Direito da Comunicação

1. A luta contra o terrorismo e as tensões entre a UE e os EUA quanto à transferência de dados pessoais de passageiros aéreos Direito da Comunicação Discentes: Ana Cláudia Carapinha Cláudia Sofia Monteiro Pereira Rita Carrilho Garcês Docente: Prof.ª Maria Eduarda Gonçalves 10 de Maio de 2013

2. Modelo de protecção de dados pessoais Modelo Europeu Década de 70 1970 – Alemanha, através da Lei de Hesse Suécia – Lei Datalagen (Lei n.º 289) – exigia uma autorização especial para a transmissão de dados recolhidos na Suécia para um país terceiro CRP de 1976, na 1.ª versão, foi a 1.ª no mundo a conferir dignidade constitucional à protecção de dados pessoais (art.35.º) 1981 – Convenção n.º 108 do Conselho da Europa

3. Convenção n.º 108 do Conselho da Europa Art. 2.º a): Dados de carácter pessoal significa qualquer informação relativa a uma pessoa singular identificada ou susceptível de identificação Art. 5.º - princípio da qualidade dos dados, “obtidos e tratados de forma leal e lícita” Art. 6.º - princípio do tratamento de dados sensíveis - dados pessoais como a origem racial, as crenças religiosas ou dados relativos à saúde, estes só podem ser objecto de tratamento, se tiverem garantias de protecção Art. 7.º - princípio da segurança dos dados - medidas de segurança que garantam a não destruição dos dados Art. 12.º - Entre Estados não deveria haver limitações nas transferências de dados, excepto se o país de destino não assegurava equivalentes condições de protecção

4. Directiva 95/46/CE relativa à protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados Art 6.º - princípio da qualidade dos dados a) “objecto de um tratamento leal e lícito “ b) “recolhidos para finalidades determinadas, explícitas e legítimas, e que não são posteriormente tratados de forma incompatível com essas finalidades.” c) “adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente”

5. Directiva 95/46/CE Art. 7.º - legitimidade de tratamento de dados “A pessoa em causa tiver dado de forma inequívoca o seu consentimento” ou b) “O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa”;ou e) “O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados”;

6. Directiva 95/46/CE art. 10.º - Os Estados-Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se já delas tiver conhecimento: Identidade do responsável pelo tratamento e, eventualmente, o seu representante, Finalidades do tratamento a que os dados se destinam; Outras informações, tais como: - a existência do direito de acesso aos dados que lhe digam respeito e do direito de os rectificar desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

7. Directiva 95/46/CE Art. 12.º - direito de acesso Art. 13.º - Derrogações e restrições Os Estados-Membros podem restringir alguns dos direitos e obrigações do art 6.º-1), 10.º, 12.º, se tal “restrição constitua uma medida necessária à protecção: a)da segurança do Estado; b) da defesa … g)de pessoa em causa ou dos direitos e liberdades de outrem” .

8. Directiva 95/46/CE Art.º 17.º-1) - segurança do tratamento – “ Os Estados-membros estabelecerão que o responsável deve pôr em prática medidas técnicas e organizativas adequadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer forma de tratamento ilícito” Art. 8.º-1) “Os Estados-membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual” Excepções- n.º 2) o n.º 1 não se aplica quando: “A pessoa em causa tiver dado o seu consentimento explícito para esse tratamento”

9. Directiva 95/46/CE Excepções - n.º 2) o n.º 1 não se aplica quando b)O tratamento for necessário para o cumprimento das obrigações e dos direitos do responsável pelo tratamento no domínio da legislação do trabalho, desde que o mesmo seja autorizado por legislação nacional que estabeleça garantias adequadas; c)O tratamento for necessário para proteger interesses vitais da pessoa em causa”

10. Directiva 95/46/CE à circulação internacional de dados pessoais Entre Estados-Membros, os dados circulam livremente Transferência para um país terceiro , tem de “ assegurar um nível de protecção adequado” – art 25.º-1) n.2) “a adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferência de dados” n.º 3) “ Os Estados-Membros e a Comissão informar-se-ão mutuamente dos casos em que consideram que um país terceiro não assegura um nível de protecção adequado”

11. Directiva 95/46/CE Excepções – art.26.º: pode haver transferência de dados pessoais para um país terceiro, mesmo que não assegure um nível de protecção adequado, nos seguintes casos: a)”Pessoa em causa tenha dado de forma inequívoca o seu consentimento à transferência; ou b) A transferência seja necessária para a execução de um contrato entre a pessoa e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; c) A transferência seja necessária à execução ou celebração de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o responsável pelo tratamento e um terceiro; ou d) A transferência seja necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num proc. Judicial; ou e) A transferência seja necessária para proteger os interesses vitais da pessoa em causa; ou f) A transferência seja realizada a partir de um registo público…se destine à informação do público e se encontre em aberto à consulta do público em geral”.

