antecipada de dados referentes a informações prévias sobre passageiros (API — advance passenger information) pelas transportadoras aéreas às autoridades nacionais competentes, a fim de melhorar os controlos nas fronteiras e combater a imigração ilegal.
(5)
A presente diretiva tem nomeadamente por objetivos garantir a segurança e proteger a vida e a segurança das pessoas e criar um regime jurídico aplicável à proteção dos dados PNR no que respeita ao seu tratamento pelas autoridades competentes.
(6)
A utilização eficaz de dados PNR, nomeadamente mediante a sua comparação com várias bases de dados sobre as pessoas e os objetos procurados a fim de obter provas e, se for caso disso, detetar cúmplices de criminosos e desmantelar redes criminosas, é necessária para prevenir, detetar, investigar e reprimir infrações terroristas e a criminalidade grave e, assim, reforçar a segurança interna.
(7)
A avaliação dos dados PNR permite identificar pessoas insuspeitas de envolvimento em infrações terroristas ou criminalidade grave antes de tal avaliação e que deverão ser sujeitas a um controlo mais minucioso pelas autoridades competentes. Através da utilização dos dados PNR é possível fazer face à ameaça que representam as infrações terroristas e a criminalidade grave numa perspetiva diferente da do tratamento de outras categorias de dados pessoais. Contudo, a fim de assegurar que o tratamento de dados PNR se continua a restringir ao necessário, a fixação e a aplicação de critérios de avaliação deverão limitar-se a infrações terroristas e à criminalidade grave para as quais a utilização de tais critérios seja relevante. Além disso, os critérios de avaliação deverão ser definidos de modo a reduzir ao mínimo o número de pessoas inocentes incorretamente identificadas pelo sistema.
(8)
As transportadoras aéreas já fazem a recolha e o tratamento dos dados PNR dos seus passageiros para fins comerciais. A presente diretiva não deverá impor às transportadoras aéreas a obrigação de recolherem ou conservarem dados adicionais dos passageiros, nem a estes últimos a obrigação de fornecerem outros dados para além dos que já são fornecidos às transportadoras aéreas.
(9)
Algumas transportadoras aéreas conservam os dados API que recolhem como parte dos dados PNR, enquanto outras não o fazem. A utilização dos dados PNR em conjunto com os dados API contribui para ajudar os Estados-Membros a verificar a identidade dos indivíduos, reforçando, assim, a utilidade desse resultado para fins policiais e minimizando o risco de controlar e investigar pessoas inocentes. Importa, pois, garantir que, caso recolham dados API, as transportadoras aéreas procedam à sua transferência, independentemente de os conservarem por meios técnicos distintos dos utilizados para outros dados PNR.
(10)
A fim de prevenir, detetar, investigar e reprimir as infrações terroristas e a criminalidade grave, é essencial que todos os Estados-Membros adotem disposições que prevejam a obrigação de as transportadoras aéreas que operam voos extra-UE transferirem os dados PNR que recolham, incluindo os dados API. Os Estados-Membros deverão ter igualmente a possibilidade de alargar esta obrigação às transportadoras aéreas que operam voos intra-UE. Essas disposições deverão aplicar-se sem prejuízo do disposto na Diretiva 2004/82/CE.
(11)
O tratamento de dados pessoais deverá ser proporcionado em relação aos objetivos específicos de segurança visados pela presente diretiva.
(12)
A definição de «infrações terroristas» utilizada na presente diretiva deverá ser idêntica à que consta da Decisão-Quadro 2002/475/JAI do Conselho (5). A definição de «criminalidade grave» deverá abranger as categorias de infrações enumeradas no anexo II da presente diretiva.
(13)
Os dados PNR deverão ser transferidos para uma única unidade de informações de passageiros (UIP) designada no Estado-Membro em causa, de modo a assegurar a clareza e a reduzir os custos para as transportadoras aéreas. A UIP pode ter diversas secções num Estado-Membro, podendo também os Estados-Membros criar conjuntamente uma UIP. Os Estados-Membros deverão trocar informações entre si através de redes apropriadas de intercâmbio de informações, de modo a facilitar a partilha de informações e a garantir a interoperabilidade.
(14)
Caberá aos Estados-Membros suportar os custos da utilização, da conservação e do intercâmbio de dados PNR.
(15)
Uma lista de dados PNR, a obter por uma UIP, deverá ser elaborada com o objetivo de refletir as exigências legítimas das autoridades públicas a fim de prevenirem, detetarem, investigarem e reprimirem as infrações terroristas ou a criminalidade grave, aumentando assim a segurança interna na União e salvaguardando os direitos fundamentais, nomeadamente o direito à privacidade e à proteção dos dados pessoais. Para o efeito, deverão ser aplicadas normas exigentes, de acordo com a Carta dos Direitos Fundamentais da União Europeia (a «Carta»), a Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal (a «Convenção n.o 108») e a Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais (a «CEDH»). Essa lista não deverá basear-se na raça ou origem étnica, na religião ou nas convicções da pessoa, nem nas suas opiniões, políticas ou outras, na sua filiação sindical nem na sua saúde, vida ou orientação sexual. Os dados PNR deverão incluir unicamente informações pormenorizadas sobre as reservas e os itinerários do passageiro que permitam às autoridades competentes identificar os passageiros aéreos que representem uma ameaça para a segurança interna.
(16)
Existem atualmente dois métodos possíveis para a transferência de dados: o método de transferência por extração (pull), pelo qual as autoridades competentes do Estado-Membro que solicita os dados PNR podem aceder ao sistema de reservas da transportadora aérea e extrair uma cópia dos dados PNR requeridos, e o método de transferência por exportação (push), pelo qual as transportadoras aéreas transmitem (exportam) os dados PNR requeridos para a autoridade que os solicita, o que permite às transportadoras aéreas manter o controlo sobre os dados transmitidos. Considera-se que o método de transferência por exportação (push) proporciona um nível mais elevado de proteção dos dados e que deverá ser obrigatório para todas as transportadoras aéreas.
(17)
A Comissão apoia as orientações da Organização da Aviação Civil Internacional (OACI) em matéria de dados PNR. Essas orientações deverão, portanto, servir de base para a adoção de formatos de dados reconhecidos para as transferências de dados PNR pelas transportadoras aéreas para os Estados-Membros. A fim de assegurar condições uniformes de execução de tais formatos de dados reconhecidos e dos protocolos relevantes aplicáveis à transferência de dados das transportadoras aéreas, deverão ser atribuídas competências de execução à Comissão. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (6).
(18)
Os Estados-Membros deverão adotar todas as medidas necessárias para permitir que as transportadoras aéreas cumpram as obrigações que lhes incumbem por força da presente diretiva. Os Estados-Membros deverão estabelecer sanções efetivas, proporcionadas e dissuasivas, incluindo sanções financeiras, contra as transportadoras aéreas que não cumpram as suas obrigações no que respeita à transferência de dados PNR.
(19)
Cada Estado-Membro deverá ser responsável pela avaliação das ameaças potenciais relacionadas com infrações terroristas e criminalidade grave.
(20)
Tendo plenamente em conta o direito à proteção dos dados pessoais e à não discriminação, não deverá ser tomada qualquer decisão que produza efeitos jurídicos que prejudiquem uma pessoa ou que a afete significativamente apenas com base no tratamento automatizado dos dados PNR. Além disso, nos termos dos artigos 8.o e 21.o da Carta, nenhuma decisão dessa natureza deverá introduzir uma discriminação em razão do sexo, da raça, da cor ou origem étnica ou social, das características genéticas, da língua, da religião ou das convicções, das opiniões políticas ou outras, da pertença a uma minoria nacional, da riqueza, do nascimento, da deficiência, da idade ou da orientação sexual. A Comissão deverá igualmente ter em conta estes princípios quando proceder ao reexame da aplicação da presente diretiva.
