O Acordo entre os Estados Unidos da América e a União Europeia sobre

dos passageiros para o Departamento da Segurança Interna dos Estados Unidos da América

Em 14 de Dezembro de 2011 a UE assinou um acordo com os EUA, que entrou em vigor em 1 de Julho de 2012, no qual é prevista a transferência dos registos de identificação dos passageiros de transportes aéreos para o Departamento da Segurança Interna dos EUA, recaindo esta obrigação sobre as transportadoras aéreas que asseguram voos internacionais de passageiros entre a UE e os EUA e aquelas que estão registadas ou que armazenam este género de registos na UE e que asseguram o transporte de passageiros com destino ou origem nos EUA 268_{. Estão em causa, como foi referido, dados relativos à} identificação dos passageiros (conhecidos por Passenger Name Records – PNR), que consistem nas informações pessoais disponibilizadas pelos passageiros e recolhidas e conservadas pelas transportadoras aéreas: o nome do passageiro, os seus contactos, as datas de viagem, o itinerário da viagem, o agente de viagem onde o bilhete foi comprado e dados sobre o pagamento, o assento e a bagagem, entre outras informações 269_.

Ao abrigo do n.º 1 do artigo 4.º deste acordo, os EUA recolhem e tratam estes dados apenas para fins de combate ao terrorismo e a outros crimes de

268 _{A UE também já assinou um acordo que permite a transferência destes dados das} transportadoras para a Austrália (foi assinado em 29 de Setembro de 2011 e entrou em vigor em 1 de Junho de 2012), em substituição de um antigo acordo de 2008. Foi também assinado um novo acordo sobre a mesma matéria com o Canadá em 25 de Junho de 2014 (já havia um acordo de 2006), mas o Parlamento Europeu solicitou ao TJUE, em 25 de Novembro de 2014, a emissão de uma opinião sobre a legalidade do texto do acordo, sobretudo a sua conformidade com a CDFUE. Este acordo com os EUA tem sido muito discutido, não só devido à dificuldade em estabelecer um acordo definitivo (o primeiro acordo sobre esta matéria remontava a 2004, tendo havido outros em 2006 e 2007 e só depois em 2011), mas também por causa do próprio texto do acordo, que pode ser considerado polémico. Para uma análise dos vários acordos sobre esta matéria celebrados entre Portugal e os EUA, cf. Constança Urbano de Sousa, Segurança versus Privacidade – Breves Notas a

Propósito do Acordo UE-EUA sobre a Transmissão de Dados PNR (Passenger Name Record), in Themis,

Revista da Faculdade de Direito da Universidade Nova de Lisboa, Coimbra, ano 12, n.os _{22/23, 2012,} pp. 51-65.

269 _{Estes dados distinguem-se, assim, dos dados API (Advanced Passenger Information), que estão} incluídos no passaporte, tais como a data de nascimento, a nacionalidade e o número e tipo de documento de viagem utilizado. Os dados API são disponibilizados às autoridades competentes em nome do combate à imigração ilegal e do controlo de fronteiras, de acordo com a Directiva 2004/82/CE do Conselho de 29 de Abril de 2004. Contudo, no anexo do acordo, que contém uma lista dos dados PNR em questão, são também incluídos os dados API que tenham sido eventualmente recolhidos.

124 natureza transnacional que sejam puníveis com pena de prisão igual ou superior a 3 anos. Contudo, não só o n.º 2 do mesmo artigo permite o tratamento casuístico dos dados, quando tal for necessário face a uma ameaça grave e para protecção dos interesses vitais de uma pessoa, ou se assim for ordenado por um tribunal, como é estabelecido no n.º 3 (do mesmo artigo) que o Departamento de Segurança Interna pode utilizar os dados PNR “para identificar pessoas que s~o submetidas a um interrogatório mais aprofundado aquando da sua chegada ou saída dos Estados Unidos ou que devam ser sujeitas a um exame complementar”, havendo aqui uma violação do princípio da limitação da finalidade que está contemplada no n.º 1, através do recurso a conceitos indeterminados e tendo por base finalidades que não apenas as enunciadas nesse n.º, o que se traduz numa violação da alínea b) do n.º 1 do artigo 6.º da Directiva 95/46/CE 270_{, à luz da qual os dados recolhidos só} podem ser utilizados de acordo com as finalidades que determinaram a sua recolha, finalidades essas que devem ser determinadas, explícitas e legítimas. Assim, não só é proibido tratamento de dados com um objectivo diferente daquele para que foram recolhidos, como também é proibida a recolha para objectivos não especificados ou indeterminados.

Relativamente ao período de conservação dos dados, de acordo com o artigo 8.º os dados são mantidos numa base de dados activa durante um período de 5 anos, sendo que 6 meses após a sua recolha são ocultados e tornados anónimos. Após os 5 anos são transferidos para uma base de dados passiva, onde são conservados durante 10 anos e apenas podem ser consultados de forma mais restritiva. Os dados acabam, então, por ser conservados durante 15 anos, o que levanta dúvidas quanto à questão de saber se este período não será excessivo, isto é, se não haverá aqui uma violação do princípio da limitação da conservação, por incumprimento da alínea e) do n.º 1 do artigo 6.º da referida Directiva 271_{, uma vez} que esta impõe que os dados sejam conservados apenas durante o período

270 _{Que foi complementada pela Directiva 2002/58/CE. Adicionalmente, é importante referir que a} Directiva 95/46/CE foi revogada pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, que será aplicável a partir de 25 de Maio de 2018, e onde também encontra consagração este princípio da limitação das finalidades (na alínea b) do n.º 1 do artigo 5.º).

271 _{No âmbito do Regulamento (UE) 2016/679 (que revoga esta directiva), este princípio está} estabelecido na alínea e) do n.º 1 do artigo 5.º.

125 estritamente necessário para a prossecução do objectivo que motivou a sua recolha e tratamento.

Por fim, é estabelecido no artigo 13.º que o titular dos dados tem o direito de interpor recurso administrativo e judicial se considerar que estes não foram utilizados de forma conforme ao acordo, independentemente da sua nacionalidade ou residência e nos termos da legislação dos EUA. Contudo, ao abrigo da legislação dos EUA, mais especificamente ao abrigo do Privacy Act de 1974 272_{, tanto este} diploma (o Privacy Act) como as vias de recurso judicial aí estabelecidas só se aplicam aos cidadãos dos EUA ou aos estrangeiros com residência permanente nesse Estado, excluindo-se todos os outros indivíduos; assim, a menos que os cidadãos da UE residam nos EUA com uma autorização de residência permanente, não poderão beneficiar das garantias indicadas no Privacy Act.

Podemos, assim, dizer que há aqui uma violação dos artigos 8.º e 47.º da CDFUE, por os dados não serem sempre objecto de um tratamento para fins específicos e por ser restringido o direito a uma acção perante um tribunal imparcial.

3.2.2.4. A Directiva (UE) 2016/681 do Parlamento Europeu e do