A Directiva (UE) 2016/681 do Parlamento Europeu e do Conselho de

de identificação dos passageiros (PNR) para efeitos de prevenção, detecção, investigação e repressão das infracções terroristas e da criminalidade grave

Em 27 de Abril de 2016 foi adoptada a Directiva (UE) 2016/681 do Parlamento Europeu e do Conselho, relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, detecção, investigação e repressão das infracções terroristas e da criminalidade grave. De acordo com o artigo 18.º, os Estados-Membros terão até 25 de Maio de 2018 para pôr em vigor as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento a esta directiva.

272 _{Trata-se de um diploma que incide sobre a recolha e utilização de informações pessoais por} parte das agências federais.

126 Analisando o texto da directiva, verificamos que esta prevê, segundo o n.º 1 do artigo 1.º, a transferência dos dados dos registos de identificação dos passageiros pelas transportadoras aéreas para os Estados-Membros no caso de voos com destino à UE ou provenientes da EU e o tratamento desses mesmos dados, o que inclui a sua recolha, utilização e conservação pelos Estados-Membros, e o respectivo intercâmbio entre estes. Ao abrigo do n.º 2 deste artigo, “os dados PNR recolhidos […] só podem ser tratados para fins de prevenç~o, deteç~o, investigaç~o e repress~o das infrações terroristas e da criminalidade grave”, sendo que o anexo II desta directiva contém uma lista de infracções que podem ser consideradas relativas a criminalidade grave 273_{. O artigo 2.º permite ainda que os} Estados-Membros recolham este tipo de dados no caso de voos seleccionados que tenham lugar dentro do território da UE, mediante notificação enviada à Comissão. À luz da alínea 5) do artigo 3.º, “registo de identificaç~o dos passageiros” ou “PNR” consiste num “registo das formalidades de viagem impostas a cada passageiro que contém as informações necessárias para permitir o tratamento e o controlo das reservas feitas pelas transportadoras aéreas participantes relativamente a cada viagem reservada por uma pessoa ou em seu nome, quer o registo conste dos sistemas de reserva, dos sistemas de controlo das partidas utilizado para efetuar o controlo dos passageiros embarcados nos voos, ou de sistemas equivalentes que ofereçam as mesmas funcionalidades”, incluindo o anexo I uma lista dos dados recolhidos 274_.

É indicado no n.º 1 do artigo 4.º que cada Estado-Membro deverá criar ou designar uma “unidade de informações de passageiros” (UIP), que terá competências no âmbito da prevenção, detecção, investigação ou repressão das infracções terroristas e da criminalidade grave. Dentro de cada UIP haverá, nos termos do n.º 1 do artigo 5.º, “um respons|vel pela proteç~o de dados incumbido de controlar o tratamento dos dados PNR e de aplicar as salvaguardas relevantes”.

Assim, segundo o n.º 1 do artigo 6.º, “os dados PNR transferidos pelas transportadoras aéreas são recolhidos pela UIP do Estado-Membro em causa”,

273 _{Acrescente-se que a lista contida neste anexo é mais extensa do que aquela que podemos} encontrar no n.º 1 do já referido artigo 83.º do TFUE.

274 _{Esta lista inclui, tal como no caso do acordo analisado no ponto anterior, os dados API que} tenham sido recolhidos.

127 sendo que “caso os dados PNR transferidos pelas transportadoras aéreas incluam dados distintos dos enumerados no anexo I, a UIP apaga imediata e definitivamente esses dados assim que os receber”. De acordo com o n.º 2 deste artigo, os dados são sujeitos a tratamento apenas para os fins aí enunciados: para avaliar os passageiros e identificar quais aqueles que devem ser sujeitos a um controlo mais minucioso pelas autoridades competentes (incluindo o Europol), por estarem implicados numa infracção terrorista ou numa outra situação de criminalidade grave (alínea a)), em resposta a uma solicitação devidamente fundamentada e baseada em motivos suficientes feita pelas autoridades competentes no sentido de fornecimento e tratamento desses dados e disponibilização dos resultados às autoridades competentes ou, eventualmente, à Europol (alínea b)) ou para actualizar ou criar novos critérios a utilizar nas avaliações dos passageiros (alínea c)).