(21)
O resultado do tratamento dos dados PNR não deverá, em circunstância alguma, ser utilizado pelos Estados-Membros como motivo para contornar as obrigações internacionais que lhes incumbem por força da Convenção de 28 de julho de 1951 relativa ao Estatuto dos Refugiados conforme alterada pelo Protocolo de 31 de janeiro de 1967, nem para negar aos requerentes de asilo vias legais seguras e eficazes para aceder ao território da União a fim de exercerem o seu direito à proteção internacional.
(22)
Tendo plenamente em conta os princípios enunciados na recente jurisprudência do Tribunal de Justiça da União Europeia na matéria, a aplicação da presente diretiva deverá garantir o pleno respeito dos direitos fundamentais, do direito à privacidade e do princípio da proporcionalidade. Deverá também cumprir efetivamente os objetivos da necessidade e proporcionalidade a fim de respeitar os interesses gerais reconhecidos pela União e atender à necessidade de proteger os direitos e as liberdades de terceiros na luta contra as infrações terroristas e a criminalidade grave. A aplicação da presente diretiva deverá ser devidamente justificada e deverão ser criadas as garantias necessárias para assegurar a legalidade da conservação, análise, transferência ou utilização de dados PNR.
(23)
Os Estados-Membros deverão partilhar entre si, e com a Europol, os dados PNR que recebem caso tal seja considerado necessário para efeitos de prevenção, deteção, investigação ou repressão de infrações terroristas ou da criminalidade grave. Se necessário, as UIP deverão transmitir sem demora o resultado do tratamento dos dados PNR às UIP de outros Estados-Membros, para efeitos de investigação complementar. As disposições da presente diretiva deverão aplicar-se sem prejuízo da aplicação de outros instrumentos da União em matéria de intercâmbio de informações entre as autoridades policiais, outras autoridades responsáveis pela aplicação da lei e autoridades judiciárias, incluindo a Decisão 2009/371/JAI do Conselho (7) e a Decisão-Quadro 2006/960/JAI do Conselho (8). Tal intercâmbio de dados PNR deverá reger-se pelas disposições em matéria de cooperação policial e judiciária e não atentar contra o elevado nível de proteção da privacidade e dos dados pessoais exigido pela Carta, pela Convenção n.o 108 e pela CEDH.
(24)
Deverá ser garantida a segurança do intercâmbio de informações sobre dados PNR entre os Estados-Membros, através de qualquer dos canais de cooperação existentes entre as respetivas autoridades competentes, e, em especial, com a Europol, através da rede de intercâmbio seguro de informações (SIENA) da Europol.
(25)
O prazo durante ao qual deverão ser conservados os dados PNR deverá ser tão longo quanto necessário e proporcionado à consecução dos objetivos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave. Atendendo à natureza dos dados e à sua utilização, é necessário que os dados PNR sejam conservados durante um prazo suficientemente longo para permitir a realização de análises e a sua utilização no âmbito de investigações. A fim de evitar uma utilização desproporcionada, após o prazo inicial de conservação, os dados PNR deverão ser anonimizados mediante o mascaramento de elementos dos dados. A fim de assegurar o nível mais elevado de proteção de dados, o acesso aos dados PNR integrais, que permitem a identificação direta do seu titular, só deverá ser concedido em condições muito estritas e limitadas após aquele prazo inicial.
(26)
Caso tenham sido transferidos dados PNR específicos para uma autoridade competente e estes sejam utilizados no quadro de determinadas investigações ou processos penais, o prazo de conservação dos dados por essa autoridade deverá reger-se pelo direito nacional, independentemente dos prazos de conservação dos dados estabelecidos na presente diretiva.
(27)
Em cada Estado-Membro, o tratamento dos dados PNR pela UIP e pelas autoridades competentes deverá estar sujeito a uma norma de proteção de dados pessoais, prevista pelo direito nacional, que seja conforme com a Decisão-Quadro 2008/977/JAI do Conselho (9), e com os requisitos específicos em matéria de proteção de dados estabelecidos na presente diretiva. As remissões para a Decisão-Quadro 2008/977/JAI deverão ser entendidas como remissões para a legislação atualmente em vigor e para a legislação que a substitua.
(28)
Tendo em conta o direito à proteção dos dados pessoais, os direitos dos titulares dos dados no que se refere ao tratamento dos dados PNR que lhes dizem respeito, nomeadamente os direitos de acesso, retificação, apagamento ou limitação, e os direitos a indemnização e a recurso judicial, deverão ser conformes com a Decisão-Quadro 2008/977/JAI e com o elevado nível de proteção conferido pela Carta e pela CEDH.
(29)
Tendo em conta o direito que assiste aos passageiros de serem informados do tratamento dos seus dados pessoais, os Estados-Membros deverão assegurar que estes recebem informações precisas, de fácil acesso e compreensão, sobre a recolha de dados PNR, a sua transferência para a UIP e os seus direitos enquanto titulares dos dados.
(30)
A presente diretiva é aplicável sem prejuízo do direito da União e nacional sobre o princípio do direito de acesso do público aos documentos oficiais.
(31)
As transferências de dados PNR dos Estados-Membros para países terceiros só deverão ser autorizadas caso a caso e no pleno respeito das disposições adotadas pelos Estados-Membros em aplicação da Decisão-Quadro 2008/977/JAI. Para assegurar a proteção dos dados pessoais, essas transferências deverão ficar sujeitas a requisitos adicionais no que respeita à finalidade destas. Deverão ainda respeitar os princípios da necessidade e da proporcionalidade, e o elevado nível de proteção conferido pela Carta e pela CEDH.
(32)
As autoridades nacionais de controlo criadas em aplicação da Decisão-Quadro 2008/977/JAI deverão ter igualmente a responsabilidade de prestar aconselhamento e monitorizar a aplicação das disposições adotadas pelos Estados-Membros em aplicação da presente diretiva.
(33)
A presente diretiva não obsta a que os Estados-Membros prevejam, no âmbito do respetivo direito nacional, um sistema de recolha e tratamento dos dados PNR provenientes de operadores económicos que não sejam as transportadoras, tais como agências de viagem e operadores turísticos que prestam serviços afins, incluindo a reserva de voos, para os quais procedem à recolha e ao tratamento de dados PNR, ou de fornecedores de serviços de transporte que não sejam os especificados na presente diretiva, desde que esse direito nacional seja conforme com o acervo da União.
(34)
A presente diretiva é aplicável sem prejuízo das atuais regras da União sobre a forma como são efetuados os controlos nas fronteiras, nem das regras da União que regem a entrada e a saída do território da União.
(35)
Dadas as diferenças jurídicas e técnicas entre as disposições nacionais aplicáveis ao tratamento de dados pessoais, incluindo dados PNR, as transportadoras aéreas já são, e continuarão a ser, confrontadas com exigências diferentes relativamente ao tipo de informações a transmitir e às condições em que estas devem ser fornecidas às autoridades nacionais competentes. Essas diferenças podem ser prejudiciais à cooperação efetiva entre essas autoridades para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave. Por conseguinte, é necessário prever, a nível da União, um regime jurídico comum para a transferência e o tratamento de dados PNR.
