Grupo de Protecção de Dados do artigo 29.º

Transcrição

1 Grupo de Protecção de Dados do artigo 29.º WP134 Parecer n. 3/2007 sobre a proposta de Regulamento do Parlamento Europeu e do Conselho que altera as Instruções Consulares Comuns destinadas às missões diplomáticas e postos consulares de carreira no que diz respeito à introdução de dados biométricos, incluindo as disposições relativas à organização da recepção e do tratamento dos pedidos de visto [COM(2006)269 final] Adoptado em 1 de Março de 2007 Este Grupo de trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de protecção de dados e privacidade. As suas atribuições são descritas no artigo 30.º da Directiva 95/46/CE e no artigo 14.º da Directiva 97/66/CE. O secretariado é assegurado pela Direcção C (Justiça Civil, Direitos Fundamentais e Cidadania ) da Comissão Europeia, Direcção-Geral da Justiça, Liberdade e Segurança, B Bruxelas, Bélgica, Gabinete n.º LX-46 01/43. Sítio Web:

2 ÍNDICE 1. CONTEXTO INTRODUÇÃO AVALIAÇÃO PRELIMINAR E CONDIÇÕES PRÉVIAS GERAIS TRATAMENTO DOS DADOS BIMÉTRICOS... 6 A) A ESCOLHA DOS INSTRUMENTOS JURÍDICOS... 6 B) OBRIGAÇÃO DE FORNECER IMPRESSÕES DIGITAIS... 7 C) ISENÇÃO DA OBRIGAÇÃO... 8 c1) Idade dos requerentes de visto... 8 c2 )Iimpossibilidade de registo OUTRAS GARANTIAS ESPECÍFICAS... 9 A) COOPERAÇÃO COM PRESTADORES DE SERVIÇO EXTERNOS B) CENTROS COMUNS PARA APRESENTAÇÃO DE PEDIDOS CONCLUSÕES

3 Parecer n. 3/2007 sobre a proposta de Regulamento do Parlamento Europeu e do Conselho que altera as Instruções Consulares Comuns destinadas às missões diplomáticas e postos consulares de carreira no que diz respeito à introdução de dados biométricos, incluindo as disposições relativas à organização da recepção e do tratamento dos pedidos de visto [COM(2006)269 final] O GRUPO DE PROTECÇÃO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS, instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de , Tendo em conta o artigo 29., o n. 1, alínea c) e o n. 3 do artigo 30. da directiva supracitada, Tendo em conta o seu regulamento interno, nomeadamente os artigos 12.º e 14.º, ADOPTOU O SEGUINTE PARECER: 1. Contexto A actual proposta de alteração das Instruções Consulares Comuns tem como objectivo criar a base jurídica para a recolha obrigatória dos identificadores biométricos dos requerentes de visto e estabelecer disposições sobre a organização dos postos consulares dos Estados-Membros, à luz da política comum em matéria de vistos e de uma maior integração entre os postos consulares. A adopção de um regulamento que altera as Instruções Consulares Comuns em matéria de vistos no que diz respeito à introdução da biometria, é uma "condição prévia" para a aplicação do Sistema de Informação sobre Vistos (VIS) 2, uma vez que prevê "o quadro jurídico para a recolha dos identificadores biométricos necessários". O Sistema de Informação sobre Vistos será implantado e regulamentado com a entrada em vigor do regulamento do Parlamento Europeu e do Conselho relativo ao VIS e ao intercâmbio de dados entre os Estados-Membros sobre os vistos de curta duração, que está actualmente a ser debatido. A criação de uma base de dados centralizada com informações sobre requerentes de visto, incluindo as suas impressões digitais e imagens faciais digitalizadas, conjuntamente com informações sobre grupos de viajantes e pessoas que dão acolhimento nos países de destino dos requerentes, é considerada um elemento-chave da execução de uma política comum em matéria de vistos e da realização dos objectivos definidos no artigo 61. do Tratado que institui a Comunidade Europeia (TCE), nomeadamente a livre circulação de pessoas num espaço de liberdade, de segurança e de justiça. 1 JO L 281 de , p. 31, disponível para consulta em: 2 Proposta de Regulamento do Parlamento Europeu e do Conselho relativo ao Sistema de Informação sobre Vistos (VIS) e ao intercâmbio de dados entre os Estados-Membros sobre os vistos de curta duração [COM(2004) 835 final] apresentada pela Comissão em 28 de Dezembro de