12. Directiva 95/46/CE Art. 26.º -2) in fine pode haver transferências de dados pessoais para um país terceiro, que não assegura um nível de protecção adequado, se “o responsável pelo tratamento apresente garantias suficientes de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respectivos direitos; essas garantias podem resultar de cláusulas contratuais adequadas.” Decisão da Comissão n.º 2001/497/CE, relativa às cláusulas contratuais- tipo aplicáveis à transferência de dados pessoais para países terceiros, de acordo com a Directiva 95/46/CE. Exportador e Importador de dados(cláusula 1)

13. Cláusulas Contratuais-tipo • cláusula 4 - obrigações do exportador • dever do exportador, ao realizar o tratamento dos dados, deve aplicar as suas normas, isto é, utiliza-se as normas próprias do Estado-Membro em que o exportador se situa. • O exportador é garante da “transferência que envolver categorias especiais de dados, os titulares dos dados são informados de que os seus dados podem ser transmitidos para um país terceiro que não garante um nível de protecção adequado”. • Cláusula 5 – obrigações do importador • responde a todos os pedidos solicitados pelo exportador ou titulares dos dados, dos quais realizou o tratamento.

14. O modelo norte-americano para a protecção de dados pessoais

16. O modelo norte-americano para a protecção de dados pessoais foi influenciado por uma política de laissez-faire, que predominou fortemente nos EUA, associada ao liberalismo económico. Laissez-faire: em português significa "deixem fazer, deixem passar, o mundo vai por si mesmo“; princípio defendido pelos economistas mais liberais, de acordo com o qual, o Estado deve interferir o menos possível na actividade económica e deixar que os mecanismos de mercado funcionem livremente.

18. O Estado da Califórnia encontra-se em primeiro lugar, no ranking que respeita à protecção da privacidade dos seus cidadãos, de acordo com o “Privacy Journal”, que publica periodicamente notícias sobre este tema. • Nos últimos anos, este Estado tem vindo a desenvolver esforços na protecção legal desta matéria, bem como os seus tribunais e a sua Constituição que também favorecem uma maior protecção da privacidade neste Estado.

19. Freedom of Information Act de 1967 (FOIA) Fornecia aos indivíduos um acesso a vários tipos de registos em agências ou entidades estaduais, incluindo uma série de informações pessoais. Com este regime, emergiu pela primeira vez, um verdadeiro direito de acesso dos cidadãos aos seus próprios dados, conservados em entidades do estado norte-americano.

20. Privacy Act de 1974 A Privacy Act surgiu na sequência de sucessivas alterações à designada lei federal, Freedom of Information Act de 1967 (FOIA). Constituiu a primeira lei norte-americana a reconhecer o direito à privacidade como um direito fundamental, protegido pela Constituição dos EUA. Esta legislação pretendia estabelecer um código de práticas seguras de informação, que regulasse a recolha, manutenção, utilização e divulgação de informações pessoais dos cidadãos por organismos federais.

21. Privacy Act de 1974 O regime do Privacy Act instituiu uma série de princípios, como por exemplo: • Apossibilidade de cada indivíduo ter conhecimento da informação que está contida no seu registo e de que forma esta é utilizada; • Afaculdade conferida ao indivíduo de corrigir ou alterar informações erradas, e ainda o dever de qualquer organização que utilize ou divulgue os registos de dados pessoais identificáveis, de assegurar a confiabilidade dos dados para a sua finalidade, bem como adoptar medidas para evitar o uso indevido; • Proibia as agências de divulgar os registos pessoais dos clientes para terceiros ou para outros órgãos, sem o consentimento da pessoa a quem pertencia o registo. O Privacy Act possibilitaria assim, os indivíduos, de controlar o acervo do governo federal, o uso e a divulgação de informações pessoais e sensíveis.