(36)
A presente diretiva respeita os direitos fundamentais e os princípios enunciados na Carta, em especial o direito à proteção de dados pessoais, o direito ao respeito pela vida privada e o direito à não discriminação, consagrados nos artigos 8.o, 7.o e 21.o da mesma, e deverá, assim, ser aplicada em conformidade. A presente diretiva é compatível com os princípios da proteção de dados e as suas disposições são conformes com a Decisão-Quadro 2008/977/JAI. Além disso, a fim de respeitar o princípio da proporcionalidade, a presente diretiva prevê, em relação a determinadas matérias, normas de proteção de dados mais estritas do que as estabelecidas na Decisão-Quadro 2008/977/JAI.
(37)
O âmbito de aplicação da presente diretiva é o mais limitado possível, uma vez que: prevê que os dados PNR sejam conservados nas UIP durante um prazo não superior a cinco anos, após o qual tais dados deverão ser apagados; prevê que os dados sejam anonimizados mediante mascaramento de elementos de dados após o decurso de um prazo inicial de seis meses; e proíbe recolher e utilizar dados sensíveis. A fim de assegurar a eficácia do sistema e um elevado nível de proteção dos dados, os Estados-Membros deverão garantir que uma autoridade de controlo independente a nível nacional e, especificamente, um responsável pela proteção de dados, sejam incumbidos de prestar aconselhamento sobre a forma como os dados PNR são tratados e de a monitorizar. Qualquer tratamento de dados PNR deverá ser registado ou documentado para efeitos de verificação da sua legalidade, autocontrolo e garantia da integridade dos dados e da segurança do seu tratamento. Os Estados-Membros deverão também assegurar que os passageiros sejam informados de forma clara e precisa sobre a recolha de dados PNR e sobre os seus direitos.
(38)
Atendendo a que os objetivos da presente diretiva, a saber, a transferência de dados PNR pelas transportadoras aéreas e o tratamento desses dados para fins de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave, não podem ser suficientemente alcançados pelos Estados-Membros mas podem ser mais bem alcançados ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade, consagrado no mesmo artigo, a presente diretiva não excede o necessário para alcançar esses objetivos.
(39)
Nos termos do artigo 3.o do Protocolo n.o 21 relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, estes Estados-Membros notificaram a sua intenção de participar na adoção e na aplicação da presente diretiva.
(40)
Nos termos dos artigos 1.o e 2.o do Protocolo n.o 22 relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, a Dinamarca não participa na adoção da presente diretiva e não fica a ela vinculada nem sujeita à sua aplicação.
(41)
A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (10) e emitiu um parecer em 25 de março de 2011,
ADOTARAM A PRESENTE DIRETIVA:
CAPÍTULO I
Disposições gerais
Artigo 1.o
Objeto e âmbito de aplicação
1. A presente diretiva prevê:
a)
A transferência, pelas transportadoras aéreas, dos dados dos registos de identificação dos passageiros (PNR) de voos extra-UE;
b)
O tratamento dos dados referidos na alínea a), inclusive a sua recolha, utilização e conservação pelos Estados-Membros, e o respetivo intercâmbio entre Estados-Membros.
2. Os dados PNR recolhidos nos termos da presente diretiva só podem ser tratados para fins de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave, conforme previsto no artigo 6.o, n.o 2, alíneas a), b) e c).
Artigo 2.o
Aplicação da presente diretiva aos voos intra-UE
1. Se decidirem aplicar a presente diretiva aos voos intra-UE, os Estados-Membros notificam a Comissão por escrito. Os Estados-Membros podem efetuar ou revogar essa notificação a todo o tempo. A Comissão publica essa notificação ou uma eventual revogação da mesma no Jornal Oficial da União Europeia.
2. Caso seja efetuada a notificação a que se refere o n.o 1, todas as disposições da presente diretiva são aplicáveis aos voos intra-UE como se se tratassem de voos extra-UE e aos dados PNR respeitantes aos voos intra-UE como se se tratassem de dados referentes a voos extra-UE.
3. Os Estados-Membros podem decidir aplicar a presente diretiva apenas a voos intra-UE selecionados. Ao tomarem essa decisão, selecionam os voos que considerem necessário a fim de prosseguir os objetivos da presente diretiva. Os Estados-Membros podem decidir alterar a seleção de voos intra-UE, a todo o tempo.
Artigo 3.o
Definições
Para efeitos da presente diretiva, entende-se por:
1)
«Transportadora aérea», uma empresa de transporte aéreo titular de uma licença de exploração válida ou equivalente que lhe permite transportar passageiros por via aérea;
2)
«Voo extra-UE», um voo regular ou não regular efetuado por uma transportadora aérea a partir de um país terceiro e programado para aterrar no território de um Estado-Membro, ou a partir do território de um Estado-Membro e programado para aterrar num país terceiro, incluindo, em ambos os casos, os voos com escala no território de Estados-Membros ou de países terceiros;
3)
«Voo intra-UE», um voo regular ou não regular efetuado por uma transportadora aérea a partir do território de um Estado-Membro, programado para aterrar no território de um ou mais Estados-Membros, sem escala no território de um país terceiro;
4)
«Passageiro», uma pessoa, incluindo pessoas em trânsito ou em correspondência e excluindo membros da tripulação, transportada ou a transportar numa aeronave com o consentimento da transportadora aérea, decorrendo esse consentimento do registo dessa pessoa na lista de passageiros;
5)
«Registo de identificação dos passageiros» ou «PNR» (Passenger Name Record), um registo das formalidades de viagem impostas a cada passageiro que contém as informações necessárias para permitir o tratamento e o controlo das reservas feitas pelas transportadoras aéreas participantes relativamente a cada viagem reservada por uma pessoa ou em seu nome, quer o registo conste dos sistemas de reserva, dos sistemas de controlo das partidas utilizado para efetuar o controlo dos passageiros embarcados nos voos, ou de sistemas equivalentes que ofereçam as mesmas funcionalidades;
6)
«Sistema de reservas», o sistema interno da transportadora aérea, no qual são recolhidos dados PNR para o tratamento das reservas;
7)
«Método de transferência por exportação», o método através do qual as transportadoras aéreas transferem os dados PNR enumerados no anexo I para a base de dados da autoridade requerente;
8)
«Infrações terroristas», as infrações definidas no direito nacional a que se referem os artigos 1.o a 4.o da Decisão-Quadro 2002/475/JAI;
9)
«Criminalidade grave», as infrações enumeradas no anexo II puníveis com pena ou medida de segurança privativas de liberdade de duração máxima não inferior a três anos nos termos do direito nacional de um Estado-Membro;
10)
«Anonimizar mediante mascaramento de elementos de dados», tornar invisíveis para os utilizadores os elementos dos dados suscetíveis de identificar diretamente o seu titular.
CAPÍTULO II
Responsabilidades dos estados-membros
Artigo 4.o
Unidade de informações de passageiros
1. Cada Estado-Membro cria ou designa uma autoridade competente para efeitos de prevenção, deteção, investigação ou repressão das infrações terroristas e da criminalidade grave, ou cria ou designa uma secção de tal autoridade, para agir na qualidade da sua «unidade de informações de passageiros» (UIP).
