A luta contra o terrorismo e as tensões entre a UE e os EUA quanto à transferência de dados pessoais de passageiros aéreos Direito da Comunicação Discentes:

Apresentação em tema: "A luta contra o terrorismo e as tensões entre a UE e os EUA quanto à transferência de dados pessoais de passageiros aéreos Direito da Comunicação Discentes:"— Transcrição da apresentação:

1 A luta contra o terrorismo e as tensões entre a UE e os EUA quanto à transferência de dados pessoais de passageiros aéreos Direito da Comunicação Discentes: Ana Cláudia Carapinha Cláudia Sofia Monteiro Pereira Rita Carrilho Garcês 10 de Maio de 2013 Docente: Prof.ª Maria Eduarda Gonçalves

2 Modelo de protecção de dados pessoais Modelo Europeu Década de 70 1970 – Alemanha, através da Lei de Hesse Suécia – Lei Datalagen (Lei n.º 289) – exigia uma autorização especial para a transmissão de dados recolhidos na Suécia para um país terceiro CRP de 1976, na 1.ª versão, foi a 1.ª no mundo a conferir dignidade constitucional à protecção de dados pessoais (art.35.º) 1981 – Convenção n.º 108 do Conselho da Europa

3 Convenção n.º 108 do Conselho da Europa Art. 2.º a): Dados de carácter pessoal significa qualquer informação relativa a uma pessoa singular identificada ou susceptível de identificação Art. 5.º - princípio da qualidade dos dados, “obtidos e tratados de forma leal e lícita” Art. 6.º - princípio do tratamento de dados sensíveis - dados pessoais como a origem racial, as crenças religiosas ou dados relativos à saúde, estes só podem ser objecto de tratamento, se tiverem garantias de protecção Art. 7.º - princípio da segurança dos dados - medidas de segurança que garantam a não destruição dos dados Art. 12.º - Entre Estados não deveria haver limitações nas transferências de dados, excepto se o país de destino não assegurava equivalentes condições de protecção

4 Directiva 95/46/CE relativa à protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados Art 6.º - princípio da qualidade dos dados a) “objecto de um tratamento leal e lícito “ b) “recolhidos para finalidades determinadas, explícitas e legítimas, e que não são posteriormente tratados de forma incompatível com essas finalidades.” c) “adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente”

5 Directiva 95/46/CE Art. 7.º - legitimidade de tratamento de dados a)“A pessoa em causa tiver dado de forma inequívoca o seu consentimento” ou b) “O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa”;ou e) “O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados”;

6 Directiva 95/46/CE art. 10.º - Os Estados-Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se já delas tiver conhecimento: a)Identidade do responsável pelo tratamento e, eventualmente, o seu representante, b)Finalidades do tratamento a que os dados se destinam; c)Outras informações, tais como: - a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

7 Directiva 95/46/CE Art. 12.º - direito de acesso Art. 13.º - Derrogações e restrições Os Estados-Membros podem restringir alguns dos direitos e obrigações do art 6.º-1), 10.º, 12.º, se tal “restrição constitua uma medida necessária à protecção: a)da segurança do Estado; b) da defesa … g)de pessoa em causa ou dos direitos e liberdades de outrem”.

8 Directiva 95/46/CE Art.º 17.º-1) - segurança do tratamento – “ Os Estados-membros estabelecerão que o responsável deve pôr em prática medidas técnicas e organizativas adequadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer forma de tratamento ilícito” Art. 8.º-1) “Os Estados-membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual” Excepções - n.º 2) o n.º 1 não se aplica quando: a)“A pessoa em causa tiver dado o seu consentimento explícito para esse tratamento”

9 Directiva 95/46/CE Excepções - n.º 2) o n.º 1 não se aplica quando b)O tratamento for necessário para o cumprimento das obrigações e dos direitos do responsável pelo tratamento no domínio da legislação do trabalho, desde que o mesmo seja autorizado por legislação nacional que estabeleça garantias adequadas; c)O tratamento for necessário para proteger interesses vitais da pessoa em causa”

10 Directiva 95/46/CE à circulação internacional de dados pessoais Entre Estados-Membros, os dados circulam livremente Transferência para um país terceiro, tem de “ assegurar um nível de protecção adequado” – art 25.º-1) n.2) “a adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferência de dados” n.º 3) “ Os Estados-Membros e a Comissão informar-se-ão mutuamente dos casos em que consideram que um país terceiro não assegura um nível de protecção adequado”

11 Directiva 95/46/CE Excepções – art.26.º: pode haver transferência de dados pessoais para um país terceiro, mesmo que não assegure um nível de protecção adequado, nos seguintes casos: a)”Pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência; ou b) A transferência seja necessária para a execução de um contrato entre a pessoa e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; c) A transferência seja necessária à execução ou celebração de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o responsável pelo tratamento e um terceiro; ou d) A transferência seja necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num proc. Judicial; ou e) A transferência seja necessária para proteger os interesses vitais da pessoa em causa; ou f) A transferência seja realizada a partir de um registo público…se destine à informação do público e se encontre em aberto à consulta do público em geral”.

12 Directiva 95/46/CE Art. 26.º -2) in fine pode haver transferências de dados pessoais para um país terceiro, que não assegura um nível de protecção adequado, se “o responsável pelo tratamento apresente garantias suficientes de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respectivos direitos; essas garantias podem resultar de cláusulas contratuais adequadas.” Decisão da Comissão n.º 2001/497/CE, relativa às cláusulas contratuais- tipo aplicáveis à transferência de dados pessoais para países terceiros, de acordo com a Directiva 95/46/CE. Exportador e Importador de dados(cláusula 1)

13 Cláusulas Contratuais-tipo cláusula 4 - obrigações do exportador dever do exportador, ao realizar o tratamento dos dados, deve aplicar as suas normas, isto é, utiliza-se as normas próprias do Estado-Membro em que o exportador se situa. O exportador é garante da “transferência que envolver categorias especiais de dados, os titulares dos dados são informados de que os seus dados podem ser transmitidos para um país terceiro que não garante um nível de protecção adequado ”. Cláusula 5 – obrigações do importador responde a todos os pedidos solicitados pelo exportador ou titulares dos dados, dos quais realizou o tratamento.

14 O modelo norte-americano para a protecção de dados pessoais

15 Favorece a valorização económica dos dados pessoais Potencia a vulnerabilidade dos cidadãos à vigilância da sua vida privada Existem várias empresas, que tratam os seus dados de acordo com os seus objectivos, e orientam-se por uma perspectiva mais liberal. Nos EUA, o sistema é caracterizado pela sua complexidade: conformam-se regulamentos federais e estaduais, com medidas de auto-regulação.

16 O modelo norte-americano para a protecção de dados pessoais foi influenciado por uma política de laissez-faire, que predominou fortemente nos EUA, associada ao liberalismo económico. Laissez-faire: em português significa "deixem fazer, deixem passar, o mundo vai por si mesmo“; princípio defendido pelos economistas mais liberais, de acordo com o qual, o Estado deve interferir o menos possível na actividade económica e deixar que os mecanismos de mercado funcionem livremente.