22. Alguns exemplos de legislação federal existente nos EUA, em matéria de Privacidade, com âmbito circunscrito a determinadas áreas https://www.cdt.org/about Site do CDT (Centre for Democracy and Technology)

23. “Family Education Rights and Privacy Act” (1974) - para proteger a confidencialidade dos registos dos alunos. A lei aplica-se a todas as escolas que recebam financiamento federal, e pretende impedir que as instituições de ensino divulguem os registos dos seus alunos, ou informações pessoalmente identificáveis ​​sobre os alunos a terceiros, sem o consentimento dos mesmos e dos seus pais. “Right to Financial Privacy Act” (1978), que consagra o direito de protecção da confidencialidade dos registos financeiros. Assim, nenhuma autoridade do governo pode ter acesso ou obter cópias, de informações contidas nos registos financeiros de qualquer cliente de uma instituição financeira (ex: bancos, seguradoras), a menos que haja autorização do cliente, uma intimação administrativa adequada ou um mandato de busca qualificado. “Video Privacy Protection Act” (1988), a lei proíbe os prestadores de serviços de videoclubes de divulgar registos dos seus clientes, sem o consentimento informado e por escrito do consumidor. Além disso, a lei exige que os prestadores de serviços, destruam as informações dos clientes pessoalmente identificáveis ​​no prazo de um ano, sem prejuízo de excepções e limitações a atender, caso a caso.

24. “Employee Polygraph Protection Act” (1988), que proíbe os empregadores, com excepção das empresas de serviços de segurança e fabricantes de produtos farmacêuticos, de utilizar detectores de mentiras na pré-contratação dos seus trabalhadores, ou durante o período laboral. Nos casos em que é permitido o teste do polígrafo, os técnicos estão sujeitos a várias normas rígidas no que diz respeito ao cumprimento e à realização do teste. “Telephone Consumer Protection Act”(1991) - foi promulgado em resposta às queixas dos consumidores sobre a proliferação de práticas de telemarketing intrusivas e preocupações sobre o impacto de tais práticas sobre a privacidade do consumidor. Prevê a necessidade de qualquer pessoa ou entidade, que exerça telemarketing, manter uma lista dos consumidores que exijam não ser abordados via telefone para o efeito.

25. Tensões entre os Estados Unidos e a União Europeia quanto às políticas de privacidade “Os EUA e a UE, embora perfilhem o propósito comum de assegurar a protecção da vida privada dos seus cidadãos, abordam a questão de formas diferentes” Decisão da Comissão 2000/520/CE, de 26 de Julho de 2000

26. •Legislação abrangente •Directiva 95/46/CE • Abordagem sectorial • Regulamentação • Auto-regulamentação Solução Safe HarborAgreement

27. SafeHarborAgreement • Surgiu pelas mãos do Departamento de Comércio dos EUA, apoiado pela Comissão Europeia ● Utilizado exclusivamente por empresas dos EUA que recebam dados pessoais com origem na UE ● Certificação de empresas norte-americanas ● Avaliação de conformidade com normas consideradas adequadas nos termos do artigo 25º da Directiva europeia

28. • Inscrição voluntária das empresas interessadas, junto do Departamento de Comércio americano a inscrição será efectiva a partir do momento em que a empresa apresente uma certificação atribuída por aquele

29. Safe HarborPrinciples Princípios de porto seguro • Princípio do aviso prévio • Princípio da escolha • Princípio relativo a transferências para terceiros • Princípio do acesso aos dados pessoais • 5) Princípio da segurança dos dados • 6) Princípio da integridade dos dados • 7) Princípio da aplicação

30. Princípio do aviso prévio Empresas que voluntariamente tenham assinado o acordo ficam obrigadas a: ● Notificar os titulares dos dados sobre as informações recolhidas a seu respeito e dos fins a que se destina essa recolha ● Fornecer informação sobre o modo como os titulares dos dados podem contactar a empresa, caso necessitem de o fazer ● Informação formulada de forma concisa e recorrendo a uma linguagem clara e perceptível pelo destinatário da mesma Princípio da escolha Cabe aos titulares dos dados a faculdade de escolher se os seus dados podem ou não ser transmitidos a terceiros ou se podem ser utilizados para outra finalidade que não aquela para a qual foram recolhidos

31. Princípio relativo a transferências para terceiros É imprescindível garantir que os dados não são transferidos por uma empresa que siga os princípios do porto seguro para outra empresa que não ofereça a protecção adequada. Princípio do acesso aos dados pessoais Faculdade atribuída ao titular dos dados pessoais de conhecer quais as suas informações pessoais que são detidas por uma dada empresa. Princípio da segurança dos dados As empresas norte-americanas devem tomar precauções para proteger os dados pessoais de perdas, mau uso, divulgação, alteração e destruição não autorizadas.

32. Princípio da integridade dos dados Os dados devem assumir-se relevantes para os fins a que se destina o seu uso, não sendo possível à empresa tratar os dados de forma incompatível com os fins para os quais foram recolhidos. Princípio da aplicação Para que seja assegurado o cumprimento dos princípios do porto seguro, as empresas devem disponibilizar mecanismos de recurso que permitam aos indivíduos a reparação de eventuais danos no tratamento dos seus dados pessoais.