2. A UIP é responsável:
a)
Pela recolha dos dados PNR junto das transportadoras aéreas, pela conservação e pelo tratamento desses dados e pela transferência desses dados ou dos resultados do seu tratamento às autoridades competentes referidas no artigo 7.o;
b)
Pelo intercâmbio de dados PNR e dos resultados do seu tratamento com as UIP de outros Estados-Membros e com a Europol, nos termos dos artigos 9.o e 10.o.
3. Os membros do pessoal das UIP podem ser agentes destacados pelas autoridades competentes. Os Estados-Membros dotam as UIP dos recursos adequados para o exercício das suas funções.
4. Dois ou mais Estados-Membros («Estados-Membros participantes») podem criar ou designar uma única autoridade como a sua UIP. Essa UIP fica estabelecida num dos Estados-Membros participantes, e é considerada a UIP nacional de todos os Estados-Membros participantes. Estes determinam de comum acordo as regras pormenorizadas de funcionamento da UIP, respeitando os requisitos previstos na presente diretiva.
5. Cada Estado-Membro notifica a constituição da sua UIP à Comissão no prazo de um mês a contar da mesma e pode alterar a sua notificação a todo o tempo. A Comissão publica a notificação, bem como as respetivas alterações, no Jornal Oficial da União Europeia.
Artigo 5.o
Responsável pela proteção de dados na UIP
1. A UIP nomeia um responsável pela proteção de dados incumbido de controlar o tratamento dos dados PNR e de aplicar as salvaguardas relevantes.
2. Os Estados-Membros dotam os responsáveis pela proteção de dados dos meios necessários ao desempenho dos deveres e das funções que lhes incumbem nos termos do presente artigo, de forma eficaz e independente.
3. Os Estados-Membros asseguram que o titular dos dados tenha o direito de contactar o responsável pela proteção de dados, enquanto ponto de contacto único, para todos os assuntos respeitantes ao tratamento dos dados PNR de que é titular.
Artigo 6.o
Tratamento dos dados PNR
1. Os dados PNR transferidos pelas transportadoras aéreas são recolhidos pela UIP do Estado-Membro em causa, conforme previsto no artigo 8.o. Caso os dados PNR transferidos pelas transportadoras aéreas incluam dados distintos dos enumerados no anexo I, a UIP apaga imediata e definitivamente esses dados assim que os receber.
2. A UIP procede ao tratamento dos dados PNR exclusivamente para os seguintes fins:
a)
Proceder a uma avaliação dos passageiros antes da sua chegada prevista ao Estado-Membro ou da sua partida prevista desse Estado-Membro, a fim de identificar as pessoas que, pelo facto de poderem estar implicadas numa infração terrorista ou numa forma de criminalidade grave, devem ser sujeitas a um controlo mais minucioso pelas autoridades competentes a que se refere o artigo 7.o e, se for caso disso, pela Europol, nos termos do artigo 10.o;
b)
Responder, caso a caso, aos pedidos devidamente fundamentados, baseados em motivos suficientes, apresentados pelas autoridades competentes, para fornecer e tratar dados PNR, em casos específicos, para efeitos de prevenção, deteção, investigação e repressão de infrações terroristas ou da criminalidade grave, e para disponibilizar às autoridades competentes ou, se for caso disso, à Europol os resultados desse tratamento; e
c)
Analisar os dados PNR com o objetivo de atualizar ou criar novos critérios a utilizar nas avaliações realizadas nos termos do n.o 3, alínea b), a fim de identificar pessoas que possam estar implicadas em infrações terroristas ou em formas de criminalidade grave.
3. Ao realizar a avaliação a que se refere o n.o 2, alínea a), a UIP pode:
a)
Comparar os dados PNR com os que constam das bases de dados relevantes para efeitos de prevenção, deteção, investigação e repressão de infrações terroristas e da criminalidade grave, incluindo bases de dados sobre pessoas ou objetos procurados ou alvo de um alerta, de acordo com as regras da União, internacionais e nacionais, aplicáveis a essas bases de dados; ou
b)
Proceder ao tratamento dos dados PNR de acordo com critérios pré-estabelecidos.
4. Qualquer avaliação dos passageiros antes da sua chegada prevista ao Estado-Membro ou da sua partida prevista do Estado-Membro, feita nos termos do n.o 3, alínea b), de acordo com os critérios pré-estabelecidos, é realizada de forma não discriminatória. Os referidos critérios pré-estabelecidos devem ser orientados em função dos objetivos, proporcionados e específicos. Os Estados-Membros asseguram que esses critérios sejam fixados e revistos regularmente pelas UIP, em cooperação com as autoridades competentes a que se refere o artigo 7.o. Esses critérios não podem, em caso algum, basear-se na raça ou na origem étnica de uma pessoa, nas suas opiniões políticas, religião ou convicções filosóficas, na sua filiação sindical, na sua saúde, vida ou orientação sexual.
5. Os Estados-Membros asseguram que qualquer resultado positivo obtido através do tratamento automatizado dos dados PNR efetuado ao abrigo n.o 2, alínea a), seja verificado individualmente por meios não automatizados, para aferir se é ou não necessário que a autoridade competente referida no artigo 7.o intervenha, de acordo com o direito nacional.
6. A UIP de um Estado-Membro transmite os dados PNR das pessoas identificadas nos termos do n.o 2, alínea a), ou os resultados do tratamento desses dados, às autoridades competentes referidas no artigo 7.o desse mesmo Estado-Membro, para efeitos de um controlo mais minucioso. Essas transferências de dados só podem ser feitas caso a caso e, se houver tratamento automatizado dos dados PNR, após verificação individual por meios não automatizados.
7. Os Estados-Membros asseguram que o responsável pela proteção de dados tenha acesso a todos os dados tratados pela UIP. Se o responsável pela proteção de dados considerar que o tratamento dos dados não foi efetuado em conformidade com a lei, pode remeter a questão para a autoridade nacional de controlo.
8. Os dados PNR só podem ser conservados, tratados e analisados pela UIP em local ou locais seguros no território dos Estados-Membros.
9. As consequências das avaliações dos passageiros, referidas no n.o 2, alínea a), do presente artigo, não põem em causa o direito das pessoas que gozam do direito de livre circulação da União de entrarem no território do Estado-Membro em causa, tal como estabelecido na Diretiva 2004/38/CE do Parlamento Europeu e do Conselho (11). Além disso, quando as avaliações sejam efetuadas em relação a voos intra-UE operados entre Estados-Membros aos quais seja aplicável o Regulamento (CE) n.o 562/2006 do Parlamento Europeu e do Conselho (12), as consequências de tais avaliações devem observar o referido regulamento.
Artigo 7.o
Autoridades competentes
1. Cada Estado-Membro adota uma lista das autoridades competentes habilitadas a solicitar às UIP ou a delas receber dados PNR ou o resultado do tratamento de tais dados, a fim de analisar mais minuciosamente essas informações ou de tomar medidas apropriadas para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave.
2. As autoridades referidas no n.o 1 são as autoridades competentes para fins de prevenção, deteção, investigação ou repressão das infrações terroristas ou da criminalidade grave.
3. Para efeitos do artigo 9.o, n.o 3, cada Estado-Membro notifica a Comissão da lista das respetivas autoridades competentes até 25 de maio de 2017, podendo alterar a sua notificação a todo o tempo. A Comissão publica a notificação, bem como as suas eventuais alterações, no Jornal Oficial da União Europeia.
4. Os dados PNR e o resultado do tratamento de tais dados recebidos pela UIP podem ser objeto de tratamento ulterior pelas autoridades competentes dos Estados-Membros exclusivamente para efeitos específicos de prevenção, deteção, investigação ou repressão das infrações terroristas ou da criminalidade grave.