17 O sistema de protecção de dados pessoais norte-americano, passa fundamentalmente, por uma política de auto-regulação. No entanto, este modelo apresenta-se, em certa medida, deficitário. Porquê ? Por traduzir-se num sistema fragmentário, que obedece às necessidades de cada sector de actividade económico-social; Não lhe permite acautelar o grau de adequação imposto pela Directiva, para os respectivos sectores; Faz com que existam níveis de protecção distintos nos vários Estados Americanos, atendendo à distinta legislação que opera em cada um deles; Garante um nível baixo de protecção da privacidade

18 O Estado da Califórnia encontra-se em primeiro lugar, no ranking que respeita à protecção da privacidade dos seus cidadãos, de acordo com o “Privacy Journal”, que publica periodicamente notícias sobre este tema. Nos últimos anos, este Estado tem vindo a desenvolver esforços na protecção legal desta matéria, bem como os seus tribunais e a sua Constituição que também favorecem uma maior protecção da privacidade neste Estado.

19 Freedom of Information Act de 1967 (FOIA ) Fornecia aos indivíduos um acesso a vários tipos de registos em agências ou entidades estaduais, incluindo uma série de informações pessoais. Com este regime, emergiu pela primeira vez, um verdadeiro direito de acesso dos cidadãos aos seus próprios dados, conservados em entidades do estado norte-americano.

20 Privacy Act de 1974 A Privacy Act surgiu na sequência de sucessivas alterações à designada lei federal, Freedom of Information Act de 1967 (FOIA). Constituiu a primeira lei norte-americana a reconhecer o direito à privacidade como um direito fundamental, protegido pela Constituição dos EUA. Esta legislação pretendia estabelecer um código de práticas seguras de informação, que regulasse a recolha, manutenção, utilização e divulgação de informações pessoais dos cidadãos por organismos federais.

21 Privacy Act de 1974 O regime do Privacy Act instituiu uma série de princípios, como por exemplo:  A possibilidade de cada indivíduo ter conhecimento da informação que está contida no seu registo e de que forma esta é utilizada;  A faculdade conferida ao indivíduo de corrigir ou alterar informações erradas, e ainda o dever de qualquer organização que utilize ou divulgue os registos de dados pessoais identificáveis, de assegurar a confiabilidade dos dados para a sua finalidade, bem como adoptar medidas para evitar o uso indevido;  Proibia as agências de divulgar os registos pessoais dos clientes para terceiros ou para outros órgãos, sem o consentimento da pessoa a quem pertencia o registo. O Privacy Act possibilitaria assim, os indivíduos, de controlar o acervo do governo federal, o uso e a divulgação de informações pessoais e sensíveis.

22 Alguns exemplos de legislação federal existente nos EUA, em matéria de Privacidade, com âmbito circunscrito a determinadas áreas https://www.cdt.org/about Site do CDT (Centre for Democracy and Technology)

23 “Family Education Rights and Privacy Act” (1974) - para proteger a confidencialidade dos registos dos alunos. A lei aplica-se a todas as escolas que recebam financiamento federal, e pretende impedir que as instituições de ensino divulguem os registos dos seus alunos, ou informações pessoalmente identificáveis ​​ sobre os alunos a terceiros, sem o consentimento dos mesmos e dos seus pais. “Right to Financial Privacy Act” (1978), que consagra o direito de protecção da confidencialidade dos registos financeiros. Assim, nenhuma autoridade do governo pode ter acesso ou obter cópias, de informações contidas nos registos financeiros de qualquer cliente de uma instituição financeira (ex: bancos, seguradoras), a menos que haja autorização do cliente, uma intimação administrativa adequada ou um mandato de busca qualificado. “Video Privacy Protection Act” (1988), a lei proíbe os prestadores de serviços de videoclubes de divulgar registos dos seus clientes, sem o consentimento informado e por escrito do consumidor. Além disso, a lei exige que os prestadores de serviços, destruam as informações dos clientes pessoalmente identificáveis ​​ no prazo de um ano, sem prejuízo de excepções e limitações a atender, caso a caso.

24 “ Employee Polygraph Protection Act” (1988), que proíbe os empregadores, com excepção das empresas de serviços de segurança e fabricantes de produtos farmacêuticos, de utilizar detectores de mentiras na pré-contratação dos seus trabalhadores, ou durante o período laboral. Nos casos em que é permitido o teste do polígrafo, os técnicos estão sujeitos a várias normas rígidas no que diz respeito ao cumprimento e à realização do teste. “Telephone Consumer Protection Act”(1991) - foi promulgado em resposta às queixas dos consumidores sobre a proliferação de práticas de telemarketing intrusivas e preocupações sobre o impacto de tais práticas sobre a privacidade do consumidor. Prevê a necessidade de qualquer pessoa ou entidade, que exerça telemarketing, manter uma lista dos consumidores que exijam não ser abordados via telefone para o efeito.

25 Tensões entre os Estados Unidos e a União Europeia quanto às políticas de privacidade “Os EUA e a UE, embora perfilhem o propósito comum de assegurar a protecção da vida privada dos seus cidadãos, abordam a questão de formas diferentes” Decisão da Comissão 2000/520/CE, de 26 de Julho de 2000

26 Solução Safe Harbor Agreement Abordagem sectorial Regulamentação Auto-regulamentação Legislação abrangente Directiva 95/46/CE

27 Safe Harbor Agreement Surgiu pelas mãos do Departamento de Comércio dos EUA, apoiado pela Comissão Europeia ● Utilizado exclusivamente por empresas dos EUA que recebam dados pessoais com origem na UE ● Certificação de empresas norte-americanas ● Avaliação de conformidade com normas consideradas adequadas nos termos do artigo 25º da Directiva europeia

28 Inscrição voluntária das empresas interessadas, junto do Departamento de Comércio americano a inscrição será efectiva a partir do momento em que a empresa apresente uma certificação atribuída por aquele

29 Safe Harbor Principles Princípios de porto seguro 1)Princípio do aviso prévio 2)Princípio da escolha 3)Princípio relativo a transferências para terceiros 4)Princípio do acesso aos dados pessoais 5) Princípio da segurança dos dados 6) Princípio da integridade dos dados 7) Princípio da aplicação

30 Empresas que voluntariamente tenham assinado o acordo ficam obrigadas a: ● Notificar os titulares dos dados sobre as informações recolhidas a seu respeito e dos fins a que se destina essa recolha ● Fornecer informação sobre o modo como os titulares dos dados podem contactar a empresa, caso necessitem de o fazer ● Informação formulada de forma concisa e recorrendo a uma linguagem clara e perceptível pelo destinatário da mesma Cabe aos titulares dos dados a faculdade de escolher se os seus dados podem ou não ser transmitidos a terceiros ou se podem ser utilizados para outra finalidade que não aquela para a qual foram recolhidos Princípio do aviso prévio Princípio da escolha

31 É imprescindível garantir que os dados não são transferidos por uma empresa que siga os princípios do porto seguro para outra empresa que não ofereça a protecção adequada. Faculdade atribuída ao titular dos dados pessoais de conhecer quais as suas informações pessoais que são detidas por uma dada empresa. As empresas norte-americanas devem tomar precauções para proteger os dados pessoais de perdas, mau uso, divulgação, alteração e destruição não autorizadas. Princípio relativo a transferências para terceiros Princípio do acesso aos dados pessoais Princípio da segurança dos dados

32 Os dados devem assumir-se relevantes para os fins a que se destina o seu uso, não sendo possível à empresa tratar os dados de forma incompatível com os fins para os quais foram recolhidos. Para que seja assegurado o cumprimento dos princípios do porto seguro, as empresas devem disponibilizar mecanismos de recurso que permitam aos indivíduos a reparação de eventuais danos no tratamento dos seus dados pessoais. Princípio da integridade dos dados Princípio da aplicação