4 O Grupo já emitiu dois pareceres, em 2004 e , no âmbito dos quais assinalou uma série de problemas e formulou algumas sugestões que foram tidas em consideração na análise seguidamente apresentada. A Autoridade Europeia para a Protecção de Dados também emitiu um parecer sobre a proposta de regulamento 4. O Grupo foi convidado a emitir o seu parecer sobre a actual proposta de regulamento, em conformidade com o nono considerando. 2. Introdução As Instruções Consulares Comuns (ICC) estabelecem as práticas mínimas que as representações consulares dos Estados-Membros devem respeitar ao emitir vistos uniformes. As ICC constituem o instrumento de base que regula os procedimentos e as condições de emissão de vistos de curta duração, de vistos trânsito e de vistos de trânsito aeroportuário. As ICC foram elaboradas no contexto da cooperação intergovernamental Schengen. As disposições Schengen relativas à política de vistos foram dotadas de uma base jurídica, sendo portanto parte integrante da legislação comunitária. A Decisão 1999/436/CE do Conselho estabelece como base jurídica das disposições principais das ICC o ponto 2, alínea b), do artigo 62. do TCE. Contudo, essa decisão não integrou directamente as ICC no TCE nem estabeleceu uma base jurídica para a totalidade das ICC. Está a ser realizada uma reformulação geral do texto existente das ICC, em que serão integradas as disposições da proposta actual, juntamente com a reorganização das regras em matéria de vistos. A nova proposta assumirá a forma de um regulamento e terá por objectivo clarificar e tornar mais transparente um conjunto de disposições que foram elaboradas durante um longo período de tempo e que incluem, na sua maioria, instruções operacionais aplicáveis aos postos consulares. Prevê-se que o novo texto faça uma distinção mais clara entre princípios jurídicos e disposições administrativas, instituindo assim um verdadeiro Código Comunitário de Vistos, cujo modelo é o Código Comunitário das Fronteiras recentemente adoptado. O objectivo final consiste em ajustar as disposições da Convenção Schengen relativas à criação de um espaço sem fronteiras ao quadro jurídico da Comunidade. A Comissão pretende que a referida reformulação geral seja igualmente aplicável à reconfiguração dos formulários a preencher para os pedidos de visto, que serão simplificados, com a correspondente redução de categorias e de dados que se devem fornecer no momento da apresentação dos pedidos. 3 Doc. WP 96 Doc WP Carta de 27 de Julho de 2006 ao Presidente do Comité Estratégico da Imigração, Fronteiras e Asilo. 4 Parecer emitido em 27 de Outubro de _CCI_EN.pdf 4

5 3. Avaliação preliminar e condições prévias gerais O quadro normativo de referência aplicável à implantação do VIS ainda não foi inteiramente estabelecido. Esse facto dá ao Grupo a oportunidade de se exprimir uma vez mais e contribuir com a sua experiência em matéria de protecção dos direitos fundamentais (em especial o direito à protecção dos dados pessoais consagrado no artigo 8. da Carta dos Direitos Fundamentais da UE) para o processo legislativo em curso nas instâncias comunitárias competentes. A política comum de vistos é abrangida inteiramente pelo âmbito de aplicação do direito comunitário. O quadro de referência harmonizado, no que respeita às questões atinentes aos direitos humanos e à protecção dos dados pessoais, é constituído, portanto, pela Directiva 95/46/CE que contém os princípios a respeitar no tratamento legal dos dados. O Grupo recorda que o artigo 6. da Directiva 95/46/CE estabelece o princípio de que os dados pessoais podem ser tratados com toda a legalidade apenas se forem adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente. No seu anterior parecer sobre o VIS 5, o Grupo tinha suscitado o problema da necessidade e da proporcionalidade de uma base de dados da UE de tão grande dimensão, tendo advertido para os riscos envolvidos, em especial no que se refere à recolha e introdução no sistema de vários milhões de elementos de identificação biométricos. A avaliação do