Direito da Comunicação

A luta contra o terrorismo e as tensões entre a UE e os EUA quanto à transferência de dados pessoais de passageiros

aéreos Direito da Comunicação

Discentes:Ana Cláudia Carapinha Cláudia Sofia Monteiro PereiraRita Carrilho Garcês

10 de Maio de 2013

Docente: Prof.ª Maria Eduarda Gonçalves

Modelo de protecção de dados pessoais

Modelo Europeu

Década de 70

1970 – Alemanha, através da Lei de Hesse

Suécia – Lei Datalagen (Lei n.º 289) – exigia uma autorização especial para a transmissão de dados recolhidos na Suécia para um país terceiro

CRP de 1976, na 1.ª versão, foi a 1.ª no mundo a conferir dignidade constitucional à protecção de dados pessoais (art.35.º)

1981 – Convenção n.º 108 do Conselho da Europa

Convenção n.º 108 do Conselho da Europa

Art. 2.º a): Dados de carácter pessoal significa qualquer informação relativa a uma pessoa singular identificada ou susceptível de identificação

Art. 5.º - princípio da qualidade dos dados, “obtidos e tratados de forma leal e lícita”

Art. 6.º - princípio do tratamento de dados sensíveis - dados pessoais como a origem racial, as crenças religiosas ou dados relativos à saúde, estes só podem ser objecto de tratamento, se tiverem garantias de protecção

Art. 7.º - princípio da segurança dos dados - medidas de segurança que garantam a não destruição dos dados

Art. 12.º - Entre Estados não deveria haver limitações nas transferências de dados, excepto se o país de destino não assegurava equivalentes condições de protecção

Directiva 95/46/CE

relativa à protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados

Art 6.º - princípio da qualidade dos dados

a) “objecto de um tratamento leal e lícito “

b) “recolhidos para finalidades determinadas, explícitas e legítimas, e que não são posteriormente tratados de forma incompatível com essas finalidades.”

c) “adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente”

Directiva 95/46/CE

Art. 7.º - legitimidade de tratamento de dados

a) “A pessoa em causa tiver dado de forma inequívoca o seu consentimento” ou

b) “O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa”;ou

e) “O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados”;

Directiva 95/46/CE

art. 10.º - Os Estados-Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se já delas tiver conhecimento:a) Identidade do responsável pelo tratamento e, eventualmente, o seu

representante,

b) Finalidades do tratamento a que os dados se destinam;

c) Outras informações, tais como: - a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

Directiva 95/46/CE

Art. 12.º - direito de acesso

Art. 13.º - Derrogações e restrições

Os Estados-Membros podem restringir alguns dos direitos e obrigações do art 6.º-1), 10.º, 12.º, se tal “restrição constitua uma medida necessária à protecção:

a)da segurança do Estado;

b) da defesa

…

g)de pessoa em causa ou dos direitos e liberdades de outrem” .

Directiva 95/46/CE

Art.º 17.º-1) - segurança do tratamento – “ Os Estados-membros estabelecerão que o responsável deve pôr em prática medidas técnicas e organizativas adequadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer forma de tratamento ilícito”

Art. 8.º-1) “Os Estados-membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual”

Excepções - n.º 2) o n.º 1 não se aplica quando:

a) “A pessoa em causa tiver dado o seu consentimento explícito para esse tratamento”

Directiva 95/46/CE

Excepções - n.º 2) o n.º 1 não se aplica quando

b)O tratamento for necessário para o cumprimento das obrigações e dos direitos do responsável pelo tratamento no domínio da legislação do trabalho, desde que o mesmo seja autorizado por legislação nacional que estabeleça garantias adequadas;

c)O tratamento for necessário para proteger interesses vitais da pessoa em causa”

Directiva 95/46/CE

à circulação internacional de dados pessoais

Entre Estados-Membros, os dados circulam livremente

Transferência para um país terceiro , tem de “ assegurar um nível de protecção adequado” – art 25.º-1)

n.2) “a adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferência de dados”

n.º 3) “ Os Estados-Membros e a Comissão informar-se-ão mutuamente dos casos em que consideram que um país terceiro não assegura um nível de protecção adequado”

Directiva 95/46/CEExcepções – art.26.º: pode haver transferência de dados pessoais para um país terceiro, mesmo que não assegure um nível de protecção adequado, nos seguintes casos:

a)”Pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência; ou

b) A transferência seja necessária para a execução de um contrato entre a pessoa e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa;

c) A transferência seja necessária à execução ou celebração de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o responsável pelo tratamento e um terceiro; ou

d) A transferência seja necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num proc. Judicial; ou

e) A transferência seja necessária para proteger os interesses vitais da pessoa em causa; ou

f) A transferência seja realizada a partir de um registo público…se destine à informação do público e se encontre em aberto à consulta do público em geral”.

Directiva 95/46/CE

Art. 26.º -2) in fine pode haver transferências de dados pessoais para um país terceiro, que não assegura um nível de protecção adequado, se “o responsável pelo tratamento apresente garantias suficientes de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respectivos direitos; essas garantias podem resultar de cláusulas contratuais adequadas.”

Decisão da Comissão n.º 2001/497/CE, relativa às cláusulas contratuais- tipo aplicáveis à transferência de dados pessoais para países terceiros, de acordo com a Directiva 95/46/CE.

Exportador e Importador de dados(cláusula 1)

Cláusulas Contratuais-tipo

cláusula 4 - obrigações do exportador

• dever do exportador, ao realizar o tratamento dos dados, deve aplicar as suas normas, isto é, utiliza-se as normas próprias do Estado-Membro em que o exportador se situa.

• O exportador é garante da “transferência que envolver categorias especiais de dados, os titulares dos dados são informados de que os seus dados podem ser transmitidos para um país terceiro que não garante um nível de protecção adequado”.

Cláusula 5 – obrigações do importador

• responde a todos os pedidos solicitados pelo exportador ou titulares dos dados, dos quais realizou o tratamento.

O modelo norte-americano para a protecção de dados

pessoais

Favorece a valorização económica dos dados

pessoais

Potencia a vulnerabilidade dos cidadãos à vigilância da sua vida privada

Existem várias empresas, que tratam os seus dados de acordo com os seus objectivos, e orientam-se por uma

perspectiva mais liberal.

Nos EUA, o sistema é caracterizado pela sua complexidade: conformam-se regulamentos federais e

estaduais, com medidas de auto-regulação.

O modelo norte-americano para a protecção de dados pessoais foi influenciado por uma política de laissez-faire,

que predominou fortemente nos EUA, associada ao liberalismo económico.

Laissez-faire: em português significa "deixem fazer, deixem passar, o mundo vai por si mesmo“; princípio defendido pelos economistas mais liberais, de acordo com o qual, o Estado deve interferir o menos possível na actividade económica e deixar que os mecanismos de mercado funcionem livremente.

O sistema de protecção de dados pessoais norte-americano, passa fundamentalmente, por uma política de auto-regulação. No entanto, este modelo apresenta-se, em certa medida, deficitário. Porquê?

Por traduzir-se num sistema fragmentário, que obedece às necessidades de cada sector de actividade económico-social;

Não lhe permite acautelar o grau de adequação imposto pela Directiva, para os respectivos sectores;

Faz com que existam níveis de protecção distintos nos vários Estados Americanos, atendendo à distinta legislação que opera em cada um deles;

Garante um nível baixo de protecção da privacidade

• O Estado da Califórnia encontra-se em primeiro lugar, no ranking que respeita à protecção da privacidade dos seus cidadãos, de acordo com o “Privacy Journal”, que publica periodicamente notícias sobre este tema.

• Nos últimos anos, este Estado tem vindo a desenvolver esforços na protecção legal desta matéria, bem como os seus tribunais e a sua Constituição que também favorecem uma maior protecção da privacidade neste Estado.

Freedom of Information Act de 1967 (FOIA)

Fornecia aos indivíduos um acesso a vários tipos de registos em agências ou entidades estaduais, incluindo uma série de informações pessoais. Com este regime, emergiu pela primeira vez, um verdadeiro direito de acesso dos cidadãos aos seus próprios dados, conservados em entidades do estado norte-americano.