33 Decisão da Comissão 2000/520/CE relativa ao nível de protecção assegurado pelos princípios do “porto seguro” Artigo 1º 1.Nos termos do nº 2 do artigo 25º da Directiva 95/46/CE (…) considera-se que os “princípios da privacidade em porto seguro” (…) asseguram um nível adequado de protecção dos dados pessoais transferidos a partir da Comunidade Europeia para organizações estabelecidas nos Estados Unidos da América (…)”

34 A transferência de dados pessoais de passageiros aéreos – O sistema PNR

35 O que são os dados PNR (Passenger Name Record) ? Os dados PNR (Registo de Identificação dos Passageiros) correspondem a informação fornecida pelos passageiros durante a reserva de viagens e respectivo check-in antes dos voos, bem como recolhidos pelas transportadoras aéreas para os seus próprios fins comerciais. Estes dados contêm vários tipos de informação, como datas de viagem, itinerário de viagem, informações sobre ingressos, contactos, agente de viagens através do qual o voo foi reservado, meios de pagamento utilizados, número do assento e as informações de bagagem. Os dados são armazenados na reserva das companhias aéreas e bancos de dados de controlo de partidas. O terrorismo e o crime organizado envolvem frequentemente viagens internacionais. Toda a informação das viagens reunida pelas transportadoras é um instrumento importante para as autoridades policiais para prevenir, detectar e investigar o crime, e processar os criminosos.

36 É importante que os Estados consigam não só resolver o problema das ameaças de segurança dos seus cidadãos, mas também, problemas inerentes à utilização indevida dos dados pessoais para servirem interesses atentatórios dos direitos, liberdades e garantias dos cidadãos. O problema surge quando se começa a aceder, de forma desmedida, a estes dados PNR para fins de combate à criminalidade grave e ao terrorismo.

37 Aviaton and Transportation Security Act (2001) Após os atentados terroristas de 11 de Setembro de 2001, o Governo dos EUA decidiu adoptar um conjunto de medidas para evitar ataques semelhantes, e logo a 19 de Novembro de 2001 implementou a “Aviation and Transportation Security Act”. Esta lei rege a segurança em matéria de aviação e de transportes, e dispõe que as transportadoras aéreas que efectuam voos com destino aos Estados Unidos, são obrigadas a fornecer dados sobre os passageiros aos serviços aduaneiros e de imigração daquele país. O sistema PNR tornou-se uma exigência de segurança criada pelos EUA na sequência dos atentados de 11 de Setembro.

38 Sistema APIS (Advanced Passenger Information System) Foi o sistema inicialmente utilizado na maioria dos voos internacionais, e funciona como sistema de informações preliminares sobre os passageiros. Consiste numa recolha de dados, e permite uma pesquisa em bases de dados sobre passageiros, antes da sua chegada ao país de destino (informações biográficas). O tipo de informação adquirida é, regra geral, a que consta do passaporte e do documento de identificação como o nome completo, data de nascimento, sexo e nacionalidade. Para os passageiros com destino aos EUA, poderia ser adicionalmente exigido a morada completa do local onde iriam permanecer em território americano.

39 Sistema APIS (Advanced Passenger Information System) Os dados APIS são disponibilizados às autoridades de controlo de fronteiras, com a finalidade de combater a imigração ilegal, controlando mais eficazmente as fronteiras. Embora excepcionalmente, os dados APIS podem também ser utilizados para identificar suspeitos e pessoas procuradas.

40 Sistema PNR – Passenger Name Record O sistema PNR, é totalmente diferente do sistema APIS, pois para além de não ser voluntário, vai muito além da informação que está contida no passaporte, constituindo inclusivamente em relação a algumas categorias de dados, uma violação manifesta da legislação da UE em matéria de protecção de dados. As autoridades americanas não têm apenas acesso aos nomes dos passageiros, mas igualmente ao número do cartão de crédito, aos trajectos já efectuados, aos problemas de saúde (caso exista um pedido de assistência médica), à religião (através do pedido de refeição especial) aos dados relativos a contactos (amigos, local de trabalho), etc.

41 Sistema PNR – Passenger Name Record Os dados PNR contêm uma utilização muito particular. Desde logo, podem ter a chamada utilização reactiva, isto é, os dados são utilizados em investigações e para a detecção de redes de práticas de crimes. Por outro lado, podem ter uma utilização em tempo real, ou seja, ser utilizados para fins de prevenção da criminalidade, permitindo a detenção de indivíduos antes da prática do crime, ou mesmo depois de já ter sido praticado. Podem assim ser utilizados de modo pró-activo, o que significa que serão utilizados para criar padrões de viagem e de comportamento, permitindo analisar as tendências em tempo real.

42 A partir de Fevereiro de 2003, os serviços aduaneiros e de emigração dos EUA obrigaram as companhias aéreas (incluindo as europeias) a garantir um acesso ilimitado aos dados pessoais constantes dos sistemas informatizados de reserva, em violação das obrigações decorrentes da Directiva 95/46/CE de 1995, e do Regulamento (CEE) nº 2299/89. Esta invasão aos dados pessoais foi imposta sob pena de pesadas sanções, que poderiam incluir multas de cerca de 6.000 EUROS por passageiro até à perda dos seus direitos de aterragem. Esta situação foi reconhecida pela Comissão Europeia, e deu início a negociações com os EUA para encontrar uma solução para essa transferência ilegal de dados.

43  O período de conservação dos dados; o número de dados PNR (que dos 39 iniciais, passaram a ser 34 );  O direito de informar adequadamente as pessoas interessadas e os mecanismos para a correcção de possíveis erros, bem como autoridades de controlo independentes;  O tratamento dos chamados "dados sensíveis", como é o caso de preferências alimentares e informação médica e a definição de crimes graves, em relação aos quais esses dados podem ser utilizados para capturar suspeitos. A Comissão Europeia na altura, considerou que as exigências americanas teriam que ser alvo de negociação, de forma a torná-las compatíveis com a legislação comunitária. Os pontos fundamentais invocados foram:

44 Sistema PNR – Passenger Name Record

45 O Acordo de 2012 (actual), contém em anexo, uma lista dos tipos de dados abrangidos ANEXO -TIPOS DE DADOS PNR 1. Código localizador do PNR 2. Data da reserva/emissão do bilhete 3. Data(s) da viagem prevista 4. Nome(s) 5. Informações disponíveis sobre passageiros frequentes e outras vantagens (bilhetes gratuitos, subidas de classe, etc.) 6. Outros nomes constantes do PNR, incluindo o número de passageiros nos PNR 7. Todas as informações sobre os contactos disponíveis (incluindo informações sobre a origem dos dados) 8. Todas as informações disponíveis sobre pagamentos/facturas (exceptuando dados sobre outras transacções efectuadas por meio de cartões de crédito ou contas bancárias não relacionadas com a transacção relativa à viagem)

46 O Acordo de 2012 (actual), contém em anexo, uma lista dos tipos de dados abrangidos 9. Itinerário completo para o PNR em questão 10. Agência/agente de viagens 11. Informações sobre a partilha de códigos 12. Informações separadas/divididas 13. Estatuto do passageiro em viagem (incluindo confirmações e situação no check-in) 14. Informações sobre os bilhetes, incluindo o número do bilhete, bilhetes de ida e propostas de tarifas por via informática 15. Todas as informações relativas às bagagens 16. Informações sobre o lugar, incluindo o seu número específico 17. Observações gerais, incluindo informações OSI, SSI e SSR 18. Informações APIS eventualmente recolhidas 19. Historial completo das modificações dos PNR enumerados nos pontos 1 a 18”

47 Observamos as alterações que têm surgido, criticando-as ou louvando-as, conforme o caso. Quando se comparam os Acordos de 2004, de 2007 e de 2012, os fins para os quais os dados PNR podem ser usados, foram alargados consideravelmente. No presente estudo, pretende-se analisar os sucessivos Acordos (2004,2007,2012) quanto aos dados PNR, que visam a cedência de dados pessoais dos passageiros nas companhias aéreas.