princípio da proporcionalidade nestas questões de vistos e de livre circulação de pessoas coloca inevitavelmente o problema da legitimidade fundamental da recolha de identificadores biométricos, não se limitando apenas aos procedimentos de tratamento e às técnicas de recolha desses dados. A introdução e a conservação de dados na base de dados central do VIS suscitam problemas éticos e de fiabilidade, tanto em termos de acesso como em termos de resultados falsos-positivos e/ou falsos-negativos. O Grupo considera que se deve prestar especial atenção às categorias de dados a incluir na base de dados centralizada (C-VIS), bem como à possibilidade de aditar um texto novo directamente ao Regulamento VIS por forma a assegurar a necessária flexibilidade. Seria necessário ter ainda em conta as implicações para a dignidade humana e os direitos fundamentais derivadas da introdução de dados biométricos e da possibilidade de utilizar impressões digitais - independentemente do ficheiro criado na sequência do pedido de visto - quando se trata de pesquisar o sistema no seu conjunto. Esses dados biométricos poderiam perfeitamente ser utilizados no futuro como chave de pesquisa para o SIS e a Eurodac, como proposto para efeitos da interoperabilidade do sistema. Além disso, deveria ser examinado o impacto das várias propostas em fase de debate e/ou de projecto. Estas propostas deverão permitir às autoridades responsáveis pela segurança nacional aceder ao VIS - para além do acesso à Eurodac. Esta possibilidade é susceptível de aumentar o risco 5 WP

6 de abusos e de utilização do C-VIS para finalidades diferentes daquelas para as quais os dados foram recolhidos e disponibilizados a nível do sistema 6. Por conseguinte, seria oportuno que as decisões sobre as categorias de dados a recolher através dos formulários normalizados de apresentação de vistos sejam tomadas juntamente com as decisões relativas aos dados a incluir no C-VIS. Também se deve ter em conta o princípio da proporcionalidade e o princípio da minimização dos dados por forma a impedir eventuais abusos do sistema. É essencial que o processo de tomada de decisão neste domínio, cujo impacto sobre os direitos dos indivíduos é bastante significativo, não seja demasiado reservado. Deve ser garantido o controlo democrático em relação aos procedimentos nesta matéria, devendo as autoridades de protecção dos dados ter condições para cumprir de facto a missão que lhe é atribuída neste domínio. 4. Tratamento dos dados biométricos A proposta actual estabelece que "os Estados-Membros procedem à recolha de identificadores biométricos, incluindo a imagem facial e as dez impressões digitais do requerente ", criando deste modo, tal como explicado pela Comissão Europeia, a base jurídica necessária para que os Estados-Membros tratem os identificadores biométricos obrigatórios dos requerentes de visto. Dadas as consequências potencialmente perigosas para os interessados, é oportuno que a utilização dos dados biométricos para fins de identificação seja limitada e que tais dados sejam incluídos no VIS, em conformidade com os objectivos do VIS, só quando absolutamente necessário e no respeito dos princípios e das garantias do caso concreto. Trata-se de uma questão ainda mais sensível quando se trata de grupos de especial risco, como os menores e os idosos. a) A escolha dos instrumentos jurídicos Por razões de clareza e de transparência, devem ser estabelecidos no Regulamento VIS os princípios e as condições gerais aplicáveis à obrigação de recolher dados das impressões digitais, enquanto a proposta de regulamento em causa se deve concentrar sobretudo em estabelecer as modalidades de aplicação desses princípios e em especificar os aspectos práticos para o tratamento dos dados biométricos. Como foi anteriormente referido, a proposta de regulamento contém algumas alterações ao texto consolidado das ICC visando legitimar o procedimento de obtenção de dados biométricos (impressões digitais e imagem facial) dos requerentes de visto. Este procedimento