Privacy Act de 1974

A Privacy Act surgiu na sequência de sucessivas alterações à designada lei federal, Freedom of Information Act de 1967 (FOIA).

Constituiu a primeira lei norte-americana a reconhecer o direito à privacidade como um direito fundamental, protegido pela Constituição dos EUA.

Esta legislação pretendia estabelecer um código de práticas seguras de informação, que regulasse a recolha, manutenção, utilização e divulgação de informações pessoais dos cidadãos por organismos federais.

Privacy Act de 1974

O regime do Privacy Act instituiu uma série de princípios, como por

exemplo: A possibilidade de cada indivíduo ter conhecimento da informação que está

contida no seu registo e de que forma esta é utilizada;

A faculdade conferida ao indivíduo de corrigir ou alterar informações erradas, e ainda o dever de qualquer organização que utilize ou divulgue os registos de dados pessoais identificáveis, de assegurar a confiabilidade dos dados para a sua finalidade, bem como adoptar medidas para evitar o uso indevido;

Proibia as agências de divulgar os registos pessoais dos clientes para terceiros ou para outros órgãos, sem o consentimento da pessoa a quem pertencia o registo.

O Privacy Act possibilitaria assim, os indivíduos, de controlar o acervo do governo federal, o uso e a divulgação de informações pessoais e sensíveis.

Alguns exemplos de legislação federal existente nos EUA, em matéria de Privacidade, com âmbito circunscrito a

determinadas áreas

https://www.cdt.org/about

Site do CDT (Centre for Democracy and Technology)




“Family Education Rights and Privacy Act” (1974) - para proteger a confidencialidade dos registos dos alunos. A lei aplica-se a todas as escolas que recebam financiamento federal, e pretende impedir que as instituições de ensino divulguem os registos dos seus alunos, ou informações pessoalmente identificáveis sobre os alunos a terceiros, sem o consentimento dos mesmos e dos seus pais.

“Right to Financial Privacy Act” (1978), que consagra o direito de protecção da confidencialidade dos registos financeiros. Assim, nenhuma autoridade do governo pode ter acesso ou obter cópias, de informações contidas nos registos financeiros de qualquer cliente de uma instituição financeira (ex: bancos, seguradoras), a menos que haja autorização do cliente, uma intimação administrativa adequada ou um mandato de busca qualificado.

“Video Privacy Protection Act” (1988), a lei proíbe os prestadores de serviços de videoclubes de divulgar registos dos seus clientes, sem o consentimento informado e por escrito do consumidor. Além disso, a lei exige que os prestadores de serviços, destruam as informações dos clientes pessoalmente identificáveis no prazo de um ano, sem prejuízo de excepções e limitações a atender, caso a caso.

“Employee Polygraph Protection Act” (1988), que proíbe os empregadores, com excepção das empresas de serviços de segurança e fabricantes de produtos farmacêuticos, de utilizar detectores de mentiras na pré-contratação dos seus trabalhadores, ou durante o período laboral. Nos casos em que é permitido o teste do polígrafo, os técnicos estão sujeitos a várias normas rígidas no que diz respeito ao cumprimento e à realização do teste.

“Telephone Consumer Protection Act”(1991) - foi promulgado em resposta às queixas dos consumidores sobre a proliferação de práticas de telemarketing intrusivas e preocupações sobre o impacto de tais práticas sobre a privacidade do consumidor. Prevê a necessidade de qualquer pessoa ou entidade, que exerça telemarketing, manter uma lista dos consumidores que exijam não ser abordados via telefone para o efeito.

Tensões entre os Estados Unidos e a União Europeia quanto às

políticas de privacidade

“Os EUA e a UE, embora perfilhem o propósito comum de assegurar a protecção da vida privada dos seus cidadãos, abordam a questão de formas diferentes” Decisão da Comissão 2000/520/CE, de 26 de Julho de 2000

Solução

Safe Harbor Agreement

• Abordagem sectorial• Regulamentação• Auto-regulamentação

•Legislação abrangente•Directiva 95/46/CE

Safe Harbor Agreement

• Surgiu pelas mãos do Departamento de Comércio dos EUA, apoiado pela Comissão Europeia

● Utilizado exclusivamente por empresas dos EUA que recebam dados pessoais com origem na UE

● Certificação de empresas norte-americanas

● Avaliação de conformidade com normas consideradas adequadas nos termos do artigo 25º da Directiva europeia

• Inscrição voluntária das empresas interessadas, junto do Departamento de Comércio americano

a inscrição será efectiva a partir do momento em que a empresa apresente uma certificação atribuída por aquele

Safe Harbor Principles

Princípios de porto seguro

1)Princípio do aviso prévio2)Princípio da escolha3)Princípio relativo a

transferências para terceiros 4)Princípio do acesso aos dados

pessoais5) Princípio da segurança dos dados6) Princípio da integridade dos dados7) Princípio da aplicação

Empresas que voluntariamente tenham assinado o acordo ficam obrigadas a: ● Notificar os titulares dos dados sobre as informações recolhidas a seu respeito e dos fins a que se destina essa recolha● Fornecer informação sobre o modo como os titulares dos dados podem contactar a empresa, caso necessitem de o fazer● Informação formulada de forma concisa e recorrendo a uma linguagem clara e perceptível pelo destinatário da mesma

Cabe aos titulares dos dados a faculdade de escolher se os seus dados podem ou não ser transmitidos a terceiros ou se podem ser utilizados para outra finalidade que não aquela para a qual foram recolhidos

Princípio do aviso prévio

Princípio da escolha

É imprescindível garantir que os dados não são transferidos por uma empresa que siga os princípios do porto seguro para outra empresa que não ofereça a protecção adequada.

Faculdade atribuída ao titular dos dados pessoais de conhecer quais as suas informações pessoais que são detidas por uma dada empresa.

As empresas norte-americanas devem tomar precauções para proteger os dados pessoais de perdas, mau uso, divulgação, alteração e destruição não autorizadas.

Princípio relativo a transferências para terceiros

Princípio do acesso aos dados pessoais

Princípio da segurança dos dados

Os dados devem assumir-se relevantes para os fins a que se destina o seu uso, não sendo possível à empresa tratar os dados de forma incompatível com os fins para os quais foram recolhidos.

Para que seja assegurado o cumprimento dos princípios do porto seguro, as empresas devem disponibilizar mecanismos de recurso que permitam aos indivíduos a reparação de eventuais danos no tratamento dos seus dados pessoais.

Princípio da integridade dos dados

Princípio da aplicação

Decisão da Comissão 2000/520/CE relativa ao nível de protecção assegurado pelos

princípios do “porto seguro”

Artigo 1º1.Nos termos do nº 2 do artigo 25º da Directiva 95/46/CE (…) considera-se que os “princípios da privacidade em porto seguro” (…) asseguram um nível adequado de protecção dos dados pessoais transferidos a partir da Comunidade Europeia para organizações estabelecidas nos Estados Unidos da América (…)”

A transferência de dados pessoais de passageiros aéreos – O sistema PNR

O q u e sã o o s d a do s P N R ( P a ss en g er N a me R e co rd) ?

O s d a d o s P N R ( R e g i s t o d e I d e n t i f i c a ç ã o d o s P a s s a g e i ro s ) c o r re s p o n d e m a i n f o r m a ç ã o f o r n e c i d a p e l o s p a s s a g e i ro s d u r a n t e a re s e r v a d e v i a g e n s e re s p e c t i v o c h e c k - i n a n t e s d o s v o o s , b e m c o m o re c o l h i d o s p e l a s t r a n s p o r t a d o r a s a é re a s p a r a o s s e u s p r ó p r i o s f i n s c o m e rc i a i s .

E s t e s d a d o s c o n t ê m v á r i o s t i p o s d e i n f o r m a ç ã o , c o m o d a t a s d e v i a g e m , i t i n e r á r i o d e v i a g e m , i n f o r m a ç õ e s s o b re i n g re s s o s , c o n t a c t o s , a g e n t e d e v i a g e n s a t r a v é s d o q u a l o v o o f o i re s e r v a d o , m e i o s d e p a g a m e n t o u t i l i z a d o s , n ú m e ro d o a s s e n t o e a s i n f o r m a ç õ e s d e b a g a g e m . O s d a d o s s ã o a r m a z e n a d o s n a re s e r v a d a s c o m p a n h i a s a é re a s e b a n c o s d e d a d o s d e c o n t ro l o d e p a r t i d a s .