48 Como é que os dados dos passageiros aéreos ajudam a combater o terrorismo e a criminalidade transnacional? “What is PNR and it’s context?” Três importantes elementos do Departamento de Segurança Interna dos EUA (Department of Homeland Security) explicam, em Bruxelas, porquê que os dados dos passageiros são essenciais na luta contra o terrorismo. http://www.youtube.com/watch?v=nMK RaeCPlDc

49 Decisão 2004/535/CE

50 Decisão 2004/535/CE da Comissão 11 de Maio de 2004 nível de protecção adequado dos dados pessoais contidos nos Passenger Name Record transferidos para o Bureau of Customs and Border Protection dos Estados Unidos (CBP) nível adequado de protecção dos dados dos PNR transferidos a partir da Comunidade no que diz respeito a voos com destino a ou provenientes dos Estados Unidos – art. 1.º Declaração de Compromisso do CBP exige que todas as companhias áreas que façam voos para os Estados Unidos devem fornecer ao CBP os PNR dos passageiros

51 Dados dos PNR solicitados pelo CBP às companhias aéreas 1. Código localizador do PNR 2. Data da reserva 3. Data(s) prevista(s) da viagem 4. Nome 5. Outros nomes que figuram no PNR 6. Endereço 7. Todas as formas de informação sobre o pagamento 8. Endereço de facturação 9. Números de telefone de contacto 10. Itinerário completo para o PNR em questão 11. Informação sobre passageiros frequentes [limitada a milhas voadas e endereço(s)] 12. Agência de viagens 13. Agente de viagens 14. Informações do PNR sobre a divisão de códigos 15. Estatuto de viagem do passageiro (Travel status) 16. Informação do PNR separada/dividida17. Endereço electrónico

52 Dados dos PNR solicitados pelo CBP às companhias aéreas 17. Endereço electrónico 18. Informações sobre a emissão dos bilhetes 19. Observações gerais 20 Número do bilhete 21. Número do lugar 22. Data da emissão do bilhete 23. Relato de não comparência 24. Números das etiquetas das bagagens 25. Passageiro de último minuto sem reserva (Go show information) 26. Informação OSI 27. Informação SSI/SSR 28. Informações sobre a fonte 29. Todas as alterações introduzidas no PNR 30. Número de passageiros no PNR 31. Informações sobre o lugar 32. Bilhetes só de ida 33. Informações APIS (Advanced Passenger Information System) eventualmente recolhidas 34. Campos ATFQ (Automatic Ticketing Fare Quote)”

53 Armazenamento dados n.º limitado utilizadores do CBP e durante 7 dias n.º utilizadores é novamente reduzido e o prazo é de 3 anos e 6 m Destruídos (se não forem usados) ou guardados durante 8 anos (caso sejam utilizados)

54 Freedom of Information Act (FOIA) divulgação dos registos dos dados a qualquer interessado Excepções: registo contiver informações confidenciais de carácter comercial divulgação constituir uma violação claramente injustificada da privacidade

55 CBP garante aos titulares dos PNR todas as informações relativas à sua utilização Chief Privacy do DHS – funcionário do Ministério, que assegura e fiscaliza o respeito pela privacidade dos dados e recebe queixas dos cidadãos cujos dados que foram usados indevidamente

56 Parecer do Grupo Trabalho 29 grupo não concorda com a causa que permite a divulgação dos dados, com base na protecção dos interesses vitais do titular dos dados aumentaria a possibilidade de transmissão adicional de dados Método de transferência eficaz é o sistema exportação (push), “no qual os dados são seleccionados e transferidos pelas companhias aéreas para as autoridades dos EUA” Em vez do sistema extracção (pull), “em que as autoridades dos EUA têm acesso directo às bases de dados das companhias aéreas e dos sistemas de reservas”

57 Decisão 2004/496/CE do Conselho 17 de Maio de 2004 Relativa ao acordo estabelecido entre a UE e os EUA sobre o tratamento e a transferência dos PNR por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos (CBP). Aprovada de acordo com o art.95.º e 300.º n.2) primeiro parágrafo, primeiro período, do Tratado da Comunidade Europeia Garante que os EUA têm um nível adequado de protecção de dados.

58 Recursos interpostos pelo Parlamento Europeu contra as decisões da Comissão e do Conselho Processo C-318/04 anulação da Decisão 2004/535/CE da Comissão Processo C-317/04 anulação da Decisão 2004/496 do Conselho

59 Processo C-318/04 Abuso de poder Parlamento considera que o âmbito de aplicação da Decisão visa a segurança pública e o direito penal, como tal há uma violação da Directiva 95/46, uma vez que esta matéria é excluída do âmbito de aplicação da Directiva, de acordo com o art. 3.º n.º 2. Parlamento não considera o CBP um “país terceiro” de acordo com o art. 25.º da Directiva 95/46/CE, entende como um país terceiro, “ um Estado ou uma entidade equiparada, e não uma unidade ou componente administrativa que faça parte do poder executivo de um Estado” Violação dos princípios essenciais da Directiva As autoridades americanas realizam o tratamento dos dados que não é o definido, aquando da recolha dos mesmos - violação do princípio da finalidade do tratamento de dados. Argumentos Parlamento:

60 Processo C-318/04 Violação dos direitos fundamentais Violação do direito à vida privada e o direito à protecção dos dados de carácter pessoal - art.8.º da CEDH Princípio da proporcionalidade violação deste devido à extensa enumeração de elementos de PNR e o tempo de conservação dos mesmos, ser demasiado longo

61 Processo C-318/04 Argumentos da Comissão “ as actividades das transportadoras aéreas entram claramente no âmbito de aplicação do direito comunitário e que, consequentemente, a Directiva 95/46 é inteiramente aplicável” Art. 13.º da Directiva não se aplica nesta situação Art. 25.º da Directiva, a transferência consiste em as “transportadoras aéreas colocarem activamente os dados PNR à disposição do CBP

62 Processo C-317/04 Argumentos Parlamento Escolha incorrecta do art. 95.ºCE como base jurídica objectivo da decisão não é o estabelecimento e funcionamento do mercado interno, previsto no art. 95.º CE, mas sim o de legalizar o tratamento dos dados pessoais das companhias aéreas para os EUA. relação entre as companhias aéreas e os EUA, de modo a que estes tenham acesso aos dados, para combater o terrorismo, este objectivo não se insere no art. 95.º

63 Processo C-317/04 Violação do artigo 300.º, n.º 3, segundo parágrafo, CE, devido a uma alteração da Directiva 95/46. “acordo implica uma alteração desta directiva, adoptada de acordo com o processo previsto no artigo 251.ºCE, pelo que apenas podia ser concluído depois de parecer favorável do Parlamento” violação do direito à protecção dos dados pessoais( art.8.º CEDH) violação do princípio da proporcionalidade.