É estipulado no artigo 9.º que os Estados-Membros deverão assegurar-se de que “no que respeita a pessoas identificadas por uma UIP nos termos do artigo 6.º, n.º 2, todos os dados PNR relevantes e necessários, ou o resultado do seu tratamento, sejam transmitidos por essa UIP às UIPs correspondentes dos outros Estados-Membros”. Por outro lado, a transferência dos dados e dos resultados do seu tratamento para países terceiros só poderá ocorrer após uma avaliação casuística e mediante a verificação do preenchimento de todas as alíneas do n.º 1 do artigo 11.º.

Quanto à conservação dos dados, à luz do n.º 1 do artigo 12.º estes devem ser mantidos na base de dados da UIP durante 5 anos, “contados a partir da sua transferência para a UIP do Estado-Membro em cujo território o voo aterre ou de cujo território descole” (n.º 1), sendo que 6 meses após esta transferência estes dados “s~o anonimizados mediante mascaramento” de uma série de elementos enunciados no n.º 2 e que permitem “identificar diretamente o passageiro ao qual dizem respeito os dados PNR”. De acordo com o n.º 3, decorrido este prazo de 6 meses, o acesso à integralidade dos dados só poderá ter lugar se tal for necessário, tendo em conta motivos razoáveis, para os fins referidos na alínea b) do n.º 2 do artigo 6.º e após autorização de uma autoridade judiciária ou outra autoridade nacional competente. Tal como referimos a propósito da análise do acordo

128 mencionado no ponto anterior, poderíamos aqui discutir se não seria mais correcto admitir alguma variabilidade quanto ao período de conservação dos dados, em vez de fixar para todas as situações o prazo de 5 anos; talvez fosse mais correcto permitir em algumas situações, tendo por base critérios objectivos, a diminuição deste prazo, de modo a assegurar de que este é limitado àquilo que é estritamente necessário e que não há uma violação do princípio da limitação da conservação.

Finalmente, é estabelecido no n.º 1 do artigo 13.º, relativamente ao tratamento de dados pessoais, que todos os passageiros devem ter direito à protecção dos seus dados, direito de acesso, rectificação, apagamento e limitação, e direito a indemnização e recurso judicial, em cumprimento dos artigos 17.º (direito de acesso), 18.º (direito de rectificação, apagamento ou bloqueamento), 19.º (direito a indemnização) e 20.º (recursos) da Decisão-Quadro 2008/977/JAI de 27 de Novembro de 2008 relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal 275_{. Para além disso, os} Estados-Membros “proíbem o tratamento de dados PNR que revelem a raça ou origem étnica da pessoa, as suas opiniões políticas, religião ou convicções filosóficas, filiação sindical, saúde, vida ou orientaç~o sexual”, sendo que “se receber dados PNR que revelem tais informações, a UIP apaga-os imediatamente” (n.º 4), e asseguram que a UIP “conserve a documentaç~o relativa a todos os sistemas e procedimentos de tratamento sob a sua responsabilidade” (n.º 5) e registos de diversas operações de tratamento, durante um prazo de 5 anos (n.º 6) e “aplique medidas técnicas e organizativas e procedimentos adequados para garantir um elevado nível de segurança, adaptado aos riscos que o tratamento representa e { natureza dos dados PNR” (n.º 7). Os Estados-Membros devem ainda zelar para que “caso a violaç~o de dados pessoais seja suscetível de resultar num elevado risco para a proteção dos dados pessoais ou de prejudicar a privacidade do titular dos dados, a UIP comunique tal violação de dados ao titular dos dados e à autoridade nacional de controlo sem demora injustificada” (n.º 8).

275 _{Contudo, refira-se que esta decisão-quadro foi revogada pela Directiva (UE) 2016/680 do} Parlamento Europeu e do Conselho de 27 de Abril de 2016 com efeitos a partir de 6 de Maio de 2018; a partir desta data, as remissões para esta decisão-quadro devem entender-se como sendo feitas para esta directiva.

129

3.2.3. O caso dos Estados Unidos da América – o 11 de Setembro e as