O terrorismo e o crime organizado envolvem frequentemente viagens internacionais. Toda a informação das viagens reunida pelas

transportadoras é um instrumento importante para as autoridades policiais para prevenir, detectar e investigar o crime, e processar os

criminosos.

É im p o r t a n t e q ue o s Es t a do s co n s ig a m n ã o só re so lv er o p ro b le ma d a s a m ea ça s d e s e g u ra nç a d o s s eu s c ida d ã o s , ma s t a mb ém , p ro b le ma s in eren t e s à u t i l i za ç ã o in d ev id a

d o s d a do s p es so a i s p a r a s er v i rem in t ere s se s a t en t a t ó r io s d o s d i re i t o s , l ib erd a de s e g a ra nt ia s d o s c id a d ã o s .

O problema surge quando se começa a aceder, de forma desmedida, a estes dados PNR para fins de combate à

criminalidade grave e ao terrorismo.

Aviaton and Transportation Security Act (2001)

Após os atentados terroristas de 11 de Setembro de 2001, o Governo dos EUA decidiu adoptar um conjunto de medidas para evitar ataques semelhantes, e logo a 19 de Novembro de 2001 implementou a “Aviation and Transportation Security Act”.

Esta lei rege a segurança em matéria de aviação e de transportes, e dispõe que as transportadoras aéreas que efectuam voos com destino aos Estados Unidos, são obrigadas a fornecer dados sobre os passageiros aos serviços aduaneiros e de imigração daquele país. O sistema PNR tornou-se uma exigência de segurança criada pelos EUA na sequência dos atentados de 11 de Setembro.

Sistema APIS (Advanced Passenger Information System)

Foi o sistema inicialmente utilizado na maioria dos voos internacionais, e funciona como sistema de informações preliminares sobre os passageiros.

Consiste numa recolha de dados, e permite uma pesquisa em bases de

dados sobre passageiros, antes da sua chegada ao país de destino (informações biográficas).

O tipo de informação adquirida é, regra geral, a que consta do passaporte e do documento de identificação como o nome completo, data de nascimento, sexo e nacionalidade.

Para os passageiros com destino aos EUA, poderia ser adicionalmente exigido a morada completa do local onde iriam permanecer em território americano.

Sistema APIS (Advanced Passenger Information System)

Os dados APIS são disponibilizados às autoridades de controlo de fronteiras, com a finalidade de combater a imigração ilegal, controlando mais eficazmente as fronteiras.

Embora excepcionalmente, os dados APIS podem também ser utilizados para identificar suspeitos e pessoas procuradas.

Sistema PNR – Passenger Name Record

O sistema PNR, é totalmente diferente do sistema APIS, pois para além de não ser voluntário, vai muito além da informação que está contida no passaporte, constituindo inclusivamente em relação a algumas categorias de dados, uma violação manifesta da legislação da UE em matéria de protecção de dados.

As autoridades americanas não têm apenas acesso aos nomes dos passageiros, mas igualmente ao número do cartão de crédito, aos trajectos já efectuados, aos problemas de saúde (caso exista um pedido de assistência médica), à religião (através do pedido de refeição especial) aos dados relativos a contactos (amigos, local de trabalho), etc.


Os dados PNR contêm uma utilização muito particular.

Desde logo, podem ter a chamada utilização reactiva, isto é, os dados são utilizados em investigações e para a detecção de redes de práticas de crimes.

Por outro lado, podem ter uma utilização em tempo real, ou seja, ser utilizados para fins de prevenção da criminalidade, permitindo a detenção de indivíduos antes da prática do crime, ou mesmo depois de já ter sido praticado.

Podem assim ser utilizados de modo pró-activo, o que significa que serão utilizados para criar padrões de viagem e de comportamento, permitindo analisar as tendências em tempo real.

A p a r t i r d e F e v e re i ro d e 2 0 0 3 , o s s e r v i ç o s a d u a n e i ro s e d e

e m i g r a ç ã o d o s E U A o b r i g a r a m a s c o m p a n h i a s a é re a s ( i n c l u i n d o

a s e u ro p e i a s ) a g a r a n t i r u m a c e s s o i l i m i t a d o a o s d a d o s p e s s o a i s

c o n s t a n t e s d o s s i s t e m a s i n f o r m a t i z a d o s d e re s e r v a , e m v i o l a ç ã o

d a s o b r i g a ç õ e s d e c o r re n t e s d a D i re c t i v a 9 5 / 4 6 / C E d e 1 9 9 5 , e d o

R e g u l a m e n t o ( C E E ) n º 2 2 9 9 / 8 9 . E s t a i n v a s ã o a o s d a d o s p e s s o a i s

f o i i m p o s t a s o b p e n a d e p e s a d a s s a n ç õ e s , q u e p o d e r i a m i n c l u i r

m u l t a s d e c e rc a d e 6 . 0 0 0 E U R O S p o r p a s s a g e i ro a t é à p e r d a d o s

s e u s d i re i t o s d e a t e r r a g e m .

Esta situação foi reconhecida pela Comissão Europeia, e deu início a negociações com os EUA para encontrar uma solução

para essa transferência ilegal de dados.

O p er ío do d e co n se rv a çã o d o s da d o s ; o nú me ro de d a do s P N R ( q u e do s 3 9 in i c ia i s , p a s sa r a m a s er 3 4 ) ;

O d i re i t o de in f o r ma r a de qu a da me nt e a s p es so a s in t ere s sa da s e o s m eca n i s mo s pa ra a co rrecçã o d e p o s s ív e i s e r ro s , b em co mo a u t o r id a de s de c o n t ro lo in de pe nd en t e s ;

O t ra t a men t o do s ch a m a d o s " d a d o s s en s í v e i s " , c o m o é o ca so d e p re f erê nc ia s a l ime nt a res e in f o rm a ç ã o méd ica e a d e f in i çã o d e c r imes g ra v e s , e m re la çã o a o s q u a i s e s se s d a d o s p o d em ser u t i l i z a d o s p a ra c a p t u ra r su sp e i t o s .

A Comissão Europeia na altura, considerou que as exigências americanas teriam que ser alvo de negociação, de forma a torná-las compatíveis com a legislação comunitária. Os

pontos fundamentais invocados foram:


O Acordo de 2012 (actual), contém em anexo, uma lista dos tipos de dados abrangidos

ANEXO -TIPOS DE DADOS PNR

1. Código localizador do PNR 2. Data da reserva/emissão do bilhete 3. Data(s) da viagem prevista 4. Nome(s) 5. Informações disponíveis sobre passageiros frequentes e outras

vantagens (bilhetes gratuitos, subidas de classe, etc.) 6. Outros nomes constantes do PNR, incluindo o número de passageiros

nos PNR 7. Todas as informações sobre os contactos disponíveis (incluindo

informações sobre a origem dos dados) 8. Todas as informações disponíveis sobre pagamentos/facturas

(exceptuando dados sobre outras transacções efectuadas por meio de cartões de crédito ou contas bancárias não relacionadas com a transacção relativa à viagem)

O Acordo de 2012 (actual), contém em anexo, uma lista dos tipos de dados abrangidos

9. Itinerário completo para o PNR em questão 10. Agência/agente de viagens 11. Informações sobre a partilha de códigos 12. Informações separadas/divididas 13. Estatuto do passageiro em viagem (incluindo confirmações e situação

no check-in) 14. Informações sobre os bilhetes, incluindo o número do bilhete, bilhetes

de ida e propostas de tarifas por via informática 15. Todas as informações relativas às bagagens 16. Informações sobre o lugar, incluindo o seu número específico 17. Observações gerais, incluindo informações OSI, SSI e SSR 18. Informações APIS eventualmente recolhidas 19. Historial completo das modificações dos PNR enumerados nos pontos

1 a 18”

O b s e r v a m o s a s a l t e r a ç õ e s q u e t ê m s u r g i d o , c r i t i c a n d o - a s o u l o u v a n d o - a s , c o n f o r m e o c a s o . Q u a n d o s e c o m p a r a m o s

A c o r d o s d e 2 0 0 4 , d e 2 0 0 7 e d e 2 0 1 2 , o s f i n s p a r a o s q u a i s o s d a d o s P N R p o d e m s e r u s a d o s , f o r a m a l a r g a d o s

c o n s i d e r a v e l m e n t e .