64 Processo C-317/04 insuficiente fundamentação da decisão do Conselho não respeita o requisito da fundamentação, do art. 253.º CE violação do princípio da cooperação leal, do art. 10.º CE o Conselho violou o dever de cooperar, não permitiu que o PE se pronunciasse

65 Processo C-317/04 Argumentos do Conselho Conselho considera que a sua decisão se baseia no art.95.ºCE O Conselho mantém a sua posição de que o acordo não implica uma alteração da Directiva(Art. 300.º n.º3) CE Entende que o regime dos PNR respeitam o art.8.º n.º2) CEDH. Defende que o período de 3 anos e meio é uma solução adequada e assegura que há garantias de protecção dos dados Conselho sublinha que a fundamentação utilizada respeita os requisitos do Tribunal de Justiça, a fundamentação do art. 253.º, deve adaptar-se à natureza do acto. O Conselho defende que não violou o princípio da cooperação leal.

66 Acórdão do TJCE de 30 Maio de 2006 recurso do processo C-318/04, relativo à Decisão 2004/535/CE segurança pública e as actividades do Estado no domínio penal, estes fins são excluídos do âmbito de aplicação da Directiva 95/46/CE, de acordo com o art. 3.º n.º2. Recurso do processo C-317/04, relativo à Decisão 2004/496/CE o art. 95.º CE e o 25.º da Directiva 95/46/CE.

67 O Acordo de 2007 entre UE e EUA sobre a transferência de dados PNR pelas transportadoras aéreas, para o Departamento da Segurança Interna dos Estados Unidos (DHS)

68 Na sequência da anulação do Acordo em 2006, esse enquadramento foi substituído pelo Acordo Internacional entre a União Europeia e os Estados Unidos da América de 16 de outubro de 2006. Este Acordo provisório foi alcançado no seguimento do acórdão do Tribunal de Justiça Europeu de 30 de maio de 2006, que anulou a Decisão 2004/496/CE do Conselho, de 17 de Maio de 2004, assim como a Decisão 2004/535/CE da Comissão, de 14 de Maio de 2004 (a chamada Decisão de adequação), por ter uma base jurídica incorrecta. O Acordo de 2007

69 Tratando-se de um Acordo provisório, foi rapidamente substituído pelo Acordo PNR 2007… Este novo Acordo é assinado na sequência de um conjunto de garantias dadas na carta do DHS (Department of Homeland Security) que explica a forma como salvaguarda os PNR, a partir da qual, a União Europeia assegura que as transportadoras aéreas que efectuam voos internacionais de passageiros com destino ou origem nos Estados Unidos da América, disponibilizem os dados dos PNR contidos nos respectivos sistemas de reservas, nos termos estipulados pelo DHS. O Acordo foi assinado a 23 de Julho de 2007 pela UE e a 26 de Julho de 2007 pelos EUA e pode ser consultado no seguinte endereço: http://www.dhs.gov/xnews/releases/pr_1185470531857.shtm http://www.dhs.gov/xnews/releases/pr_1185470531857.shtm

70 A Decisão do Conselho de 2007, relativa à assinatura, em nome da União Europeia, do Acordo entre a UE e os EUA, tem por base três documentos O texto do Acordo; A Carta de acompanhamento do Departamento da Segurança Interna e A Carta de resposta da UE. Todos estes documentos acompanham a presente Decisão (Decisão 2007/551/PESC/JAI Do Conselho de 23 de Julho de 2007).

71 A Decisão do Conselho de 2007, relativa à assinatura, em nome da União Europeia, do Acordo entre a UE e os EUA, tem por base três documentos O texto do Acordo, para efeitos da aplicação do mesmo, vem considerar que o DHS assegura um nível adequado de protecção dos dados dos PNR transferidos da UE. Já a Carta enviada pelo DHS à UE, tem por objectivo explicar os métodos utilizados pelo DHS na recolha, utilização e armazenamento dos Registos de Identificação dos Passageiros (PNR). A Carta da UE, em resposta à anterior, veio reconhecer que as garantias dadas pelos EUA eram as adequadas.

72 Pareceres 2/2007 e 5/2007 do Grupo de Trabalho de Protecção de Dados Este Acordo, não obstante parecer trazer consigo notáveis avanços face ao Acordo anterior de 2004, foi sujeito a vastas críticas. Nesta matéria é importante analisar os Pareceres 2/2007 e 5/2007 do Grupo de Trabalho de Protecção de Dados do artigo 29.º da Directiva 95/46/CE, de 15 de Fevereiro e 17 de Agosto, respectivamente. Este Grupo de Trabalho assume a forma de órgão consultivo europeu independente, em matéria de protecção de dados e privacidade.

73 Parecer 2/2007 do Grupo de Trabalho O Parecer 2/2007 versa sobre a informação facultada aos passageiros relativamente à transferência de dados contidos nos registos de identificação dos passageiros (PNR – passenger name records) para as autoridades dos EUA. Mantêm-se as obrigações das agências de viagens, das companhias aéreas e de outras organizações de prestar informações aos passageiros sobre o tratamento dos respectivos dados pessoais e o presente Parecer destina-se a informar e a traçar orientações sobre quem deve fornecer que tipo de informação, como e quando. As informações devem ser prestadas aos passageiros logo que estes decidam comprar um bilhete de avião e também quando recebam a confirmação do bilhete.

74 Parecer 5/2007 do Grupo de Trabalho O Parecer 5/2007 dirigiu-se à análise das implicações para os direitos fundamentais e liberdades, designadamente no que respeita ao direito à privacidade dos passageiros, do Acordo PNR 2007. O Grupo de Trabalho de Protecção de Dados, apoia a luta contra o terrorismo e o crime organizado a nível internacional e considera-a legítima e necessária. Não obstante, vem referir que é elementar uma boa e legítima fundamentação para justificar qualquer tipo de restrição aos direitos e liberdades fundamentais das pessoas, incluindo ao direito à privacidade e à protecção dos dados. Defende um equilíbrio adequado entre as necessidades de protecção da segurança pública e outros interesses públicos, como o direito à privacidade das pessoas. Qualquer vigilância injustificada e desproporcionada de âmbito geral por parte de um país terceiro, seria incompatível com a dignidade humana e o direito à privacidade. Finda a sua análise, o Grupo de Trabalho entende que o Acordo de 2007 não foi bem sucedido na criação de um tal equilíbrio adequado.

75 As críticas dadas neste Parecer, podem ser sintetizadas em dois aspectos: por um lado, de uma forma geral, as garantias previstas no âmbito do acordo precedente foram fortemente limitadas; por outro, o novo acordo deixa em aberto várias matérias e carências graves, e inclui muitas derrogações excepcionais, aos princípios gerais que transmite. Parecer 5/2007 do Grupo de Trabalho

76 Na sequência do que foi dito anteriormente, referimos alguns dos aspectos criticáveis, que surgem com o Acordo de 2007: Aumentou o número de tipos de informação transferíveis, que incluem informações sobre terceiros que não a pessoa em causa. A filtragem de dados sensíveis continua a ser efectuada pelo DHS mesmo com um sistema de "exportação“ de dados. O DHS pode agora utilizar dados sensíveis em casos excepcionais, o que estava excluído do Acordo precedente. Foram facilitadas as transferências subsequentes para entidades internas e externas, que deixaram de estar sujeitas às mesmas garantias de protecção dos dados. O período de conservação dos dados foi alargado a pelo menos quinze anos e poderá ser ainda mais longo. O mecanismo de revisão conjunta não prevê a participação de autoridades independentes de protecção dos dados.