será aplicado nos consulados e nas representações diplomáticas situadas fora dos países que participam no sistema. Uma vez aprovada, a proposta deve ser entendida no contexto das disposições em vigor adoptadas em relação às ICC, dirigidas principalmente ao "pessoal habilitado", e que são consideradas como uma regra de conduta a aplicar às medidas que se tomem. O instrumento jurídico é indiscutivelmente um regulamento, como no caso do VIS e, nessa qualidade, está sujeito ao processo de co-decisão em que participa o Parlamento Europeu. Contudo, o Grupo manifesta certas reservas sobre a possibilidade de que seja considerado um mero conjunto de instruções administrativas. 6 O Grupo recorda as suas observações e preocupações sobre esta matéria, expressas nos seus anteriores pareceres de 2004 e 2005: WP Carta de 27 de Julho de 2006 ao Presidente do Comité Estratégico da Imigração, Fronteiras e Asilo. 6

7 Por razões de clareza e de transparência, à luz da Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais e da jurisprudência do Tribunal Europeu dos Direitos do Homem sobre o artigo 8. da Convenção, o Grupo considera que qualquer interferência com o direito à privacidade deve ser devidamente fundamentada e prevista de forma clara e compreensível para todos, dado que a proposta de regulamento em causa introduz normas vinculativas que impõem restrições de determinados direitos. Por conseguinte, todas as disposições sobre a qualidade dos dados, a proporcionalidade das medidas e as garantias para os indivíduos devem ser directamente estabelecidas no Regulamento VIS. É o caso designadamente das disposições sobre as categorias de dados pessoais a incluir no C-VIS, as categorias de pessoas que estão sujeitas e isentas da obrigação de recolha de impressões digitais, bem como as idades máximas e mínimas dos requerentes de visto; os procedimentos acessórios específicos; a usurpação de identidade e a identificação incorrecta devido a falha tecnológica; a retenção de dados e as garantias concedidas aos indivíduos que não podem cumprir os requisitos relativos às impressões digitais. Além disso, a recolha de impressões digitais deve ser efectuada de forma transparente e o interessado deve receber todas as informações necessárias para que possa exercer o direito de acesso. b) Obrigação de fornecer impressões digitais: a fase de registo O Grupo gostaria de chamar a atenção para a necessidade de criar um enquadramento sólido e seguro para a recepção dos pedidos e o registo dos identificadores biométricos. Trata-se de um aspecto particularmente importante no caso de, como previsto na proposta, o procedimento em causa ser realizado quando há partilha de locais ou cooperação com prestadores de serviços externos (externalização). De qualquer forma deve ser assegurada a qualidade da identificação em relação a qualquer indivíduo que se apresente num posto consular antes da recolha das suas impressões digitais e da comparação destas com os dados pessoais do interessado. Neste contexto, convém assinalar que o n. 1 do artigo 1. apenas refere em geral que os referidos procedimentos devem ser efectuados "respeitando as regras aplicáveis em matéria de protecção de dados e de segurança" embora seja essencial que as circunstâncias em que as impressões digitais são recolhidas garantam uma fiabilidade perfeita. Devem ser tidas em conta as consequências eventuais de uma correspondência errada entre os dados de identificação e as impressões digitais aquando da recolha dos dados das impressões digitais - que pode ser deliberada se as impressões digitais recolhidas não revelarem a verdadeira identidade do interessado de outro modo. Nesses casos, a identidade usurpada ficaria associada de forma permanente às impressões digitais em causa. Por conseguinte, é fundamental que apenas o pessoal com formação adequada e totalmente fiável seja responsável por realizar as operações acima referidas, que devem ser sempre executadas sob a supervisão e a responsabilidade do pessoal diplomático do Estado-Membro que recebe o pedido de visto. 7