No presente estudo, pretende-se analisar os sucessivos Acordos (2004,2007,2012) quanto aos dados PNR, que visam a cedência de

dados pessoais dos passageiros nas companhias aéreas.

C o m o é q u e o s d a d o s d o s p a s s a g e i ro s a é re o s a j u d a m a c o m b a t e r o t e r ro r i s m o e a c r i m i n a l i d a d e t r a n s n a c i o n a l ?

“ W h a t i s P N R a n d i t ’s c o n t e x t ? ”

Trê s im po r t a n t e s e l em en t o s d o D ep a r t a m en t o d e S eg ur a n ça In t e rn a d o s EU A ( D e pa r t m en t o f H o me la n d S ecu r i t y ) e x p l i ca m , e m Bru x e la s , po rqu ê q ue o s d a d o s d o s p a s sa g e i ro s sã o e s sen c ia i s n a lu t a c o n t ra o t er ro r i smo .

http://www.youtube.com/watch?v=nMKRaeCPlDc

Decisão 2004/535/CE

Decisão 2004/535/CE da Comissão

11 de Maio de 2004

nível de protecção adequado dos dados pessoais contidos nos Passenger Name Record transferidos para o Bureau of Customs and Border Protection dos Estados Unidos (CBP)

nível adequado de protecção dos dados dos PNR transferidos a partir da Comunidade no que diz respeito a voos com destino a ou provenientes dos Estados Unidos – art. 1.º

Declaração de Compromisso do CBP exige que todas as companhias áreas que façam voos para os Estados Unidos devem fornecer ao CBP os PNR dos passageiros

Dados dos PNR solicitados pelo CBP às companhias aéreas

1. Código localizador do PNR2. Data da reserva3. Data(s) prevista(s) da viagem4. Nome5. Outros nomes que figuram no PNR6. Endereço7. Todas as formas de informação sobre o pagamento8. Endereço de facturação9. Números de telefone de contacto10. Itinerário completo para o PNR em questão11. Informação sobre passageiros frequentes [limitada a milhas voadas e endereço(s)]12. Agência de viagens13. Agente de viagens14. Informações do PNR sobre a divisão de códigos15. Estatuto de viagem do passageiro (Travel status)16. Informação do PNR separada/dividida17. Endereço electrónico

Dados dos PNR solicitados pelo CBP às companhias aéreas

17. Endereço electrónico18. Informações sobre a emissão dos bilhetes19. Observações gerais20 Número do bilhete21. Número do lugar22. Data da emissão do bilhete23. Relato de não comparência24. Números das etiquetas das bagagens25. Passageiro de último minuto sem reserva (Go show information)26. Informação OSI27. Informação SSI/SSR28. Informações sobre a fonte29. Todas as alterações introduzidas no PNR30. Número de passageiros no PNR31. Informações sobre o lugar32. Bilhetes só de ida33. Informações APIS (Advanced Passenger Information System) eventualmente recolhidas34. Campos ATFQ (Automatic Ticketing Fare Quote)”

Armazenamento dados

n.º limitado utilizadores do CBP e durante 7 dias

n.º utilizadores é novamente reduzido e o prazo é de 3 anos e 6 m

Destruídos (se não forem usados) ou guardados durante 8 anos (caso sejam utilizados)

Freedom of Information Act (FOIA)

divulgação dos registos dos dados a qualquer interessado

Excepções:

• registo contiver informações confidenciais de carácter comercial

• divulgação constituir uma violação claramente injustificada da privacidade

CBP garante aos titulares dos PNR todas as informações relativas à sua utilização

Chief Privacy do DHS – funcionário do Ministério, que assegura e fiscaliza o respeito pela privacidade dos dados e recebe queixas dos cidadãos cujos dados que foram usados indevidamente

Parecer do Grupo Trabalho 29

grupo não concorda com a causa que permite a divulgação dos dados, com base na protecção dos interesses vitais do titular dos dados

aumentaria a possibilidade de transmissão adicional de dados

Método de transferência eficaz é o sistema exportação (push), “no qual os dados são seleccionados e transferidos pelas companhias aéreas para as autoridades dos EUA”

Em vez do sistema extracção (pull), “em que as autoridades dos EUA têm acesso directo às bases de dados das companhias aéreas e dos sistemas de reservas”

Decisão 2004/496/CE do Conselho

17 de Maio de 2004

Relativa ao acordo estabelecido entre a UE e os EUA sobre o tratamento e a transferência dos PNR por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos (CBP).

Aprovada de acordo com o art.95.º e 300.º n.2) primeiro parágrafo, primeiro período , do Tratado da Comunidade Europeia

Garante que os EUA têm um nível adequado de protecção de dados.

Recursos interpostos pelo Parlamento Europeu contra as decisões da Comissão e do Conselho

Processo C-318/04

anulação da Decisão 2004/535/CE da Comissão

Processo C-317/04

anulação da Decisão 2004/496 do Conselho

Processo C-318/04

Abuso de poder

Parlamento considera que o âmbito de aplicação da Decisão visa a segurança pública e o direito penal, como tal há uma violação da Directiva 95/46, uma vez que esta matéria é excluída do âmbito de aplicação da Directiva, de acordo com o art. 3.º n.º 2.

Parlamento não considera o CBP um “país terceiro” de acordo com o art. 25.º da Directiva 95/46/CE, entende como um país terceiro, “ um Estado ou uma entidade equiparada, e não uma unidade ou componente administrativa que faça parte do poder executivo de um Estado”Violação dos princípios essenciais da Directiva

As autoridades americanas realizam o tratamento dos dados que não é o definido, aquando da recolha dos mesmos - violação do princípio da finalidade do tratamento de dados.

Argumentos Parlamento:

Processo C-318/04

Violação dos direitos fundamentais

Violação do direito à vida privada e o direito à protecção dos dados de carácter pessoal - art.8.º da CEDH

Princípio da proporcionalidade

violação deste devido à extensa enumeração de elementos de PNR e o tempo de conservação dos mesmos, ser demasiado longo

Processo C-318/04

Argumentos da Comissão

“as actividades das transportadoras aéreas entram claramente no âmbito de aplicação do direito comunitário e que, consequentemente, a Directiva 95/46 é inteiramente aplicável”

Art. 13.º da Directiva não se aplica nesta situação

Art. 25.º da Directiva, a transferência consiste em as “transportadoras aéreas colocarem activamente os dados PNR à disposição do CBP

Processo C-317/04

Argumentos Parlamento

Escolha incorrecta do art. 95.ºCE como base jurídica

objectivo da decisão não é o estabelecimento e funcionamento do mercado interno, previsto no art. 95.º CE, mas sim o de legalizar o tratamento dos dados pessoais das companhias aéreas para os EUA.

relação entre as companhias aéreas e os EUA, de modo a que estes tenham acesso aos dados, para combater o terrorismo, este objectivo não se insere no art. 95.º

Processo C-317/04

Violação do artigo 300.º, n.º 3, segundo parágrafo, CE, devido a uma alteração da Directiva 95/46.

“acordo implica uma alteração desta directiva, adoptada de acordo com o processo previsto no artigo 251.ºCE, pelo que apenas podia ser concluído depois de parecer favorável do Parlamento”

violação do direito à protecção dos dados pessoais( art.8.º CEDH)

violação do princípio da proporcionalidade.