5. O disposto no n.o 4 é aplicável sem prejuízo das competências das autoridades policiais ou judiciárias nacionais quando forem detetadas outras infrações ou indícios de outras infrações no decurso de ações repressivas desencadeadas na sequência do referido tratamento.
6. As autoridades competentes abstêm-se de tomar qualquer decisão que produza efeitos jurídicos adversos para uma pessoa ou que a afete de forma grave apenas com base no tratamento automatizado dos dados PNR. Tais decisões não podem basear-se na raça ou origem étnica da pessoa, nas suas opiniões políticas, religião ou convicções filosóficas, filiação sindical nem na sua saúde, vida ou orientação sexual.
Artigo 8.o
Obrigações impostas às transportadoras aéreas em matéria de transferência de dados
1. Os Estados-Membros adotam as medidas necessárias para assegurar que as transportadoras aéreas transfiram, pelo método de exportação, os dados PNR enumerados no anexo I, na medida em que já tenham recolhido esses dados no exercício normal das suas atividades, para a base de dados da UIP do Estado-Membro em cujo território o voo aterrará ou do qual descolará. Caso um voo seja explorado por uma ou mais transportadoras aéreas em regime de partilha de código, a obrigação de transferir os dados PNR de todos os passageiros do voo cabe à transportadora aérea que o opera. Caso os voos extra-UE incluam uma ou mais escalas em aeroportos de diferentes Estados-Membros, as transportadoras aéreas transferem os dados PNR da totalidade dos passageiros para as UIP de todos os Estados-Membros em causa. O mesmo se aplica aos voos intra-UE com uma ou mais escalas nos aeroportos de diferentes Estados-Membros, mas só em relação aos Estados-Membros que recolhem dados PNR de voos intra-UE.
2. Caso as transportadoras aéreas tenham recolhido dados referentes a informações prévias sobre passageiros (API) enumeradas no ponto 18 do anexo I, mas não os conservem pelos mesmos meios técnicos que os dados PNR, os Estados-Membros adotam as medidas necessárias para garantir que as transportadoras aéreas também transfiram, pelo método de exportação, esses dados para a UIP do Estado-Membro a que se refere o n.o 1. Em caso de tal transferência, todas as disposições da presente diretiva são aplicáveis aos dados API em causa.
3. As transportadoras aéreas transferem os dados PNR por via eletrónica, utilizando protocolos comuns e formatos de dados reconhecidos, adotados pelo procedimento de exame a que se refere o artigo 17.o, n.o 2, ou, em caso de avaria técnica, por quaisquer outros meios apropriados que assegurem um nível adequado de segurança dos dados:
a)
24 a 48 horas antes da hora programada da partida do voo; e
b)
Imediatamente após o encerramento do voo, ou seja, logo que os passageiros se encontrem a bordo do avião preparados para partir e o embarque ou desembarque já não seja possível.
4. Os Estados-Membros autorizam as transportadoras aéreas a limitar as transferências referidas no n.o 3, alínea b), às atualizações das transferências referidas na alínea a) desse número.
5. Caso seja necessário aceder aos dados PNR para dar resposta a uma ameaça específica e concreta relacionada com infrações terroristas ou criminalidade grave, as transportadoras aéreas transmitem os dados PNR noutros momentos que não os mencionados no n.o 3, caso a caso e mediante pedido apresentado por uma UIP, nos termos do direito nacional.
Artigo 9.o
Intercâmbio de informações entre Estados-Membros
1. Os Estados-Membros asseguram que, no que respeita a pessoas identificadas por uma UIP nos termos do artigo 6.o, n.o 2, todos os dados PNR relevantes e necessários, ou o resultado do seu tratamento, sejam transmitidos por essa UIP às UIP correspondentes dos outros Estados-Membros. Nos termos do artigo 6.o, n.o 6, as UIP dos Estados-Membros destinatários transmitem as informações recebidas às respetivas autoridades competentes.
2. A UIP de um Estado-Membro tem o direito de solicitar, se necessário, à UIP de qualquer outro Estado-Membro que lhe forneça dados PNR conservados na sua base de dados e ainda não anonimizados mediante mascaramento de elementos de dados, nos termos do artigo 12.o, n.o 2, e, se necessário, também o resultado do tratamento desses dados, se este já tiver sido efetuado nos termos do artigo 6.o, n.o 2, alínea a). Esse pedido é devidamente fundamentado e pode basear-se num elemento de dados ou numa combinação de tais elementos, consoante o que a UIP requerente entenda como adequado no âmbito de um caso específico de prevenção, deteção, investigação ou repressão de infrações terroristas ou de criminalidade grave. As UIP fornecem as informações requeridas logo que possível. Caso os dados solicitados tenham sido anonimizados mediante mascaramento de elementos de dados, nos termos do artigo 12.o, n.o 2, a UIP só fornece os dados PNR na íntegra se for razoável considerar que tal é necessário para o fim referido no artigo 6.o, n.o 2, alínea b), e apenas se para tal for autorizada por uma autoridade a que se refere o artigo 12.o, n.o 3, alínea b).
3. As autoridades competentes de um Estado-Membro só podem solicitar diretamente à UIP de qualquer outro Estado-Membro que lhes forneça dados PNR conservados na sua base de dados se necessário, em casos de emergência, e nas condições previstas no n.o 2. Os pedidos das autoridades competentes devem ser devidamente fundamentados. Deve ser sempre enviada uma cópia do pedido à UIP do Estado-Membro requerente. Em todos os outros casos, as autoridades competentes encaminham os seus pedidos através da UIP do seu próprio Estado-Membro.
4. Em circunstâncias excecionais, quando seja necessário aceder a dados PNR para dar resposta a uma ameaça específica e concreta relacionada com infrações terroristas ou com a criminalidade grave, a UIP de um Estado-Membro tem o direito de solicitar à UIP de outro Estado-Membro que obtenha dados PNR, nos termos do artigo 8.o, n.o 5, e os forneça à UIP requerente.
5. O intercâmbio de informações previsto no presente artigo pode ser feito através de qualquer canal de cooperação existente entre as autoridades competentes dos Estados-Membros. A língua utilizada para o pedido e para o intercâmbio de informações é a que for aplicável ao canal usado. Ao proceder às notificações nos termos do artigo 4.o, n.o 5, os Estados-Membros comunicam igualmente à Comissão os dados relativos aos pontos de contacto aos quais os pedidos podem ser enviados em caso de emergência. A Comissão comunica tais dados aos Estados-Membros.
Artigo 10.o
Condições de acesso da Europol aos dados PNR
1. A Europol está habilitada a solicitar dados PNR ou o resultado do seu tratamento às UIP dos Estados-Membros, nos limites das suas competências e para o exercício das suas funções.
2. A Europol pode apresentar, caso a caso, à UIP de qualquer Estado-Membro através da sua unidade nacional, um pedido eletrónico devidamente fundamentado de transmissão de dados PNR específicos ou dos resultados do tratamento desses dados. A Europol pode apresentar esse pedido quando tal for estritamente necessário para apoiar e reforçar a ação dos Estados-Membros na prevenção, deteção ou investigação de uma infração terrorista específica ou uma forma de criminalidade grave, na medida em que essa infração ou forma de criminalidade estejam abrangidas pelas competências da Europol nos termos da Decisão 2009/371/JAI. Esse pedido fundamentado indica os motivos razoáveis com base nos quais a Europol considera que a transmissão dos dados PNR ou dos resultados do tratamento dos dados PNR constitui um contributo substancial para a prevenção, deteção ou investigação da infração penal em causa.