33. Decisão da Comissão 2000/520/CE relativa ao nível de protecção assegurado pelos princípios do “porto seguro” Artigo 1º 1.Nos termos do nº 2 do artigo 25º da Directiva 95/46/CE (…) considera-se que os “princípios da privacidade em porto seguro” (…) asseguram um nível adequado de protecção dos dados pessoais transferidos a partir da Comunidade Europeia para organizações estabelecidas nos Estados Unidos da América (…)”

34. A transferência de dados pessoais de passageiros aéreos – O sistema PNR

35. O terrorismo e o crime organizado envolvem frequentemente viagens internacionais. Toda a informação das viagens reunida pelas transportadoras é um instrumento importante para as autoridades policiais para prevenir, detectar e investigar o crime, e processar os criminosos. O que são os dados PNR (Passenger Name Record) ? Os dados PNR (Registo de Identificação dos Passageiros) correspondem a informação fornecida pelos passageiros durante a reserva de viagens e respectivo check-in antes dos voos, bem como recolhidos pelas transportadoras aéreas para os seus próprios fins comerciais. Estes dados contêm vários tipos de informação, como datas de viagem, itinerário de viagem, informações sobre ingressos, contactos, agente de viagens através do qual o voo foi reservado, meios de pagamento utilizados, número do assento e as informações de bagagem. Os dados são armazenados na reserva das companhias aéreas e bancos de dados de controlo de partidas.

36. O problema surge quando se começa a aceder, de forma desmedida, a estes dados PNR para fins de combate à criminalidade grave e ao terrorismo. É importante que os Estados consigam não só resolver o problema das ameaças de segurança dos seus cidadãos, mas também, problemas inerentes à utilização indevida dos dados pessoais para servirem interesses atentatórios dos direitos, liberdades e garantias dos cidadãos.

37. Aviaton and Transportation Security Act (2001) Após os atentados terroristas de 11 de Setembro de 2001, o Governo dos EUA decidiu adoptar um conjunto de medidas para evitar ataques semelhantes, e logo a 19 de Novembro de 2001 implementou a “Aviation and Transportation Security Act”. Esta lei rege a segurança em matéria de aviação e de transportes, e dispõe que as transportadoras aéreas que efectuam voos com destino aos Estados Unidos, são obrigadas a fornecer dados sobre os passageiros aos serviços aduaneiros e de imigração daquele país. O sistema PNR tornou-se uma exigência de segurança criada pelos EUA na sequência dos atentados de 11 de Setembro.

38. Sistema APIS (Advanced Passenger Information System) Foi o sistema inicialmente utilizado na maioria dos voos internacionais, e funciona como sistema de informações preliminares sobre os passageiros. Consiste numa recolha de dados, e permite uma pesquisa em bases de dados sobre passageiros, antes da sua chegada ao país de destino (informações biográficas). O tipo de informação adquirida é, regra geral, a que consta do passaporte e do documento de identificação como o nome completo, data de nascimento, sexo e nacionalidade. Para os passageiros com destino aos EUA, poderia ser adicionalmente exigido a morada completa do local onde iriam permanecer em território americano.

39. Sistema APIS (Advanced Passenger Information System) Os dados APIS são disponibilizados às autoridades de controlo de fronteiras, com a finalidade de combater a imigração ilegal, controlando mais eficazmente as fronteiras. Embora excepcionalmente, os dados APIS podem também ser utilizados para identificar suspeitos e pessoas procuradas.

40. Sistema PNR – Passenger Name Record O sistema PNR, é totalmente diferente do sistema APIS, pois para além de não ser voluntário, vai muito além da informação que está contida no passaporte, constituindo inclusivamente em relação a algumas categorias de dados, uma violação manifesta da legislação da UE em matéria de protecção de dados. As autoridades americanas não têm apenas acesso aos nomes dos passageiros, mas igualmente ao número do cartão de crédito, aos trajectos já efectuados, aos problemas de saúde (caso exista um pedido de assistência médica), à religião (através do pedido de refeição especial) aos dados relativos a contactos (amigos, local de trabalho), etc.

41. Sistema PNR – Passenger Name Record Os dados PNR contêm uma utilização muito particular. Desde logo, podem ter a chamada utilização reactiva, isto é, os dados são utilizados em investigações e para a detecção de redes de práticas de crimes. Por outro lado, podem ter uma utilização em tempo real, ou seja, ser utilizados para fins de prevenção da criminalidade, permitindo a detenção de indivíduos antes da prática do crime, ou mesmo depois de já ter sido praticado. Podem assim ser utilizados de modo pró-activo, o que significa que serão utilizados para criar padrões de viagem e de comportamento, permitindo analisar as tendências em tempo real.