Processo C-317/04

insuficiente fundamentação da decisão do Conselho

não respeita o requisito da fundamentação, do art. 253.º CE

violação do princípio da cooperação leal, do art. 10.º CE

o Conselho violou o dever de cooperar, não permitiu que o PE se pronunciasse

Processo C-317/04

Argumentos do Conselho

Conselho considera que a sua decisão se baseia no art.95.ºCE

O Conselho mantém a sua posição de que o acordo não implica uma alteração da Directiva(Art. 300.º n.º3) CE

Entende que o regime dos PNR respeitam o art.8.º n.º2) CEDH.

Defende que o período de 3 anos e meio é uma solução adequada e assegura que há garantias de protecção dos dados

Conselho sublinha que a fundamentação utilizada respeita os requisitos do Tribunal de Justiça, a fundamentação do art. 253.º, deve adaptar-se à natureza do acto.

O Conselho defende que não violou o princípio da cooperação leal.

Acórdão do TJCE de 30 Maio de 2006

recurso do processo C-318/04, relativo à Decisão 2004/535/CE

segurança pública e as actividades do Estado no domínio penal, estes fins são excluídos do âmbito de aplicação da Directiva 95/46/CE, de acordo com o art. 3.º n.º2.

Recurso do processo C-317/04, relativo à Decisão 2004/496/CE

o art. 95.º CE e o 25.º da Directiva 95/46/CE.

O Acordo de 2007 entre UE e EUA sobre a transferência de dados PNR pelas transportadoras aéreas, para o

Departamento da Segurança Interna dos Estados Unidos (DHS)

N a s e q u ê n c i a d a a n u l a ç ã o d o A c o r d o e m 2 0 0 6 , e s s e e n q u a d r a m e n t o f o i s u b s t i t u í d o p e l o A c o r d o I n t e r n a c i o n a l e n t re a U n i ã o E u ro p e i a e o s E s t a d o s U n i d o s d a A m é r i c a d e 1 6 d e o u t u b ro d e 2 0 0 6 .

E s t e A c o r d o p ro v i s ó r i o f o i a l c a n ç a d o n o s e g u i m e n t o d o a c ó r d ã o d o Tr i b u n a l d e J u s t i ç a E u ro p e u d e 3 0 d e m a i o d e 2 0 0 6 , q u e a n u l o u a D e c i s ã o 2 0 0 4 / 4 9 6 / C E d o C o n s e l h o , d e 1 7 d e M a i o d e 2 0 0 4 , a s s i m c o m o a D e c i s ã o 2 0 0 4 / 5 3 5 / C E d a C o m i s s ã o , d e 1 4 d e M a i o d e 2 0 0 4 ( a c h a m a d a D e c i s ã o d e a d e q u a ç ã o ) , p o r t e r u m a b a s e j u r í d i c a i n c o r re c t a .

O Acordo de 2007

Tratando-se de um Acordo provisório, foi rapidamente substituído pelo Acordo PNR 2007…

Este novo Acordo é assinado na sequência de um conjunto de garantias dadas na carta do DHS (Department of Homeland Security) que explica a forma como salvaguarda os PNR, a partir da qual, a União Europeia assegura que as transportadoras aéreas que efectuam voos internacionais de passageiros com destino ou origem nos Estados Unidos da América, disponibilizem os dados dos PNR contidos nos respectivos sistemas de reservas, nos termos estipulados pelo DHS.

O Acordo foi assinado a 23 de Julho de 2007 pela UE e a 26 de Julho de 2007 pelos EUA e pode ser consultado no seguinte endereço: http://www.dhs.gov/xnews/releases/pr_1185470531857.shtm

http://www.dhs.gov/xnews/releases/pr_1185470531857.shtm

A Decisão do Conselho de 2007, relativa à assinatura, em nome da União Europeia, do Acordo entre a UE e os EUA, tem por base três documentos

O texto do Acordo;

A Carta de acompanhamento do Departamento da Segurança Interna e

A Carta de resposta da UE.

Todos estes documentos acompanham a presente Decisão (Decisão

2007/551/PESC/JAI Do Conselho de 23 de Julho de 2007).

A Decisão do Conselho de 2007, relativa à assinatura, em nome da União Europeia, do Acordo entre a UE e os EUA, tem por base três documentos

O texto do Acordo, para efeitos da aplicação do mesmo, vem considerar que o DHS assegura um nível adequado de protecção dos dados dos PNR transferidos da UE.

Já a Carta enviada pelo DHS à UE, tem por objectivo explicar os métodos utilizados pelo DHS na recolha, utilização e armazenamento dos Registos de Identificação dos Passageiros (PNR).

A Carta da UE, em resposta à anterior, veio reconhecer que as garantias dadas pelos EUA eram as adequadas.

Pareceres 2/2007 e 5/2007 do Grupo de Trabalho de Protecção de Dados

Este Acordo, não obstante parecer trazer consigo notáveis avanços face ao Acordo anterior de 2004, foi sujeito a vastas críticas. Nesta matéria é importante analisar os Pareceres 2/2007 e 5/2007 do Grupo de Trabalho de Protecção de Dados do artigo 29.º da Directiva 95/46/CE, de 15 de Fevereiro e 17 de Agosto, respectivamente.

Este Grupo de Trabalho assume a forma de órgão consultivo europeu independente, em matéria de protecção de dados e privacidade.

Parecer 2/2007 do Grupo de Trabalho

O Parecer 2/2007 versa sobre a informação facultada aos passageiros relativamente à transferência de dados contidos nos registos de identificação dos passageiros (PNR – passenger name records) para as autoridades dos EUA. Mantêm-se as obrigações das agências de viagens, das companhias aéreas e de outras organizações de prestar informações aos passageiros sobre o tratamento dos respectivos dados pessoais e o presente Parecer destina-se a informar e a traçar orientações sobre quem deve fornecer que tipo de informação, como e quando.

As informações devem ser prestadas aos passageiros logo que estes decidam comprar um bilhete de avião e também quando recebam a confirmação do bilhete.


O Parecer 5/2007 dirigiu-se à análise das implicações para os direitos fundamentais e liberdades, designadamente no que respeita ao direito à privacidade dos passageiros, do Acordo PNR 2007.

O Grupo de Trabalho de Protecção de Dados, apoia a luta contra o terrorismo e o crime organizado a nível internacional e considera-a legítima e necessária. Não obstante, vem referir que é elementar uma boa e legítima fundamentação para justificar qualquer tipo de restrição aos direitos e liberdades fundamentais das pessoas, incluindo ao direito à privacidade e à protecção dos dados.

Defende um equilíbrio adequado entre as necessidades de protecção da segurança pública e outros interesses públicos, como o direito à privacidade das pessoas. Qualquer vigilância injustificada e desproporcionada de âmbito geral por parte de um país terceiro, seria incompatível com a dignidade humana e o direito à privacidade.

Finda a sua análise, o Grupo de Trabalho entende que o Acordo de 2007 não foi bem sucedido na criação de um tal equilíbrio adequado.

A s cr í t i c a s d a d a s ne s t e P a rece r, p o d em ser s in t e t i za da s em d o i s a spe c t o s : p o r um la d o , de

u ma f o rm a g era l , a s g a ra n t ia s p re v i s t a s no â mb i t o d o a co rdo p rec ed en t e f o r a m f o r t emen t e

l im i t a d a s ; po r o u t ro , o n o v o a co rd o d e ix a em a be r t o v á r ia s m a t ér ia s e ca rên c ia s g r a v es , e inc lu i mu i t a s d erro g a çõ es ex cep c io na i s , a o s

p r inc íp io s g er a i s q ue t r a n sm i t e .


Na sequência do que foi dito anteriormente, referimos alguns dos aspectos criticáveis, que surgem com o Acordo de 2007:

Aumentou o número de tipos de informação transferíveis, que incluem informações sobre terceiros que não a pessoa em causa.

A filtragem de dados sensíveis continua a ser efectuada pelo DHS mesmo com um

sistema de "exportação“ de dados.

O DHS pode agora utilizar dados sensíveis em casos excepcionais, o que estava excluído do Acordo precedente.

Foram facilitadas as transferências subsequentes para entidades internas e externas, que deixaram de estar sujeitas às mesmas garantias de protecção dos dados.

O período de conservação dos dados foi alargado a pelo menos quinze anos e poderá ser ainda mais longo.