3. A Europol comunica ao responsável pela proteção de dados, nomeado nos termos do artigo 28.o da Decisão 2009/371/JAI, todos os intercâmbios de informações realizados ao abrigo do presente artigo.
4. O intercâmbio de informações ao abrigo do presente artigo é feito através da rede SIENA, nos termos da Decisão 2009/371/JAI. A língua utilizada para o pedido e para o intercâmbio de informações é a que for aplicável na rede SIENA.
Artigo 11.o
Transferência de dados para países terceiros
1. Os Estados-Membros só podem transferir para um país terceiro os dados PNR e os resultados do seu tratamento que tenham sido armazenados pela UIP, nos termos do artigo 12.o, caso a caso e se:
a)
Estiverem preenchidas as condições estabelecidas no artigo 13.o da Decisão-Quadro 2008/977/JAI;
b)
A transferência for necessária para os fins prosseguidos pela presente diretiva referidos no artigo 1.o, n.o 2;
c)
O país terceiro só aceitar transferir os dados para outro país terceiro caso tal seja estritamente necessário para os fins da presente diretiva referidos no artigo 1.o, n.o 2, e unicamente mediante autorização expressa desse Estado-Membro; e
d)
Estiverem preenchidas as mesmas condições que as estabelecidas no artigo 9.o, n.o 2.
2. Sem prejuízo do artigo 13.o, n.o 2, da Decisão-Quadro 2008/977/JAI, a transferência de dados PNR sem autorização prévia do Estado-Membro a partir do qual foram obtidos os dados é permitida em circunstâncias excecionais e apenas se:
a)
Essa transferência for essencial para dar resposta a uma ameaça específica e concreta relacionada com infrações terroristas ou com criminalidade grave num Estado-Membro ou um país terceiro; e
b)
A autorização prévia não puder ser obtida em tempo útil.
A autoridade responsável por conceder a autorização é informada sem demora e a transferência é devidamente registada e sujeita a uma verificação ex-post.
3. Os Estados-Membros só podem transferir os dados PNR para as autoridades competentes de países terceiros em condições compatíveis com a presente diretiva, e apenas depois de se terem certificado de que o destinatário os tenciona utilizar de forma compatível com essas condições e salvaguardas.
4. O responsável pela proteção de dados da UIP do Estado-Membro que transfere os dados PNR é informado sempre que o Estado-Membro transfira dados PNR nos termos do presente artigo.
Artigo 12.o
Prazo de conservação e anonimização dos dados
1. Os Estados-Membros asseguram que os dados PNR fornecidos pelas transportadoras aéreas à UIP sejam conservados numa base de dados dessa UIP por um prazo de cinco anos contados a partir da sua transferência para a UIP do Estado-Membro em cujo território o voo aterre ou de cujo território descole.
2. Decorrido um prazo de seis meses após a transferência dos dados PNR referida no n.o 1, todos os dados PNR são anonimizados mediante mascaramento dos seguintes elementos de dados suscetíveis de identificar diretamente o passageiro ao qual dizem respeito os dados PNR:
a)
Nome(s), incluindo os nomes de outros passageiros mencionados nos PNR, bem como o número de passageiros nos PNR que viajam em conjunto;
b)
Endereço e informações de contacto;
c)
Todas as informações sobre os meios de pagamento, incluindo o endereço de faturação, na medida em que contenham informações suscetíveis de identificar diretamente o passageiro ao qual os PNR dizem respeito ou quaisquer outras pessoas;
d)
Informação de passageiro frequente;
e)
Observações gerais, na medida em que contenham informações suscetíveis de permitir identificar diretamente o passageiro ao qual os PNR dizem respeito; e
f)
Quaisquer dados API que tenham sido recolhidos.
3. Decorrido o prazo de seis meses referido no n.o 2, só é permitida a divulgação dos dados PNR integrais caso essa divulgação seja:
a)
Considerada necessária, com base em motivos razoáveis, para os fins referidos no artigo 6.o, n.o 2, alínea b); e
b)
Autorizada por:
i)
uma autoridade judiciária, ou
ii)
outra autoridade nacional competente, nos termos do direito nacional, para verificar se estão reunidas as condições de divulgação, sob reserva de o responsável pela proteção de dados da UIP ser informado e proceder a uma verificação ex-post.
4. Os Estados-Membros asseguram que os dados PNR sejam apagados de forma definitiva no termo do prazo referido no n.o 1. Esta obrigação aplica-se sem prejuízo dos casos em que dados PNR específicos tenham sido transferidos para uma autoridade competente e sejam utilizados no âmbito de um caso específico para efeitos de prevenção, deteção, investigação ou repressão de infrações terroristas ou criminalidade grave; nesse caso a conservação dos dados pela autoridade competente rege-se pelo direito nacional.
5. O resultado do tratamento a que se refere o artigo 6.o, n.o 2, alínea a), só é conservado pela UIP durante o período necessário para informar as autoridades competentes e, nos termos do artigo 9.o, n.o 1, as UIP de outros Estados-Membros, de um resultado positivo. Caso se constate, na sequência de uma verificação individual por meios não automatizados referida no artigo 6.o, n.o 5, alínea a), que o resultado do tratamento automatizado é negativo, este pode, ainda assim, ser conservado a fim de evitar «falsos» resultados positivos no futuro, desde que os dados de base não sejam apagados, nos termos do n.o 4 do presente artigo.
Artigo 13.o
Proteção de dados pessoais
1. Os Estados-Membros asseguram que, em qualquer tratamento de dados pessoais nos termos da presente diretiva, todos os passageiros tenham o mesmo direito à proteção dos seus dados pessoais, os direitos de acesso, retificação, apagamento e limitação, e os direitos a indemnização e recurso judicial, nos termos do direito da União e do direito nacional, e em aplicação dos artigos 17.o, 18.o, 19.o e 20.o da Decisão-Quadro 2008/977/JAI. Esses artigos são, por conseguinte, aplicáveis.
2. Os Estados-Membros prevêm que as disposições adotadas nos termos do direito nacional em aplicação dos artigos 21.o e 22.o da Decisão-Quadro 2008/977/JAI, respeitantes à confidencialidade do tratamento e à segurança dos dados, sejam igualmente aplicáveis a qualquer tratamento de dados pessoais efetuado nos termos da presente diretiva.
3. A presente diretiva não prejudica a aplicabilidade da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (13) ao tratamento dos dados pessoais pelas transportadoras aéreas, em especial as suas obrigações de tomarem as medidas técnicas e organizativas adequadas para proteger a segurança e confidencialidade dos dados pessoais.
4. Os Estados-Membros proíbem o tratamento de dados PNR que revelem a raça ou origem étnica da pessoa, as suas opiniões políticas, religião ou convicções filosóficas, filiação sindical saúde, vida ou orientação sexual. Se receber dados PNR que revelem tais informações, a UIP apaga-os imediatamente.
5. Os Estados-Membros asseguram que a UIP conserve a documentação relativa a todos os sistemas e procedimentos de tratamento sob a sua responsabilidade. Essa documentação deve conter, no mínimo:
a)
O nome e os contactos da organização e do pessoal da UIP a quem é confiado o tratamento de dados PNR e os diferentes níveis de autorização de acesso;
b)
Os pedidos apresentados pelas autoridades competentes e pelas UIP de outros Estados-Membros;
c)
Todos os pedidos e transferências de dados PNR para um país terceiro.