8 c) Isenção da obrigação c1) Idade dos requerentes de visto A idade abaixo da qual os menores serão isentos da obrigação de fornecer impressões digitais é de 6 anos, não havendo idade máxima fixada para as pessoas idosas. Estas importantes disposições estão estabelecidas no Regulamento ICC e são tratadas como uma questão meramente técnica, embora devessem constituir a base de um debate político mais alargado. A inclusão de uma referência à Convenção sobre os Direitos da Criança deve ser considerada como uma condição prévia para avaliar o respeito da dignidade das crianças no âmbito da referida obrigação, ou seja, não deve ser considerado como uma norma de referência puramente administrativa a nível do procedimento de registo. O Grupo considera que, por motivos atinentes à dignidade da pessoa e para assegurar a fiabilidade do procedimento, a recolha e o tratamento das impressões digitais devem ser limitados em relação às crianças e aos idosos e que o limite de idade deve ser coerente com os limites de idade em vigor a nível de outras grandes bases de dados biométricas da UE (designadamente a Eurodac). É conveniente ter em atenção que não existe documentação científica suficientemente conclusiva sobre a fiabilidade da tecnologia de recolha das impressões digitais quando se trata de menores ou de idosos. Seria oportuno estabelecer a margem de erro que pode ser garantida pelos fabricantes no que se refere às impressões digitais armazenadas no sistema (durante 5 anos) e aos controlos (sistema de resposta sim/não) a realizar no período de cinco anos (ou de 48 meses) durante o qual essas impressões digitais são conservadas. Tal aplica-se, em particular, aos menores abaixo de uma certa idade e a outros indivíduos com doenças específicas e/ou condições de incapacidade física progressiva tendo em conta que a probabilidade de discordância entre dados aumenta com o tempo em tais casos. Os procedimentos para assegurar o respeito da dignidade humana e das liberdades fundamentais deveriam ser igualmente especificados nestes casos. Dada a falta de estudos sobre este ponto e a falta de certificação expressa dos fabricantes no que diz respeito aos níveis de estabilidade e de qualidade susceptíveis de garantir concordâncias fiáveis com as impressões digitais do C-VIS respeitantes a crianças abaixo de uma certa idade e/ou a idosos acima de uma certa idade, o Grupo considera que não se justifica estabelecer novos limites de idade diferentes para a isenção de impressões digitais, que tal afecta a dignidade do interessado e que é desnecessário à luz do risco reduzido associado às categorias de pessoas acima referidas e aos objectivos para as quais o VIS foi criado. Uma vez que a proposta prevê a recolha de impressões digitais dos dez dedos das mãos do requerente, o que assegura indiscutivelmente uma qualidade elevada em termos de identificação, é conveniente recordar que, segundo os critérios em vigor no que se refere a recolha de impressões digitais na Eurodac, esta última base só armazena as impressões digitais de pessoas com idade entre 14 e 80 anos. Tendo em conta a fragilidade das impressões digitais, é preferível recolhê-las exclusivamente para efeitos de verificação da identidade de uma pessoa, sem prejuízo da possibilidade de recolher tais dados (em conformidade com os mecanismos e as medidas de salvaguarda estabelecidos pelo direito nacional) quando for necessário, por exemplo, para impedir a usurpação de identidade. Como os dados das impressões digitais de menores com idade inferior a 14 anos não podem ser utilizados para fins de identificação por serem pouco fiáveis, o acesso aos dados fornecidos para 8