77 Na sequência do que foi dito anteriormente, referimos alguns dos aspectos criticáveis, que surgem com o Acordo de 2007: As garantias previstas no Acordo e na carta do DHS não são formuladas de forma precisa e estão sujeitas a muitas derrogações, que ficam apenas ao critério das autoridades dos Estados Unidos. As finalidades da transferência de dados, incluindo as amplas derrogações a que estão sujeitas, não são suficientemente especificadas e têm um âmbito mais vasto do que o reconhecido pelas normas de protecção dos dados. A transição do sistema de "extracção" para o sistema de "exportação" foi finalmente prevista para 1 de Janeiro de 2008, embora não fosse ainda claro se, e em que condições, este novo método de transferência seria eventualmente aplicado. Continua por esclarecer a forma como o DHS, que está autorizado em casos excepcionais a recuperar dados diferentes dos enumerados, pode aceder a tais dados após a transição do sistema de "extracção" para o sistema de "exportação".

78 Na sequência do que foi dito anteriormente, referimos alguns dos aspectos criticáveis, que surgem com o Acordo de 2007: Não se sabe ainda quando, e em que circunstâncias, ocorrerá uma revisão conjunta. O Acordo não prevê nenhum mecanismo de resolução de litígios, que é deixado ao critério das Partes Contratantes. É pouco claro o regime de dados aplicável às transferências subsequentes efectuadas por entidades terceiras para outras unidades. Não são claras as consequências das disposições em matéria de reciprocidade no que respeita ao nível de protecção dos dados de um eventual regime PNR da UE. O Acordo faz correr o risco de que qualquer alteração da legislação dos EUA possa afectar unilateralmente o nível de protecção dos dados previsto no novo Acordo PNR.

79 Na sequência do que foi dito anteriormente, referimos alguns dos aspectos criticáveis, que surgem com o Acordo de 2007: Não existem definições do significado de criminalidade associada ao terrorismo nem de crimes graves, nomeadamente de crime organizado de carácter transnacional, o que deixa em aberto a sua interpretação. A delimitação das finalidades é demasiado ampla e teria sido preferível, definições mais claras de criminalidade associada ao terrorismo e crime grave. O número de destinatários potenciais foi aumentado em grande medida, o que também não se justifica; teria sido importante restringir o número das unidades autorizadas a utilizar os dados PNR para controlar o fluxo de dados.

80 Na sequência do que foi dito anteriormente, referimos alguns dos aspectos criticáveis, que surgem com o Acordo de 2007: Quanto às disposições anteriores que constam do Acordo de 2004, estas enumeravam 34 tipos de informação específica; Já o Acordo de 2007 estabelece 19 tipos de informação PNR, o que cria a impressão de que a quantidade de dados transferíveis foi acentuadamente reduzida. No entanto, estão especificados os 33 tipos de informação constantes da lista precedente, ainda que apresentados de forma ligeiramente diferente. Além disso, a nova lista inclui tipos de informação que não constavam da lista anterior e alarga assim o âmbito das informações requeridas pelo DHS.

81 Na sequência do que foi dito anteriormente, referimos alguns dos aspectos criticáveis, que surgem com o Acordo de 2007: Quanto à conservação dos dados, após uma análise ao Acordo 2007, podemos concluir que a conservação de dados estaria assegurada por um período total de 15 anos. (período desproporcional e exagerado) ACORDO 2007 Aumentando consideravelmente o período de conservação do anterior Acordo, que previa um período de 3,5 anos para a maioria dos dados ACORDO 2004 E um período de 8 anos para um número mínimo de dados que ficavam num registo não operacional, continuando a estar disponíveis para consulta e para tratamento por parte do DHS.

82 Na sequência do que foi dito anteriormente, referimos alguns dos aspectos criticáveis, que surgem com o Acordo de 2007: O Grupo de Trabalho, não obstante dar como positiva a decisão política do DHS de alargar o âmbito da protecção da privacidade a cidadãos não americanos anteriormente não abrangidos pelo Acordo PNR, lamenta, contudo, que estas pequenas melhorias sejam fortemente contrabalançadas pela redução global do nível de protecção dos dados. Não compreende igualmente, que a UE considere o Acordo adequado em termos de garantias de protecção dos dados sem consultar nenhum órgão instituído de protecção dos dados.

83 Ainda no presente Parecer, o Grupo de Trabalho salienta o facto de não ter sido consultado nem lhe ter sido solicitado Parecer sobre os aspectos de protecção dos dados constantes do acordo, designadamente devido ao seu papel de órgão consultivo oficial em matéria de protecção de dados na UE. De facto, os membros do grupo de trabalho são as autoridades de supervisão em matéria de cumprimento da protecção dos dados pelas transportadoras aéreas, que terão de aplicar o acordo em estreita colaboração com as autoridades de protecção dos dados da UE. Na sequência do que foi dito anteriormente, referimos alguns dos aspectos criticáveis, que surgem com o Acordo de 2007 :

84 ARTIGO 8. O PROTECÇÃO DE DADOS PESSOAIS 1. Todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes digam respeito. 2. Esses dados devem ser objecto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva rectificação. 3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente. “ Em 2008, a Autoridade Europeia para a Protecção de Dados (AEPD) publicou um Parecer sobre o Acordo de 2007, onde comenta a legitimidade das medidas propostas. A AEPD conclui que, tal como se apresenta, a proposta não é conforme com certos direitos fundamentais, nomeadamente o artigo 8º da Carta dos Direitos Fundamentais da União Europeia, pelo que não deverá ser aprovada

85 ATENÇÃO: A presente proposta foi apresentada num momento em que o contexto institucional da União Europeia estaria prestes a sofrer uma alteração fundamental. As consequências do Tratado de Lisboa (2009) em termos de processo de decisão foram fundamentais, especialmente no que respeita ao papel do Parlamento.

86 Resolução do Parlamento Europeu, de 5 de Maio de 2010 Relacionada com o início das negociações com vista à celebração de Acordos PNR com os EUA, Austrália e o Canadá; Adiou a sua votação até ter explorado as possibilidades de Acordos para a utilização dos PNR, que estejam em conformidade com o Direito Comunitário e respondam às preocupações expressas pelo Parlamento em anteriores Resoluções sobre o PNR; Solicita uma abordagem coerente na utilização dos dados PNR, para efeitos de aplicação da lei e de segurança, mediante o estabelecimento de um conjunto único de princípios que sirva de base a Acordos com países terceiros; Convida a Comissão, a apresentar uma proposta para esse modelo único, reclamando uma renegociação do Acordo.

87 Comunicação da Comissão Europeia de 21/09/2010, sobre a abordagem global relativa à transferência de dados PNR para países terceiros Incentivou o recomeço das negociações com os EUA, Austrália e Canadá em Janeiro de 2011. Traçou um panorama das tendências correntes na utilização dos dados PNR na UE e no mundo. Em resposta a essas tendências, bem como às ameaças que a UE e o mundo continuavam a enfrentar, a Comissão considerou necessário proceder à revisão da sua abordagem global em matéria de PNR. Exige uma maior coerência entre os vários acordos PNR, assegurando simultaneamente o respeito dos direitos fundamentais à vida privada e à protecção dos dados pessoais. Conclui que a UE deve examinar a possibilidade de substituir, a médio prazo, os acordos bilaterais por um acordo multilateral entre todos os países que utilizam dados PNR.