42. Esta situação foi reconhecida pela Comissão Europeia, e deu início a negociações com os EUA para encontrar uma solução para essa transferência ilegal de dados. A partir de Fevereiro de 2003, os serviços aduaneiros e de emigração dos EUA obrigaram as companhias aéreas (incluindo as europeias) a garantir um acesso ilimitado aos dados pessoais constantes dos sistemas informatizados de reserva, em violação das obrigações decorrentes da Directiva 95/46/CE de 1995, e doRegulamento (CEE) nº 2299/89. Esta invasão aos dados pessoais foi imposta sob pena de pesadas sanções, que poderiam incluir multas de cerca de 6.000 EUROS por passageiro até à perda dos seus direitos de aterragem.

43. A Comissão Europeia na altura, considerou que as exigências americanas teriam que ser alvo de negociação, de forma a torná-las compatíveis com a legislação comunitária. Os pontos fundamentais invocados foram: O período de conservação dos dados; o número de dados PNR (que dos 39 iniciais, passaram a ser 34 ); O direito de informar adequadamente as pessoas interessadas e os mecanismos para a correcção de possíveis erros, bem como autoridades de controlo independentes; O tratamento dos chamados "dados sensíveis", como é o caso de preferências alimentares e informação médica e a definição de crimes graves, em relação aos quais esses dados podem ser utilizados para capturar suspeitos.

44. Sistema PNR – Passenger Name Record

45. O Acordo de 2012 (actual), contém em anexo, uma lista dos tipos de dados abrangidos ANEXO -TIPOS DE DADOS PNR 1. Código localizador do PNR 2. Data da reserva/emissão do bilhete 3. Data(s) da viagem prevista 4. Nome(s) 5. Informações disponíveis sobre passageiros frequentes e outras vantagens (bilhetes gratuitos, subidas de classe, etc.) 6. Outros nomes constantes do PNR, incluindo o número de passageiros nos PNR 7. Todas as informações sobre os contactos disponíveis (incluindo informações sobre a origem dos dados) 8. Todas as informações disponíveis sobre pagamentos/facturas (exceptuando dados sobre outras transacções efectuadas por meio de cartões de crédito ou contas bancárias não relacionadas com a transacção relativa à viagem)

46. O Acordo de 2012 (actual), contém em anexo, uma lista dos tipos de dados abrangidos 9. Itinerário completo para o PNR em questão 10. Agência/agente de viagens 11. Informações sobre a partilha de códigos 12. Informações separadas/divididas 13. Estatuto do passageiro em viagem (incluindo confirmações e situação no check-in) 14. Informações sobre os bilhetes, incluindo o número do bilhete, bilhetes de ida e propostas de tarifas por via informática 15. Todas as informações relativas às bagagens 16. Informações sobre o lugar, incluindo o seu número específico 17. Observações gerais, incluindo informações OSI, SSI e SSR 18. Informações APIS eventualmente recolhidas 19. Historial completo das modificações dos PNR enumerados nos pontos 1 a 18”

47. No presente estudo, pretende-se analisar os sucessivos Acordos (2004,2007,2012) quanto aos dados PNR, que visam a cedência de dados pessoais dos passageiros nas companhias aéreas. Observamos as alterações que têm surgido, criticando-as ou louvando-as, conforme o caso. Quando se comparam os Acordos de 2004, de 2007 e de 2012, os fins para os quais os dados PNR podem ser usados, foram alargados consideravelmente.

48. http://www.youtube.com/watch?v=nMKRaeCPlDc Como é que os dados dos passageiros aéreos ajudam a combater o terrorismo e a criminalidade transnacional? “Whatis PNR and it’scontext?” Três importantes elementos do Departamento de Segurança Interna dos EUA (Department of Homeland Security) explicam, em Bruxelas, porquê que os dados dos passageiros são essenciais na luta contra o terrorismo.

49. Decisão 2004/535/CE

50. Decisão 2004/535/CE da Comissão 11 de Maio de 2004 nível de protecção adequado dos dados pessoais contidos nos PassengerName Record transferidos para o Bureau ofCustomsandBorderProtection dos Estados Unidos (CBP) nível adequado de protecção dos dados dos PNR transferidos a partir da Comunidade no que diz respeito a voos com destino a ou provenientes dos Estados Unidos – art. 1.º Declaração de Compromisso do CBP exige que todas as companhias áreas que façam voos para os Estados Unidos devem fornecer ao CBP os PNR dos passageiros