O mecanismo de revisão conjunta não prevê a participação de autoridades independentes de protecção dos dados.


As garantias previstas no Acordo e na carta do DHS não são formuladas de forma precisa e estão sujeitas a muitas derrogações, que ficam apenas ao critério das autoridades dos Estados Unidos.

As finalidades da transferência de dados, incluindo as amplas derrogações a que estão sujeitas, não são suficientemente especificadas e têm um âmbito mais vasto do que o reconhecido pelas normas de protecção dos dados.

A transição do sistema de "extracção" para o sistema de "exportação" foi finalmente prevista para 1 de Janeiro de 2008, embora não fosse ainda claro se, e em que condições, este novo método de transferência seria eventualmente aplicado.

Continua por esclarecer a forma como o DHS, que está autorizado em casos excepcionais a recuperar dados diferentes dos enumerados, pode aceder a tais dados após a transição do sistema de "extracção" para o sistema de "exportação".


Não se sabe ainda quando, e em que circunstâncias, ocorrerá uma revisão conjunta.

O Acordo não prevê nenhum mecanismo de resolução de litígios, que é deixado ao critério das Partes Contratantes.

É pouco claro o regime de dados aplicável às transferências subsequentes efectuadas

por entidades terceiras para outras unidades.

Não são claras as consequências das disposições em matéria de reciprocidade no que respeita ao nível de protecção dos dados de um eventual regime PNR da UE.

O Acordo faz correr o risco de que qualquer alteração da legislação dos EUA possa afectar unilateralmente o nível de protecção dos dados previsto no novo Acordo PNR.


Não existem definições do significado de criminalidade associada ao terrorismo nem de crimes graves, nomeadamente de crime organizado de carácter transnacional, o que deixa em aberto a sua interpretação. A delimitação das finalidades é demasiado ampla e teria sido preferível, definições mais claras de criminalidade associada ao terrorismo e crime grave.

O número de destinatários potenciais foi aumentado em grande medida, o que também não se justifica; teria sido importante restringir o número das unidades autorizadas a utilizar os dados PNR para controlar o fluxo de dados.


Quanto às disposições anteriores que constam do Acordo de 2004, estas enumeravam 34 tipos de informação específica; Já o Acordo de 2007 estabelece 19 tipos de informação PNR , o que cria a impressão de que a quantidade de dados transferíveis foi acentuadamente reduzida.

No entanto, estão especificados os 33 tipos de informação constantes da lista precedente, ainda que apresentados de forma ligeiramente diferente. Além disso, a nova lista inclui tipos de informação que não constavam da lista anterior e alarga assim o âmbito das informações requeridas pelo DHS.


Quanto à conservação dos dados, após uma análise ao Acordo 2007, podemos concluir que a conservação de dados estaria assegurada por um período total de 15 anos. (período desproporcional e exagerado)

• ACORDO 2007

Aumentando consideravelmente o período de conservação do anterior Acordo, que previa um período de 3,5 anos para a maioria dos dados

• ACORDO 2004


O Grupo de Trabalho, não obstante dar como positiva a decisão política do DHS de alargar o âmbito da protecção da privacidade a cidadãos não americanos anteriormente não abrangidos pelo Acordo PNR, lamenta, contudo, que estas pequenas melhorias sejam fortemente contrabalançadas pela redução global do nível de protecção dos dados.

Não compreende igualmente, que a UE considere o Acordo adequado em termos de garantias de protecção dos dados sem consultar nenhum órgão instituído de protecção dos dados.

A i n d a n o p re s e n t e P a re c e r, o G r u p o d e Tr a b a l h o s a l i e n t a o f a c t o d e n ã o t e r s i d o c o n s u l t a d o n e m l h e t e r s i d o

s o l i c i t a d o P a re c e r s o b re o s a s p e c t o s d e p ro t e c ç ã o d o s d a d o s c o n s t a n t e s d o a c o r d o , d e s i g n a d a m e n t e d e v i d o a o

s e u p a p e l d e ó r g ã o c o n s u l t i v o o f i c i a l e m m a t é r i a d e p ro t e c ç ã o d e d a d o s n a U E . D e f a c t o , o s m e m b ro s d o

g r u p o d e t r a b a l h o s ã o a s a u t o r i d a d e s d e s u p e r v i s ã o e m m a t é r i a d e c u m p r i m e n t o d a p ro t e c ç ã o d o s d a d o s p e l a s t r a n s p o r t a d o r a s a é re a s , q u e t e r ã o d e a p l i c a r o a c o r d o

e m e s t re i t a c o l a b o r a ç ã o c o m a s a u t o r i d a d e s d e p ro t e c ç ã o d o s d a d o s d a U E .


A RT I G O 8 . O

P R O T E C Ç Ã O D E D A D O S P E S S O A I S

1 . To d a s a s p e s s o a s t ê m d i re i t o à p ro t e c ç ã o d o s d a d o s d e c a r á c t e r p e s s o a l q u e l h e s d i g a m re s p e i t o .

2 . E s s e s d a d o s d e v e m s e r o b j e c t o d e u m t r a t a m e n t o l e a l , p a r a f i n s e s p e c í f i c o s e c o m o c o n s e n t i m e n t o d a p e s s o a i n t e re s s a d a o u c o m o u t ro f u n d a m e n t o l e g í t i m o p re v i s t o p o r l e i . To d a s a s p e s s o a s t ê m o d i re i t o d e a c e d e r a o s d a d o s c o l i g i d o s q u e l h e s d i g a m re s p e i t o e d e o b t e r a re s p e c t i v a re c t i f i c a ç ã o .

3 . O c u m p r i m e n t o d e s t a s re g r a s f i c a s u j e i t o a f i s c a l i z a ç ã o p o r p a r t e d e u m a a u t o r i d a d e i n d e p e n d e n t e . “

Em 2008, a Autoridade Europeia para a Protecção de Dados (AEPD) publicou um Parecer sobre o Acordo de 2007, onde comenta a legitimidade

das medidas propostas. A AEPD conclui que, tal como se apresenta, a proposta não é conforme com certos direitos fundamentais, nomeadamente o artigo 8º da Carta dos Direitos Fundamentais da União Europeia, pelo que

não deverá ser aprovada

ATENÇÃO: A presente proposta foi apresentada num momento em que o contexto institucional da União Europeia estaria prestes a sofrer uma

alteração fundamental. As consequências do Tratado de Lisboa (2009) em termos de processo de decisão foram fundamentais, especialmente no que

respeita ao papel do Parlamento.

Resolução do Parlamento Europeu, de 5 de Maio de 2010

Relacionada com o início das negociações com vista à celebração de Acordos PNR com os EUA, Austrália e o Canadá;

Adiou a sua votação até ter explorado as possibilidades de Acordos para a utilização dos PNR, que estejam em conformidade com o Direito Comunitário e respondam às preocupações expressas pelo Parlamento em anteriores Resoluções sobre o PNR;

Solicita uma abordagem coerente na utilização dos dados PNR, para efeitos de aplicação da lei e de segurança, mediante o estabelecimento de um conjunto único de princípios que sirva de base a Acordos com países terceiros;

Convida a Comissão, a apresentar uma proposta para esse modelo único, reclamando uma renegociação do Acordo.

Comunicação da Comissão Europeia de 21/09/2010, sobre a abordagem global relativa à transferência de dados PNR para países terceiros

Incentivou o recomeço das negociações com os EUA, Austrália e Canadá em Janeiro de 2011.

Traçou um panorama das tendências correntes na utilização dos dados PNR na UE e no mundo.

Em resposta a essas tendências, bem como às ameaças que a UE e o mundo continuavam a enfrentar, a Comissão considerou necessário proceder à revisão da sua abordagem global em matéria de PNR.

Exige uma maior coerência entre os vários acordos PNR, assegurando simultaneamente o respeito dos direitos fundamentais à vida privada e à protecção dos dados pessoais.

Conclui que a UE deve examinar a possibilidade de substituir, a médio prazo, os acordos bilaterais por um acordo multilateral entre todos os países que utilizam dados PNR.