88 Acordo 2012

89 > Impulso: comunicação efectuada pela Comissão Europeia respeitante à abordagem global relativa à transferência de dados de identificação dos passageiros para países terceiros 21 de Setembro de 2010 > Reconsidera a abordagem global relativa à transferência de dados PNR para países terceiros > Revoga o acordo de 2007

90 Acordo 2012 Objectivos assegurar garantias mais sólidas na protecção de dados, respeitando os direitos fundamentais estabelecer um conjunto de critérios gerais que deverão funcionar como um suporte para os futuros acordos PNR

91 > Aplicação junto das transportadoras aéreas: voos de passageiros entre a União Europeia e os Estados Unidos > Dados dos passageiros recolhidos pelas transportadoras aéreas, destinam-se : prevenção, detecção, investigação e repressão do terrorismo e da criminalidade grave artigo 4º acordo Acordo 2012

92 > O acordo deve mencionar de forma inequívoca: âmbito de utilização dos dados a transferir não deve exceder o necessário para alcançar a finalidade pretendida

93 Artigo 5º: segurança dos dados Compete ao DHS (Department of Homeland Security) garantir: dos dados pessoais no momento da sua utilização Acordo 2012 > protecção > segurança >confidencialidade > integridade

94 Acordo 2012 Caso se verifique algum incidente que afecte a privacidade dos dados deveres do DHS: ● Informar as pessoas afectadas ● Adoptar medidas de correcção, procurando identificar e sancionar o responsável pelo incidente Artigo 19º: reconhece que o DHS confere uma protecção adequada quanto ao tratamento e utilização dos PNR, tendo em conta a legislação existente na União Europeia relativa à protecção dos dados pessoais.

95 Comunicação da Comissão sobre a abordagem global relativa à transferência dos dados de registo de identificação dos passageiros para países terceiros de 21 de Setembro de 2010 > Devem ser fixados padrões gerais a ser respeitados nos acordos celebrados entre a União Europeia e países terceiros Objectivo: maior harmonização na protecção dos dados pessoais

96 Artigo 6º: dados sensíveis > Não devem ser utilizados → Situações excepcionais ● Consentimento expresso do titular para o tratamento dos seus dados pessoais ● Protecção de interesses vitais da pessoa em causa DHS deve filtrar e ocultar os dados sensíveis dos PNR, tendo estes de ser definitivamente eliminados no máximo de trinta dias a contar da sua recepção. dados e informações pessoais que revelem a origem étnica, racial, opiniões, convicções políticas, religiosas, dados relativos à saúde ou orientação sexual de cada pessoa

97 Conservação dos dados: artigo 8º Base activa Base passiva 5 anosNão mais que 10 anos Anonimização irreversível apenas no prazo de 15 anos

98 Conservação dos dados sensíveis 30 dias Excepção: artigo 6º nº4 > Fins de investigação, processo judicial ou execução de uma pena

99 Sistema de transferência de dados adoptado: artigo 15º ● Sistema push (por exportação) : dados são seleccionados e transferidos directamente pelas companhias aéreas para as autoridades ● Sistema utilizado antes do Acordo de 2007: pull (por extracção): o DHS tinha acesso aos sistemas de reservas das transportadoras aéreas e extraia uma cópia dos dados necessários. O Grupo de Trabalho do artigo 29º aplaude a utilização exclusiva do sistema push, por entender que este protege mais eficazmente a privacidade de cada indivíduo.

100 Princípio da transparência: artigo 10º → Cada indivíduo: ● Deve ser informado da finalidade do tratamento dos seus dados pessoais ● Tem o direito de acesso aos mesmos ● Tem o direito de obter a correcção ou supressão dos seus dados (artigos 11º e 12º). Caso os dados pessoais de um determinado sujeito tenham sido utilizados e tratados de forma contrária à protecção assegurada, tem ele direito a utilizar vias de recurso (artigo 13º).

101 Transferências de dados → Transferências ulteriores para outras autoridades governamentais: artigo 16º ● Os dados PNR só podem ser divulgados a autoridades governamentais com competência em matéria de luta contra o terrorismo, que prossigam as finalidades estipuladas no artigo 4º & ● Assegurem a mesma protecção assegurada pelo Acordo

102 → Transferências ulteriores para países terceiros: artigo 17º Os EUA só pode transferir as informações para uma autoridade competente de um país terceiro se: ● Se esse Estado se comprometer a tratar os dados em conformidade com o nível de protecção previsto no acordo & ● A transferência se limitar às finalidades da transferência original Transferências de dados

103 Parecer da Autoridade Europeia para a Protecção de Dados (AEPD) sobre o Acordo de 2012 entre os EUA e a UE relativo à utilização e à transferência dos registos de identificação dos passageiros para o departamento de segurança interna dos Estados Unidos “Guardiã” europeia da protecção de dados pessoais

104 AEPD → Autoridade Europeia para a Protecção de Dados EDPS → European Data Protection Supervisor Funções 1)Controlo: garante que o direito à protecção de dados pessoais é respeitado por todas as instituições e órgãos da União Europeia; 2)Cooperação: compete à AEPD estabelecer uma cooperação com outros intervenientes importantes quanto ao domínio da protecção de dados de carácter pessoal, nomeadamente com outras autoridades não só a nível nacional como a nível internacional; 3) Aconselhamento: elaboração de pareceres, informações, entre outras atribuições.

105 Carta dos Direitos Fundamentais da União Europeia todas as limitações às liberdades e aos direitos fundamentais devem preencher os requisitos da necessidade, proporcionalidade e, além disso, têm de resultar de consagração expressa da lei. AEPD & Grupo de Trabalho do artigo 29 necessidade e proporcionalidade dos sistemas PNR e das transferências desses dados para países terceiros ainda não foram demonstradas, embora reconheçam que o actual acordo contém melhorias notórias, nomeadamente quanto às garantias de segurança e supervisão dos dados, comparativamente com o acordo de 2007.

106 Parecer AEPD sobre o Acordo de 2012 Finalidade do Acordo: > Recolher informações quanto ao terrorismo ou crime organizado, com base em avaliações de risco das pessoas razão que explica porque os dados API não se afiguravam como suficientes para alcançar a finalidade pretendida Utilizando os dados PNR, é possível comparar os dados dos passageiros com padrões comportamentais, realizando uma avaliação do risco.

107 ♦ Preocupação pelas decisões relativas aos passageiros aéreos, terem por base critérios e padrões abstractos ♦ Natureza evidentemente intrusiva das disposições do Acordo, uma vez que as medidas serão aplicadas a todos os passageiros, sejam ou não suspeitos numa investigação AEPD O cumprimento do princípio da proporcionalidade implica que não só as medidas sejam eficientes, como também que as finalidades não possam ser atingidas por instrumentos menos invasivos da privacidade.

108 Utilização dos PNR: crítica negativa A pesar de as definições que constam do artigo 4º do Acordo de 2012 serem mais precisas do que as que constavam do Acordo de 2007, continuam a existir conceitos vagos que podem originar situações em que os dados são utilizados além das finalidades permitidas, pelo facto de admitirem uma interpretação mais extensa do conteúdo do artigo, o que certamente prejudica a segurança jurídica.