9 efeitos de identificação nos termos do artigo 17. da proposta de regulamento VIS não pode, portanto, ser autorizado; este aspecto deve ser expressamente estipulado. c2) Impossibilidade de registo Outra questão importante consiste em determinar quais as categorias de pessoas que serão isentas da obrigação de fornecer impressões digitais e as disposições jurídicas respectivas. Como já mencionou o Parlamento Europeu no seu relatório de 2005 e a Autoridade Europeia para a Protecção de Dados no seu parecer, no caso de ser fisicamente impossível recolher as impressões de um requerente, existem vários estudos que calculam que até 5% da população não pode ser registada (por falta de impressões digitais legíveis ou por sofrer de uma incapacidade física que impede o seu registo). Tendo em conta que cada ano se prevêem aproximadamente 20 milhões de requerentes de visto, isto significa que até 1 milhão de pessoas não poderá submeter-se a um procedimento normal de registo. O Grupo considera que deve ser prestada a devida atenção a este grande grupo de população. Também é de opinião que estas pessoas não devem ser penalizadas por um sistema ser tecnicamente defeituoso nem ser prejudicadas por terem impressões digitais ilegíveis, correndo assim o risco de que lhe venham a recusar os seus pedidos de visto. Enquanto procedimento acessório adequado, deveria ser suficiente para cumprir os requisitos exigidos a recolha de dados relativos a apelidos, apelidos de nascimento (apelidos utilizados anteriormente) e nomes próprios, juntamente com a informação sobre o sexo, a data, o local e o país de nascimento. Por conseguinte, deveriam aditar-se disposições pontuais, especialmente ao Regulamento VIS, como acima se indicou. O Grupo propõe que sejam fornecidas estatísticas específicas sobre recusas do VIS por impossibilidade de registo e que o número de recusas por este motivo seja comparado com o nível geral de recusas de vistos por outros motivos. A Comissão poderia revelar esses resultados no quadro do relatório bianual que tem de apresentar. 5. Outras garantias específicas A proposta relativa às ICC deve ser conforme com os requisitos da Directiva da UE sobre a protecção dos dados (95/46/CE) que exigem transparência, controlo e avaliação. A proposta das ICC e o Regulamento VIS incluem disposições específicas. O décimo quarto considerando da proposta relativa às ICC refere que "a Comissão deverá apresentar um relatório relativo à aplicação do presente regulamento dois anos após a sua entrada em vigor, que deverá abranger a recolha dos identificadores biométricos, o princípio de primeiro pedido e a organização da recepção e do tratamento dos pedidos de visto". A disposição citada parece prever uma mera avaliação técnica, enquanto a actual proposta de Regulamento VIS estabelece (no seu artigo 34. ) que as autoridades de protecção de dados nacionais "... assistem-se mutuamente na condução de auditorias e inspecções, analisam as dificuldades de interpretação ou aplicação do presente regulamento elaboram propostas harmonizadas tendo em vista encontrar soluções comuns para quaisquer eventuais problemas e promovem a consciencialização para os direitos em matéria de protecção de dados, na medida do necessário" no âmbito dos poderes de supervisão que lhes foram conferidos, juntamente com a AEPD (artigo 35. -A). 9

10 Por conseguinte, o Grupo sublinha a necessidade de coerência e, em qualquer caso, propõe que se adite à proposta ICC o seguinte: - Considerando 14-A: o controlo, supervisão e avaliação da recolha dos identificadores biométricos devem ser efectuados em conformidade com os artigos 34. e 35. -A do Regulamento VIS, relativos às actividades de supervisão das autoridades nacionais e europeias de controlo da protecção de dados; - Artigo 1., n. 2, alínea a): para efeitos deste número, deve ser feita uma referência ao papel que desempenham as autoridades nacionais de controlo por força do artigo 28. da Directiva 95/46/CE e do artigo 34. do Regulamento VIS, e em conformidade com o controlo coordenado atribuído conjuntamente às autoridades nacionais de controlo e à AEPD, no que se refere ao controlo da legalidade do tratamento dos dados pessoais em relação à recolha e à utilização de identificadores biométricos sob a forma de auditorias, inspecções e avaliação de qualquer problema derivado do exercício dos direitos das pessoas