Acordo 2012

Acordo 2012

> Impulso: comunicação efectuada pela Comissão Europeia respeitante à abordagem global relativa à transferência de dados de identificação dos passageiros para países terceiros 21 de Setembro de 2010

> Reconsidera a abordagem global relativa à transferência de dados PNR para países terceiros

> Revoga o acordo de 2007

Acordo

2012

Objectivos assegurar garantias mais sólidas na protecção de dados, respeitando os direitos fundamentais estabelecer um conjunto de critérios gerais que deverão funcionar como um suporte para os futuros acordos PNR

> Aplicação junto das transportadoras aéreas: voos de passageiros entre a União Europeia e os Estados Unidos

> Dados dos passageiros recolhidos pelas transportadoras aéreas, destinam-se : prevenção, detecção, investigação e repressão do terrorismo e da criminalidade grave artigo 4º acordo

Acordo 2012

Acordo 2012

> O acordo deve mencionar de forma inequívoca: âmbito de utilização dos dados a transferir

não deve exceder o necessário para alcançar a finalidade pretendida

Artigo 5º: segurança dos dadosCompete ao DHS (Department of Homeland Security) garantir:

dos dados pessoais

no momento da suautilização

Acordo 2012

> protecção> segurança >confidencialidade > integridade

Acordo2012

Caso se verifique algum incidente que afecte a privacidade dos dados deveres do DHS:● Informar as pessoas afectadas ● Adoptar medidas de correcção, procurando identificar e sancionar o responsável pelo incidente

Artigo 19º: reconhece que o DHS confere uma protecção adequada quanto ao tratamento e utilização dos PNR, tendo em conta a legislação existente na União Europeia relativa à protecção dos dados pessoais.

Comunicação da Comissão sobre a abordagem global relativa à transferência dos dados de registo de identificação dos

passageiros para países terceiros de 21 de Setembro de 2010

> Devem ser fixados padrões gerais a ser respeitados nos acordos celebrados entre a União Europeia e países terceiros

Objectivo: maior harmonização na protecção dos dados pessoais

Artigo 6º: dados sensíveis

> Não devem ser utilizados

→ Situações excepcionais● Consentimento expresso do titular para o tratamento dos seusdados pessoais● Protecção de interesses vitais da pessoa em causa

DHS deve filtrar e ocultar os dados sensíveis dos PNR, tendo estes de ser definitivamente eliminados no máximo de trinta dias a contar da sua recepção.

dados e informações pessoais que revelem a origem étnica, racial, opiniões, convicções políticas, religiosas, dados relativos à saúde ou orientação sexual de cada pessoa

Conservação dos dados: artigo 8º

Base activa Base passiva

5 anos Não mais que 10 anos

Anonimização irreversível apenas no prazo de 15 anos

Conservação dos dados sensíveis

30 dias

Excepção: artigo 6º nº4> Fins de investigação, processo judicial ou execução de uma pena

Sistema de transferência de dados adoptado: artigo 15º

● Sistema push (por exportação) : dados são seleccionados e transferidos directamente pelas companhias aéreas para as autoridades

● Sistema utilizado antes do Acordo de 2007: pull (por extracção): o DHS tinha acesso aos sistemas de reservas das transportadoras aéreas e extraia uma cópia dos dados necessários.

O Grupo de Trabalho do artigo 29º aplaude a utilização exclusiva do sistema push, por entender que este protege mais eficazmente a privacidade de cada indivíduo.

Princípio da transparência: artigo 10º

→ Cada indivíduo:● Deve ser informado da finalidade do tratamento dos seus dados pessoais● Tem o direito de acesso aos mesmos● Tem o direito de obter a correcção ou supressão dos seus dados (artigos 11º e 12º).

Caso os dados pessoais de um determinado sujeito tenham sido utilizados e tratados de forma contrária à protecção assegurada, tem ele direito a utilizar vias de recurso (artigo 13º).

Transferências de dados

→Transferências ulteriores para outras autoridades governamentais: artigo 16º ● Os dados PNR só podem ser divulgados a autoridades governamentais com competência em matéria de luta contra o terrorismo, que prossigam as finalidades estipuladas no artigo 4º

&

● Assegurem a mesma protecção assegurada pelo Acordo

→ Transferências ulteriores para países terceiros: artigo 17ºOs EUA só pode transferir as informações para uma autoridade competente de um país terceiro se: ● Se esse Estado se comprometer a tratar os dados em conformidade com o nível de protecção previsto no acordo

&

● A transferência se limitar às finalidades da transferência original

Transferências de dados

Parecer da Autoridade Europeia para a Protecção de Dados (AEPD) sobre o Acordo de 2012 entre os EUA e a UE relativo à utilização e à transferência dos registos de

identificação dos passageiros para o departamento de segurança interna dos Estados Unidos

“Guardiã” europeia da protecção de

dados pessoais

AEPD → Autoridade Europeia para a Protecção de Dados

EDPS → European Data Protection Supervisor

Funções 1) Controlo: garante que o direito à protecção de

dados pessoais é respeitado por todas as instituições e órgãos da União Europeia;

2) Cooperação: compete à AEPD estabelecer uma cooperação com outros intervenientes importantes quanto ao domínio da protecção de dados de carácter pessoal, nomeadamente com outras autoridades não só a nível nacional como a nível internacional;

3) Aconselhamento: elaboração de pareceres, informações, entre outras atribuições.

Carta dos Direitos Fundamentais da União Europeia todas as limitações às liberdades e aos direitos fundamentais devem preencher os requisitos da necessidade, proporcionalidade e, além disso, têm de resultar de consagração expressa da lei.

AEPD & Grupo de Trabalho do artigo 29

necessidade e proporcionalidade dos sistemas PNR e das transferências desses dados para países terceiros ainda não foram demonstradas, embora reconheçam que o actual acordo contém melhorias notórias, nomeadamente quanto às garantias de segurança e supervisão dos dados, comparativamente com o acordo de 2007.

Parecer AEPD sobre o Acordo de 2012

Finalidade do Acordo: > Recolher informações quanto ao terrorismo ou crime organizado, com base em avaliações de risco das pessoas

razão que explica porque os dados API não se afiguravam como suficientes para alcançar a finalidade pretendida

Utilizando os dados PNR, é possível comparar os dados dos passageiros com padrões comportamentais, realizando uma avaliação do risco.

♦ Preocupação pelas decisões relativas aos passageiros aéreos, terem por base critérios e padrões abstractos

♦ Natureza evidentemente intrusiva das disposições do Acordo, uma vez que as medidas serão aplicadas a todos os passageiros, sejam ou não suspeitos numa investigação

AEPD

O cumprimento do princípio da

proporcionalidade implica que não só as medidas sejam eficientes, como

também que as finalidades não possam ser atingidas por instrumentos menos

invasivos da privacidade.

Utilização dos PNR: crítica negativa

Apesar de as definições que constam do artigo 4º do Acordo de 2012 serem mais precisas do que as que constavam do Acordo de 2007, continuam a existir conceitos vagos que podem originar situações em que os dados são utilizados além das finalidades permitidas, pelo facto de admitirem uma interpretação mais extensa do conteúdo do artigo, o que certamente prejudica a segurança jurídica.

Continuação da crítica

A AEPD defende que o anexo do acordo de 2012 contém 19 tipos de dados PNR, que podem ser integrados em distintas categorias de dados, acabando por não existir uma diferença neste campo quanto ao Acordo de 2007, que havia já sido considerado, quanto a esta matéria, desproporcionado pela AEPD e pelo Grupo de Trabalho do artigo 29º.

Em suma:A luta contra o terrorismo, sendo um motivo legítimo para excepcionar a aplicação de alguns direitos fundamentais, como a privacidade e a protecção de dados, tem de ter em conta a necessidade de intromissão na vida das pessoas e deve ser demonstrada pelo princípio da proporcionalidade. Para a Autoridade Europeia para a Protecção de Dados, a necessidade e a proporcionalidade constituem uma condição sine qua non deste tipo de acordos.