A UIP disponibiliza toda a documentação existente à autoridade nacional de controlo, a pedido desta.
6. Os Estados-Membros asseguram que a UIP conserve registos, pelo menos, das seguintes operações de tratamento: recolha, consulta, divulgação e apagamento. Os registos das operações de consulta e de divulgação indicam, em especial, a finalidade, a data e a hora dessas operações e, se possível, a identidade da pessoa que consultou ou divulgou os dados PNR e a identidade dos destinatários desses dados. Os registos só podem ser utilizados para efeitos de verificação e de autocontrolo, para garantir a integridade e a segurança dos dados e para auditoria. A UIP disponibiliza os registos à autoridade nacional de controlo, a pedido desta.
Esses registos são conservados durante um prazo de cinco anos.
7. Os Estados-Membros asseguram que a respetiva UIP aplique medidas técnicas e organizativas e procedimentos adequados para garantir um elevado nível de segurança, adaptado aos riscos que o tratamento representa e à natureza dos dados PNR.
8. Os Estados-Membros asseguram que, caso a violação de dados pessoais seja suscetível de resultar num elevado risco para a proteção dos dados pessoais ou de prejudicar a privacidade do titular dos dados, a UIP comunique tal violação de dados ao titular dos dados e à autoridade nacional de controlo sem demora injustificada.
Artigo 14.o
Sanções
O Estados-Membros estabelecem as regras relativas às sanções aplicáveis à violação das disposições nacionais adotadas em aplicação da presente diretiva e tomam todas as medidas necessárias para assegurar a sua aplicação.
Em especial, os Estados-Membros estabelecem as regras relativas às sanções, incluindo sanções financeiras, a aplicar às transportadoras aéreas que não transmitam dados conforme previsto no artigo 8.o ou não os transmitam no formato requerido.
As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.
Artigo 15.o
Autoridade nacional de controlo
1. Cada Estado-Membro estabelece que a autoridade nacional de controlo referida no artigo 25.o da Decisão-Quadro 2008/977/JAI seja responsável por prestar aconselhamento e monitorizar a aplicação, no seu território, das disposições adotadas pelos Estados-Membros por força da presente diretiva. É aplicável o artigo 25.o da Decisão-Quadro 2008/977/JAI.
2. As referidas autoridades nacionais de controlo exercem as atividades previstas no n.o 1, tendo em vista a proteção dos direitos fundamentais no âmbito do tratamento de dados pessoais.
3. Cabe a cada autoridade nacional de controlo:
a)
Analisar as reclamações apresentadas por qualquer titular de dados, investigar a questão e informar os titulares dos dados sobre os progressos e os resultados da reclamação num prazo razoável;
b)
Verificar a legalidade do tratamento de dados, proceder a investigações, inspeções e auditorias nos termos do direito nacional, por sua própria iniciativa ou com base numa reclamação a que se refere a alínea a).
4. A autoridade nacional de controlo aconselha, mediante pedido, os titulares de dados sobre o exercício dos direitos previstos em disposições adotadas em aplicação da presente diretiva.
CAPÍTULO III
Medidas de execução
Artigo 16.o
Protocolos comuns e formatos de dados reconhecidos
1. Todas as transferências de dados PNR das transportadoras aéreas para as UIP para efeitos da presente diretiva são efetuadas por meios eletrónicos, que ofereçam garantias suficientes no que respeita às medidas técnicas de segurança e às medidas organizativas que regulam o tratamento a efetuar. Em caso de avaria técnica, os dados PNR podem ser transferidos por qualquer outro meio adequado, desde que o mesmo nível de segurança seja mantido e o direito da União em matéria de proteção de dados seja plenamente respeitado.
2. Um ano após a data em que a Comissão adotar, nos termos do n.o 3, pela primeira vez, os protocolos comuns e os formatos de dados reconhecidos, todas as transferências de dados PNR pelas transportadoras aéreas para as UIP para efeitos da presente diretiva são efetuadas eletronicamente através de métodos seguros, conformes com esses protocolos comuns. Tais protocolos são idênticos para todas as transferências, a fim de garantir a segurança dos dados PNR durante a transferência. Os dados PNR são transferidos num formato de dados reconhecido, a fim de assegurar a sua legibilidade por todas as partes envolvidas. Todas as transportadoras aéreas são obrigadas a selecionar e a identificar junto da UIP o protocolo comum e o formato de dados que tencionam utilizar para as suas transferências.
3. A Comissão elabora a lista dos protocolos comuns e dos formatos de dados reconhecidos e, se necessário, adapta-a por meio de atos de execução. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 17.o, n.o 2.
4. É aplicável o n.o 1 enquanto os protocolos comuns aceites e os formatos de dados reconhecidos referidos nos n.os 2 e 3 não estiverem disponíveis
5. No prazo de um ano a contar da data de adoção dos protocolos comuns e dos formatos de dados reconhecidos referidos no n.o 2, os Estados-Membros asseguram que sejam adotadas as medidas técnicas necessárias para permitir a utilização desses protocolos comuns e formatos de dados.
Artigo 17.o
Procedimento de comité
1. A Comissão é assistida por um comité. Esse comité é um comité na aceção do Regulamento (UE) n.o 182/2011.
2. Caso se remeta para o presente número, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.
Na falta de parecer do Comité, a Comissão não adota o projeto de ato de execução, aplicando-se o artigo 5.o, n.o 4, terceiro parágrafo, do Regulamento (UE) n.o 182/2011.
CAPÍTULO IV
Disposições finais
Artigo 18.o
Transposição
1. Os Estados-Membros põem em vigor as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente diretiva até 25 de maio de 2018. Comunicam imediatamente à Comissão o texto dessas disposições.
Quando os Estados-Membros adotarem essas disposições, estas incluem uma remissão para a presente diretiva ou são acompanhadas dessa remissão aquando da sua publicação oficial. Os Estados-Membros estabelecem o modo como deve ser feita a remissão e formulada a menção.
2. Os Estados-Membros comunicam à Comissão o texto das principais disposições de direito interno que adotarem no domínio regulado pela presente diretiva.
Artigo 19.o
Reexame
1. Com base nas informações prestadas pelos Estados-Membros, incluindo as informações estatísticas referidas no artigo 20.o, n.o 2, a Comissão procede, até 25 de maio de 2020, a um reexame de todos os elementos da presente diretiva e apresenta um relatório ao Parlamento Europeu e ao Conselho.
2. Ao proceder ao reexame, a Comissão presta especial atenção:
a)
Ao cumprimento das normas aplicáveis de proteção de dados pessoais;
b)
À necessidade e proporcionalidade da recolha e do tratamento dos dados PNR para cada um dos fins fixados na presente diretiva;
c)
À duração do prazo de conservação dos dados;
d)
À eficácia do intercâmbio de informações entre os Estados-Membros; e
e)
À qualidade das avaliações, nomeadamente no que respeita às informações estatísticas recolhidas nos termos do artigo 20.o.
3. O relatório referido no n.o 1 inclui também um reexame da necessidade, proporcionalidade e eficácia da inclusão, no âmbito de aplicação da presente diretiva, da recolha e transferência obrigatórias de dados PNR, no que respeita a todos os voos intra-UE ou a uma seleção destes. A Comissão tem em conta a experiência adquirida pelos Estados-Membros, especialmente por aqueles que aplicam a presente diretiva a voos intra-UE, nos termos do artigo 2.o. O relatório considera também a necessidade de incluir no âmbito de aplicação da presente diretiva operadores económicos que não sejam transportadoras, tais como agências de viagem e operadores turísticos que prestam serviços afins, incluindo a reserva de voos.