em causa e dos direitos de protecção dos dados. O Grupo defende que o quadro normativo aplicável à recepção e ao tratamento dos pedidos de visto deve ser claramente estabelecido, em especial no que diz respeito ao tratamento dos dados biométricos. Os princípios da Directiva 95/46/CE devem ser plenamente respeitados quanto à responsabilidade em matéria de tratamento de dados, especialmente quando se pretende alcançar uma cooperação entre Estados e/ou se recorra a entidades privadas estabelecidas em países terceiros para realizar estas actividades confidenciais. O artigo 23., n. 2, da proposta de regulamento estabelece que os "dados serão tratados pelo VIS em nome dos Estados-Membros" e o n. 3 do artigo 23. que cada Estado-Membro "designará a autoridade que será considerada como responsável pelo tratamento, em conformidade com a alínea d) do artigo 2.º da Directiva 95/46/CE". A actual proposta estabelece que "a organização da recepção e do processamento dos pedidos de visto são da competência de cada Estado-Membro". Para esse efeito, a actual proposta pretende apresentar um quadro jurídico - para actividades que, na prática, já são executadas tendo em vista a organização dos postos consulares dos Estados-Membros no que diz respeito à aplicação do Sistema de Informação sobre Vistos. Estão previstas três possibilidades: a partilha de locais, centros comuns para apresentação de pedidos e cooperação com prestadores de serviços externos. O Grupo gostaria de apresentar as suas orientações, em especial sobre as duas últimas opções. a) Cooperação com prestadores de serviços externos O Grupo partilha inteiramente a posição da AEPD, que manifestou a sua firme oposição à possibilidade de recorrer a prestadores de serviços externos e indicou as opções limitadas que podem ser aceitáveis. A possibilidade de cooperação com prestadores de serviços externos deve ser considerada como último recurso, em função da organização das missões diplomáticas, mas pode implicar demasiados riscos se não estiver protegida pelo estatuto diplomático e sob a inteira responsabilidade do Estado- Membro requerente. É necessário esclarecer qual a entidade que actuará como autoridade responsável pelo tratamento dos dados e as limitações legais que podem impor-se ao prestador ou prestadores de serviços externos, na medida em que estes sejam responsáveis pelo tratamento e estejam estabelecidos num país terceiro. Devem ser estabelecidas salvaguardas específicas sobre a identificação dos 10

11 requerentes e a recolha de impressões digitais, que só podem obter-se na presença de pessoal devidamente qualificado das autoridades responsáveis pelos vistos. Para esse efeito, deve impor-se ao prestador de serviços uma proibição legal de copiar, descarregar, armazenar ou conservar por qualquer outra forma os dados recolhidos. Convém igualmente adoptar as modalidades de restituição dos dados recolhidos em suporte papel às respectivas autoridades. A proposta de alteração das ICC também deve prever os direitos dos requerentes de visto em relação aos prestadores de serviços externos e incluir disposições sobre a informação que estes prestadores e as autoridades consulares fornecerão aos interessados. Deve ser conservado um registo dos pedidos apresentados por cada prestador de serviços externo, a fim de dispor de informações objectivas sobre a fiabilidade dos prestadores de serviços. b) Centros comuns para apresentação de pedidos Também neste caso se devem estabelecer procedimentos muito claros visando identificar o responsável pelo tratamento, garantir que os dados, uma vez recolhidos, não sejam conservados no centro e sejam imediatamente devolvidos às autoridades nacionais competentes, reforçar o procedimento de registo e identificação dos requerentes de visto de modo a assegurar a correspondência entre os dados de identificação adequados e as impressões digitais, bem como proporcionar garantias efectivas caso devam ser adoptadas medidas e permitir ao requerente cuja identidade tenha sido usurpada obter rapidamente a rectificação e alteração tanto dos seus dados como da correspondência entre os seus dados alfanuméricos e a informação biométrica. Também se devem adoptar as adequadas medidas de segurança relativas aos dados para impedir o acesso não autorizado, a cópia e outras operações ilegais de tratamento de dados. 11