109 Continuação da crítica A AEPD defende que o anexo do acordo de 2012 contém 19 tipos de dados PNR, que podem ser integrados em distintas categorias de dados, acabando por não existir uma diferença neste campo quanto ao Acordo de 2007, que havia já sido considerado, quanto a esta matéria, desproporcionado pela AEPD e pelo Grupo de Trabalho do artigo 29º.

110 Em suma: A luta contra o terrorismo, sendo um motivo legítimo para excepcionar a aplicação de alguns direitos fundamentais, como a privacidade e a protecção de dados, tem de ter em conta a necessidade de intromissão na vida das pessoas e deve ser demonstrada pelo princípio da proporcionalidade. Para a Autoridade Europeia para a Protecção de Dados, a necessidade e a proporcionalidade constituem uma condição sine qua non deste tipo de acordos. Link Vídeo: http://europarltv.europa.eu/pt/player.aspx?pid=98862ce3-0217- 42a6-b9e6-a05b008988d9

111 “Scanners” corporais nos aeroportos

112 “Scanners” corporais violam os direitos humanos A instalação de visores corporais nos aeroportos permitem visualizar qualquer pessoa praticamente nua. Após o passageiro entrar num cilindro (modelo mais comum), descalço e de braços levantados, é “inspeccionado” por geradores que lançam uma radiação de baixa intensidade, criando a imagem do passageiro. A utilização desta tecnologia permite a detecção de metais e de objectos de plástico. Em causa está a violação da intimidade dos passageiros aéreos, atentando contra a privacidade e a dignidade pessoal dos mesmos, já para não falar nas repercussões para a saúde que decorrem da utilização dos scanners corporais. Link vídeo: http://www.youtube.com/watch?v=MzpfH1UtknU

113 Scanners humanos nos aeroportos geram polémica nos EUA – Caso real John Tyner, cidadão americano, ia voar a partir do aeroporto de San Diego, mas recusou-se a submeter-se a um scanner completo do corpo. Este cidadão afirmou que não pretendia submeter-se a um “assédio sexual como condição para voar”. Resultado: foi impedido de apanhar o seu voo. Este caso gerou um debate nos EUA, questionando-se até que ponto pode o Governo ir na luta contra o terrorismo.

114 Diferentes abordagens ao nível da esfera da privacidade: A abordagem europeia vê a privacidade como um direito humano fundamental, uma condição prévia para a autonomia do indivíduo. Esta posição tem a sua origem nas experiências históricas com ditaduras como o nazismo e regimes repressivos na Europa de Leste, que têm sensibilizado os europeus para a importância da protecção dos dados pessoais. Nos EUA, a ausência de tais experiências, combinada com uma longa tradição de desconfiança contra o Governo, levou a uma preferência pela auto-regulação e pela salvaguarda da liberdade na área de comércio em geral, com implicações no domínio da privacidade. A privacidade é vista, de certa forma, como um direito de propriedade, em vez de um direito humano, uma mercadoria, que é negociável. Considerações Finais PRIVACIDADE VS SEGURANÇA

115 Estamos perante um direito fundamental (Privacidade) e um interesse público (segurança): Os dados pessoais podem ser úteis em determinadas circunstâncias (combate à criminalidade); porém, a recolha e o tratamento de todos os dados dos passageiros poderá não ser a melhor forma de acabar com esses fenómenos; podem ser explorados outros meios disponíveis, de preferência com efeitos menos intrusivos para os passageiros de boa-fé, a fim de reforçar a segurança e garantir viagens aéreas seguras e eficazes. Considerações Finais PRIVACIDADE VS SEGURANÇA

116 O desenvolvimento da sociedade contribuiu para a evolução dos direitos à intimidade e privacidade, amplamente desenvolvidos na cultura norte-americana, superando assim a ideia inicial do Right to Privacy do final do século XIX. Actualmente, a logística social moderna exige do Estado um maior controlo das atividades particulares, em busca do interesse público da segurança e do bem estar social. O cerne do conflito reside na discussão sobre até onde pode o Estado intervir na liberdade individual, mais concretamente no direito à privacidade, em benefício do interesse público, mediante um apertado controlo da coletividade. Neste contexto inclui-se a disseminação, muitas vezes inadequada, de métodos de controlo que agridem valores previstos na Constituição, como o excessivo uso de câmaras de segurança, a revista em locais públicos e a utilização de detectores de metais. O medo colectivo não pode ser elevado à patologia social que justifique tamanha restrição da vida particular dos cidadãos. Admitimos assim que o Estado possa aplicar restrições à vida particular, desde que legítimas, observados os princípios da proporcionalidade e razoabilidade. Concluímos assim que a hermenêutica jurídica constitucional é a ferramenta adequada para ponderar e balancear o conflito entre liberdade particular e interesse público.

117 Os direitos fundamentais não são absolutos nem ilimitados – pelo contrário, são limitados internamente (para assegurar os mesmos direitos a todas as outras pessoas– princípio da dignidade humana) e também externamente (para assegurar outros direitos e interesses legalmente protegidos). Na Resolução de 5 de Maio do Parlamento Europeu, refere-se que “ necessidade e proporcionalidade são princípios chave sem os quais a luta contra o terrorismo nunca será eficaz” Considerações Finais PRIVACIDADE VS SEGURANÇA

118 PRIVACIDADE VS SEGURANÇA Em suma, perante as várias críticas retiradas da análise dos diferentes Acordos, pensamos que não foi ainda possível encontrar um equilíbrio entre a liberdade e a segurança dos cidadãos, de forma a evitar ingerências e restrições desproporcionadas na sua intimidade privada. Existe, ainda hoje, quem entenda que o Acordo de 2012 não cumpre os critérios estabelecidos pelo Parlamento Europeu nas suas Resoluções de 2010, e não está em consonância com a legislação da União Europeia, e temem por outro lado, que os dados PNR possam ser utilizados para fins não relacionados com terrorismo. O eurodeputado Jan Phillipp Albrecht referiu, na sequência da aprovação do Acordo de 2012, que quem votou favoravelmente nesta matéria, esqueceu-se das liberdades civis dos cidadãos europeus por aceitar o que denominou de “vigilância intrusiva ao estilo Big Brother”.

119 PRIVACIDADE VS SEGURANÇA É importante realizar estudos que demonstrem a eficácia da utilização de dados PNR na luta contra o terrorismo e a criminalidade organizada, antes de serem utilizados em tão larga escala. Na realidade, um número crescente de estudos comprovam precisamente o contrário. Entendemos que a utilização de dados PNR não consubstancia uma medida eficaz nessa luta e podem estar assim a violar outro direito fundamental sem necessidade (“os fins não justificam os meios”). Basta perguntarmos quantos atentados terroristas foram travados, com a aplicação das técnicas PNR? Não temos dados para garantir que se trata de uma medida essencial nesta matéria. Estudos demonstram que têm sido úteis no combate ao tráfico de armas e de estupefacientes. Relatório do PE de Julho de 2011 sobre a política de luta contra o terrorismo da EU: “lamenta que não tenha sido aproveitada a oportunidade para explicar de que modo determinados instrumentos de luta contra o terrorismo da UE, como a conservação de dados, os registos de identificação dos passageiros (PNR), se integram na estratégia de luta contra o terrorismo da União Europeia(…)”

120 OBRIGADA!. Fim da Apresentação.