4. À luz do reexame efetuado nos termos do presente artigo, a Comissão apresenta, se necessário, ao Parlamento Europeu e ao Conselho uma proposta legislativa destinada a alterar a presente diretiva.
Artigo 20.o
Dados estatísticos
1. Os Estados-Membros fornecem anualmente à Comissão um conjunto de informações estatísticas sobre os dados PNR comunicados às UIP. As referidas estatísticas não podem incluir dados pessoais.
2. As estatísticas indicam, pelo menos:
a)
O número total de passageiros cujos dados PNR foram objeto de recolha e de intercâmbio;
b)
O número de passageiros identificados sujeitos a um controlo mais minucioso.
Artigo 21.o
Relação com outros instrumentos
1. Os Estados-Membros podem continuar a aplicar entre si os acordos ou convénios bilaterais ou multilaterais em matéria de intercâmbio de informações entre autoridades competentes que estejam em vigor em 24 de maio de 2016, na medida em que tais acordos ou convénios sejam compatíveis com esta última.
2. A presente diretiva não prejudica a aplicabilidade da Diretiva 95/46/CE ao tratamento de dados pessoais pelas transportadoras aéreas.
3. A presente diretiva aplica-se sem prejuízo das obrigações e dos compromissos já assumidos pelos Estados-Membros ou pela União por força de acordos bilaterais ou multilaterais com países terceiros.
Artigo 22.o
Entrada em vigor
A presente diretiva entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Os destinatários da presente diretiva são os Estados-Membros, em conformidade com os Tratados.
Feito em Bruxelas, em 27 de abril de 2016.
Pelo Parlamento Europeu
O Presidente
M. SCHULZ
Pelo Conselho
A Presidente
J.A. HENNIS-PLASSCHAERT
(1) JO C 218 de 23.7.2011, p. 107.
(2) Posição do Parlamento Europeu de 14 de abril de 2016 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 21 de abril de 2016.
(3) JO C 115 de 4.5.2010, p. 1.
(4) Diretiva 2004/82/CE do Conselho, de 29 de abril de 2004, relativa à obrigação de comunicação de dados dos passageiros pelas transportadoras (JO L 261 de 6.8.2004, p. 24).
(5) Decisão-Quadro 2002/475/JAI do Conselho, de 13 de junho de 2002, relativa à luta contra o terrorismo (JO L 164 de 22.6.2002, p. 3).
(6) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).
(7) Decisão 2009/371/JAI do Conselho, de 6 de abril de 2009, que cria o Serviço Europeu de Polícia (Europol) (JO L 121 de 15.5.2009, p. 37).
(8) Decisão-Quadro 2006/960/JAI do Conselho, de 18 de dezembro de 2006, relativa à simplificação do intercâmbio de dados e informações entre as autoridades de aplicação da lei dos Estados-Membros da União Europeia (JO L 386 de 29.12.2006, p. 89).
(9) Decisão-Quadro 2008/977/JAI do Conselho, de 27 de novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal (JO L 350 de 30.12.2008, p. 60).
(10) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).
(11) Diretiva 2004/38/CE do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativa ao direito de livre circulação e residência dos cidadãos da União e dos membros das suas famílias no território dos Estados-Membros, que altera o Regulamento (CEE) n.o 1612/68 e que revoga as Diretivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE e 93/96/CEE (JO L 158 de 30.4.2004, p. 77).
(12) Regulamento (CE) n.o 562/2006 do Parlamento Europeu e do Conselho, de 15 de março de 2006, que estabelece o código comunitário relativo ao regime de passagem de pessoas nas fronteiras (Código das Fronteiras Schengen) (JO L 105 de 13.4.2006, p. 1).
(13) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).
ANEXO I
Dados dos registos de identificação dos passageiros recolhidos pelas transportadoras aéreas
1.
Código de identificação do registo PNR
2.
Data da reserva/emissão do bilhete
3.
Data(s) da viagem prevista
4.
Nome(s)
5.
Endereço e informações de contacto (número de telefone, endereço de correio eletrónico)
6.
Todas as informações sobre as modalidades de pagamento, incluindo o endereço de faturação
7.
Itinerário completo para o PNR em causa
8.
Informação de passageiro frequente
9.
Agência/agente de viagens
10.
Situação do passageiro, incluindo confirmações, situação do registo, não comparência ou passageiro de última hora sem reserva
11.
Informação do PNR separada/dividida
12.
Observações gerais (designadamente todas as informações disponíveis sobre menores não acompanhados com idade inferior a 18 anos, como nome e sexo do menor, idade, língua(s) falada(s), nome e contactos da pessoa que o acompanha no momento da partida e sua relação com o menor, nome e contactos da pessoa que o acompanha no momento da chegada e sua relação com o menor, agente presente na partida e na chegada)
13.
Informações sobre a emissão dos bilhetes, incluindo número do bilhete, data de emissão, bilhetes só de ida, dados ATFQ (Automatic Ticket Fare Quote)
14.
Número do lugar e outras informações relativas ao lugar
15.
Informações sobre a partilha de código
16.
Todas as informações relativas às bagagens
17.
Número e outros nomes de passageiros que figuram no PNR
18.
Todas as informações prévias sobre os passageiros (dados API) que tenham sido recolhidas (incluindo, tipo e número de documento(s), país de emissão e termo de validade do(s) documento(s), nacionalidade, nome(s) e apelido(s), sexo, data de nascimento, companhia aérea, número de voo, data de partida, data de chegada, aeroporto de partida, aeroporto de chegada, hora de partida e hora de chegada)
19.
Historial completo das modificações dos dados PNR enumerados nos pontos 1 a 18.
ANEXO II
Lista de infrações a que se refere o artigo 3.o, n.o 9
1.
Participação em organização criminosa
2.
Tráfico de seres humanos
3.
Exploração sexual de crianças e pedopornografia
4.
Tráfico de estupefacientes e substâncias psicotrópicas
5.
Tráfico de armas, munições e explosivos
6.
Corrupção
7.
Fraude, incluindo a fraude lesiva dos interesses financeiros da União
8.
Branqueamento dos produtos do crime e contrafação de moeda, incluindo o euro
9.
Criminalidade informática/cibercrime
10.
Crimes contra o ambiente, incluindo o tráfico de espécies animais ameaçadas e de espécies e variedades vegetais ameaçadas
11.
Auxílio à entrada e à permanência irregulares
12.
Homicídio voluntário, ofensas corporais graves
13.
Tráfico de órgãos e tecidos humanos
14.
Rapto, sequestro e tomada de reféns
15.
Assalto organizado ou à mão armada
16.
Tráfico de bens culturais, incluindo antiguidades e obras de arte
17.
Contrafação e piratagem de produtos
18.
Falsificação de documentos administrativos e respetivo tráfico
19.
Tráfico de substâncias hormonais e de outros estimuladores de crescimento
20.
Tráfico de materiais nucleares e radioativos
21.
Violação
22.
Crimes abrangidos pela jurisdição do Tribunal Penal Internacional
23.
Desvio de avião ou navio
24.
Sabotagem
25.
Tráfico de veículos roubados
26.
Espionagem industrial