Link Vídeo:http://europarltv.europa.eu/pt/player.aspx?pid=98862ce3-0217-42a6-b9e6-a05b008988d9

“Scanners” corporais nos aeroportos

“Scanners” corporais violam os direitos humanos

A instalação de visores corporais nos aeroportos permitem visualizar qualquer pessoa praticamente nua. Após o passageiro entrar num cilindro (modelo mais comum), descalço e de braços levantados, é “inspeccionado” por geradores que lançam uma radiação de baixa intensidade, criando a imagem do passageiro.A utilização desta tecnologia permite a detecção de metais e de objectos de plástico.

Em causa está a violação da intimidade dos passageiros aéreos, atentando contra a privacidade e a dignidade pessoal dos mesmos, já para não falar nas repercussões para a saúde que decorrem da utilização dos scanners corporais.

Link vídeo:http://www.youtube.com/watch?v=MzpfH1UtknU

Scanners humanos nos aeroportos geram polémica nos EUA – Caso real

John Tyner, cidadão americano, ia voar a partir do aeroporto de San Diego, mas recusou-se a submeter-se a um scanner completo do corpo.Este cidadão afirmou que não pretendia submeter-se a um “assédio sexual como condição para voar”.Resultado: foi impedido de apanhar o seu voo.

Este caso gerou um debate nos EUA, questionando-se até que ponto pode o Governo ir na luta contra o terrorismo.

D i f e re n t e s a b o r d a g e n s a o n í v e l d a e s f e r a d a p r i v a c i d a d e : A a b o r d a g e m e u ro p e i a v ê a p r i v a c i d a d e c o m o u m d i re i t o h u m a n o f u n d a m e n t a l , u m a c o n d i ç ã o p r é v i a p a r a a a u t o n o m i a d o i n d i v í d u o . E s t a p o s i ç ã o t e m a s u a o r i g e m n a s e x p e r i ê n c i a s h i s t ó r i c a s c o m d i t a d u r a s c o m o o n a z i s m o e re g i m e s re p re s s i v o s n a E u ro p a d e L e s t e , q u e t ê m s e n s i b i l i z a d o o s e u ro p e u s p a r a a i m p o r t â n c i a d a p ro t e c ç ã o d o s d a d o s p e s s o a i s .

N o s E U A , a a u s ê n c i a d e t a i s e x p e r i ê n c i a s , c o m b i n a d a c o m u m a l o n g a t r a d i ç ã o d e d e s c o n f i a n ç a c o n t r a o G o v e r n o , l e v o u a u m a p re f e r ê n c i a p e l a a u t o - re g u l a ç ã o e p e l a s a l v a g u a r d a d a l i b e r d a d e n a á re a d e c o m é rc i o e m g e r a l , c o m i m p l i c a ç õ e s n o d o m í n i o d a p r i v a c i d a d e . A p r i v a c i d a d e é v i s t a , d e c e r t a f o r m a , c o m o u m d i re i t o d e p ro p r i e d a d e , e m v e z d e u m d i re i t o h u m a n o , u m a m e rc a d o r i a , q u e é n e g o c i á v e l .

Considerações Finais

PRIVACIDADE VS SEGURANÇA

Est a mo s pe ra nt e u m d ire i t o f u n d a m en t a l ( P r iv a c id a d e ) e u m in t ere s se p ú b l i co ( s eg ur a n ça ) :

O s d a do s p es so a i s p o d em ser ú t e i s em de t erm in a da s c i rcu ns t â n c ia s ( c o m ba t e à cr imin a l ida d e ) ; p o r ém, a reco lha e o t ra t a m ent o d e t o d o s o s d a do s do s p a s sa g e i ro s p o d er á n ã o s er a m e lho r f o rm a d e a c a b a r co m es se s f en ó men o s ; po d em ser ex p lo ra do s o u t ro s m e io s d i sp o n ív e i s , d e p re f e rên c ia c o m e f e i t o s me no s in t r us iv o s p a ra o s p a s s a g e i ro s d e bo a - f é , a f im d e re f o r ça r a s e g u ra nç a e g a r a n t i r v ia g en s a érea s s eg u ra s e e f i ca zes .



Considerações Finais PRIVACIDADE VS SEGURANÇA

O desenvolvimento da sociedade contribuiu para a evolução dos direitos à intimidade e

privacidade, amplamente desenvolvidos na cultura norte-americana, superando assim a ideia

inicial do Right to Privacy do final do século XIX.

Actualmente, a logística social moderna exige do Estado um maior controlo das atividades

particulares, em busca do interesse público da segurança e do bem estar social. O cerne do

conflito reside na discussão sobre até onde pode o Estado intervir na liberdade individual,

mais concretamente no direito à privacidade, em benefício do interesse público, mediante um

apertado controlo da coletividade.

Neste contexto inclui-se a disseminação, muitas vezes inadequada, de métodos de controlo

que agridem valores previstos na Constituição, como o excessivo uso de câmaras de

segurança, a revista em locais públicos e a utilização de detectores de metais. O medo

colectivo não pode ser elevado à patologia social que justifique tamanha restrição da vida

particular dos cidadãos.

Admitimos assim que o Estado possa aplicar restrições à vida particular, desde que

legítimas, observados os princípios da proporcionalidade e razoabilidade. Concluímos assim

que a hermenêutica jurídica constitucional é a ferramenta adequada para ponderar e

balancear o conflito entre liberdade particular e interesse público.

O s d ire i t o s f u nd a men t a i s n ã o sã o a b so lu t o s n em i l im i t a d o s – p e lo c o n t rá r io , sã o l imi t a d o s in t e rna m ent e ( p a r a a s seg u ra r o s m esm o s d i re i t o s a t o d a s a s o u t ra s p es so a s– p r inc íp io d a d ig n id a d e h um a n a ) e t a m bé m ex t ern a men t e ( p a ra a s se g u ra r o u t ro s d i re i t o s e in t ere s se s l eg a lme nt e p ro t e g id o s ) .

N a R eso luç ã o de 5 de M a io d o P a r la m en t o Eu ro pe u , re f ere - se q u e “ n ec es s id a d e e p ro p o r c io n a l id a d e sã o p r inc íp io s c ha ve s e m o s q u a i s a lu ta co n t ra o t e r ro r i sm o nu n ca s e rá e f i ca z ”




Em suma, perante as várias críticas retiradas da análise dos diferentes Acordos, pensamos que não foi ainda possível encontrar um equilíbrio entre a liberdade e a segurança dos cidadãos, de forma a evitar ingerências e restrições desproporcionadas na sua intimidade privada.

Existe, ainda hoje, quem entenda que o Acordo de 2012 não cumpre os critérios estabelecidos pelo Parlamento Europeu nas suas Resoluções de 2010, e não está em consonância com a legislação da União Europeia, e temem por outro lado, que os dados PNR possam ser utilizados para fins não relacionados com terrorismo.

O eurodeputado Jan Phillipp Albrecht referiu, na sequência da aprovação do Acordo de 2012, que quem votou favoravelmente nesta matéria, esqueceu-se das liberdades civis dos cidadãos europeus por aceitar o que denominou de “vigilância intrusiva ao estilo Big Brother”.


É importante realizar estudos que demonstrem a eficácia da utilização de dados PNR na luta contra o terrorismo e a criminalidade organizada, antes de serem utilizados em tão larga escala. Na realidade, um número crescente de estudos comprovam precisamente o contrário.

Entendemos que a utilização de dados PNR não consubstancia uma medida eficaz nessa luta e podem estar assim a violar outro direito fundamental sem necessidade (“os fins não justificam os meios”).

Basta perguntarmos quantos atentados terroristas foram travados, com a aplicação das técnicas PNR? Não temos dados para garantir que se trata de uma medida essencial nesta matéria. Estudos demonstram que têm sido úteis no combate ao tráfico de armas e de estupefacientes .

Relatório do PE de Julho de 2011 sobre a política de luta contra o terrorismo da EU: “lamenta que não tenha sido aproveitada a oportunidade para explicar de que modo determinados instrumentos de luta contra o terrorismo da UE, como a conservação de dados, os registos de identificação dos passageiros (PNR), se integram na estratégia de luta contra o terrorismo da União Europeia(…)”

OBRIGADA!.

Fim da Apresentação.

Documents

Direito da Comunicação