12 6. Conclusões O Grupo gostaria de chamar a atenção para as seguintes recomendações: 1. Como princípio geral, devem avaliar-se cuidadosamente as categorias de dados a incluir na base de dados central (C-VIS). Quando o Código Comunitário dos Vistos entrar em vigor, será necessário definir os dados que se devem incluir no C-VIS, uma vez que muitos deles já não serão estritamente necessários. Por conseguinte, o Regulamento VIS deve ser revisto e o tratamento dos dados pessoais limitado aos dados considerados estritamente necessários para o objectivo para o qual o VIS foi criado. Esta situação aplica-se nomeadamente aos princípios e às condições que regulam a recolha de dados das impressões digitais, tendo em conta a sensibilidade desta informação. O Grupo considera que devem ser alteradas as disposições pertinentes do Regulamento VIS (artigo 6. ), a fim de limitar os dados pessoais que são recolhidos e inseridos no C-VIS. A este respeito, ao prever que "só serão incluídos no C-VIS os seguintes dados " evitar-se-iam novas alterações do VIS quando o novo Código Comunitário de Vistos for aplicável. 2. É oportuno que a proposta de regulamento estabeleça as medidas que se devem aplicar para cumprir adequadamente estes princípios e que especifique os aspectos práticos do tratamento dos dados biométricos. 3. No que diz respeito à inclusão de dados biométricos e à possível utilização das impressões digitais nos pedidos de visto, há que ter devidamente em conta a dignidade humana e as repercussões para os direitos fundamentais. 4. Seria oportuno que as decisões sobre as categorias de dados a recolher através dos formulários normalizados de apresentação de vistos sejam tomadas juntamente com as decisões relativas aos dados a incluir no C-VIS. 5. A utilização de dados biométricos para efeitos de identificação deve ser limitada selectivamente mediante a minimização e a proporcionalidade dos dados, a fim de evitar abusos do sistema. 6. Deve ser criado um enquadramento forte e seguro para a recepção dos pedidos e o registo dos identificadores biométricos. 7. No que respeita às crianças e aos idosos, deve limitar-se a recolha e o tratamento das impressões digitais e tornar-se os limites de idade coerentes com os limites de idade em vigor a nível de outras grandes bases de dados biométricas da UE (como a Eurodac). 8. A Comissão deve apresentar e supervisionar periodicamente estatísticas específicas sobre recusas do VIS por impossibilidade de registo. 9. Deve assegurar-se a supervisão e o controlo adequados, em conformidade com as disposições estabelecidas no Regulamento VIS, em particular mediante a alteração do considerando décimo quarto-a e do n. 2 do artigo 1. da proposta de regulamento. 10. Em princípio, deve ser evitada a externalização do tratamento dos pedidos de visto a favor de entidades privadas, com excepção das funções de centro de atendimento. Nos casos em que se externalizem funções de registo, devem ser estabelecidas garantias específicas de que a responsabilidade continua a incumbir às autoridades competentes em matéria de visto dos Estados-Membros e que o tratamento é realizado com base numa estrita supervisão. 12

13 O Grupo está convicto que as considerações apresentadas no presente parecer serão devidamente tidas em conta e incorporadas no processo legislativo para assegurar que as garantias mencionadas sejam aplicadas antes da adopção dos instrumentos em causa. Deveria ser lançada uma campanha de informação para sensibilizar o público para estas questões. O Grupo está disposto a contribuir para esse exercício da forma considerada mais adequada. Feito em Bruxelas, em 1 de Março de 2007 Pelo Grupo de Protecção de Dados O Presidente Peter SCHAAR 13